Anleitung von www.BenjaminLuebbe.de

Anleitung von www.BenjaminLuebbe.de
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php
VPN Lancom 1681V mit FritzBox 7170/7270/7390 usw.
Hinweis: Ich gebe keine Garantie auf Lauffähigkeit, wobei bereits 3 Fritzboxen mit einem
Lancom zusammenarbeiten und das bereits seit Ende 2011 ! Ich habe diese Anleitung nach
besten Wissen und Gewissen beschrieben. Screenshots sind von mir, wie auch die Anleitung.
Ich bitte das zu respektieren und nicht einfach das zu kopieren, sondern ich möchte eine
Quellenangabe meiner Seite. Ich biete diese Anleitung und die Konfigurationsdatei für die
Fritzbox ganz unten als Download an. Ich würde mich des Weiteren über Feedback als Email
und/oder auch im Gästebuch sehr freuen. Vielen Dank für euer Verständnis.
Das wird benötigt:
•
•
•
•
•
Lancom 1681V LU8.62 oder folgende Versionen
FritzBox 7170/7270/7390 am besten mit der aktuellsten Firmware (keine LaborVersion!)
DynDns-Accounts
Remote-Fernzugriff auf beide Geräte (am besten über HTTPS zu erledigen)
ein wenig Zeit und Geduld
Erste Schritte:
•
•
•
•
•
Lancom 1681V ist mit dem Internet verbunden und kann per Ferne gewartet werden
Die Verwaltungssoftware des Lancom ist installiert ( LANconfig Download)
FritzBox ist mit dem Internet verbunden und kann ebenfalls per Ferne gewartet
werden
DynDns.Org Accounts sind auf beiden Geräten eingerichtet und bereits
funktionstüchtig
sich etwas Kaffee holen und die Tür schließen, damit man nicht gestört wird
Fangen wir mit der FRITZBOX an:
•
•
•
Für die Fritzbox gibt es ein Tool von AVM, welches VPN-Verbindungen erstellen
kann ( LINK zur AVM-Seite für die Software: "FRITZ!Box-Fernzugang
einrichten" Download ) Unter "Aktuelle Downloads (rechte Seite) kann man sich dann
das Programm passend für sein Betriebssystem herunterladen.
Nachdem wir das Programm von AVM nun heruntergeladen haben, installieren wir
dieses, indem wir einfach nur "Weiter" klicken.
Jetzt kann das Programm geöffnet und genutzt werden
Seite 1 von 9
1
Anleitung von www.BenjaminLuebbe.de
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php
Einrichtung einer "Config-Datei" mit dem AVM-Tool !
(Das Programm ist geöffnet) ODER schaut ein wenig weiter hinunter zu der CFG-Datei !
1. Klicken wir auf "Neu"
2. Der Assistent fragt was mir machen möchten und wählen daher den mittleren
Punkt "Verbindung zwischen zwei FRITZ!-Box-Netzwerken einrichten" (also eine
LAN-LAN-Verbindung) - WEITER
3. Nun geben wir den ersten Namen der DynDNS Verbindung ODER ggf. die feste IP
der öffentliche Schnittstelle (IP vom Provider, etc.) an dieser Stelle ein (im Bsp.
adresse1.dyndns.org)
4. Im nächsten Fenster geben wir nun den IP-Adressrahmen für unser Netzwerk ein,
welches sich HINTER der öffentlichen IP-Adresse in meinem Netzwerk
versteckt ! (Bsp: 192.168.0.0 mit einer 24 Bit Maske (255.255.255.0)) und ebenfalls WEITER
5. Nun kommen wir zu der Eingabe für das zweite Netz mit dem man sich verbinden
möchte. (Bsp. adresse2.dyndns.org) - WEITER
6. Hier kommt ebenfalls die Abfrage des IP-Netzes hinter diesem Router, der sich hinter
der "adresse2.dyndns.org" versteckt. (Bsp: 172.16.0.0 mit einer 24 Maske
(255.255.255.0)) - WEITER
Seite 2 von 9
2
Anleitung von www.BenjaminLuebbe.de
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php
7. Im letzten Zuge sagt man nun, dass die beiden Verzeichnisse, die die Konfig-Dateien
enthalten, angezeigt werden sollen. - FERTIG STELLEN !
8. Nun sollte sich ein Fenster öffnen, in dem man nun die Datei
"fritzbox_adresse2_dyndns_org.cfg" befindet.
9. Wir benötigen NUR EINE cfg-Datei, denn diese müssen wir nun händisch mit einem
Texteditor bearbeiten und danach wieder speichern.
10. Welche Informationen in der CFG-Datei benötigt werden und welche Dinge wichtig
sind, kann man in dem unten angegebenen Quellcode der Datei nachvollziehen !
CFG-Datei (manuell erstellen, bzw. abändern von der vorherigen CFG-Datei)
Generell gilt auch, dass diese Datei später in die FritzBox eingespielt werden sollte,
ALLERDINGS erst NACH der Bearbeitung ! Man kann diese Datei auch gerne selbst
erstellen und diese so bearbeiten, dass man diese nutzen kann.
Folgende Punkte müssen angepasst werden, damit diese sauber im eigenen Router (FritzBox)
eingestellt werden kann:
NIEMALS Leerzeichen in den selbst konfigurierten Bereichen nutzen !
Empfehlung wäre auch NUR kleinbuchstaben und KEINE Sonderzeichen !
Die folgenden Informationen sind später für die Einrichtung am LANCOM-Router wichtig !
1. NAME_DER_VERBINDUNG - wie soll die Verbindung heißen (z.B. meinvpnnetz )
2. DNYDNS.org-NAME - wie lautet die Gegenstelle der FritzBox (z.B.
adresse2.dyndns.org ODER feste IP-Adresse des Zuganges )
3. LOKALER_NAME - wie nennt man sich im eigenen Netz (z.B. herbert )
4. ENTFERNTER_NAME - und wie nennt sich der Nutzer der Gegenstelle am
Lancom (z.B. trudi )
5. DEIN_PASSWORT - das ist das Passwort, mit dem sich die beiden Router (Fritzbox
und Lancom) mit den User authentifiziert
6. Kontrolle der IP-Adressen, so dass diese ebenfalls passen (WICHTIG: Beide Netze
dürfen NICHT im gleichen Netzwerk sein. Diese MÜSSEN Zwangsweise immer
unterschiedlich gehalten werden - Grundlagen VPN! )
Seite 3 von 9
3
Anleitung von www.BenjaminLuebbe.de
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "NAME_DER_VERBINDUNG";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "DYNDNS.org-NAME";
localid {
fqdn = "LOKALER_NAME";
}
remoteid {
fqdn = "ENTFERNTER_NAME";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "DEIN_PASSWORT";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 172.16.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Seite 4 von 9
4
Anleitung von www.BenjaminLuebbe.de
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php
Einspielen der CFG in die FritzBox
Ich gehe davon aus, dass sich der User ein wenig mit der Fritzbox auskennt und die CFGDatei im Router-Menü einspielen kann. Ansonsten gibts von mir nur eine Kurzanleitung:
(Immer an eine Sicherung der Konfiguration der FritzBox denken !)
1. An die FritzBox anmelden, Passwort eingeben und weiter
2. Im Menüpunkt "INTERNET", "FREIGABEN" ist dann der Reiter "VPN" zu wählen
3. Nun die Datei mit "DURCHSUCHEN" einfügen und dann den Button "VPNEinstellungen importieren" klicken
4. Es kann ein wenig dauern, da auch die Fritzbox einen Neustart durchführen wird
5. Nun sollte in dem Menü "VPN" die Verbindung mit dem vergebenen Namen
"NAME_DER_VERBINDUNG" auftauchen.
6. Diese ist noch nicht aktiv, da wir die Gegenstelle noch nicht eingerichtet haben. Daher
wird derzeit nur 0.0.0.0 stehen und nichts weiter. Ist aber nicht so schlimm. Ist soweit
ok !
Es geht weiter mit dem LANCOM-Gerät
Ich gehe davon aus, dass man das Tool von Lancom, das "LANconfig" installiert hat und
damit umgehen kann. Näher werde ich nicht darauf eingehen, da dieses den bereits jetzt schon
großen Rahmen sprengen würde !
Wir haben nun das LANconfig-Tool installiert und das LANCOM-Gerät dort hinzugefügt.
Wir können es nun verwalten und alles speichern.
Konfiguration und Vorbereitung für die VPN-Verbindung
•
•
•
•
•
Wir wählen nun das LC-Gerät im Manager mit rechtsklick aus und
sagen "Konfigurieren" - ggf. die Meldung einfach bestätigen
Nun öffnet sich das Konfigurationsfenster des LC-Gerätes und wir
können loslegen
Wir benötigen NUR den Bereich "VPN" auf dem LC
Gehen wir also in den Bereich VPN und sehen nun einige Sachen die
wir auswählen können, wir müssen hier sauber vorgehen, da der
LC einige Fehler die gemacht werden können, nicht ignoriert, sondern
direkt nutzt. Es könnte dann möglich sein, dass der LC-Router bzw. die VPNKonfigurationen, die wir bisher durchgeführt haben, wieder
KOMPLETT GELÖSCHT werden müssen !
IMMER AN EINE AKTUELLE SICHERUNG DES ROUTERS DEN
KEN, WENN MAN DORT ETWAS MACHT !
Seite 5 von 9
5
Anleitung von www.BenjaminLuebbe.de
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php
Nun kommen die wichtigsten Aufgaben auf dem LC ! Wir müssen ein wenig weiter hinten
anfangen, da sonst einige Konfigurationen nicht funktionieren !
1. Als erstes müssen wir einen "IKE-Schlüssel und Identität"
anlegen
2. Dazu gehen wir im Menü "VPN" auf das Untermenü "IKEAUTH."
3. Hier klicken wir auf dem Button "IKE-Schlüssel und
Identitäten"
4. Ein Fenster öffnet sich in dem wir dann "Hinzufügen" wählen
1. Folgendes geben wir dann ein:
2. Bezeichnung = trudi
3. Preshared-Key = DEIN_PASSWORT (hier kann man den Haken reinmachen
um sich zu vergewissern, dass das eingegeben PW auch mit dem bei der
Fritzbox eingerichteten übereinstimmt!)
4. Lokaler Identität-Typ = keine Identität
5. Entfernter Identität-Typ = keine Identität
5. Wir bestätigen das mit einem OK.
6. Nun wird der Schlüssel und die Identität "trudi" in der
Übersicht aufgelistet.
7. Auch hier drücken wir OK und sind hier im Bereich fertig ! Es folgt nun der nächste
Punkt !
Nachdem wir den obigen Punkt durchgeführt haben, widmen wir uns
nun den IPSec-Proposal.
1. Im Bereich "VPN" das Untermenü "IPSec-Param." anklicken
2. Nun haben wir die Möglichkeit den Button "IPSec-Proposals"
anzuklicken, was wir auch nun tun !
3. Hier nutzen wir nun den Button "Hinzufügen" obwohl bereits
viele enthalten sind, aber wir brauchen ja einen eigenen
Bereich
4. Nachdem wir Hinzufügen gewählt haben, wird ein neues Fenster geöffnet in dem wir
folgende Daten eingeben müssen:
1. Bezeichnung = trudi
2. Modus = Tunnel
3. Im Bereich ESP-Proposal
4. Verschlüsselung = AES-CBC
5. Schlüssel-Länge = 256
6. Authentifizierung = HMAC-SHA1
7. Im Bereich AH-Proposal
8. Authentifizierung = Kein AH
9. Im Bereich IPCOMP-Proposal
10. Authentifizierung = Kein IPCOMP
11. Im Bereich Gültigkeitsdauer
12. Gültigkeitsdauer = 3600 Sekunden und 200000 kBytes
5. Nun können wir auch hier die Einstellungsseite mit OK schließen, wie auch die nach
der Bestätigung angezeigte Übersicht !
Nun folgt eine weitere Einstellung für die VPN-Konfiguration im Bereich "VerbindungsParameter"
Seite 6 von 9
6
Anleitung von www.BenjaminLuebbe.de
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php
1. Wir befinden uns im Menü "VPN" und im
Untermenü "Allgemein"
2. Hier haben wir rechts den Button "Verbindungs-Parameter",
den wir auch klicken werden
3. Es öffnet sich ein weiteres Fenster in dem man wie immer
ebenfalls "Hinzufügen" klicken kann, was wir auch tun
1. Hier geben wir folgende Informationen ein und wählen später die Konfigs aus,
die wir bereits eingestellt haben (nun erschließt sich auch, warum wir mit
anderen Bereichen und Eingaben angefangen haben!)
2. Bezeichnung = trudi
3. PFS-Gruppe = 2 (MODP-1024)
4. IKE-Gruppe = 2 (MODP-1024)
5. IKE-Proposals = IKE_PRESH_KEY
6. IKE-Schlüssel = trudi
7. IPSec-Proposals = ESP_TN
4. Nun wieder auf "OK" und im anderen Bereich ebenfalls auf "OK" um die Fenster mit
den Einstellungen zu schließen.
Wir gehen nun im weiteren Schritt im Menü VPN auf den weiteren Punkt "Allgemein" (links)
und im rechten Bereich finden wir den Button "Verbindungs-Liste"
1. Es öffnet sich nun ein Fenster mit mehreren Buttons unten rechts. Hier klicken wir auf
"HINZUFÜGEN" (und wie soll es anders sein ?!) ein weiteres Fenster kommt hoch.
2. Wir geben nun unsere Daten in diesem Fenster ein.
1. Name der Verbindung = trudi (genau wie im Beispiel
genannt!)
2. Haltezeit = 9999
3. Dead Peer Detection = 60
4. Extranet-Adresse = 0.0.0.0
5. Entferntes Gateway = adresse1.dyndns.org (also genau
die DynDNS-Adresse ODER feste IP-Adresse
vom Provider)
6. Regelerzeugung = Automatisch
7. Dynamische VPN-Verbindung (nur mit kompatiblen
Gegenstellen) = kein dynamisches VPN
8. IKE-Exchange = Aggressiv Mode
9. OSCP-Prüfung = Haken raus (wenn einer drin ist)
10. IKE-CFG = AUS
11. XAUTH = AUS
12. IPSec-over-HTTPS = AUS
13. Routing-Tag = 0
3. Nachdem wir nun die ganzen Daten eingetragen haben, bestätigen wir auch dieses
Fenster wieder mit OK !
4. Danach nochmal OK und schon sind die Daten gespeichert.
Seite 7 von 9
7
Anleitung von www.BenjaminLuebbe.de
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php
Im Hauptmenü "VPN" schauen wir nun noch nach, ob der Haken bei "NAT-Traversal
aktiviert" aktiviert ist !
Der "Aufbau Netzbeziehungen (SAs)": muss auf "Gemeinsam für
KeepAlive" eingestellt sein.
Und natürlich sollte ganz oben "Virtual Private Network" auf
AKTIVIERT stehen.
Sollte das nun alles sauber und ohne Fehlermeldungen eingetragen
worden sein, so kann nun auch der Konfig-Manager mit
"OK" bestätigt werden.
Im Anschluss lädt nun das "VPNconfig-Tool" die geänderte Konfig-Datei in den LANCOMRouter und startet diesen ggf. neu. Nach Neustart (kann auch manuell durchgeführt werden,
was ich auch empfehle einmal nach der Speicherung durchzuführen), sollte die Verbindung
per VPN aufgebaut werden.
Wichtig ist immer, dass die Daten auf beiden Seiten übereinstimmen und man keine Fehler in
der Konfig hat. Nur ein falscher Haken oder falscher Name, usw. kann das NichtFunktionieren der VPN-Verbindung auslösen.
Je nach Netzwerk kann es auch sein, dass ihr noch einen Routing-Eintrag eintragen müsst,
damit ihr auch mit dem Netzen arbeiten könnt. Hier wäre dann noch die Einstellung (keine
Garantie auf Vollständigkeit!):
1. Routing-Tabelle - Eintrag bearbeiten
1. IP-Adresse = IP-Adresse des einwählenden Netzes
2. Netzwerkmaske = Netzwerkmaske des einwählendes Netzes
3. Routing-Tag = 0
4. Eintrag aktiv = Haken rein!
5. Router = FritzBox (oder was auch immer ihr eingetragen habt, Bsp: TRUDI )
6. Distanz = 0
7. IP-Maskierung = IP-Maskierung abgeschaltet
2. Wie immer mit OK bestätigen und viel Spaß damit !
Seite 8 von 9
8
Anleitung von www.BenjaminLuebbe.de
http://benjaminluebbe.de/pages/it-hilfe-themen/netzwerk-hilfe/vpn-lancom-fritzbox.php
Abschlusshinweis:
Man sollte wissen, dass die Fritzbox "IMMER" AES mit 256 bit als Verschlüsselung nutzt.
Verbindet man andere Geräte an den LC, dann kann ggf. eine andere Verschlüsselungsart
genutzt werden. Lancom selbst bietet nur eingeschränken bis gar keinen Support in
Verbindung mit VPN und anderen Herstellern an. Daher hoffe ich, dass meine Anleitung
denjenigen weiterhilft, der es auch unbedingt benötigt.
Über eine Nachricht ob es geklappt hat und wenn euch die Anleitung gefallen hat, dann
würde ich mich über Feedback freuen :)
Hersteller:
www.avm.de
www.lancom-systems.de
Seite 9 von 9
9