Fritzbox-VPN

Zum Thema Fritz-VPN gab’s im Zuge der GigaCube-Beiträge (1, 2) ja einige Nachfragen in den Kommentaren, daher hier ein paar (er-) klärende Worte.

Prinzipiell ist es recht einfach: zwei Fritzboxen, die jeweils eine öffentliche IP(v4)-Adresse haben, können wechselseitig ein VPN untereinander initiieren.

Nun bekommt man bei manchen Kabel- und fast allen Mobilfunkanbietern aber schon länger keine öffentliche IPv4-Adresse mehr. So auch beim GigaCube-Tarif von Vodafone: hier kommt Carrier-Grade-NAT (CGN) zum Einsatz, und mein Endgerät bekommt eine Adresse aus 100.64.0.0/10 (100.64.0.0 – 100.127.255.255), z. B. 100.87.208.84. Solange dies nur eine Seite betrifft, kann man sich damit behelfen, daß die CGN-Seite die Verbindung aufbaut und sie dann möglichst lange offen gehalten wird. Ich löse den automatischen Verbindungsaufbau durch die CGN-Fritzbox dadurch aus, daß ich eine SIP-Verbindung zur »Festnetz«-Fritzbox konfiguriere (Telefonie -> Eigene Rufnummern). Das kann ein Dummy-Eintrag sein (dann nervt aber ggf. der Hinweis, daß IP-Telefonie nicht funktioniere), genau so gut könnte man auch echte SIP-Telefonie darüber realisieren. Sollte man so seinen deutschen Telefonanschluß in die Toskana verlängern, muß man aber allen potentiellen Nutzern dies klarmachen; die Leitstelle in Gütersloh wird mit einem Notruf per 110 über einen Waldbrand in der Toskana etwas überfordert sein — und die notrufende Schwiegermutter erst!

Steht die VPN-Verbindung einmal, kann wie bei jeder Verbindung von beiden Seiten eine IP-Verbindung initiiert werden. Wenn man auf die alte Textdatei-basierte Konfiguration (»vpncfg«-Datei) zurückgreift, kann man sogar komplexes Routing ermöglichen (hier hat die Mobil-Fritzbox das Netz 192.168.188.0/24, die Festnetz-Fritzbox die 192.168.177.1 und das LAN 192.251.226.32/27 — indem die entsprechenden Netze in der Konfigurationsdatei – und ggf. im »IPv4-Routing« auf den jeweiligen Fritzboxen – eingetragen wurden, kann man auch mehr als nur zwei IP-Netze verbinden bzw. durch die Fritzboxen durchrouten):

# Rechner im LAN
wusel@death:~$ traceroute 192.168.188.203
traceroute to 192.168.188.203 (192.168.188.203), 64 hops max, 40 byte packets
 1  albert.uu.org (192.251.226.33)  0 ms  0 ms  0 ms
 2  * * *
 3  192.168.188.203 (192.168.188.203)  733 ms  84 ms  65 ms
 4  192.168.188.203 (192.168.188.203)  87 ms  63 ms  72 ms
wusel@death:~$ ssh 192.168.188.203 date
Di 23. Mai 01:02:38 CEST 2017

Gegenprobe:

# Rechner hinter der FB mit UMTS-Uplink
wusel@ysabell:~$ telnet 192.251.226.42 25
Trying 192.251.226.42...
Connected to 192.251.226.42.
Escape character is '^]'.
220 death.uu.org ESMTP […]; logging access from: [192.168.188.203](FAIL)-[192.168.188.203]
quit
221 2.0.0 death.uu.org closing connection
Connection closed by foreign host.
wusel@ysabell:~$ traceroute mail.uu.org
traceroute to mail.uu.org (192.251.226.42), 30 hops max, 60 byte packets
 1  192.168.188.254 (192.168.188.254)  0.570 ms  0.553 ms  0.865 ms
 2  mail.uu.org (192.251.226.42)  88.846 ms  88.855 ms  98.847 ms
 3  mail.uu.org (192.251.226.42)  98.853 ms  108.867 ms  108.875 ms
 4  mail.uu.org (192.251.226.42)  118.670 ms  129.334 ms  129.308 ms
wusel@ysabell:~$ traceroute azrael.uu.org
traceroute to azrael.uu.org (192.251.226.10), 30 hops max, 60 byte packets
 1  192.168.188.254 (192.168.188.254)  0.687 ms  0.641 ms  0.970 ms
 2  * * *
 3  10.218.1.60 (10.218.1.60)  1733.502 ms  1733.521 ms  1733.508 ms
 4  10.218.3.137 (10.218.3.137)  1733.495 ms  1733.479 ms  1733.467 ms
 5  10.218.1.138 (10.218.1.138)  1733.452 ms  1733.439 ms  1733.425 ms
 6  188.111.128.168 (188.111.128.168)  1743.176 ms  1738.740 ms  1738.667 ms
 7  145.254.2.223 (145.254.2.223)  1738.592 ms  59.513 ms  59.486 ms
 8  et-7-0-0.cr-polaris.fra1.core.heg.com (80.81.192.239)  69.527 ms  69.533 ms  69.523 ms
[…]
13  azrael.uu.org (192.251.226.10)  69.917 ms  79.723 ms  69.957 ms

Klar, das sind Dinge, die Otto Normalnutzer selten oder nie benötigt; aber es ist die Flexibilität, die AVMs Geräte so wertvoll¹ macht.

_____
¹ Daß ich es AVM nicht verzeihe, die 7570 (erste VDSL2-Fritzbox) Jahre vor der 7270 (Basis der 7570, primär unterscheiden sie sich im DSL-Modem, die 7270 kann nur ADSL2, die 7570 VDSL2 und ADSL2) aus dem Support genommen zu haben, ändert ja nichts daran, daß – gerade im Vergleich zum Wettbewerb – AVM richtig gute Hardware mit toller Software liefert. Versöhnen würde mich eine 6er Firmware für die 7570, analog zur finalen 6.06 der 7270; 4.81 ist der 7570 einfach unwürdig :-(
 

One thought on “Fritzbox-VPN

  1. Habe die VPN Verbindung Mobilfunk -> Festnetz aufgebaut, leider bricht diese häufig ab und baut sich nicht immer selbstständig wieder auf, da wahrscheinlich immer die Festnetz FB versucht die Mobilfunk FB zu erreichen. Wenn das von der Mobilfunk FB angestossen wird klappt es, aber die Verbindung hält nicht immer sehr lange.

    Wie hast Du das mit der SIP Verbindung gelöst (habe eine SIP Rufnummer), aber mir ist nicht klar, wenn ich die SIP Daten in die Mobilfunk FB eingebe, wieso diese dann über die Festenetz FB eine Verbindung aufbauen sollte? Kannst Du mir sagen was ich in der Mobilfunk FB einstellen muss, damit die immer eine Verbindung über die Festnetz FB aufbaut oder aber was muss man einstellen / ändern, damit die Mobilfunk FB immer die Box ist, welche die Verbindung aufbaut.

    • Sorry, Mißverständnis: SIP ist für mich primär der Trigger, daß die mobile FB (die ohne öffentliche IPv4-Adresse) zur stationären immer einen Verbindungsaufbau versucht. Ohne diesen Kniff müßte erst ein Gerät im WLAN der mobilen FB ins private stationäre Netz sich verbinden; das ist ja eher witzlos.

      Kurzum: ich habe auf der mobilen FB eine (Fantasie-) Rufnummer unter »Eigene Rufnummern« konfiguriert, mit der internen IP der stationären FB als Registrar. Dadurch baut die mobile FB nach dem Start direkt a) die Verbindung ins Internet auf und b) auch das VPN, denn die private IP der stationären FB kann die mobile ja (nur) über’s VPN erreichen. (Faktisch kann man darüber auch wirklich telefonieren, aber das ist eine andere Geschichte.)

Comments are closed.