VPN

Sicher verbunden mit der Fritzbox

20.07.2020
Thomas Rau ist stellvertretender Chefredakteur PC-WELT Print bei IT-Media. 
Eine Verbindung per VPN bietet immer und überall Schutz vor Datenschnüfflern im Internet. Praktisch, wenn Sie eine Fritzbox zu Hause haben: Denn der AVM-Router lässt sich dafür problemlos einsetzen, wie unsere Tipps zeigen.

Eigentlich ist es klar, was ein VPN (Virtual Private Network) macht: Es ermöglicht einen sicheren Zugriff auf einen Server über eine unsichere Internetverbindung. Das lässt sich für unterschiedliche Zwecke nutzen, weshalb es immer wieder Verwirrung um diese Technik gibt: Zum Beispiel greifen Sie über einen VPN-Dienst auf Inhalte zu, die in Ihrem Land nicht zugänglich sind, weil die VPN-Verbindung Ihre IP-Adresse verbirgt und damit Geoblocking umgeht.

Mit einem Fritzbox-VPN kommen Sie von überall ins Heimnetz.
Mit einem Fritzbox-VPN kommen Sie von überall ins Heimnetz.
Foto: AVM

Aber per VPN kommen Sie auch sicher von überall ins Heimnetz oder in das Netzwerk Ihrer Firma. Dann wird Ihr Gerät Teil des entfernten Netzwerks, auf das Sie zugreifen. Weil es eine passende IP-Adresse bekommt, können Sie direkt auf Datei-Freigaben zugreifen und Einstellungen auf Netzwerkgeräten wie Router und NAS anpassen, als wären Sie vor Ort. Genauso ist es beim Surfen: Die VPN-Verbindung schützt Ihre Datenpakete bis zum Heimnetz, erst danach gelangen sie über Ihren Router ins Internet. So sind Sie zum Beispiel auch in einem öffentlichen WLAN geschützt.

Auch die Verbindung zweier Netzwerke sichern Sie mit einem VPN ab: Dann schalten Sie etwa das Netzwerk im Ferienhaus mit dem zu Hause zusammen oder das Heimnetz mit dem Büro-Netzwerk.

Das alles erledigt eine Fritzbox problemlos: Der AVM-Router kann als VPN-Server arbeiten und sichere Verbindungen empfangen. Wir erklären, wie Sie die Fritzbox und andere Geräte passend einstellen.

Grundlagen: Fritzbox für die VPN-Verbindung einrichten

Die virtuelle IP-Adresse ist die Adresse, die ein VPN-Client im Fritzbox-Heimnetz erhält. Seine Adresse im Internet ist die öffentliche IP des Netzwerks, aus dem er auf die Fritzbox zugreift.
Die virtuelle IP-Adresse ist die Adresse, die ein VPN-Client im Fritzbox-Heimnetz erhält. Seine Adresse im Internet ist die öffentliche IP des Netzwerks, aus dem er auf die Fritzbox zugreift.

Eine VPN-Verbindung baut per Verschlüsselung einen sicheren Tunnel zwischen einem Client und einem Server auf: Diese müssen am Anfang und Ende dieses Tunnels die übertragenen Daten sicher ver- und entschlüsseln und dafür ein einheitliches Verfahren nutzen. Die Fritzbox nutzt als VPN-Server dafür das Verfahren IPsec. Dementsprechend müssen Sie bei den VPN-Clients, also den Geräten, mit denen Sie auf die Fritzbox zugreifen, ebenfalls dieses Verfahren verwenden – mittels einer entsprechenden Funktion des Betriebssystems oder durch eine zusätzliche App.

Den Router bereiten Sie durch drei Einstellungen im Fritzbox-Menü auf die VPN-Verbindung vor: Zunächst sollten Sie nun den DynDNS-Dienst MyFritz einrichten, sofern Sie es nicht bereits getan haben. Er ermöglicht, dass Sie Ihre Fritzbox garantiert über das Internet erreichen können. Dazu richtet er eine feststehende Webadresse für den Router ein und verbindet sie immer mit der jeweils aktuellen öffentlichen IP-Adresse, die er vom Provider erhält.

Für die VPN-Verbindung benötigen Sie die feste Webadresse der Fritzbox: Sie finden Sie im Menü unter „Internet –› MyFRITZ!-Konto –› MyFRITZ!-Internetzugriff“ nach „Ihre MyFRITZ!-Adresse“. Sie endet immer mit myfritz.net.

Wichtig: Der Einsatz einer Fritzbox als VPN-Server ist nur dann einfach, wenn sie eine öffentliche IPv4-Adresse vom Provider erhält. Arbeitet sie an einem DS-Lite-Internetanschluss mit IPv6-Adresse, ist eine VPN-Verbindung nicht oder nur schwer möglich. Als Nächstes prüfen Sie, welchen Bereich die Fritzbox für die Vergabe von IP-Adressen nutzt. Denn damit die VPN-Verbindung funktioniert, müssen die Adressen von VPN-Client und -Server aus unterschiedlichen Bereichen stammen.

Das ist zum Beispiel nicht der Fall, wenn sich der VPN-Client in einem Netzwerk befindet, in dem eine Fritzbox als Internetrouter arbeitet, und er auf eine andere Fritzbox als VPN-Server zugreifen will. Denn ab Werk vergibt jede Fritzbox IP-Adressen aus dem gleichen Adressbereich 192.168.178.0. Um diesen Fehler auszuschließen, ändern Sie am besten in Ihrer Fritzbox den IP-Adressbereich in den Einstellungen unter „Heimnetz –› Netzwerk –› Netzwerkeinstellungen“. Scrollen Sie auf dieser Seite bis zur Schaltfläche „IPv4-Konfiguration“ und klicken Sie darauf.

Im folgenden Menü ändern Sie unter „Heimnetz“ die eingetragenen IP-Adressen für die Fritzbox in der Zeile „IPv4-Adresse“ sowie in den beiden Zeilen unter „DHCP-Server vergibt IPv4-Adressen“. Es genügt üblicherweise, die Ziffer im dritten Feld zu ändern, also statt 178 zum Beispiel 10 einzugeben.

Zum Schluss sichern Sie den VPN-Zugriff auf die Fritzbox, indem Sie dort einen neuen Nutzer mit einem Passwort anlegen. Mit diesen Informationen darf sich der VPN-Client bei der Fritzbox für die VPN-Verbindung anmelden. Den Nutzer erstellen Sie im Fritzbox-Menü unter „System –› FRITZ!Box-Benutzer –› Benutzer hinzufügen“. Außerdem müssen Sie die Option „VPN“ markieren, anschließend die Einstellungen mit „Übernehmen“ speichern und per Fritzfon oder Fritzbox-Taste freigeben.

Windows: VPN-Verbindung mit AVM-Tools einrichten

Von AVM gibt es zwei Tools, die beim Einrichten einer VPN-Verbindung helfen: „Fritzbox- Fernzugang einrichten“ erstellt die Konfigurationsdateien, die Sie im Programm „Fritz-Fernzugang“ einsetzen.
Von AVM gibt es zwei Tools, die beim Einrichten einer VPN-Verbindung helfen: „Fritzbox- Fernzugang einrichten“ erstellt die Konfigurationsdateien, die Sie im Programm „Fritz-Fernzugang“ einsetzen.

Soll sich ein Windows-Rechner als VPN-Client mit der Fritzbox verbinden, benötigen Sie zusätzliche Tools. Zwar lässt sich in Windows 10 eine VPN-Verbindung mit Bordmitteln erstellen: Allerdings nutzt das Microsoft-Betriebssystem dafür andere Übertragungsprotokolle als die Fritzbox.

Als Software benötigen Sie entweder die AVM-Programme Fritz-Fernzugang und Fritzbox-Fernzugang einrichten – oder das Gratis-Tool Shrewsoft VPN Client. Richten Sie das VPN auf einem Windows-Rechner unter einem Konto mit Adminrechten ein. Von den AVM-Tools installieren Sie zunächst Fritz-Fernzugang auf dem PC, der als VPN-Client dienen soll. Dann installieren Sie Fritzbox-Fernzugang, das eine passende Konfigurationsdatei für die Fritzbox erzeugt.

Dort klicken Sie auf „Neu“ und wählen in den folgenden Fenstern die Optionen „Fernzugang für einen Benutzer einrichten“ sowie „PC mit FRITZ!Fernzugang“ und tragen die E-Mail-Adresse des Fritzbox-Benutzers für die VPN-Verbindung ein. Ins Feld „Name“ kommt die feste Webadresse Ihrer Fritzbox. Anschließend markieren Sie „Werkseinstellung der FRITZ!Box für das IP-Netzwerk übernehmen“, sofern Sie nicht den IP-Adressbereich für den Router geändert haben.

Andernfalls müssen Sie „Anderes IP-Netzwerk verwenden“ wählen und dort den Adressbereich eingeben im Format XXX.XXX.XXX.0 sowie die Subnetzmaske – üblicherweise 255.255.255.0. Bei „IP-Adresse des Benutzers im Netz der FRITZ!Box:“ tragen Sie nun eine IP-Adresse aus dem angegebenen Bereich ein: Die letzte Ziffer muss dabei zwischen 201 und 254 liegen.

Nun folgt eine wichtige Einstellung, durch die Sie mit dem VPN-Client-Rechner auch in öffentlichen und ungesicherten WLANs geschützt surfen können: Wenn Sie die Option „Alle Daten über den VPN-Tunnel senden“ aktivieren, schickt der VPN-Client alle Datenpakete zunächst per VPN zur Fritzbox. Diese leitet sie ans Ziel im Internet weiter, wenn der Adressat nicht ein Heimnetzgerät ist: So sind Ihre Dateien auch bei einer ungesicherten WLAN-Verbindung abhörsicher im VPN-Tunnel unterwegs und gelangen erst über die Fritzbox ins Internet – als würde sich der Rechner im Heimnetz befinden. Mit „Weiter“ und „Fertig stellen“ beenden Sie die Einrichtung, und das Tool erstellt die passende VPN-Konfigurationsdateien für die Fritzbox, die Sie im Windows-Explorer angezeigt bekommen.

Wechseln Sie nun ins Fritzbox-Menü zu „Internet –› Freigaben –› VPN –› VPN-Verbindung hinzufügen“. Wählen Sie „Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren –› Datei auswählen“, und geben Sie den Pfad zur gerade erstellten Konfigurationsdatei an, die mit fritzbox beginnt und mit .cfg endet. Mit „Öffnen“ und „OK“ starten Sie den Import, den Sie zusätzlich bestätigen müssen.

Nun übertragen Sie die Konfigurationsdatei für den VPN-Client in Fritz-Fernzugang mit „Datei –› Import“. Sie befindet sich im Ordner, dessen Namen die Mailadresse des Fritzbox-Benutzers ist, beginnt mit vpnuser und endet mit .cfg. Der Import erfolgt mit „Öffnen“ und „Fertig stellen“. Nun starten Sie VPN-Verbindung mit Fritz-Fernzugang, indem Sie die gewünschte Verbindung markieren und „Aufbau“ wählen.

MyFritz-App: Sichere Verbindung ins Heimnetz

Für Android bietet AVM die Myfritz-App an: Damit können Sie im Heimnetz, aber auch übers Internet auf die Fritzbox zu Hause und die Heimnetzgeräte zugreifen. Dafür müssen Sie in der Fritzbox zunächst der App den Zugriff erlauben: unter „Heimnetz –› Netzwerk –› Netzwerkeinstellungen –› Heimnetzfreigaben: Zugriff für Anwendungen zulassen“. Um den Fernzugriff zu aktivieren, verbinden Sie das Smartphone mit dem Fritzbox-WLAN und wählen „Heimnetz –› Heimnetzverbindung einrichten“. Hier geben Sie das Kennwort und gegebenenfalls den Benutzernamen für die Anmeldung am Fritzbox-Menü an.

Wenn Sie anschließend unterwegs sind, kommen Sie auch über ein öffentliches WLAN oder eine Mobilfunkverbindung mit der Heimnetzverbindung sicher zu den Einstellungen Ihrer Fritzbox und erreichen die Weboberflächen von Heimnetzgeräten. Allerdings überträgt die App nur Datenpakete über diese VPN-Verbindung, deren Ziel im Heimnetz liegt. Den Datenverkehr, der vom Phone ins Internet gehen soll, leitet sie nicht um: Deshalb lässt sich die App zum Beispiel nicht dafür nutzen, Geoblocking zu umgehen oder in einem ungesicherten WLAN geschützt zu surfen.

Windows 10: VPN-Verbindung mit Gratis-Tool erstellen

Der für den Privatgebrauch kostenlose VPN-Client von Shrewsoft wirkt kompliziert. Sie müssen aber nur wenige Einträge an den richtigen Stellen tätigen.
Der für den Privatgebrauch kostenlose VPN-Client von Shrewsoft wirkt kompliziert. Sie müssen aber nur wenige Einträge an den richtigen Stellen tätigen.

Wenn Sie das kostenlose Tool Shrewsoft VPN Client nutzen, genügt dieses Programm für die VPN-Verbindung. Es ist allerdings weniger übersichtlich als die AVM-Tools. Die aktuelle Version 2.2.2 funktioniert mit Windows 10.

Für die Einrichtung benötigen Sie den „IPsec-Schlüssel/Shared Secret“ für die VPN-Verbindung. Den finden Sie im Fritzbox-Menü unter „Internet –› Freigaben –› VPN“, wenn Sie beim passenden Benutzer auf „VPN-Einstellungen“ klicken. In einem Pop-up-Fenster steht die Zeile mit der nötigen Information. Die können Sie mit „Seite drucken“ auf Papier bringen oder seit Fritz-OS 7.10 per Copy & Paste übertragen. Wählen Sie bei der Installation die „Standard Edition“.

Anschließend starten Sie das Programm „VPN Access Manager“ und wählen „Add“. Tragen Sie in „Host Name“ die Webadresse Ihrer Fritzbox ein, wählen Sie unter „Authentication“ die Methode „Mutual PSK + XAuth“ – der vierte Eintrag von oben. Bei „Identification Type“ ist der Eintrag „Key Identifier“ richtig. Tragen Sie im Feld darunter den Benutzernamen des Fritzbox-Benutzers mit VPN-Rechten ein.

Im Fritzbox-Menü finden Sie bei den VPN-Einstellungen alle Infos, die Sie im VPN-Client eintragen müssen. Sie lassen sich bequem per Copy & Paste übertragen (bei einer aktuellen Fritz-OS-Version).
Im Fritzbox-Menü finden Sie bei den VPN-Einstellungen alle Infos, die Sie im VPN-Client eintragen müssen. Sie lassen sich bequem per Copy & Paste übertragen (bei einer aktuellen Fritz-OS-Version).

Wechseln Sie jetzt zum Reiter „Remote Identity“. Hier ist bei „Identification Type“ der Eintrag „IP Address“ korrekt. Schließlich klicken Sie auf den Reiter „Credentials“. Hier kommt ins Feld „Pre Shared Key“ der Zugangsschlüssel für die VPN-Verbindung. Beenden Sie die Einstellungen mit „Save“. Nun starten Sie die VPN-Verbindung mit einen Klick auf „Connect“ und melden sich mit dem in der Fritzbox hinterlegten Benutzernamen und dem passenden Kennwort an. Mit diesen Einstellungen schickt das Shrewsoft-Tool alle Datenpakete erst an die Fritzbox und dann weiter ins Internet: Auf diese Weise können Sie auch in einem öffentlichen WLAN geschützt surfen.

VPN-Verbindung mit dem Smartphone aufbauen

Zwei Wege führen vom Smartphone ins Fritzbox-VPN: Sie legen entweder eine VPN-Verbindung im Handy an oder Sie nutzen die MyFritz-App. Nur die erste Option schützt Sie aber auch in öffentlichen WLANs.
Zwei Wege führen vom Smartphone ins Fritzbox-VPN: Sie legen entweder eine VPN-Verbindung im Handy an oder Sie nutzen die MyFritz-App. Nur die erste Option schützt Sie aber auch in öffentlichen WLANs.

Auch per Handy erreichen Sie die Fritzbox per VPN. Sie benötigen keine App, nur die Infos der Fritzbox-VPN-Einstellungen.

Auf einem Android-Phone suchen Sie die Option „VPN“, die Sie meist in den Einstellungen für „Netzwerk & Internet“ finden. Über das Plus-Zeichen fügen Sie eine Verbindung hinzu, für die Sie einen Namen vergeben. Bei „Typ“ wählen Sie „IPsec XauthPSK“, in „Serveradresse“ kommt die Webadresse Ihrer Fritzbox. Die „IPSec-ID“ ist der Benutzername des Fritzbox-VPN-Benutzers, als „vorinstallierten Schlüssel“ tragen Sie den „IPsec-Schlüssel / Shared Secret“ der Fritzbox-VPN-Einstellungen ein. Um die Verbindung zu starten, tippen Sie sie unter „VPN“ an und tragen Namen und Kennwort des Fritzbox-VPN-Benutzers ein.

Bei einem iOS-Gerät starten Sie unter „Einstellungen –› Allgemein –› VPN –› VPN einrichten“. Tippen Sie oben auf „Typ“, um „IPsec“ auszuwählen. Legen Sie unter Beschreibung einen Namen für die VPN-Verbindung fest. Anschließend tragen Sie die Informationen aus den VPN-Einstellungen der Fritzbox ein: „Server“ ist die feste Webadresse des Heimrouters, „Account“ und „Passwort“ Benutzername und -kennwort des Fritzbox-VPN-Benutzers, bei „Gruppenname“ wiederholen Sie den Benutzernamen, und „Shared Secret“ ist der Eintrag „IPsec-Schlüssel / Shared Secret“ der VPN-Einstellungen. Die VPN-Verbindung starten Sie auf dem iOS-Gerät unter „Einstellungen“, indem Sie den Schalter für „VPN“ nach rechts rücken.

Doppelbox: So verbinden Sie zwei Fritzbox-Netzwerke

Sie können auch zwei Fritzbox-Netzwerke miteinander verbinden: Dafür müssen Sie aber in den Einstellungen einer Fritzbox unbedingt den IP-Adressbereich verändern, sonst klappt es nicht.
Sie können auch zwei Fritzbox-Netzwerke miteinander verbinden: Dafür müssen Sie aber in den Einstellungen einer Fritzbox unbedingt den IP-Adressbereich verändern, sonst klappt es nicht.

Sie können auch Netzwerke über eine VPN-Verbindung zwischen zwei Fritzboxen koppeln. Das ist zum Beispiel sinnvoll, um das Netzwerk in der Ferienwohnung mit dem Heimnetz zu verbinden oder alle Geräte in Büro- und Heimnetz in ein gemeinsames Netzwerk zu bringen. Dafür müssen Sie die Webadressen der Fritzboxen kennen und bei einer den IP-Bereich verändern, wie es unter „Fritzbox für VPN-Verbindung einrichten“ beschrieben ist. Außerdem muss ein Router eine öffentliche IPv4-Adresse haben.

Bei der ersten Fritzbox gehen Sie in den Einstellungen zu „Internet –› Freigaben –› VPN –› VPN-Verbindung hinzufügen“. Dort wählen Sie „Ihr Heimnetz mit einem anderen FRITZ!Box-Netzwerk verbinden“. Ganz oben wählen Sie nun ein Kennwort für die VPN-Verbindung. Bei „Internet-Adresse der Gegenstelle“ tragen Sie die feststehende Webadresse der zweiten Fritzbox ein und darunter deren IP-Adressbereich, den Sie angepasst haben, etwa 192.168.10.0.

Außerdem können Sie „VPN-Verbindung dauerhaft halten“ markieren, um sich nicht immer neu anmelden zu müssen. Bei „Erweiterte Einstellungen zum Netzwerkverkehr“ markieren Sie „Gesamten Netzwerkverkehr über die VPN-Verbindung senden“. Das ist zum Beispiel sinnvoll, wenn sich das Fritzbox-Netzwerk, von dem aus Sie zugreifen, im Ausland befindet: Dann gehen die Datenpakete mit der heimischen IP-Adresse der zweiten Fritzbox ins Internet, und es lassen sich Onlinedienste nutzen, die im Ausland gesperrt sind. Diese Einstellungen sind aber nur sinnvoll, wenn beide Router eine öffentliche IPv4-Adresse haben.

Bei der zweiten Fritzbox tragen Sie in den gleichen Einstellungen das gemeinsame Kennwort ein, ansonsten aber die Angaben zur ersten Fritzbox, also deren Webadresse und IP-Adressbereich. Die Umleitung des Netzwerkverkehrs über VPN dürfen Sie auf der zweiten Box natürlich nicht aktivieren. Nach dem Speichern trennt die Fritzbox die Onlineverbindung kurz und startet sie anschließend mit aktiver VPN-Verbindung.

Die Grenzen eines VPN

Eine VPN-Verbindung garantiert Sicherheit. Doch mit dem Übertragungstempo kann es Probleme geben. In einigen Fällen bremst der Onlineanschluss, von dem aus Sie mit einem VPN-Client-Rechner die Fritzbox erreichen wollen – das ist zum Beispiel häufig in einem öffentlichen WLAN der Fall.

Aber meist liegt es an Ihrer Internetbandbreite: Wenn Sie per VPN auf die Fritzbox zugreifen und aus dem Internet Daten anfordern, muss der Router die gewünschten IP-Pakete wieder an den VPN-Client zurückliefern: Da dieser sich aber nicht im Heimnetz der Fritzbox befindet, sondern per Internet mit ihr verbunden ist, läuft dieser Datentransfer maximal mit der Upload-Bandbreite Ihrer Internetverbindung – und die ist üblicherweise deutlich schmaler als die Download-Rate.

Bei einer Fritzbox kommt außerdem noch die mäßige Rechenleistung des AVM-Routers hinzu: Sie genügt vollauf für die üblichen Aufgaben eines Routers. Aber bei einer VPN-Verbindung müssen permanent Daten ver- und entschlüsselt werden, was die Fritzbox sehr fordert. Für die VPN-Verbindung in größere oder Firmen-Netzwerke kommen daher üblicherweise spezielle VPN-Gateways zum Einsatz, die diese Aufgabe schneller bearbeiten können. Allerdings verspricht AVM, das VPN-Tempo mit dem neuen Fritz-OS 7.20 deutlich zu steigern. (PC-Welt)