Gesamten Internetverkehr durch AVM Fritzbox VPN tunneln: Umgehung von Port- und IP-Sperren sowie sicheres Surfen

Gesamten Internetverkehr durch AVM Fritzbox VPN tunneln: Umgehung von Port- und IP-Sperren sowie sicheres Surfen

Heute ist Tag der sperrigen Titel.
🙂
Wobei es schon spannend ist, was man mit der Fritzbox so alles machen kann.

(Siehe auch z. B. die vielen Artikel hier zu VOIP und anderen FB-Themen.)

Wo war ich? Oh ja.. VPN und die Fritzbox.

Kurze Einführung in VPN

Was bedeutet VPN? Per VPN können wir von einem Standort (z. B. einem öffentlichen WLAN in einem Restaurant) außerhalb unseres Heimnetzwerks (das ist dort, wo die Fritzbox steht, die mit dem Internet verbunden ist) auf dieses Heimnetzwerk zugreifen, ganz so, als wären wir vor Ort, im lokalen Netzwerk.

Das ist deshalb sehr praktisch, weil wir hier keine Freigaben für jeden Port von jedem Gerät einrichten müssen, sondern per RDP oder VNC an jeden laufenden Rechner drankommen, auf File-Shares zugreifen können und ähnliche nützliche Dinge tun können.

Auch möglich: wir können einen Rechner im Netzwerk (so lange wir noch vor Ort sind) starten und in den Energiesparmodus versetzen, und dann per Wake-On-Lan remote aufwecken, benutzen, und nach vollbrachter Arbeit wieder schlafen legen.

Sehr praktisch.

Und hier zu finden:

2015-09-09 21_37_00-FRITZ!Box - Internet Explorer

Dann wählen wir den gewünschten Computer aus und wecken ihn auf:

2015-09-09 21_37_10-FRITZ!Box - Internet Explorer

Darüber hinaus können wir noch auswählen, ob wir nur den Verkehr in das Heimnetz über die Fritzbox leiten wollen, oder sämtlichen Verkehr. Ersteres ist gut, um auf das Heimnetz zuzugreifen, letzteres ermöglicht ebenfalls diesen Zugriff, verschlüsselt jedoch sämtlichen Verkehr ins Internet und ermöglicht den Zugriff auf alle IPs, Ports, URLs usw., die daheim freigeschaltet sind, was normalerweise alle sind. Sehr nützlich, wenn man z. B. im Hotel oder an einem öffentlichen Ort ist. Aktuell habe ich im Hotel z. B. sogar Port 22 (SSH) gesperrt – sehr ärgerlich! Dafür geht VPN. 🙂

Alternativ (das beschreibe ich hier allerdings nicht) ist oft, auch im Firmennetzwerk, Port 22 (SSH) offen, über den wir wieder (dann allerdings manuell) einzelne Verbindungen tunneln können. Das hatte sich z. B. einmal als nötig erwiesen, um Code vom Git-Server eines Zulieferers runterzuladen, dessen Port gesperrt war. Kurz zuvor hatte die IT den „geheimen” Proxy-Server gesperrt, der diese Verbindung ohne diesen Umweg ermöglicht hatte..

Vorbereitende Einrichtung auf lokalem PC

Als allererstes muß man die Fritzbox vom Internetz aus zugänglich machen. Dies beschreibe ich hier nicht, man benötigt jedoch folgende Schritte:

  1. Einrichten des Fernzugangs für die Fritzbox, damit wir uns von draußen einloggen können
  2. Einrichten einer dynamischen IP, damit wir die Fritzbox auch in den Weiten des Internets finden können

Beschrieben ist das z. B. als Schritt 1 hier oder auch direkt bei AVM.

Jetzt müssen wir die passende Software installieren: „FRITZ!Box-Fernzugang einrichten” sowie „FRITZ!Fernzugang (64Bit)” bzw. die 32 Bit Variante, was am besten passt.

Wir starten damit, den Fernzugang einzurichten.

Neu..

2015-09-09 21_38_59-FRITZ!Box-Fernzugang einrichten

und dann den „Fernzugang für einen Benutzer einrichten”

2015-09-09 21_40_28-The.Ultimate.Microsoft.Office.2013.Training.Bundle.71.Hours

wenn wir bereits einen Fernzugang eingerichtet hatten (das war bei mir der Fall) können wir diese auswählen, ansonsten müssen wir eine neue Fritzbox URL hinzufügen

2015-09-09 21_41_08-Neue VPN-Verbindung erstellen

in meinem Fall mache ich das von einem PC aus

2015-09-09 21_41_48-FRITZ!Box-Fernzugang einrichten

die Mailadresse ist beliebig. Ich hatte mit meiner MyFritz-Adresse gestartet, kann diese allerdings nur einmal eingeben, den Sinn der Adresse hier habe ich nicht verstanden, diese kann wohl beliebig sein. Am besten nimmt man trotzdem eine Adresse, die man kontrolliert, nicht, daß eines schönen Tages die Fritzbox anfängt, dorthin Passwörter zu schicken.

2015-09-09 21_42_09-FRITZ!Box-Fernzugang einrichten

Die IP Einstellungen auf dieser Seite sollte man nur anpassen, wenn man seine Einstellungen daheim auch angepasst hat. Bei mir ist das aus historischen Gründen die 168, ich glaube, per Default wir mittlerweile die 178 angeboten – wie gesagt, für alle, die hier aktiv nichts geändert haben sollten die Defaults gut funktionieren.

Spannend ist hier noch die Entscheidung, ob wir ALLE Daten über den VPN-Tunnel senden wollen. Dies erzeugt daheim mehr Traffic, was bei einer ausreichend schnellen Verbindung sowie einer Flat oft kein Problem ist (nun, die Latenz wird etwas schlechter). In meinem Fall habe ich daher diesen Prozess zweimal durchgeführt, einmal mit „Alle Daten…” und einmal ohne.

2015-09-09 21_42_37-FRITZ!Box-Fernzugang einrichten

2015-09-09 21_43_00-Neue VPN-Verbindung erstellen

Anschließend (nach „Fertigstellen”) öffnet sich dann das Verzeichnis mit den erzeugten Dateien.

2015-09-09 21_44_39-ban_no-ip_info

Aufspielen der VPN Datei auf die Fritzbox

Für diesen Schritt benötigen wir Zugriff auf die Fritzbox. Also entweder:

  • Wir sind aktuell im Heimnetz
  • Wir haben Zugriff via myfritz
  • Wir haben bereits eine bestehende VPN Verbindung

am besten ist, wenn man hier vorbereitet und diesen Schritt im Heimnetz ausführt, dann stolpert man definitiv nicht über einen fehlenden Zugriff.

In der Fritzbox wählen wir (vermutlich nach Einloggen) Internet->Freigaben->VPN->VPN Verbindung hinzufügen.

2015-09-09 21_37_32-FRITZ!Box - Internet Explorer

2015-09-09 21_37_45-FRITZ!Box - Internet Explorer

2015-09-09 21_38_00-FRITZ!Box - Internet Explorer

Dort wählen wir dann „Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren”:

2015-09-09 21_38_15-FRITZ!Box - Internet Explorer

Hier wählen wir dann die passende Datei aus – und WICHTIG – die Datei, die nicht im Unterordner ist, sondern in dem Verzeichnis, das geöffnet wurde. Damit läuft dann alles durch, was knapp eine Minute dauert, ansonsten erhalten wir nach kurzer Zeit eine Fehlmeldung – z. B. wenn wir die falsche Datei, aus einem Unterverzeichnis, hochzuladen versuchen.

Einrichten auf dem PC

Am besten editieren wir noch den Namen der Verbindung – dieser erscheint dann nämlich im VPN Client. Die passende Datei befindet sich im Unterverzeichnis. Hier können wir z. B. die Verbindung mit dem Zusatz „all traffic” oder „homenet only” versehen (für den Parameter name).

targets {
        policies {
                name = "myservername.no-ip.info all";
                connect_on_channelup = no;

Anschließend können wir die Datei auch auf dem lokalen PC importieren und bekommen so die neue Option zur Verbindung.

2015-09-09 21_43_27-FRITZ!Fernzugang

Jetzt können wir sowohl auf die Heimnetz-Fritzbox zugreifen, und (je nach Einrichtung) auch den gesamten Traffic über die Fritzbox und den DSL/VDSL/… Anschluß daheim leiten.

Sollten wir beide Optionen haben wollen, müssen wir die Option jeweils separat sowohl lokal wie auch in der Fritzbox importieren, die Datei für die Fritzbox wird jedesmal überschrieben, so daß wir diese direkt nach dem Erzeugen in die Fritzbox importieren sollten.

Bei mir ist hier (aktuell) seltsamerweise die Verbindung über das mäßige Hotel-WLAN deutlich stabiler mit VPN als ohne. Sinn macht das wenig – evtl. ist hier ein QoS am Werk – oder der Router ist schlicht überlastet und freut sich, nur einen Stream bereitstellen zu müssen.

Auf die Idee brachte mich dieser Blog-Eintrag.

Der tracert sieht übrigens auch anders aus, mit und ohne VPN (und tunneln allen Traffics):

ohne Tunneln:

tracert www.andreas-reiff.de
 
Routenverfolgung zu www.andreas-reiff.de [84.201.40.199]
über maximal 30 Hops:
 
  1     1 ms     1 ms     1 ms  xyz.hotel-xyz.de [192.168.3.1]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3    11 ms     9 ms     9 ms  172.30.22.161
  4    10 ms     9 ms     8 ms  84.116.191.29
  5    24 ms    15 ms    12 ms  84.116.191.2
  6    46 ms    18 ms    13 ms  ae-10.r03.frnkge03.de.bb.gin.ntt.net [80.81.192.46]
  7    29 ms    14 ms    15 ms  213.198.77.194
  8    11 ms    11 ms    12 ms  fra4.xe-0-1-0.accelerated.de [84.200.230.81]
  9    12 ms    11 ms    12 ms  pand.teleron.de [84.201.40.199]

und mit VPN Tunnel etwas eintöniger:

tracert www.andreas-reiff.de
 
Routenverfolgung zu www.andreas-reiff.de [84.201.40.199]
über maximal 30 Hops:
 
  1    38 ms    37 ms    36 ms  pand.teleron.de [84.201.40.199]
  2    52 ms     *        *     pand.teleron.de [84.201.40.199]
  3    51 ms    67 ms    52 ms  pand.teleron.de [84.201.40.199]
  4    58 ms    56 ms    57 ms  pand.teleron.de [84.201.40.199]
  5    55 ms    57 ms   139 ms  pand.teleron.de [84.201.40.199]
  6    57 ms    54 ms    55 ms  pand.teleron.de [84.201.40.199]
  7    62 ms    55 ms    54 ms  pand.teleron.de [84.201.40.199]
  8    58 ms    56 ms    58 ms  pand.teleron.de [84.201.40.199]
  9    57 ms    56 ms    82 ms  pand.teleron.de [84.201.40.199]
 10    57 ms    56 ms    57 ms  pand.teleron.de [84.201.40.199]
 
Ablaufverfolgung beendet.

Viel Freude!

3 thoughts on “Gesamten Internetverkehr durch AVM Fritzbox VPN tunneln: Umgehung von Port- und IP-Sperren sowie sicheres Surfen

  1. Als kleine Anmerkung. Wenn man WIN 10 besitzt funktionieren die Tools von AVM leider nicht. Auch das ausweichen auf diesen ShrewSoft Client bringt keinen Erfolg.
    Kurzum, wer seinen PC nicht downgraden will kann WIN 7 auf eine VM (Oracle o.Ä) laden und die Software darüber nutzen.

    1. Mache ich mittlerweile auch. Ist etwas umständlich.. und unverständlich, warum AVM erst etwas eigenes braut und dann nicht bei Windows 10 updaten kann.
      Wobei Microsoft bei Windows 10 wohl auch sehr eigene Wege gegangen ist – z. B. wird mein Fire HDX (Standard MTP Gerät) auch nicht mehr automatisch unterstützt.

  2. Mit ShrewSoft Client hatte ich es lange am laufen. Jetzt haben unsere Konzern Administratoren jedoch nur noch bestimmte Ports nach außen hin geöffnet, sodass plötzlich die VPN Verbindung zur FB nicht mehr geht. Hier suche ich noch nach eine Lösung, welche den Port 443 als „Eingang“ zum VPN verwendet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.