Anleitung von www.BenjaminLuebbe.de
Transcrição
Anleitung von www.BenjaminLuebbe.de
Anleitung von www.BenjaminLuebbe.de http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php VPN Lancom 1681V mit FritzBox 7170/7270/7390 usw. Hinweis: Ich gebe keine Garantie auf Lauffähigkeit, wobei bereits 3 Fritzboxen mit einem Lancom zusammenarbeiten und das bereits seit Ende 2011 ! Ich habe diese Anleitung nach besten Wissen und Gewissen beschrieben. Screenshots sind von mir, wie auch die Anleitung. Ich bitte das zu respektieren und nicht einfach das zu kopieren, sondern ich möchte eine Quellenangabe meiner Seite. Ich biete diese Anleitung und die Konfigurationsdatei für die Fritzbox ganz unten als Download an. Ich würde mich des Weiteren über Feedback als Email und/oder auch im Gästebuch sehr freuen. Vielen Dank für euer Verständnis. Das wird benötigt: • • • • • Lancom 1681V LU8.62 oder folgende Versionen FritzBox 7170/7270/7390 am besten mit der aktuellsten Firmware (keine LaborVersion!) DynDns-Accounts Remote-Fernzugriff auf beide Geräte (am besten über HTTPS zu erledigen) ein wenig Zeit und Geduld Erste Schritte: • • • • • Lancom 1681V ist mit dem Internet verbunden und kann per Ferne gewartet werden Die Verwaltungssoftware des Lancom ist installiert ( LANconfig Download) FritzBox ist mit dem Internet verbunden und kann ebenfalls per Ferne gewartet werden DynDns.Org Accounts sind auf beiden Geräten eingerichtet und bereits funktionstüchtig sich etwas Kaffee holen und die Tür schließen, damit man nicht gestört wird Fangen wir mit der FRITZBOX an: • • • Für die Fritzbox gibt es ein Tool von AVM, welches VPN-Verbindungen erstellen kann ( LINK zur AVM-Seite für die Software: "FRITZ!Box-Fernzugang einrichten" Download ) Unter "Aktuelle Downloads (rechte Seite) kann man sich dann das Programm passend für sein Betriebssystem herunterladen. Nachdem wir das Programm von AVM nun heruntergeladen haben, installieren wir dieses, indem wir einfach nur "Weiter" klicken. Jetzt kann das Programm geöffnet und genutzt werden Seite 1 von 9 1 Anleitung von www.BenjaminLuebbe.de http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php Einrichtung einer "Config-Datei" mit dem AVM-Tool ! (Das Programm ist geöffnet) ODER schaut ein wenig weiter hinunter zu der CFG-Datei ! 1. Klicken wir auf "Neu" 2. Der Assistent fragt was mir machen möchten und wählen daher den mittleren Punkt "Verbindung zwischen zwei FRITZ!-Box-Netzwerken einrichten" (also eine LAN-LAN-Verbindung) - WEITER 3. Nun geben wir den ersten Namen der DynDNS Verbindung ODER ggf. die feste IP der öffentliche Schnittstelle (IP vom Provider, etc.) an dieser Stelle ein (im Bsp. adresse1.dyndns.org) 4. Im nächsten Fenster geben wir nun den IP-Adressrahmen für unser Netzwerk ein, welches sich HINTER der öffentlichen IP-Adresse in meinem Netzwerk versteckt ! (Bsp: 192.168.0.0 mit einer 24 Bit Maske (255.255.255.0)) und ebenfalls WEITER 5. Nun kommen wir zu der Eingabe für das zweite Netz mit dem man sich verbinden möchte. (Bsp. adresse2.dyndns.org) - WEITER 6. Hier kommt ebenfalls die Abfrage des IP-Netzes hinter diesem Router, der sich hinter der "adresse2.dyndns.org" versteckt. (Bsp: 172.16.0.0 mit einer 24 Maske (255.255.255.0)) - WEITER Seite 2 von 9 2 Anleitung von www.BenjaminLuebbe.de http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php 7. Im letzten Zuge sagt man nun, dass die beiden Verzeichnisse, die die Konfig-Dateien enthalten, angezeigt werden sollen. - FERTIG STELLEN ! 8. Nun sollte sich ein Fenster öffnen, in dem man nun die Datei "fritzbox_adresse2_dyndns_org.cfg" befindet. 9. Wir benötigen NUR EINE cfg-Datei, denn diese müssen wir nun händisch mit einem Texteditor bearbeiten und danach wieder speichern. 10. Welche Informationen in der CFG-Datei benötigt werden und welche Dinge wichtig sind, kann man in dem unten angegebenen Quellcode der Datei nachvollziehen ! CFG-Datei (manuell erstellen, bzw. abändern von der vorherigen CFG-Datei) Generell gilt auch, dass diese Datei später in die FritzBox eingespielt werden sollte, ALLERDINGS erst NACH der Bearbeitung ! Man kann diese Datei auch gerne selbst erstellen und diese so bearbeiten, dass man diese nutzen kann. Folgende Punkte müssen angepasst werden, damit diese sauber im eigenen Router (FritzBox) eingestellt werden kann: NIEMALS Leerzeichen in den selbst konfigurierten Bereichen nutzen ! Empfehlung wäre auch NUR kleinbuchstaben und KEINE Sonderzeichen ! Die folgenden Informationen sind später für die Einrichtung am LANCOM-Router wichtig ! 1. NAME_DER_VERBINDUNG - wie soll die Verbindung heißen (z.B. meinvpnnetz ) 2. DNYDNS.org-NAME - wie lautet die Gegenstelle der FritzBox (z.B. adresse2.dyndns.org ODER feste IP-Adresse des Zuganges ) 3. LOKALER_NAME - wie nennt man sich im eigenen Netz (z.B. herbert ) 4. ENTFERNTER_NAME - und wie nennt sich der Nutzer der Gegenstelle am Lancom (z.B. trudi ) 5. DEIN_PASSWORT - das ist das Passwort, mit dem sich die beiden Router (Fritzbox und Lancom) mit den User authentifiziert 6. Kontrolle der IP-Adressen, so dass diese ebenfalls passen (WICHTIG: Beide Netze dürfen NICHT im gleichen Netzwerk sein. Diese MÜSSEN Zwangsweise immer unterschiedlich gehalten werden - Grundlagen VPN! ) Seite 3 von 9 3 Anleitung von www.BenjaminLuebbe.de http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "NAME_DER_VERBINDUNG"; always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; remotehostname = "DYNDNS.org-NAME"; localid { fqdn = "LOKALER_NAME"; } remoteid { fqdn = "ENTFERNTER_NAME"; } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "DEIN_PASSWORT"; cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.0.0; mask = 255.255.255.0; } } phase2ss = "esp-all-all/ah-none/comp-all/pfs"; accesslist = "permit ip any 172.16.0.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; } // EOF Seite 4 von 9 4 Anleitung von www.BenjaminLuebbe.de http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php Einspielen der CFG in die FritzBox Ich gehe davon aus, dass sich der User ein wenig mit der Fritzbox auskennt und die CFGDatei im Router-Menü einspielen kann. Ansonsten gibts von mir nur eine Kurzanleitung: (Immer an eine Sicherung der Konfiguration der FritzBox denken !) 1. An die FritzBox anmelden, Passwort eingeben und weiter 2. Im Menüpunkt "INTERNET", "FREIGABEN" ist dann der Reiter "VPN" zu wählen 3. Nun die Datei mit "DURCHSUCHEN" einfügen und dann den Button "VPNEinstellungen importieren" klicken 4. Es kann ein wenig dauern, da auch die Fritzbox einen Neustart durchführen wird 5. Nun sollte in dem Menü "VPN" die Verbindung mit dem vergebenen Namen "NAME_DER_VERBINDUNG" auftauchen. 6. Diese ist noch nicht aktiv, da wir die Gegenstelle noch nicht eingerichtet haben. Daher wird derzeit nur 0.0.0.0 stehen und nichts weiter. Ist aber nicht so schlimm. Ist soweit ok ! Es geht weiter mit dem LANCOM-Gerät Ich gehe davon aus, dass man das Tool von Lancom, das "LANconfig" installiert hat und damit umgehen kann. Näher werde ich nicht darauf eingehen, da dieses den bereits jetzt schon großen Rahmen sprengen würde ! Wir haben nun das LANconfig-Tool installiert und das LANCOM-Gerät dort hinzugefügt. Wir können es nun verwalten und alles speichern. Konfiguration und Vorbereitung für die VPN-Verbindung • • • • • Wir wählen nun das LC-Gerät im Manager mit rechtsklick aus und sagen "Konfigurieren" - ggf. die Meldung einfach bestätigen Nun öffnet sich das Konfigurationsfenster des LC-Gerätes und wir können loslegen Wir benötigen NUR den Bereich "VPN" auf dem LC Gehen wir also in den Bereich VPN und sehen nun einige Sachen die wir auswählen können, wir müssen hier sauber vorgehen, da der LC einige Fehler die gemacht werden können, nicht ignoriert, sondern direkt nutzt. Es könnte dann möglich sein, dass der LC-Router bzw. die VPNKonfigurationen, die wir bisher durchgeführt haben, wieder KOMPLETT GELÖSCHT werden müssen ! IMMER AN EINE AKTUELLE SICHERUNG DES ROUTERS DEN KEN, WENN MAN DORT ETWAS MACHT ! Seite 5 von 9 5 Anleitung von www.BenjaminLuebbe.de http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php Nun kommen die wichtigsten Aufgaben auf dem LC ! Wir müssen ein wenig weiter hinten anfangen, da sonst einige Konfigurationen nicht funktionieren ! 1. Als erstes müssen wir einen "IKE-Schlüssel und Identität" anlegen 2. Dazu gehen wir im Menü "VPN" auf das Untermenü "IKEAUTH." 3. Hier klicken wir auf dem Button "IKE-Schlüssel und Identitäten" 4. Ein Fenster öffnet sich in dem wir dann "Hinzufügen" wählen 1. Folgendes geben wir dann ein: 2. Bezeichnung = trudi 3. Preshared-Key = DEIN_PASSWORT (hier kann man den Haken reinmachen um sich zu vergewissern, dass das eingegeben PW auch mit dem bei der Fritzbox eingerichteten übereinstimmt!) 4. Lokaler Identität-Typ = keine Identität 5. Entfernter Identität-Typ = keine Identität 5. Wir bestätigen das mit einem OK. 6. Nun wird der Schlüssel und die Identität "trudi" in der Übersicht aufgelistet. 7. Auch hier drücken wir OK und sind hier im Bereich fertig ! Es folgt nun der nächste Punkt ! Nachdem wir den obigen Punkt durchgeführt haben, widmen wir uns nun den IPSec-Proposal. 1. Im Bereich "VPN" das Untermenü "IPSec-Param." anklicken 2. Nun haben wir die Möglichkeit den Button "IPSec-Proposals" anzuklicken, was wir auch nun tun ! 3. Hier nutzen wir nun den Button "Hinzufügen" obwohl bereits viele enthalten sind, aber wir brauchen ja einen eigenen Bereich 4. Nachdem wir Hinzufügen gewählt haben, wird ein neues Fenster geöffnet in dem wir folgende Daten eingeben müssen: 1. Bezeichnung = trudi 2. Modus = Tunnel 3. Im Bereich ESP-Proposal 4. Verschlüsselung = AES-CBC 5. Schlüssel-Länge = 256 6. Authentifizierung = HMAC-SHA1 7. Im Bereich AH-Proposal 8. Authentifizierung = Kein AH 9. Im Bereich IPCOMP-Proposal 10. Authentifizierung = Kein IPCOMP 11. Im Bereich Gültigkeitsdauer 12. Gültigkeitsdauer = 3600 Sekunden und 200000 kBytes 5. Nun können wir auch hier die Einstellungsseite mit OK schließen, wie auch die nach der Bestätigung angezeigte Übersicht ! Nun folgt eine weitere Einstellung für die VPN-Konfiguration im Bereich "VerbindungsParameter" Seite 6 von 9 6 Anleitung von www.BenjaminLuebbe.de http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php 1. Wir befinden uns im Menü "VPN" und im Untermenü "Allgemein" 2. Hier haben wir rechts den Button "Verbindungs-Parameter", den wir auch klicken werden 3. Es öffnet sich ein weiteres Fenster in dem man wie immer ebenfalls "Hinzufügen" klicken kann, was wir auch tun 1. Hier geben wir folgende Informationen ein und wählen später die Konfigs aus, die wir bereits eingestellt haben (nun erschließt sich auch, warum wir mit anderen Bereichen und Eingaben angefangen haben!) 2. Bezeichnung = trudi 3. PFS-Gruppe = 2 (MODP-1024) 4. IKE-Gruppe = 2 (MODP-1024) 5. IKE-Proposals = IKE_PRESH_KEY 6. IKE-Schlüssel = trudi 7. IPSec-Proposals = ESP_TN 4. Nun wieder auf "OK" und im anderen Bereich ebenfalls auf "OK" um die Fenster mit den Einstellungen zu schließen. Wir gehen nun im weiteren Schritt im Menü VPN auf den weiteren Punkt "Allgemein" (links) und im rechten Bereich finden wir den Button "Verbindungs-Liste" 1. Es öffnet sich nun ein Fenster mit mehreren Buttons unten rechts. Hier klicken wir auf "HINZUFÜGEN" (und wie soll es anders sein ?!) ein weiteres Fenster kommt hoch. 2. Wir geben nun unsere Daten in diesem Fenster ein. 1. Name der Verbindung = trudi (genau wie im Beispiel genannt!) 2. Haltezeit = 9999 3. Dead Peer Detection = 60 4. Extranet-Adresse = 0.0.0.0 5. Entferntes Gateway = adresse1.dyndns.org (also genau die DynDNS-Adresse ODER feste IP-Adresse vom Provider) 6. Regelerzeugung = Automatisch 7. Dynamische VPN-Verbindung (nur mit kompatiblen Gegenstellen) = kein dynamisches VPN 8. IKE-Exchange = Aggressiv Mode 9. OSCP-Prüfung = Haken raus (wenn einer drin ist) 10. IKE-CFG = AUS 11. XAUTH = AUS 12. IPSec-over-HTTPS = AUS 13. Routing-Tag = 0 3. Nachdem wir nun die ganzen Daten eingetragen haben, bestätigen wir auch dieses Fenster wieder mit OK ! 4. Danach nochmal OK und schon sind die Daten gespeichert. Seite 7 von 9 7 Anleitung von www.BenjaminLuebbe.de http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php Im Hauptmenü "VPN" schauen wir nun noch nach, ob der Haken bei "NAT-Traversal aktiviert" aktiviert ist ! Der "Aufbau Netzbeziehungen (SAs)": muss auf "Gemeinsam für KeepAlive" eingestellt sein. Und natürlich sollte ganz oben "Virtual Private Network" auf AKTIVIERT stehen. Sollte das nun alles sauber und ohne Fehlermeldungen eingetragen worden sein, so kann nun auch der Konfig-Manager mit "OK" bestätigt werden. Im Anschluss lädt nun das "VPNconfig-Tool" die geänderte Konfig-Datei in den LANCOMRouter und startet diesen ggf. neu. Nach Neustart (kann auch manuell durchgeführt werden, was ich auch empfehle einmal nach der Speicherung durchzuführen), sollte die Verbindung per VPN aufgebaut werden. Wichtig ist immer, dass die Daten auf beiden Seiten übereinstimmen und man keine Fehler in der Konfig hat. Nur ein falscher Haken oder falscher Name, usw. kann das NichtFunktionieren der VPN-Verbindung auslösen. Je nach Netzwerk kann es auch sein, dass ihr noch einen Routing-Eintrag eintragen müsst, damit ihr auch mit dem Netzen arbeiten könnt. Hier wäre dann noch die Einstellung (keine Garantie auf Vollständigkeit!): 1. Routing-Tabelle - Eintrag bearbeiten 1. IP-Adresse = IP-Adresse des einwählenden Netzes 2. Netzwerkmaske = Netzwerkmaske des einwählendes Netzes 3. Routing-Tag = 0 4. Eintrag aktiv = Haken rein! 5. Router = FritzBox (oder was auch immer ihr eingetragen habt, Bsp: TRUDI ) 6. Distanz = 0 7. IP-Maskierung = IP-Maskierung abgeschaltet 2. Wie immer mit OK bestätigen und viel Spaß damit ! Seite 8 von 9 8 Anleitung von www.BenjaminLuebbe.de http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php Abschlusshinweis: Man sollte wissen, dass die Fritzbox "IMMER" AES mit 256 bit als Verschlüsselung nutzt. Verbindet man andere Geräte an den LC, dann kann ggf. eine andere Verschlüsselungsart genutzt werden. Lancom selbst bietet nur eingeschränken bis gar keinen Support in Verbindung mit VPN und anderen Herstellern an. Daher hoffe ich, dass meine Anleitung denjenigen weiterhilft, der es auch unbedingt benötigt. Über eine Nachricht ob es geklappt hat und wenn euch die Anleitung gefallen hat, dann würde ich mich über Feedback freuen :) Hersteller: www.avm.de www.lancom-systems.de Seite 9 von 9 9