Fritzbox als Secure Gateway, ganz einfach gemacht.

Durch Zufall habe ich herausgefunden, dass AVM die Einrichtung einer Fritzbox zu einem Secure Gateway inzwischen fast kinderleicht gemacht hat. Zur generellen Info: Neuere Fritzboxen haben eine eingebaute VPN-Funktionalität auf Basis von IPSec, die auch recht zuverlässig funktioniert. Anfangs dafür gedacht, dass mobile Geräte so auf das heimische LAN zugreifen können, wurde die VPN-Funktionalität 2010 dahingehend erweitert, dass bei entsprechender Konfiguration mobile Geräte ihren gesamten Datenverkehr über das VPN leiten können, um somit eventuelle Regulierungen umgehen zu können und den Datenverkehr auch in unsicheren Umgebungen wie z.B. öffentlichen WLAN-Hotspots absichern zu können.

Der Schlüssel hierzu ist das kleine Tool namens “Fritz!Box Fernzugang einrichten”, das es im VPN-Themenportal kostenlos gibt. Wird mit diesem kleinen und feinen Tool eine VPN-Verbindung eingerichtet, wird im Einrichtungsassistenten nämlich irgendwann gefragt, ob über die einzurichtende VPN-Verbindung nicht nur das lokale Netzwerk erreicht werden soll oder ob darüber der gesamte Datenverkehr des mobilen Gerätes abgewickelt werden soll. Auf bekannte Weise wird dann die erstellte Konfiguration in die Fritzbox importiert und das mobile Gerät bzw. die VPN-Clientsoftware konfiguriert (Anleitungen gibt es auf der VPN-Themenportalseite).

Wichtig ist bei VPN-Clients, bei denen man angeben muss, welche Netze über den VPN-Tunnel geroutet werden sollen, anzugeben, dass nicht nur das lokale Netzwerk hinter der Fritzbox erreichbar sein soll, sondern eben auch das gesamte Internet. Das bezeichnet man üblicherweise auf IP-Adressebene als “0.0.0.0” mit der Subnetzmaske “0.0.0.0”. Symbolhaft müssen also folgende Netzwerke über den VPN-Tunnel geroutet werden:

192.168.178.0 mit der Subnetzmaske 255.255.255.0
0.0.0.0 mit der Subnetzmaske 0.0.0.0

Detailierte Informationen zum Routing finden sich in meinem Artikel vom September 2010 zum Thema Secure Gateway mit der Fritzbox.

Kleiner Warnhinweis: Wenn der komplette Datenverkehr über die heimische Fritzbox geroutet wird, sollte man sich bewusst sein, dass der heimische Internet-Zugang und dessen Bandbreite einen Flaschenhals darstellen könnten. Gibt es zu Hause also z.B. nur einen DSL 1000, dann ist dessen Up- und Download-Begrenzungen der Flaschenhals, wenn die VPN-Verbindung nicht sehr flott ist. Wer also regelmäßig seine heimische Fritzbox für VPN und für ein Secure Gateway benötigt, sollte sich zu Hause einen flotten Internet-Zugang leisten.


Beitrag veröffentlicht

in

von

Schlagwörter:

Kommentare

11 Antworten zu „Fritzbox als Secure Gateway, ganz einfach gemacht.“

  1. […] aus China. 2. März 2012 | Veröffentlicht in Netztechnik Der kleine VPN-Secure-Gateway-Erfahrungsbericht von heute hat natürlich einen Hintergrund. Es ist sozusagen ein langgehegter Sysadmin-Wunsch in […]

  2. […] Softwareprogramm “FRITZ!Fernzugang einrichten” eine Option eingebaut, mit der in einer zu erstellenden Konfiguration die Secure-Gateway-Funktion eingebaut werden kann. Dieser Artikel ist mit seiner komplexen Anleitung daher weitgehend hinfällig und steht hier nur […]

  3. Avatar von mike
    mike

    traumhaft. vielen dank für den hinweis.

  4. Avatar von Simon
    Simon

    Auf der Suche nach etwas anderem bin ich auf diese Seite gestossen.
    Witzig finde ich, dass AVM so lange dafür gebraucht hat.
    Ich besitze keine FritzBox sondern schon etwas in die Jahre gekommenen DRAYTEK Vigor 2900VG. Und der kann das schon lange. Da hat AVM noch von einer 7200er Serie geträumt.

    grüße.

  5. Avatar von john
    john

    Sind dann eigentlich auch die leute per vpn abgesichert, die auf meine box per dyndns adresse zugreifen ?

    oder muss man da noch was anderes anstellen

    grüße john

    1. Avatar von Besim Karadeniz
      Besim Karadeniz

      Prinzipiell ja, allerdings muss man sicherstellen, dass man auch auf die richtige Fritzbox geht. Theoretisch ist es möglich, dass jemand die Fritzbox kapert bzw. einen gänzlich anderen VPN-Endpunkt vorgaukelt, der dann alle eingehenden VPN-Credentials akzeptiert und das VPN zulässt. Das könnte man mit einer Unterstützung für Zertifikate realisieren, ist aber leider bei der Fritzbox nicht sehr einfach (überhaupt?) zu konfigurieren.

  6. Avatar von john
    john

    Hallo Herr Karadeniz

    Ein paar user gehen über eine dyndns Adresse auf meine Box und von der auf einen Server…

    Was ist jetzt eigentlich alles über die VPN Methode abgesichert?

    Hat es auch Relevanz, ob die Daten gesendet werden vom Server zu den Usern oder ob diese am Server von den Usern Empfangen werden ?

    Also ausgehende und Eingehende Datenpakete …

    So ganz kann ich mir da noch keinen Reim drauf machen

    Herzlichen Dank für Ihre Hilfe

    grüße john

    1. Avatar von Besim Karadeniz
      Besim Karadeniz

      Das hängt davon ab, was die Nutzer an Netz über die Fritzbox routen. Wenn sie nur das interne LAN-Netzwerk routen, dann geht deren IP-Datenverkehr primär bei denen direkt ins Internet. Wenn sie den VPN-Endpunkt als Standardgateway nutzen (also 0.0.0.0/0.0.0.0 über den Tunnel routen), dann geht deren gesamter Datenverkehr über den Tunnel.

      Die Fritzbox ist für solche Operationen icht sonderlich praktikabel, weil sie dem Administrator keine großen Möglichkeiten zur Steuerung der Tunnelparameter gibt. Ich würde jedenfalls keine Fremden über meine Fritzbox via VPN routen. Mache dich besser mal kundig darüber, welche rechtliche Verantwortung du da eingehst.

  7. Avatar von Judith
    Judith

    Hallo Herr Karadeniz,
    ich möchte meine Fritzbox 7490 so konfigurieren, daß sämtlicher Datenverkehr aus meinem LAN in das Internet auf der FB bereits via verschlüsselt wird.
    Für den User im LAN ist somit nicht zu erkennen, daß er über eine VPN-Verbindung in das Internet geht.
    Die aktuelle IP wird somit der Fritzbox zwar vom ISP zugeteilt, aber der User im LAN sieht nur die zugeteilte IP des VPN-Servers (BezahlService), welcher sich im Internet irgendwo befindet. (Die Verschlüsselung findet somit nicht beim Client, sonder auf der FB statt)
    Natürlich kann man auf den Clients auch überall entsprechende VPN-Clients einrichten, aber in diesem Beispiel soll der Benutzer keine Wahl haben, ob er getunnelt oder offen in das Internet geht.
    Ist so eine Konfiguration auf der FB, natürlich nicht mit der Standard-Firmware, denn überhaupt denkbar/möglich.?

    Gruß
    Judith

    1. Avatar von Besim Karadeniz
      Besim Karadeniz

      Ja, das ist schon möglich. Dazu muss der VPN-Dienst IPSec unterstützen, das wiederum unterstützt auch die Fritzbox. Wichtig ist allerdings, dass der VPN-Dienst nicht nur einen Rechner am Tunnel unterstützt, sondern mehrere, d.h. über den Tunnel darf nicht nur eine interne IP-Adresse für die Gegenstelle erlaubt sein, sondern ein ganzes Netz. Vermutlich wird das bei den meisten VPN-Diensten deutlich teurer sein. Wenn Sie einen bestimmten VPN-Dienst haben, sollten Sie zwecks Anleitung einmal via Google suchen (als Keywords den Namen des VPN-Dienstes und “fritzbox” angeben), dann dürften vermutlich für die meisten VPN-Dienste entsprechende Anleitungen zu finden sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Letzte Beiträge
Schlagwortwolke

Android Barack Obama Bloggen Blogroll Bundesregierung CDU Facebook Fatal Error Google iPhone Online-Sperre Pforzheim Politik 2.0 PS3 Social Networking SPD Testbericht Twitter Update Video Wahlkampf Web 2.0 Werbung WordPress ZDF

Archiv
Seiten