HowTo: VPN zur Fritz!Box einrichten
EIn VPN (virtuelles privates Netzerk) “verlängert” dein Heim-LAN über das per se unsichere Internet hinweg. Dabei wird das Internet auf die Funktion eines LAN-Kabels reduziert. Die Datenübertragung erfolgt verschlüsselt; der Verbindungsaufbau wird über ein Geheimnis (Secret) abgesichert.
Die Fritz!Box als Gegenstelle verwendet IPsec als Übertragungspotokoll.
Voraussetzungen
Die Fritz!Box muss aus dem Internet erreichbar sein. Was Sie dafür tun müssen erfahren Sie hier. Da die Fritz!Box der eigentliche Adressat für VPN ist, müssen keine Portweiterleitungen eingerichtet werden. Die für VPN benötigten Ports (UDP 500 und 4500) werden von der Fritz!Box automatisch freigeschaltet.
Fritz!Box für VPN einrichten
Bereich der IP-Adressen ändern
Da Sie sich fern Ihres Home-LANs wahrscheinlich ebenfalls hinter einem Router befinden, ist die Wahrscheinlichkeit groß, dass die IP, welche Sie vom Router (DHCP-Server) zugeteilt bekommen mit 192.168…. beginnt (im folgenden Beispiel ist sie 192.168.2.178). Sie können die Ihrem Gerät zugeteilte IP überprüfen, wenn Sie im Terminal …
$ ip addr list
… eingeben. Sie erhalten dann in etwas folgende Ausgabe:
Die Angaben unter 1: lo beziehen sich auf das interne loopback-device. Diese Angaben können Sie ignorieren. Man erkennt an daran, dass unter 2: enp0s31f6 hinter dem Schlüsselwort “inet” eine IP-Adresse (192.168.2.178) angegeben ist, dass der Rechner über die Ethernetkarte (darauf verweist das e zu Beginn der Schnittstellenbezeichnung enp0s31f6) mit dem LAN verbunden ist. WLAN (4: wlp4s0) wird dagegen nicht benutzt.
/24 hinter der IP bedeutet dabei, dass die ersten drei Abschnitte der IP, also 192.168.2 das lokale Netz beschreiben (vergleichbar mit den Straßennamen in einer Stadt), während die letzte Zahl (178) die “Hausnummer” deines Arbeitsplatzrechners darstellt.
Der Präfix /16 würde bedeuten, dass nur die ersten beiden Abschnitte der IP für das Teilnetz (den “Strassennamen”) stehen, während bei /8 – Netzen nur die erste Zahl als Teilnetzadresse steht. Der Rest der IP (rechts davon) steht dann für die “Hausnummer”.
Für die lokalen Netze der Anwender stehen folgende “Straßennamen” zur Verfügung:
| Art des lokalen Netzes | IP-Bereich | |
| Klasse A-Netz | 10.0.0.0 – 10.255.255.255 | Ein sehr, sehr großes Netz für große Firmen (Der Präfix wäre /8, wenn es sich um ein einziges, riesiges Netz handelte). Dieses wird aus praktischen Gründen vom Sysadmin dann intern in diverse, kleinere Subnetze unterteilt werden. |
| Klasse B-Netz | 172.16.0.0 – 172.31.255.255 | 16 Teilnetze (172.16.x.x bis 172.31.x.x) mit /16 als Präfix. Es können je 65536 Rechner teilnehmen. |
| Klasse C-Netz | 192.168.0.0 – 192.168.255.255 | 256 Teilnetze (192.168.0.x bis 192.168.255.x) mit /24 als Präfix. Es können max. je 256 Teilnehmer addressiert werden. |
| Zerokonf-Netz | 169.254.0.0 – 169,254.255.255 | Dies entspricht einem Klasse B-Netz. |
Die Netzwerknummern hinter den Routern müssen dann immer aus einem der unter Klasse A, B oder C stammenden Nummernschemata stammen. Zerokonf ist reserviert für selbstkonfigurierende Netze ohne Router.
In der Regel kommt man mit einem Klasse C-Netz aus. In diesem Fall unterscheidet sich die “Strassennamen” nur in der dritten Stelle der IP (im o.a. Fall ist das die 2).
Warum das Ganze: Wenn Sie VPN einrichten wollen, befinden Sie sich üblicherweise in einem (fremden) lokalen Netz und wollen auf Ihr Heimnetz zugreifen (wie wenn Sie zu Hause wären). Dabei müssen Sie sicherstellen, dass sich die “Straßennamen” der Netze unterscheiden (sonst landen ihre Daten möglicherweise in der falschen Straße).
Vergeben Sie in Ihrem Heimnetz eine möglichst ungewöhliche Subnetz-ID (bei 192.168 ist dies die dritte Stelle). Dazu gehen Sie so vor:
Melden Sie sich an der Fritzbox an und rufen Sie das Fenster Heimnetz – Netzwerk – Netzwerkeinstellungen auf. Scrollen Sie ganz nach unten:
Dort finden Sie den Link weitere Einstellungen. Wenn Sie darauf klicken, können Sie weiter nach unten scrollen. Tun Sie dies, bis Sie diesen Abschnitt finden:
Klicken Sie auf IPv4-Einstellungen und ändern Sie das 3. Feld ab (ich im Beispiel die Zahl 144 eingetragen). Wenn Sie die Zahl in obersten Zeile verändern, passt die Fritz!Box alle anderren Einträge automatisch an. Wählen Sie eine eigene Nummer zwischen 0 und 254. Dabei sollten Sie die am häufigsten benutzten Zahlen 0, 1 und 178 unbedingt vermeiden.
Anschließend fordert die Fritz!Box einen Neustart.
VPN freischalten
Im folgenden Beispiel wurde ein Webserver für das Internet freigeschaltet. Der Name des Servers und seine IP werden hier aus Sicherheitsgründen nicht angezeigt:
Alle Anfragen an den Router, welche die Ports 80 (http://) und 443 (https://) betreffen, werden nun 1:1 an den gewählten Server durchgestellt. Das macht natürlich nnur Sinn, wenn der betreffende Dienst auf dem Server auch zur Verfügung steht.
Um eine (weitere) Portfreigabe zu konfigurieren, klicken Sie auf Gerät für Freigaben hinzufügen.
Beachten Sie jedoch, dass aus Sicherheitsgründen so wenig wie möglich Ports freigegeben werden sollen. Jeder Port ist im Prinzip ein Sicherheitsrisiko.
Benutzer für IPsec konfigurieren
Jeder Benutzer braucht seine Zugangsdaten. Legen Sie einen Benutzer an und gestatten Sie Ihm, VPN zu benutzen:
Konfigurationsdaten abrufen
Die Konfigurationsdaten können Sie sofort abrufen. Später sind sie unter Internet – Freigaben – VPN – VPN-Einstellungen bei dem jeweiligen Benutzer abrufen:
VPN auf Linux-Client einrichten
ient Unter Ubuntu 24.04 LTS installieren Sie zuerst die vpnc-Erweiterung für den Netzwerkmanager:
$ sudo apt-get install network-manager-vpnc-gnome
Klicken Sie unter Einstellungen – Netzwerk – VPN auf das +, um eine (weitere) VPN-Verbindung hinzuzufügen:
Wählen Sie: Cisco-kompatibler VPN-Client (vpnc) und füllen Sie das nachstehende Formular mit den oben angezeigten Zugangsdaten aus:
Unter Gateway szeht die Internetadresse Ihrer Fritz!Box, das Benutzerpasswort eintragen, das Sie zur Anmeldung bei der Fritz!Box benutzen (bitte wählen Sie hier ja nach Wunsch “Passwort nur für diesen Benutzer speichern” oder (sicherer) “Jedes Mal nach diesem Passwort fragen”.