FritzBox (IPSec VPN-Konfiguration)

Konfigurationsdatei erstellen

Die VPN-Konfiguration auf der FritzBox erfolgt mit Hilfe einer Konfigurationsdatei. Am einfachsten lässt sich diese Datei mit einem Windows-Programm erstellen, das uns dankenswerter Weise von unserem langjährigen, treuen Fachhändler Jürgen Etterer, digitalLabs, zur Verfügung gestellt wurde:

Mit aktuellen Versionen der FritzBox scheint es nicht mehr möglich zu sein, in einer Konfigurationsdatei Verbindungen mit mehreren FritzBox- bzw. DEFENDO-Netzen zu konfigurieren. Erstellen Sie für jedes Paar aus FritzBox- und DEFENDO-Netz bitte eine eigene Konfigurationsdatei.

VPN-Konfig-Fritz2Defendo_x64.zip (0.5 MB)

Sie können die Konfigurationsdatei aber natürlich auch von Hand erstellen. Die Datei hat folgendes Format (hervorgehobene Texte müssen Sie durch zu Ihrem Netzwerk passende Werte ersetzen):

vpncfg {
  connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = "DEFENDO";
    always_renew = yes; // auf "no" setzen, wenn die Verbindung nur bei Bedarf aufgebaut und bei Inaktivität abgebaut werden soll
    reject_not_encrypted = no;
    dont_filter_netbios = yes;
    localip = 0.0.0.0;
    local_virtualip = 0.0.0.0;
    remoteip = <externe IP-Adresse des DEFENDO>; // bei dyn. IP des DEFENDO: remotehostname = "<DNS Name des DEFENDO>";
    remote_virtualip = 0.0.0.0;
    localid {
      fqdn = "<DNS Name der FritzBox>"; // bei fester IP der FritzBox: ipaddr = <externe IP der FritzBox>;
    }
    remoteid {
      ipaddr = <externe IP-Adresse des DEFENDO>; // bei dyn. IP des DEFENDO: fqdn = "<DNS Name des DEFENDO>";
    }
    mode = phase1_mode_idp;
    phase1ss = "dh14/aes/sha";
    keytype = connkeytype_pre_shared;
    key = "<gemeinsame Passphrase>";
    cert_do_server_auth = no;
    use_nat_t = no;
    use_xauth = no;
    use_cfgmode = no;
    phase2localid {
      ipnet {
        ipaddr = <(LAN-)Netzwerk hinter FritzBox (z.B. 192.168.1.0)>;
        mask = <zugehörige Netzmaske (z.B. 255.255.255.0)>;
      }
    }
    phase2remoteid {
      ipnet {
        ipaddr = <(LAN-)Netzwerk hinter DEFENDO (z.B. 192.168.0.0)>;
        mask = <zugehörige Netzmaske (z.B. 255.255.255.0)>;
      }
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs"; // comp-all: Komprimierung aktiv. Muss auf DEFENDO ebenfalls aktiviert werden!
    accesslist = "permit ip <Netz hinter FritzBox> <zugeh. Netzmaske> <Netz hinter DEFENDO> <zugeh. Netzmaske>";
         // z.B. "permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0";
  }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Passen Sie diese Beispieldatei an und speichern Sie diese mit der Endung *.cfg.

Bei Verwendung einer "phase2ss" mit Komprimierung, muss in der Verbindungskonfiguration auf dem DEFENDO die Option "IPComp Komprimierung" aktiviert werden. Sie finden diese Einstellung auf dem Reiter (Tab) "Optionen" (vor Version 7.1-2.0 auf dem Tab "Phase 2"). Die von uns empfohlene Einstellung phase2ss = "esp-all-all/ah-none/comp-all/pfs" (siehe oben) nutzt Komprimierung ("comp-all").

Konfigurationsdatei mit mehreren Netzen

Mit aktuellen Versionen der FritzBox scheint diese Art der Konfiguration nicht mehr möglich zu sein. Erstellen Sie für jedes Paar aus FritzBox- und DEFENDO-Netz bitte eine eigene Konfigurationsdatei.

Um mehrere Netzwerke miteinander zu verbinden, müssen Sie mehrere Verbindungen anlegen. Kopieren Sie dazu die komplette Verbindung (ohne Schlüsselwort "connections" aber mit der geschweiften Klammer) und passen Sie folgende Parameter an:

name: Jede Verbindung sollte einen eigenen Namen erhalten
phase2localid: Falls ein weiteres Netzwerk seitens der Fritzbox verbunden werden soll, ändern Sie "ipaddr" und "mask" bitte hier ab
phase2remoteid: Falls hingegen ein weiteres Netzwerk seitens des DEFENDOs verbunden werden soll, ändern Sie "ipaddr" und "mask" stattdessen bitte hier
accesslist: die Netze müssen immer passend zu "phase2localid" und "phase2remoteid" konfiguriert sein

Das nachfolgende Beispiel zeigt, wie das FritzBox Netzwerk 192.168.1.0/255.255.255.0 mit den zwei DEFENDO Netzen 192.168.0.0/255.255.255.0 und 192.168.2.0/255.255.255.0 verbunden wird:

vpncfg {
  connections {
    enabled = yes;
    conn_type = conntype_lan;
    name = "DEFENDO 1. Verbindung";
    ... // alle weiteren Parameter wie oben
    phase2remoteid {
      ipnet {
        ipaddr = 192.168.0.0;
        mask = 255.255.255.0;
      }
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0";
  }{
    enabled = yes;
    conn_type = conntype_lan;
    name = "DEFENDO 2. Verbindung";
    ... // alle weiteren Parameter wie oben
    phase2remoteid {
      ipnet {
        ipaddr = 192.168.2.0;
        mask = 255.255.255.0;
      }
    }
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
    accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0";
  }
  ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                      "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Konfigurationsdatei hochladen

Diese Konfigurationsdatei laden Sie auf die FritzBox, indem Sie im Bereich "Internet" in den "Freigaben" auf den Reiter (Tab) "VPN" klicken. Dort können sie mit einem Klick auf "Durchsuchen..." die erstellte CFG-Datei auswählen...

... und diese dann mit "VPN-Einstellungen importieren" einlesen lassen. Dies dauert einen Augenblick!

Sobald der Import abgeschlossen ist, sollte im unteren Bereich des Fensters die VPN-Verbindung angezeigt werden und der Status wie im gezeigten Bild auf "grün" schalten.

Kontrolle der Ereignisse

Unter "System > Ereignisse" wird der Verbindungsaufbau protokolliert. Hier erhalten Sie auch eine Meldung, wenn der VPN-Aufbau nicht klappt.

Konfigurationsdatei erstellen

Konfigurationsdatei mit mehreren Netzen

Konfigurationsdatei hochladen

Kontrolle der Ereignisse

mehr

Sicher

Flexibel

Mehr gute Gründe