Ubuntu VPN mit Fritzbox

AVM hat in seine Fritzboxen einige tolle Funktionen eingebaut, um ein eigenes VPN betreiben zu können. Die verschiedenen Einsatzmöglichkeiten sind im VPN Service-Portal von AVM im Bereich „Grundlagen“ gut erklärt. Ich persönlich setze bereits seit langem die LAN-LAN-Kopplung mit mehreren Fritzboxen ein und bin damit sehr zufrieden.

In diesem Beitrag soll es darum gehen, einen Laptop mit Ubuntu (Linux) per FRITZ!Box-Fernzugang in das bestehende VPN zu integrieren.

1. Einrichten des FRITZ!Box-Fernzugangs

Am komfortabelsten geht das mit dem Tool von AVM: Fritz!Box-Fernzugang einrichten welches im VPN Service-Portal von AVM unter „Aktuelle Downloads“ zur Verfügung steht. Bisher gibt es das aber leider nur als Windows Version. Dort klicken wir auf „Neu “ und wählen im erscheinenden Assistentsfenster: „Fernzugang für einen Benutzer einrichten“

Fernzugang-fuer-einen-Benutzer-einrichtenAnschließend wählen wir die gewünschte FRITZ!Box aus, zu der dieser Zugang gehören soll:Fernzugang-fuer-einen-Benutzer-einrichten-Fritzbox-waehlenDann wählen wir: iPhone /iPod touch / iPad:

Fernzugang-fuer-einen-Benutzer-einrichten-iphoneUnd geben eine E-Mailadresse ein. Diese ist der spätere Loginname und muss nicht wirklich existieren.

Fernzugang-fuer-einen-Benutzer-einrichten-loginAnschließend kann die künftige lokale IP im VPN vergeben werden und die Art des Tunnels festgelegt werden:Fernzugang-fuer-einen-Benutzer-einrichten-optionenIm vorletzen Schritt des Assistenten muss ein Kennwort gewählt werden:

Fernzugang-fuer-einen-Benutzer-einrichten-kennwort

Zuletzt wählt man die Option, sich die Konfigurationsdateien im Explorer anzeigen zu lassen. Dort liegt die Konfigurationsdatei für die FRITZ!Box und für den neuen Client.

2. CFG-Datei in FRITZ!Box einspielen

Die CFG-Datei beinhaltet die Einstellungen für das VPN und muss in die FRITZ!Box eingespielt werden. Das ist nicht weiter schwer, da es über die Webadministration der FRITZ!Box erledigt werden kann:

FRITZBox-VPN-Konfig

3. Ubuntu konfigurieren

Zunächst müssen dort einige Pakete nachinstalliert werden. Dazu öffnen wir ein Terminal und geben:

sudo apt-get install network-manager-vpnc-gnome

ein.

vpnc-install

Anschließend gibt es bei den Netzwerkverbindungen im Bereich VPN  bei der Option hinzufügen einen neuen VPN-Verbindungstyp: Cisco-kompatibler VPN-Client (vpnc)

vpn-verbindungstyp

Die VPN-Verbindungsoptionen können wir mit den Angaben der Textdatei, die der FRITZ!Box Fernzugangsassistent angelegt hat, ausfüllen. Nehmen wir an es wurde folgende Datei erstellt:

IPhone / iPod touch / iPad VPN-Konfiguration

Wählen Sie auf dem Homescreen Ihres iPhones, iPod touch oder iPad das Symbol "Einstellungen".
"Allgemein" > "Netzwerk" > "VPN" > "VPN hinzufügen"

Wählen Sie als VPN-Betriebsmodus "IPSec".
Tragen Sie in die Felder folgende Angaben ein:

Beschreibung :   test.dyndnsname.net 
                 (Die Beschreibung kann frei gewählt werden.)
Server:          test.dyndnsname.net
Account:         test@aol.de
Kennwort:        bigsecret123
                 (Das Kennwort wird bei jedem VPN-Verbindungsaufbau abgefragt.)
Zertifikat verwenden ist deaktiviert
Gruppenname:     test@aol.de
Shared Secret:   1907f6190ecd05/85c5l 6r:<&cbecea

Geben Sie bei "Proxy" "aus" an.

Beenden Sie die VPN-Einrichtung mit "Sichern".

Dann wäre die VPN-Verbindung wie folgt zu befüllen:

VPN-EinstellungenAnschließend kann eine Verbindung zu dem VPN hergestellt werden.

Anmerkungen zur LAN-LAN-Kopplung in Verbindung mit einem Fernzugang:

Angenommen wir haben bereits ein VPN zwischen zwei Fritzboxen mittels eine LAN-LAN-Kopplung erstellt.

Das Netz der ersten Fritzbox besteht aus dem Class-C-Netz 192.168.0.0-255 und das der zweiten aus dem Class-C-Netz 192.168.4.0-255.

Damit können Rechner in beiden Netzen direkt aufeinander zugreifen.

Wenn nun zu einer FRITZ!Box ein Fernzugang, gemäß der obigen Anleitung eingerichtet wird, gilt dieser nur für das Netz der einen Fritzbox. Die obige Konfiguration erstellt z.B. einen Zugang zur FRITZ!Box mit dem Netz 192.168.4.0-255. Der Zugriff auf das Netz 192.168.0.0-255 ist damit NICHT möglich.

Zum Glück lässt sich der Zugriff aber ganz einfach erweitern. Dazu müssen in der oben erstellten Konfigurationsdatei für die FRITZ!Box nur die weiteren zulässigen Netze ergänzt werden. In der Konfigurationsdatei sucht man dazu den Bereich für die Loginkennung raus und ergänzt den Abschnitt accesslist um die weiteren Netze.

Für unser Beispiel sieht der relevante Abschnitt der FRITZ!Box-Konfigurationsdatei dann so aus:

xauth {
                        valid = yes;
                        username = "test@aol.de";
                        passwd = "bigsecret123";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.4.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist = 
                             "permit ip 192.168.0.0 255.255.255.0 192.168.4.201 255.255.255.255",
                             "permit ip 192.168.4.0 255.255.255.0 192.168.4.201 255.255.255.255";

Anschließend muss diese natürlich erneut in die FRITZ!Box übertragen werden.