skip to content

Lancom und Fritzbox

VPN Lancom 1681V/1781V usw. mit FritzBox 7170/7270/7390 usw.

Hinweis: Ich gebe keine Garantie auf Lauffähigkeit, wobei bereits 3 Fritzboxen mit einem Lancom zusammenarbeiten und das bereits seit Ende 2011 ! Ich habe diese Anleitung nach besten Wissen und Gewissen beschrieben. Screenshots sind von mir, wie auch die Anleitung. Ich bitte das zu respektieren und nicht einfach das zu kopieren, sondern ich möchte eine Quellenangabe meiner Seite. Ich biete diese Anleitung und die Konfigurationsdatei für die Fritzbox ganz unten als Download an. Ich würde mich des Weiteren über Feedback als Email und/oder auch im Gästebuch sehr freuen. Vielen Dank für euer Verständnis.

Das wird benötigt:

  • Lancom 1681V (und andere) LU8.xx oder folgende Versionen
  • FritzBox 7170/7270/7390/7490 am besten mit der aktuellsten Firmware (keine Labor-Version!)
  • DynDns-Accounts (oder feste IP)
  • Remote-Fernzugriff auf beide Geräte (am besten über HTTPS zu erledigen)
  • ein wenig Zeit und Geduld

Erste Schritte:

  • Lancom 1681V ist mit dem Internet verbunden und kann per Ferne gewartet werden
  • Die Verwaltungssoftware des Lancom ist installiert ( LANconfig Download)
  • FritzBox ist mit dem Internet verbunden und kann ebenfalls per Ferne gewartet werden
  • DynDns.Org Accounts sind auf beiden Geräten eingerichtet und bereits funktionstüchtig
  • sich etwas Kaffee holen und die Tür schließen, damit man nicht gestört wird

Fangen wir mit der FRITZBOX an:

  • Für die Fritzbox gibt es ein Tool von AVM, welches VPN-Verbindungen erstellen kann ( LINK zur AVM-Seite für die Software: "FRITZ!Box-Fernzugang einrichten" Download ) Unter "Aktuelle Downloads (rechte Seite) kann man sich dann das Programm passend für sein Betriebssystem herunterladen.
  • Nachdem wir das Programm von AVM nun heruntergeladen haben, installieren wir dieses, indem wir einfach nur "Weiter" klicken.
  • Jetzt kann das Programm geöffnet und genutzt werden

Einrichtung einer "Config-Datei" mit dem AVM-Tool !

(Das Programm ist geöffnet) ODER schaut ein wenig weiter hinunter zu der CFG-Datei !

  1. Klicken wir auf "Neu"

  2. Der Assistent fragt was mir machen möchten und wählen daher den mittleren Punkt "Verbindung zwischen zwei FRITZ!-Box-Netzwerken einrichten" (also eine LAN-LAN-Verbindung) - WEITER
  3. Nun geben wir den ersten Namen der DynDNS Verbindung ODER ggf. die feste IP der öffentliche Schnittstelle (IP vom Provider, etc.) an dieser Stelle ein (im Bsp. adresse1.dyndns.org)
  4. Im nächsten Fenster geben wir nun den IP-Adressrahmen für unser Netzwerk ein, welches sich HINTER der öffentlichen IP-Adresse in meinem Netzwerk versteckt ! (Bsp: 192.168.0.0 mit einer 24 Bit Maske (255.255.255.0)) und ebenfalls - WEITER
  5. Nun kommen wir zu der Eingabe für das zweite Netz mit dem man sich verbinden möchte. (Bsp. adresse2.dyndns.org) - WEITER
  6. Hier kommt ebenfalls die Abfrage des IP-Netzes hinter diesem Router, der sich hinter der "adresse2.dyndns.org" versteckt. (Bsp: 172.16.0.0 mit einer 24 Maske (255.255.255.0)) - WEITER
  7. Im letzten Zuge sagt man nun, dass die beiden Verzeichnisse, die die Konfig-Dateien enthalten, angezeigt werden sollen. - FERTIG STELLEN !
  8. Nun sollte sich ein Fenster öffnen, in dem man nun die Datei "fritzbox_adresse2_dyndns_org.cfg" befindet.
  9. Wir benötigen NUR EINE cfg-Datei, denn diese müssen wir nun händisch mit einem Texteditor bearbeiten und danach wieder speichern. 
  10. Welche Informationen in der CFG-Datei benötigt werden und welche Dinge wichtig sind, kann man in dem unten angegebenen Quellcode der Datei nachvollziehen !

CFG-Datei (manuell erstellen, bzw. abändern von der vorherigen CFG-Datei)

Generell gilt auch, dass diese Datei später in die FritzBox eingespielt werden sollte, ALLERDINGS erst NACH der Bearbeitung ! Man kann diese Datei auch gerne selbst erstellen und diese so bearbeiten, dass man diese nutzen kann.

Folgende Punkte müssen angepasst werden, damit diese sauber im eigenen Router (FritzBox) eingestellt werden kann:

NIEMALS Leerzeichen in den selbst konfigurierten Bereichen nutzen !
Empfehlung wäre auch NUR kleinbuchstaben und KEINE Sonderzeichen !

Die folgenden Informationen sind später für die Einrichtung am LANCOM-Router wichtig !

  1. NAME_DER_VERBINDUNG - wie soll die Verbindung heißen (z.B. meinvpnnetz )
  2. DNYDNS.org-NAME - wie lautet die Gegenstelle der FritzBox (z.B. adresse2.dyndns.org ODER feste IP-Adresse des Zuganges )
  3. LOKALER_NAME - wie nennt man sich im eigenen Netz (z.B. herbert )
  4. ENTFERNTER_NAME - und wie nennt sich der Nutzer der Gegenstelle am Lancom (z.B. trudi )
  5. DEIN_PASSWORT - das ist das Passwort, mit dem sich die beiden Router (Fritzbox und Lancom) mit den User authentifiziert
  6. Kontrolle der IP-Adressen, so dass diese ebenfalls passen (WICHTIG: Beide Netze dürfen NICHT im gleichen Netzwerk sein. Diese MÜSSEN Zwangsweise immer unterschiedlich gehalten werden - Grundlagen VPN! )
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "NAME_DER_VERBINDUNG";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "DYNDNS.org-NAME";
                localid {
                        fqdn = "LOKALER_NAME";
                }
                remoteid {
                        fqdn = "ENTFERNTER_NAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "DEIN_PASSWORT";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 172.16.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Einspielen der CFG in die FritzBox

Ich gehe davon aus, dass sich der User ein wenig mit der Fritzbox auskennt und die CFG-Datei im Router-Menü einspielen kann. Ansonsten gibts von mir nur eine Kurzanleitung:

(Immer an eine Sicherung der Konfiguration der FritzBox denken !)

  1. An die FritzBox anmelden, Passwort eingeben und weiter
  2. Im Menüpunkt "INTERNET", "FREIGABEN" ist dann der Reiter "VPN" zu wählen
  3. Nun die Datei mit "DURCHSUCHEN" einfügen und dann den Button "VPN-Einstellungen importieren" klicken
  4. Es kann ein wenig dauern, da auch die Fritzbox einen Neustart durchführen wird
  5. Nun sollte in dem Menü "VPN" die Verbindung mit dem vergebenen Namen "NAME_DER_VERBINDUNG" auftauchen.
  6. Diese ist noch nicht aktiv, da wir die Gegenstelle noch nicht eingerichtet haben. Daher wird derzeit nur 0.0.0.0 stehen und nichts weiter. Ist aber nicht so schlimm. Ist soweit ok !

 

Es geht weiter mit dem LANCOM-Gerät

Ich gehe davon aus, dass man das Tool von Lancom, das "LANconfig" installiert hat und damit umgehen kann. Näher werde ich nicht darauf eingehen, da dieses den bereits jetzt schon großen Rahmen sprengen würde !

Wir haben nun das LANconfig-Tool installiert und das LANCOM-Gerät dort hinzugefügt. Wir können es nun verwalten und alles speichern.

Konfiguration und Vorbereitung für die VPN-Verbindung

  • Wir wählen nun das LC-Gerät im Manager mit rechtsklick aus und sagen "Konfigurieren" - ggf. die Meldung einfach bestätigen
  • Nun öffnet sich das Konfigurationsfenster des LC-Gerätes und wir können loslegen
  • Wir benötigen NUR den Bereich "VPN" auf dem LC
  • Gehen wir also in den Bereich VPN und sehen nun einige Sachen die wir auswählen können, wir müssen hier sauber vorgehen, da der LC einige Fehler die gemacht werden können, nicht ignoriert, sondern direkt nutzt. Es könnte dann möglich sein, dass der LC-Router bzw. die VPN-Konfigurationen, die wir bisher durchgeführt haben, wieder KOMPLETT GELÖSCHT werden müssen !
  • IMMER AN EINE AKTUELLE SICHERUNG DES ROUTERS DENKEN, WENN MAN DORT ETWAS MACHT !

Nun kommen die wichtigsten Aufgaben auf dem LC ! Wir müssen ein wenig weiter hinten anfangen, da sonst einige Konfigurationen nicht funktionieren !

  1. Als erstes müssen wir einen "IKE-Schlüssel und Identität" anlegen
  2. Dazu gehen wir im Menü "VPN" auf das Untermenü "IKE-AUTH."
  3. Hier klicken wir auf dem Button "IKE-Schlüssel und Identitäten"
  4. Ein Fenster öffnet sich in dem wir dann "Hinzufügen" wählen
    1. Folgendes geben wir dann ein:
    2. Bezeichnung = trudi
    3. Preshared-Key = DEIN_PASSWORT (hier kann man den Haken reinmachen um sich zu vergewissern, dass das eingegeben PW auch mit dem bei der Fritzbox eingerichteten übereinstimmt!)
    4. Lokaler Identität-Typ = keine Identität
    5. Entfernter Identität-Typ = keine Identität
  5. Wir bestätigen das mit einem OK.
  6. Nun wird der Schlüssel und die Identität "trudi" in der Übersicht aufgelistet.
  7. Auch hier drücken wir OK und sind hier im Bereich fertig ! Es folgt nun der nächste Punkt !

Nachdem wir den obigen Punkt durchgeführt haben, widmen wir uns nun den IPSec-Proposal.

  1. Im Bereich "VPN" das Untermenü "IPSec-Param." anklicken
  2. Nun haben wir die Möglichkeit den Button "IPSec-Proposals" anzuklicken, was wir auch nun tun !
  3. Hier nutzen wir nun den Button "Hinzufügen" obwohl bereits viele enthalten sind, aber wir brauchen ja einen eigenen Bereich
  4. Nachdem wir Hinzufügen gewählt haben, wird ein neues Fenster geöffnet in dem wir folgende Daten eingeben müssen:
    1. Bezeichnung = trudi
    2. Modus = Tunnel
    3. Im Bereich ESP-Proposal
    4. Verschlüsselung = AES-CBC
    5. Schlüssel-Länge = 256
    6. Authentifizierung = HMAC-SHA1
    7. Im Bereich AH-Proposal
    8. Authentifizierung = Kein AH
    9. Im Bereich IPCOMP-Proposal
    10. Authentifizierung = Kein IPCOMP
    11. Im Bereich Gültigkeitsdauer
    12. Gültigkeitsdauer = 3600 Sekunden und 200000 kBytes
  5. Nun können wir auch hier die Einstellungsseite mit OK schließen, wie auch die nach der Bestätigung angezeigte Übersicht !

Nun folgt eine weitere Einstellung für die VPN-Konfiguration im Bereich "Verbindungs-Parameter"

  1. Wir befinden uns im Menü "VPN" und im Untermenü "Allgemein"
  2. Hier haben wir rechts den Button "Verbindungs-Parameter", den wir auch klicken werden
  3. Es öffnet sich ein weiteres Fenster in dem man wie immer ebenfalls "Hinzufügen" klicken kann, was wir auch tun
    1. Hier geben wir folgende Informationen ein und wählen später die Konfigs aus, die wir bereits eingestellt haben (nun erschließt sich auch, warum wir mit anderen Bereichen und Eingaben angefangen haben!)
    2. Bezeichnung = trudi
    3. PFS-Gruppe = 2 (MODP-1024)
    4. IKE-Gruppe = 2 (MODP-1024)
    5. IKE-Proposals = IKE_PRESH_KEY
    6. IKE-Schlüssel = trudi
    7. IPSec-Proposals = ESP_TN
  4. Nun wieder auf "OK" und im anderen Bereich ebenfalls auf "OK" um die Fenster mit den Einstellungen zu schließen.

Wir gehen nun im weiteren Schritt im Menü VPN auf den weiteren Punkt "Allgemein" (links) und im rechten Bereich finden wir den Button "Verbindungs-Liste"

  1. Es öffnet sich nun ein Fenster mit mehreren Buttons unten rechts. Hier klicken wir auf "HINZUFÜGEN" (und wie soll es anders sein ?!) ein weiteres Fenster kommt hoch.
  2. Wir geben nun unsere Daten in diesem Fenster ein.
    1. Name der Verbindung = trudi (genau wie im Beispiel genannt!)
    2. Haltezeit = 9999
    3. Dead Peer Detection = 60
    4. Extranet-Adresse = 0.0.0.0
    5. Entferntes Gateway = adresse1.dyndns.org (also genau die DynDNS-Adresse ODER feste IP-Adresse vom Provider)
    6. Regelerzeugung = Automatisch
    7. Dynamische VPN-Verbindung (nur mit kompatiblen Gegenstellen) = kein dynamisches VPN
    8. IKE-Exchange = Aggressiv Mode
    9. OSCP-Prüfung = Haken raus (wenn einer drin ist)
    10. IKE-CFG = AUS
    11. XAUTH = AUS
    12. IPSec-over-HTTPS = AUS
    13. Routing-Tag = 0
  3. Nachdem wir nun die ganzen Daten eingetragen haben, bestätigen wir auch dieses Fenster wieder mit OK !
  4. Danach nochmal OK und schon sind die Daten gespeichert.

Im Hauptmenü "VPN" schauen wir nun noch nach, ob der Haken bei "NAT-Traversal aktiviert" aktiviert ist !
Der "Aufbau Netzbeziehungen (SAs)": muss auf "Gemeinsam für KeepAlive" eingestellt sein.
Und natürlich sollte ganz oben "Virtual Private Network" auf AKTIVIERT stehen.

Sollte das nun alles sauber und ohne Fehlermeldungen eingetragen worden sein, so kann nun auch der Konfig-Manager mit "OK" bestätigt werden.

Im Anschluss lädt nun das "VPNconfig-Tool" die geänderte Konfig-Datei in den LANCOM-Router und startet diesen ggf. neu. Nach Neustart (kann auch manuell durchgeführt werden, was ich auch empfehle einmal nach der Speicherung durchzuführen), sollte die Verbindung per VPN aufgebaut werden. 

Wichtig ist immer, dass die Daten auf beiden Seiten übereinstimmen und man keine Fehler in der Konfig hat. Nur ein falscher Haken oder falscher Name, usw. kann das Nicht-Funktionieren der VPN-Verbindung auslösen.

Je nach Netzwerk kann es auch sein, dass ihr noch einen Routing-Eintrag eintragen müsst, damit ihr auch mit dem Netzen arbeiten könnt. Hier wäre dann noch die Einstellung (keine Garantie auf Vollständigkeit!):

  1. Routing-Tabelle - Eintrag bearbeiten
    1. IP-Adresse = IP-Adresse des einwählenden Netzes
    2. Netzwerkmaske = Netzwerkmaske des einwählendes Netzes
    3. Routing-Tag = 0
    4. Eintrag aktiv = Haken rein!
    5. Router = FritzBox (oder was auch immer ihr eingetragen habt, Bsp: TRUDI )
    6. Distanz = 0
    7. IP-Maskierung = IP-Maskierung abgeschaltet
  2. Wie immer mit OK bestätigen und viel Spaß damit !

Namensauflösung:

Durch eine Anfrage habe ich festgestellt, dass einige Fragen noch offen geblieben sind. Hier geht es speziell um die Namensauflösung vom Computer zum z.B. Server. Man kann hier mit der "hosts" Datei diese Einstellung einfach bearbeiten, so benötigt man keinen DNS oder eine Weiterleitung selbiger.

Dies ist auch die einfachste und schnellste Art die Namensauflösung zu erhalten. Dies reicht bei kleinen Netzen ohne Probleme aus.

Die "hosts" findet man unter Lw:\Windows-Verzeichnis\System32\drivers\etc

Die Datei muss die Berechtigung für den "Benutzer" (unter Win7/8) mit Ändern-Rechte
versehen werden um die Einträge setzen zu können.

Hier ein Beispiel der Einträge:

172.16.10.2      server1
172.16.10.2      server1.domain.tld

Die hier genutzten Einträge sind Beispiele. Die Empfehlung lautet, dass diese auch immer beide gesetzt werden sollten. Einmal als WINS-Name (NetBIOS) und einmal als FQDN (mit der Erweiterung der Domänennennung). Somit sollte direkt nach dem Speichern ein PING erfolgreich verlaufen.

Es gibt auch andere Möglichkeiten, die sich aber erst bei größeren Netzen lohnen und dann setzt man normalerweise keine Fritzbox ein.

Abschlusshinweis:

Man sollte wissen, dass die Fritzbox "IMMER" AES mit 256 bit als Verschlüsselung nutzt. Verbindet man andere Geräte an den LC, dann kann ggf. eine andere Verschlüsselungsart genutzt werden. Lancom selbst bietet nur eingeschränken bis gar keinen Support in Verbindung mit VPN und anderen Herstellern an. Daher hoffe ich, dass meine Anleitung denjenigen weiterhilft, der es auch unbedingt benötigt.

Über eine Nachricht ob es geklappt hat und wenn euch die Anleitung gefallen hat, dann würde ich mich über Feedback freuen :)

DOWNLOAD:

Diese Anleitung als PDF herunterladen

VPN-Konfigdatei herunterladen (muss noch bearbeitet werden!)

This site was last modified on 02/09/2017 at 15:41.

Up