Möglicherweise möchte man auf Ressourcen im Heimnetz zugreifen ohne gleich die komplette Infrastruktur oder mehrere Ports freizugeben und dabei potentielle Sicherheitslücken zu öffnen. Daher ist die erste Wahl und Best Practice wenn möglich VPN.
Nachtrag 2022-12-02: Falls ihr eine moderne und sicherere VPN Verbindung aufbauen wollt, schaut euch mit FritzOS Version 7.50 Wireguard VPN an.
Die FritzBox kann IPsec + XAuth. Unix Systeme wie MacOS, Linux oder Android können dies auch. Nur Windows nicht und das schon seit Jahren. AVM hat dafür eine Fritz Anwendung, die mit einer Anmeldung über deren Server geleitet wird. Das will ich aber nicht. Denn jeder weitere Server dazwischen ist auch wieder potentiell eine Sicherheitslücke. Aber man kann es machen – mit Zusatzsoftware, die veraltet ist. Na, ob das so viel besser ist? Egal. Ich zeige wie man es theoretisch macht.
FritzBox einrichten
Das Einrichten der FritzBox ist sehr einfach.
- Im Webbrowser auf fritz.box bzw. die entsprechende IP Adresse aufrufen und sich anmelden.
- Unter Internet > Freigaben den Reiter DynDNS auswählen.
- Hier muss „DynDNS benutzen“ aktiviert werden und anschließend die Daten für den DynDNS Service eingegeben werden.
Ich verwende den kostenlosen Dienst No-IP.com, direkt implementiert sind aber ebenfalls andere Dienste wie DynDNS.org, selfhost.de oder auch Strato. - Mit Übernehmen bestätigen.
- Unter System > FRITZ!Box-Benutzer einen Benutzer hinzufügen.
- Den gewünschten Benutzername und ein !sicheres! Passwort eintragen. Den Haken bei VPN setzen.
- Übernehmen klicken.
- Die Änderung, wenn aktiviert, mit dem DECT Telefon oder an der FritzBox bestätigen.
- Die Meldung „Möchten Sie die Einstellungen für iOS und Androidgeräte ansehen?“ mit OK bestätigen.
- Im neuen Fenster werden die Daten angezeigt. Die wird man gleich brauchen.
- Fertig. Die Ports werden von der FritzBox automatisch geöffnet.
Windows über IPsec + XAuth PSK mit der FritzBox verbinden
Da Windows, wie bereits erwähnt, keine Möglichkeit über Hausmittel bereitstellt, muss eine Zusatzsoftware installiert werden.
- Die Webseite https://www.shrew.net/download/vpn aufrufen und die letzte Version von ShrewSoft VPN herunterladen.
- Das Setup ausführen und installieren. Darauf achten, dass die Standard Edition ausgewählt wird.
- Auf dem Desktop ist nun der VPN Access Manager zu sehen. Diesen mit einem Doppelklick starten.
- Im geöffneten Fenster klickt man auf „Add“.
- Nun müssen folgende Daten eingegeben werden:
- Unter dem Reiter „General“ wird der Hostname, also der DynDNS FQDN, eingetragen.
- Unter dem Reiter „Name Resolution“, wird der Haken bei „Obtain Automatically“ für den DNS Suffix entfernt und in das Feld „fritz.box“ eingetragen.
Hier wäre auch die Chance einen anderen DNS Server einzutragen, zum Beispiel einen Pi-Hole. Standardmäßig wird im VPN Netz als DNS Server die FritzBox verwendet, selbst wenn im DHCP die IP Adresse zum Pi-Hole eingetragen ist. - Unter dem Reiter „Authentication“ wird bei Authentication Method in der Liste „Mutual PSK + XAuth“ ausgewählt. Unter „Local Identity“ als Identification Type „Key Identifier“ ausgewählt und als String wird die IPSec-ID eingetragen, welchen man von der FritzBox erhalten hat. Im Normalfall der Username.
- Unter „Credentials“, ebenfalls im Hauptreiter „Authentication“, wird nun unter Pre Shared Key der von der FritzBox angegeben IPsec Schlüssel angegeben.
- Anschließend ein Klick auf „Save“ und die Konfiguration ist abgeschlossen. Wenn man möchte kann man mit einem Rechtsklick > Rename die Verbindung umbenennen, bspw. Home.
- Wenn nun ein Doppelklick auf die erstellte Verbindung getätigt wird, werden die normalen Anmeldedaten abgefragt. Diese nun eingeben und die VPN Verbindung wird aufgebaut.
Um auch Hosts im LAN über VPN auflösen zu können, muss nun noch die Metrik geändert werden. Windows versucht den Datenverkehr immer an die Schnittstelle zu senden, welche die niedrigste Metrik hat. Somit wird die DNS Abfrage nicht an den DNS im VPN gesendet sondern an den Server, in dessen Netz man sich befindet, um ins Internet zu kommen. VPN hat standardmäßig eine hohe Metrik, somit müssen wir dies irgendwie ändern.
Problem: Die Virtuelle Netzwerkschnittstelle von ShrewSoft taucht nicht bei den Netzwerkadaptern in der Systemsteuerung auf. Wir müssen also ein wenig zaubern.
- Zunächst öffnet man Powershell mit Administrativen Rechten. (Start > Powershell > Rechtsklick > Als Administrator ausführen)
- Anschließend gibt man den Befehl „Get-NetIPConfiguration -all“ ein. Dort muss man die Nummer vom InterfaceIndex für den Shrew Soft Virtual Adapter finden. Bei mir 52.
- Nun muss der Befehl „Get-NetIPInterface | Sort-Object InterfaceMetric“ ausgeführt werden.
Man sieht, dass die Interface Metric vom VPN Client auf 55 ist, was normalerweise höher, und somit schlechter, als jede Ethernet und WLAN Verbindung ist. In meinem Beispiel ist Ethernet 2, also mein LAN, bei einer Metric von 25 und wird somit so häufig wie möglich bevorzugt. - Um VPN nun, wenn aktiviert, zu bevorzugen, führen wir noch den folgenden Befehl aus:
„Set-NetIPInterface -InterfaceIndex 52 -InterfaceMetric 20“
Bei InterfaceIndex kommt natürlich eure herausgefundene Nummer hin und nicht die 52.
Wenn man den vorherigen Befehl nochmal ausführt, sieht man, dass die Verbindung weiter oben gelistet wird.
Wenn die VPN Verbindung nun aktiviert wird, wird auch der DNS Server vom VPN verwendet.
Nachwort
Für MacOS und Android zeigt euch die FritzBox bereits direkt, wie man es macht. Aber dennoch, um das auf Windows Systemen zum Laufen zu bekommen, ist eine Menge Arbeit notwendig. Zudem ist der VPN Client von ShrewSoft seit 2013 nicht mehr aktualisiert worden, was der ganzen Sache einen bitteren Nachgeschmack gibt und ich eine Menge Internet Recherche gemacht habe, um zu sehen: „Diese alte Scheißsoftware ist die einzige Möglichkeit kostenlos XAuth PSK auf Windows nachzurüsten…“ Mir ist aber momentan auch nicht bekannt, das es in der Kombination IPsec + XAuth PSK eine Schwachstelle gibt.
Um so besser, das AVM einlenkt und möglicherweise sehr bald eine neue VPN Lösung in der FritzBox implementiert wird – Wireguard. Das ist die korrekte Entscheidung und es ist nur noch eine Frage der Zeit, wann die Implementierung offiziell in einem Stable Release vorhanden sein wird.
(https://www.computerbase.de/2021-12/wireguard-fritz-boxen-erhalten-open-source-vpn-offiziell-von-avm/)
Quellen:
https://www.shrew.net/download/vpn
https://www.asus.com/support/FAQ/1033576/
https://www.netzwelt.de/anleitung/187489-vpn-fritzbox-nutzen-so-gehts.html
https://draytek.co.uk/support/guides/kb-teleworker-xauth-windows
https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-small-business-routers/smb5037-use-shrew-soft-vpn-client-to-connect-with-ipsec-vpn-server-o.html
https://www.cisco.com/c/de_de/support/docs/smb/routers/cisco-rv-series-small-business-routers/Configure-ShrewSoft-RV34X.html
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit-shrew-soft-vpn-client-einrichten/
Pingback: FritzBox Wireguard VPN einrichten | LierschIT