Wenn keine hohen Ansprüche an die Sicherheit der VPN Verbindung gestellt werden, könnte man Fritz!Boxen out-of-the Box ohne zusätzliche Software als VPN Server eingesetzen.
Man könnte mit dem Fritz!VPN den Datenverkehr von Smartphones oder Laptops bei der Nutzung von öffentlichen WLANs in Hotels, im ICE oder am Flughafen via VPN über den eigenen Router leiten, um die Gefahren in öffentlichen Wi-Fi Netzen zu verringern. Aber Fritz!VPN ist NICHT geeignet, um eine sichere Verbindung ins Firmennetz oder zwischen Standorten aufzubauen.
- WARNUNG: Fritz!VPN verwendet die DH Group 2 mit 1024 Bit für den initialen Schlüsseltausch (Fritz!OS 7.20). Damit kann die VPN-Verbindung von Diensten wie der NSA seit Jahren on-the-fly aufgebrochen werden. (Aber wenn der Traffic an der anderen Seite der Fritz!Box wieder ins Internet purzelt, gewinnt ein Überwacher wenig durch Knacken des VPN. Man könnte die gleichen Informationen auch durch einfache Korrelationsanalyse gewinnen.)
- HINWEIS: Mit iPhones ist ein "Always-on-VPN" NICHT realisierbar. Die VPN-Verbindung wird geschlossen, wenn kein Datenverkehr fließt. Man müsste das VPN also immer wieder aktivieren, bevor man eine App startet, deren Datenverkehr über den eigenen Router laufen soll (was man gelegentlich vergessen wird).
Eine kleine Anleitung für Fritz!VPN
Als erstes benötigt man einen DyDNS Account, der einen DNS Namen bereitstellt, unter dem die eigene Fritz!Box bei wechselnden IP-Adressen erreichbar ist.
Der Anbieter deSEC bietet kostenlose (spendenfinanzierte!) DynDNS Accounts, die DNSSEC signiert werden und die man sehr einfach und anonym anlegen kann.
Auf der Webseite zur Registrierung wählt man den Namen für die Subdomain und gibt eine E-Mail Adresse an. Es wird eine E-Mail mit Verifikationslink geschickt. Wenn man auf den Link klickt, werden die Daten angezeigt (Update-URL, Name, Passwort).
Es ist empfehlenswert, die Daten in einem Passwortmanager wie KeepassXC zu speichern, falls man mal einen neuen Router konfigurieren muss. ;-)
Diese Daten gibt man im Router bei der DynDNS Konfiguration ein:
Danach erstellt man unter "System -> Fritz!Box-Benutzer" einen oder mehrere Accounts und gibt diesen Nutzern das Recht, VPN-Verbindungen zur Fritz!Box aufzubauen.
Weitere Zugriffsrechte sollten VPN-Nutzern nicht eingeräumt werden. Für Zugriffe auf Daten (NAS-Inhalte usw.) können separate Accounts eingerichtet und genutzt werden.
Es ist empfehlenswert, für jedes Gerät einen eigenen Account zu erstellen, damit man den Account bei Bedarf sperren kann, ohne andere Geräte zu beeinträchtigen.
- Abschließend konfiguriert man die VPN-Verbindung auf dem Smartphone oder dem Laptop. Die notwendigen Daten sowie eine Anleitung für Smarthones werden mit Klick auf den Link "VPN-Einstellungen anzeigen" in der Fritz!Box angezeigt.
-
Linuxer können auf ihrem Laptop mit einem Klick auf das NetworkManager Applet ein VPN hinzufügen und wählen den Typ "Cisco compatible VPN (vpnc)" aus:
Falls diese Option nicht zur Verfügung steht sind folgende Pakete zu installieren: Ubuntu: > sudo apt install networkmanager-vpnc networkmanager-vpnc-gnome
Fedora: > sudo dnf install NetworkManager-vpnc NetworkManager.vpnc-gnome In den Einstellungen für das VPN ist der DynDNS Name als Gateway einzugeben, der Account auf der Fritz!Box als Username und Gruppenname, das Passwort des Nutzers sowie als Gruppenpasswort das IPsec Shared Secret.
Um die Sicherheit ein bisschen zu verbessern, kann man mit Klick auf den Button "Erweitert…" die Krypto Parameter anpassen und die IKE DH Group 5 auswählen (1536 Bit), die von Fritz!VPN ebenfalls unterstützt wird.
In den Netzwerkeinstellungen für ein Hotel WLAN oder das WLAN im ICE kann man festlegen, dass das VPN in diesem WLAN immer aktiviert werden soll:
