Fritzbox als Secure Gateway, ganz einfach gemacht.

Durch Zufall habe ich herausgefunden, dass AVM die Einrichtung einer Fritzbox zu einem Secure Gateway inzwischen fast kinderleicht gemacht hat. Zur generellen Info: Neuere Fritzboxen haben eine eingebaute VPN-Funktionalität auf Basis von IPSec, die auch recht zuverlässig funktioniert. Anfangs dafür gedacht, dass mobile Geräte so auf das heimische LAN zugreifen können, wurde die VPN-Funktionalität 2010 dahingehend erweitert, dass bei entsprechender Konfiguration mobile Geräte ihren gesamten Datenverkehr über das VPN leiten können, um somit eventuelle Regulierungen umgehen zu können und den Datenverkehr auch in unsicheren Umgebungen wie z.B. öffentlichen WLAN-Hotspots absichern zu können.

Der Schlüssel hierzu ist das kleine Tool namens „Fritz!Box Fernzugang einrichten“, das es im VPN-Themenportal kostenlos gibt. Wird mit diesem kleinen und feinen Tool eine VPN-Verbindung eingerichtet, wird im Einrichtungsassistenten nämlich irgendwann gefragt, ob über die einzurichtende VPN-Verbindung nicht nur das lokale Netzwerk erreicht werden soll oder ob darüber der gesamte Datenverkehr des mobilen Gerätes abgewickelt werden soll. Auf bekannte Weise wird dann die erstellte Konfiguration in die Fritzbox importiert und das mobile Gerät bzw. die VPN-Clientsoftware konfiguriert (Anleitungen gibt es auf der VPN-Themenportalseite).

Wichtig ist bei VPN-Clients, bei denen man angeben muss, welche Netze über den VPN-Tunnel geroutet werden sollen, anzugeben, dass nicht nur das lokale Netzwerk hinter der Fritzbox erreichbar sein soll, sondern eben auch das gesamte Internet. Das bezeichnet man üblicherweise auf IP-Adressebene als „0.0.0.0“ mit der Subnetzmaske „0.0.0.0“. Symbolhaft müssen also folgende Netzwerke über den VPN-Tunnel geroutet werden:

192.168.178.0 mit der Subnetzmaske 255.255.255.0
0.0.0.0 mit der Subnetzmaske 0.0.0.0

Detailierte Informationen zum Routing finden sich in meinem Artikel vom September 2010 zum Thema Secure Gateway mit der Fritzbox.

Kleiner Warnhinweis: Wenn der komplette Datenverkehr über die heimische Fritzbox geroutet wird, sollte man sich bewusst sein, dass der heimische Internet-Zugang und dessen Bandbreite einen Flaschenhals darstellen könnten. Gibt es zu Hause also z.B. nur einen DSL 1000, dann ist dessen Up- und Download-Begrenzungen der Flaschenhals, wenn die VPN-Verbindung nicht sehr flott ist. Wer also regelmäßig seine heimische Fritzbox für VPN und für ein Secure Gateway benötigt, sollte sich zu Hause einen flotten Internet-Zugang leisten.