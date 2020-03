Die Fritzbox-Router von AVM sind echte Dauerbrenner. Selbst die inzwischen bald sieben Jahre alte Fritzbox 7490 ist weiterhin ein Verkaufsschlager. Ein wichtiger Grund dafür: AVM versorgt auch ältere Geräte regelmäßig mit neuen Firmware-Updates. Und mit jeder neuen Version von Fritz-OS lernen auch die Fritzbox-Veteranen neue Funktionen.

An der Hardware-Ausstattung kann AVM damit zwar nicht drehen, aber selbst die Fritzbox 7490 genügt mit 11ac-WLAN, USB 3.0, Gigabit-Ethernet und einem DSL-Modem für Vectoring mit bis zu 100 MBit/s für die meisten Nutzer vollauf.

Fritz-OS sorgt dafür, dass die AVM-Router softwareseitig auf dem aktuellen Stand der Technik sind: Die aktuelle Version bringt zum Beispiel neue Sicherheitsfunktionen mit WPA3 und OWE, aktualisiert das Übertragungsprotokoll SMB, um den Datenaustausch im Heimnetz schneller und sicherer zu machen, und verbessert das WLAN-Tempo durch Optimierungen beim Band-Steering. Was nun bringen die Neuerungen im Einzelnen, wo finden Sie sie im Routermenü, und wie nutzen Sie sie am besten?

WPA3: Der neue Standard für WLAN-Sicherheit

Das neue Fritz-OS macht die Fritzbox fit für den Verschlüsselungsstandard WPA3. Er wurde als Konsequenz der Sicherheitslücken des bestehenden WPA2-Verfahrens entwickelt. Die wichtigste Neuerung ist der Austausch des Sicherheitsschlüssels zwischen den Geräten, die an einer WLAN-Verbindung beteiligt sind. Bei WPA2 ließ sich dieser abhören. Unter bestimmten Bedingungen konnte ein Lauscher daraus dann das WLAN-Passwort ableiten.

Bei WPA3 können WLAN-Geräte auf den Austausch verzichten: Sie bestätigen sich durch das SEA-Verfahren (Simultaneous Authentication of Equals) gegenseitig, dass sie das korrekte Passwort kennen. Dies macht es Angreifern weitgehend unmöglich, den Schlüssel in einer vertretbaren Zeitdauer zu berechnen.

Damit ein WLAN-Client sich per WPA3 sicher mit der Fritzbox verbinden kann, muss er mehrere Voraussetzungen erfüllen: Die Hardware muss grundsätzlich in der Lage sein, WPA3 zu unterstützen. Zudem muss ein entsprechender WLAN-Treiber für das eingebaute WLAN-Modul, die WLAN-Karte oder den WLAN-USB-Stick verfügbar sein. Schließlich muss bei Windows 10 mindestens die Version 1903 installiert sein.

Android unterstützt ab Version 10 WPA3, das heißt aber nicht automatisch, dass auch die WLAN-Hardware in Ihrem Smartphone es beherrscht. Sicher sein können Sie bei Handys mit Wi-Fi 6 und einer entsprechenden Zertifizierung der Wi-Fi-Alliance, denn dafür muss WPA3 unterstützt werden. iOS-Geräte beherrschen ab Version 13 den neuen Sicherheitsstandard.

Ob es für Ihr System einen passenden Treiber gibt, können Sie zum Beispiel auf der Webseite wi-fi.org prüfen. Rufen Sie im Menü auf der linken Seite den „Product Finder“ auf, und klicken Sie rechts auf „Click here for advanced search“. Im Suchfenster, das sich anschließend öffnet, markieren Sie unter „Featured Capabilities“ den Eintrag „WPA3“. Anschließend bekommen Sie alle Produkte angezeigt, die WPA3 unterstützen. Kennen Sie die genaue Modellbezeichnung der WLAN-Hardware, führt natürlich auch eine Google-Suche mit diesem Namen und WPA3 zum Ziel. Je aktueller das WLAN-Gerät, desto größer ist die Chance, dass bereits ein WPA3-fähiger Treiber vorliegt. Bei allen anderen Geräten müssen Sie abwarten, ob der Hersteller ein Update bereitstellt oder ob es sich über ein künftiges Windows-Update einspielen lässt. Bei den AVM-Geräten sind dies aktuell die Fritzbox-Modelle 7490, 7590, die Kabelrouter 6591, 6590 und 6490 sowie der Fritz-Repeater 3000.

In der Fritzbox aktivieren Sie WPA3 im Routermenü: Gehen Sie auf „WLAN –› Sicherheit –› Verschlüsselung“, und wählen Sie bei „WPA-Modus“ aus dem Drop-down-Menü „WPA2 + WPA3“. Mit dieser Einstellung aktiviert die Fritzbox den sogenannten Transition-Modus von WPA3: Damit gibt das WLAN allen anmeldungsbereiten Geräten zu verstehen, dass es WPA3 vollständig unterstützt wie auch das WPA2-Verfahren. Geräte, die WPA3 verstehen und damit auch das dafür notwendige Verfahren PMF (Protected Management Frames), können sich mit dem neuen Sicherheitsstandard anmelden. Alle anderen Geräte nehmen wie gewohnt über WPA2 Verbindung zum Router auf – hier können Sie PMF für höhere Sicherheit zusätzlich einschalten.

WPA3 nutzt das in der Fritzbox hinterlegte WLAN-Passwort, das Sie nicht verändern müssen, sofern es den Anforderungen an ein starkes Passwort genügt.

Ob die Verbindung mit WPA3-Verschlüsselung besteht, überprüfen Sie im Fritzbox-Menü. Rufen Sie dazu unter „Heimnetz –› Mesh“ die Detaileinstellungen des betreffenden Gerätes auf. Unter „WLAN-Eigenschaften –› Verschlüsselung“ sollte nun WPA3 stehen.

Haben Sie keinen Erfolg, obwohl Sie sicher sind, dass alle Voraussetzungen für WPA3 bei Router und Client erfüllt sind, hilft eventuell, die WLAN-Verbindung zu löschen. Anschließend rufen Sie auf dem Client-Gerät die WLAN-SSID des Fritzbox-Funknetzes erneut auf und geben das Passwort ein: Nun sollten beide Geräte erfolgreich die WPA3-Verbindung herstellen.

Labor-Firmware: So bekommen Sie neue Fritz-Funktionen vorab

Wie beim aktuellen Fritz-OS tauchen die Neuerungen des Fritzbox-Betriebssystems zuerst in der Labor-Firmware auf. AVM stellt sie vorab zur Verfügung, um durch Rückmeldungen der Nutzer zu erfahren, welche Funktionen sich noch verbessern oder hinzufügen lassen. Auf der Webseite avm.de/fritz-labor können Sie prüfen, ob es für Ihre Hardware eine Labor-Firmware gibt.

Vor der Installation müssen Sie die aktuelle Standard-Firmware für Ihre Fritzbox einspielen. Danach klicken Sie auf der genannten Webseite auf „Zum aktuellen FRITZ!-Labor“ und wählen für den Download Ihr Modell aus. Sie erhalten nun eine Zip-Datei, die Sie auf einem Heimnetzrechner speichern und entpacken.

Anschließend gehen Sie im Routermenü zu „System –› Update –› FRITZ!OS-Datei“. Dort sollten Sie vor dem Update Ihre Fritzbox-Konfiguration sichern. Für die Sicherungsdatei müssen Sie zunächst ein Kennwort vergeben. Anschließend klicken Sie auf „Datei auswählen“ und geben den Pfad zur entpackten Labor-Firmware und der darin enthaltenen Datei mit der Endung .image an. Abschließend klicken Sie auf „Update starten“.

Haben Sie bereits eine Labor-Firmware installiert, können Sie im Reiter „FRITZ!-OSVersion“ auf die Schaltfläche „Neues FRITZ!-OS suchen“ klicken – sofern eine neue Laborversion oder die offizielle Fritz-OS-Version verfügbar ist, lässt sich das Update direkt aus diesem Menü starten. Im selben Menü kommen Sie auch zur Standard-Firmware zurück, wenn Sie „Zurück zum offiziellen FRITZ-OS!“ auswählen.

OWE: Schutz im öffentlichen WLAN ohne Passwort

OWE (Opportunistic Wireless Encryption) verbessert den Schutz in öffentlichen WLANs. Das ist für Sie interessant, wenn Sie mit der Fritzbox ein freies Funknetz aufbauen, um Besuchern in Ihrer Firma oder in Ihrem Geschäft einen vom Heimnetz getrennten Internetzugang anzubieten. Mit OWE benötigt ein Client kein WLAN-Passwort. Dafür vereinbaren Client und Fritzbox aber eine individuelle Verschlüsselung für die Datenübertragung, sodass ein Lauscher im freien WLAN diese nicht abhören kann. Die Technik ist Bestandteil des Standards Wi-Fi Enhanced Open.

Für eine OWE-Verbindung müssen die Funktion in der Fritzbox aktiviert sein und der WLAN-Client sie unterstützen. Passende Geräte beziehungsweise Software-Updates sind noch selten: Einige Smartphones mit Android 10 wie die Pixel-Modelle 2,3 und 4 können mit OWE umgehen, mit Windows- und iOS-Clients funktioniert es noch nicht. OWE schalten Sie in der Fritzbox über „WLAN –› Gastzugang“ ein. Aktivieren Sie dort „Gastzugang aktiv“ sowie „öffentlicher WLAN-Hotspot“. Klicken Sie auf „Weitere Einstellungen“, und setzen Sie ein Häkchen bei der Option „Verschlüsselte Datenübertragung im öffentlichen Hotspot ermöglichen (OWE)“. Wenn Sie sich mit einem WLAN-Gerät, das OWE unterstützt, mit dem offenen WLAN verbinden, nutzt die Fritzbox nun die neue Schutzfunktion.

Sie prüfen das wiederum über „Heimnetz –› Mesh“: Klicken Sie im Abschnitt „Alle verbundenen Geräte im Gastzugang“ auf die Detailansicht für den entsprechenden WLAN-Client. In den WLAN-Eigenschaften sehen Sie unter „Verschlüsselung“ anschließend den Eintrag „offen/OWE“.

Fritz-NAS: schnellerer Zugriff und eine sichere Datenverwaltung

Mit dem neuen Fritz-OS verbessert AVM die Fähigkeiten der Fritzbox als Netzwerkspeicher. Nun versteht der Router Version 3 des SMB-Protokolls (Server Message Block, SMBv3), das etwa zum Einsatz kommt, wenn Sie per Windows-Explorer auf Dateien zugreifen wollen, die auf einer an der Fritzbox angeschlossenen USB-Festplatte oder einem USB-Stick liegen.

Damit beendet AVM ein jahrelanges Ärgernis: Da Windows 10 seit Version 1709 die ältere Version SMBv1 nicht mehr standardmäßig installierte, die Fritzbox sich aber nur darauf verstand, mussten Sie die alte Protokollversion im Betriebssystem erst aktivieren, damit der Zugriff funktionierte. Wem das zu kompliziert war, kam nur per Browser oder FTP auf das Fritz-NAS.

In der Fritzbox gehen Sie zu „Heimnetz –› USB/Speicher –› Geräte und Heimnetzfreigabe“. Im Abschnitt „Heimnetzfreigabe“ muss ein Häkchen vor „Zugriff über ein Netzwerklaufwerk (SMB) aktiv“ stehen. Dort sehen Sie den Ordnernamen, unter dem der Fritzbox-Speicher im Windows Explorer auftaucht – Standard ist FRITZ.NAS. Außerdem steht dort der Name der Arbeitsgruppe, in der sich die Fritzbox und alle Windows-Rechner befinden müssen, damit der Datenzugriff klappt. Haben Sie dafür eine andere Bezeichnung als WORKGROUP vergeben, können Sie sie hier anpassen.

Falls noch nicht geschehen, vergeben Sie einen Benutzernamen und ein Kennwort: Mit diesen Informationen authentifizieren Sie sich, wenn Sie auf das Fritz-NAS zugreifen wollen. Einen neuen Benutzer legen Sie im Fritzbox-Menü unter „System –› FRITZ!Box-Benutzer“ an. Im Windows-Explorer rufen Sie die Inhalte des Fritz-NAS auf, indem Sie in die Adresszeile \\fritz.box eingeben. Nun melden Sie sich mit den eingetragenen Benutzerinfos an.

Rechner mit Windows 10 und Mac-OS Catalina können nun über das bessere Protokoll SMBv3 auf Fritzbox-Freigaben zugreifen. iOS-Geräte nutzen ab Version 13 ebenfalls mindestens SMBv2 für den Zugriff auf Freigaben, die Sie in der Datei-App einrichten. Bei einem Android-Smartphone können Sie eine Dateimanager-App wie AndSMB oder Astro installieren, um per Handy auf das Fritz-NAS zuzugreifen.

Verschlüsselte DNS-Abfragen: Mehr Sicherheit beim Surfen

Mit DNS over TLS (DoT) erhöht das neue Fritz-OS die Sicherheit beim Websurfen. DNS-Server übersetzen eine im Browser eingegebene Webadresse wie www.pcwelt.de in die entsprechende IP-Adresse, um die Anfrage korrekt weiterzuleiten. Üblicherweise werden diese Anfragen unverschlüsselt übertragen: Kommt ein Angreifer an diese Informationen, kann er Nutzer- und Bewegungsprofile erstellen. Die Verschlüsselung erschwert auch Man-in-the-Middle-Attacken, bei denen ein manipulierter DNS-Server die Anfrage empfängt und eine falsche Antwort zurückliefert, die auf eine vom Angreifer vorbereitete Webseite führt. DNS-Server mit DoT bieten einige Firmen, Organisationen und Vereine an, die sich für Datenschutz einsetzen (siehe Tabelle).

Wenn Sie solche DoT-Server in der Fritzbox eintragen, verschlüsselt die Box künftig DNS-Anfragen aus dem Heimnetz. Die Funktion finden Sie im Fritzbox-Menü unter „Internet –› Zugangsdaten –› DNS-Server“. Im Abschnitt „DNSv4-Server“ beziehungsweise „DNSv6-Server“ markieren Sie „Andere Server verwenden“ und tragen die IP-Adressen der DoT-Server ein. Darunter aktivieren Sie den Eintrag „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“. Außerdem sollten Sie den Eintrag für die Zertifikatsprüfung ebenfalls aktivieren. Wollen Sie ausschließlich verschlüsselte DNS-Übertragungen nutzen, sollten Sie den Eintrag für Fallback nicht markieren. Sind die DoT-Server allerdings nicht erreichbar, funktioniert das Surfen nicht mehr, da die Fritzbox dann nicht auf einen unverschlüsselten DNS-Server zurückgreifen kann. Im Kasten „Auflösungsnamen für DNS-Server“ tragen Sie die entsprechenden Informationen ein – nutzen Sie für jeden DNS-Server eine Zeile. Abschließend speichern Sie die Einstellungen mit „Übernehmen“. Wenn Sie nun im Browser eine Webseite aufrufen und die verschlüsselte DNS-Übertragung klappt, sehen Sie im Fritzbox-Protokoll unter „System –› Ereignisse“ den Hinweis „Es wurde erfolgreich eine Verbindung – samt vollständiger Validierung – zu den verschlüsselten DNS-Servern aufgebaut.“

Neue Funktionen für WLAN und Fritz-OS-Update

Beim WLAN bringt das neue Fritz-OS vor allem interne Verbesserungen. Das Update optimiert die Mesh-Fähigkeiten der Fritzbox und die Auswahl des besten Funkkanals, sodass WLAN-Geräte im Heimnetz immer optimal mit Router oder Repeater verbunden sind. Sie erkennen das an entsprechenden Einträgen in den Fritzbox-Ereignissen, etwa „WLAN-Gerät wurde umgemeldet (AP-Steering)“ beim Wechsel zwischen Router und Repeater, beziehungsweise „WLAN-Gerät wurde umgemeldet (Band-Steering)“, wenn die Fritzbox den Client auf eine andere Frequenz verschiebt. Die Fritzboxen 7590 und 6590 nutzen nun über 5 GHz automatisch 160 MHz breite Funkkanäle, wodurch sich die WLAN-Verbindung zu passenden Clients in einem wenig gestörten Funknetz beschleunigt. Die mit dem letzten Fritz-OS eingeführte verkürzte Wartezeit „Zero Wait DFS“ bei der 5-GHZ-Frequenz gilt nach dem Update jetzt auch für die 160-MHz-Kanäle.

Nach dem Update setzt die Fritzbox die Einstellungen für die Fritz-OS-Aktualisierungen auf „Stufe III“ und installiert neue Versionen automatisch. Wollen Sie sich zunächst informieren, was eine neue Version bringt, bevor Sie sie einspielen, müssen Sie nun unter „System –› Update –› Auto-Update“ manuell „Stufe I“ markieren.

Eine lang erwartete Funktion bringt das neue Fritz-OS für Besitzer einer 6591 Cable: Die Kabel-Fritzbox unterstützt jetzt das IP-Streaming des unverschlüsselten Kabel-TVProgramms, der spezielle DVB-C-Repeater ist dafür nun nicht mehr notwendig.