Konfigurationsdatei erstellen

Da die FritzBox nur IPSec/IKEv1 und Pre-Shared Keys unterstützt, das mittlerweile als veraltet und unsicher bezeichnet wird, empfehlen wir VPN mit Wireguard zu konfigurieren, insofern von der eingesetzten FritzBox (FRITZ!OS 7.50 oder neuer) unterstützt.
Die VPN-Konfiguration auf der FritzBox erfolgt mit Hilfe einer Konfigurationsdatei. Am einfachsten lässt sich diese Datei mit einem Windows-Programm erstellen, das uns dankenswerter Weise von unserem langjährigen, treuen Fachhändler Jürgen Etterer, digitalLabs, zur Verfügung gestellt wurde:
Mit aktuellen Versionen der FritzBox scheint es nicht mehr möglich zu sein, in einer Konfigurationsdatei Verbindungen mit mehreren FritzBox- bzw. DEFENDO-Netzen zu konfigurieren. Erstellen Sie für jedes Paar aus FritzBox- und DEFENDO-Netz bitte eine eigene Konfigurationsdatei.
Sie können die Konfigurationsdatei aber natürlich auch von Hand erstellen. Die Datei hat folgendes Format (hervorgehobene Texte müssen Sie durch zu Ihrem Netzwerk passende Werte ersetzen):
vpncfg {
  connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = "DEFENDO";
    always_renew = yes; // auf "no" setzen, wenn die Verbindung nur bei Bedarf aufgebaut und bei Inaktivität abgebaut werden soll
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = <externe IP-Adresse des DEFENDO>; // bei dyn. IP des DEFENDO: remotehostname = "<DNS Name des DEFENDO>";
    remote_virtualip = 0.0.0.0;
    localid {
      fqdn = "<DNS Name der FritzBox>"; // bei fester IP der FritzBox: ipaddr = <externe IP der FritzBox>;
    }
    remoteid {
      ipaddr = <externe IP-Adresse des DEFENDO>; // bei dyn. IP des DEFENDO: fqdn = "<DNS Name des DEFENDO>";
    }
    mode = phase1_mode_idp;
    phase1ss = "dh14/aes/sha";
    keytype = connkeytype_pre_shared;
    key = "<gemeinsame Passphrase>";
    cert_do_server_auth = no;
    use_nat_t = no;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
      ipnet {
        ipaddr = <(LAN-)Netzwerk hinter FritzBox (z.B. 192.168.1.0)>;
        mask = <zugehörige Netzmaske (z.B. 255.255.255.0)>;
      }
    }
    phase2remoteid {
      ipnet {
        ipaddr = <(LAN-)Netzwerk hinter DEFENDO (z.B. 192.168.0.0)>;
        mask = <zugehörige Netzmaske (z.B. 255.255.255.0)>;
      }
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs"; // comp-all: Komprimierung aktiv. Muss auf DEFENDO ebenfalls aktiviert werden!
    accesslist = "permit ip <Netz hinter FritzBox> <zugeh. Netzmaske> <Netz hinter DEFENDO> <zugeh. Netzmaske>";
         // z.B. "permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0";
  }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Passen Sie diese Beispieldatei an und speichern Sie diese mit der Endung *.cfg.
Bei Verwendung einer "phase2ss" mit Komprimierung, muss in der Verbindungskonfiguration auf dem DEFENDO die Option "IPComp Komprimierung" aktiviert werden. Sie finden diese Einstellung auf dem Reiter (Tab) "Optionen" (vor Version 7.1-2.0 auf dem Tab "Phase 2"). Die von uns empfohlene Einstellung phase2ss = "esp-all-all/ah-none/comp-all/pfs" (siehe oben) nutzt Komprimierung ("comp-all").

Konfigurationsdatei mit mehreren Netzen

Mit aktuellen Versionen der FritzBox scheint diese Art der Konfiguration nicht mehr möglich zu sein. Erstellen Sie für jedes Paar aus FritzBox- und DEFENDO-Netz bitte eine eigene Konfigurationsdatei.
Um mehrere Netzwerke miteinander zu verbinden, müssen Sie mehrere Verbindungen anlegen. Kopieren Sie dazu die komplette Verbindung (ohne Schlüsselwort "connections" aber mit der geschweiften Klammer) und passen Sie folgende Parameter an:
  • name: Jede Verbindung sollte einen eigenen Namen erhalten
  • phase2localid: Falls ein weiteres Netzwerk seitens der Fritzbox verbunden werden soll, ändern Sie "ipaddr" und "mask" bitte hier ab
  • phase2remoteid: Falls hingegen ein weiteres Netzwerk seitens des DEFENDOs verbunden werden soll, ändern Sie "ipaddr" und "mask" stattdessen bitte hier
  • accesslist: die Netze müssen immer passend zu "phase2localid" und "phase2remoteid" konfiguriert sein
Das nachfolgende Beispiel zeigt, wie das FritzBox Netzwerk 192.168.1.0/255.255.255.0 mit den zwei DEFENDO Netzen 192.168.0.0/255.255.255.0 und 192.168.2.0/255.255.255.0 verbunden wird:
vpncfg {
  connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = "DEFENDO 1. Verbindung";
    ... // alle weiteren Parameter wie oben
    phase2remoteid {
      ipnet {
        ipaddr = 192.168.0.0;
        mask = 255.255.255.0;
      }
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0";
  }{
    enabled = yes;
    conn_type = conntype_lan;
    name = "DEFENDO 2. Verbindung";
    ... // alle weiteren Parameter wie oben
    phase2remoteid {
      ipnet {
        ipaddr = 192.168.2.0;
        mask = 255.255.255.0;
      }
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0";
  }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Konfigurationsdatei hochladen

Diese Konfigurationsdatei laden Sie auf die FritzBox, indem Sie im Bereich "Internet" in den "Freigaben" auf den Reiter (Tab) "VPN" klicken. Dort können sie mit einem Klick auf "Durchsuchen..." die erstellte CFG-Datei auswählen...
... und diese dann mit "VPN-Einstellungen importieren" einlesen lassen. Dies dauert einen Augenblick!
Sobald der Import abgeschlossen ist, sollte im unteren Bereich des Fensters die VPN-Verbindung angezeigt werden und der Status wie im gezeigten Bild auf "grün" schalten.

Kontrolle der Ereignisse

Unter "System > Ereignisse" wird der Verbindungsaufbau protokolliert. Hier erhalten Sie auch eine Meldung, wenn der VPN-Aufbau nicht klappt.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany