FritzBox OpenVPN: Eigenen VPN-Tunnel einrichten!!!
OpenVPN ist ungemein vielseitig und komplex. Neben der simplen Nutzung von Anonymisierungsdiensten kann das Programm auch abhörsichere Netzwerkverbindungen („VPN-Tunnel“) über unsichere Netzwerke wie das Internet und ungeschützte WLANs herstellen – etwa, um Außendienstmitarbeiter sicher ins Firmennetzwerk einzubinden. In beiden Szenarien kann jedoch der Router stören. So besitzt AVMs FritzBox zwar eine automatische Erkennung und Vermittlung ausgehender VPN-Verbindungen (VPN-Passthrough). Das klappt aber nur, wenn sie die ältere IPSec-Technik nutzen. Andere Verfahren wie OpenVPN unterstützt die FritzBox jedoch nicht. Damit es trotzdem klappt, muss der für OpenVPN reservierte Netzwerkport im Router freigegeben und ans Gerät weitergeleitet werden, auf dem die OpenVPN-Software läuft. Nachfolgend lesen Sie, wie Sie diese Portweiterleitung einrichten und zum Beispiel einen sicheren Netzwerktunnel zwischen Ihrem Heim-PC hinter der FritzBox – nachfolgend Server-PC genannt – und dem Büro-Computer (Client-PC) erinrichten.
OpenVPN-Port: FritzBox konfigurieren:
Zunächst stellen Sie sicher, dass Ihre FritzBox VPN-Anfragen aus dem Internet an den OpenVPN-Server im Heimnetzwerk weiterleitet und er stets unter derselben internen IP-Adresse erreichbar ist. So geht es:
1.)Melden Sie sich im Heimnetzwerk am FritzBox-Menü an. Dazu laden Sie die Webseite http://fritz.box/ und geben gegebenenfalls das selbstgewählte Kennwort ein.
2.)Stellen Sie sicher, dass der MyFritz-Dienst aktiviert ist – wie das geht, lesen Sie im Artikel „FritzBox-VPN: So funktioniert die Einrichtung“. Notieren Sie sich unter Internet und MyFRITZ!Konto die angezeigte „MyFRITZ!-Adresse“.
3.)Klicken Sie auf Internet, Freigaben, Portfreigaben und Gerät für Freigaben hinzufügen. Nach einem Klick auf Bitte wählen klicken Sie auf den Computer, der später als OpenVPN-Server fungieren soll, dann auf Neue Freigabe und Portfreigabe. Wählen Sie unter „Anwendung“ die Option Andere Anwendung und tippen Sie bei „Bezeichnung“ etwa OpenVPN ein. Als „Protokoll“ wählen Sie UDP und geben in die drei leeren Felder die Zahl 1194 ein. Klicken Sie zweimal auf OK und Übernehmen.
4.)Nun klicken Sie auf Heimnetz sowie Netzwerk und das Bleistift-Symbol rechts neben dem OpenVPN-Server-PC. Setzen Sie einen Haken bei Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen. Klicken Sie auf OK.
Einrichtung OpenVPN-Server und OpenVPN-Client:
Als nächstes müssen Sie OpenVPN auf beiden Computern installieren und einrichten. Das funktioniert so:
1.)Laden Sie OpenVPN für Windows herunter und installieren Sie das Programm auf dem Server- und dem Client-Computer. Bestätigen Sie dabei gegebenenfalls auch die Installation des virtuellen Netzwerkadapters „TAP-Windows“.
2.)Im Windows-Startmenü des Server-PCs klicken Sie auf OpenVPN, in der ausklappenden Liste mit der rechten Maustaste auf Generate a static OpenVPN key, dann auf Mehr und Als Administrator ausführen. Nach einem Klick auf Ja schließen Sie das erscheinende Fenster durch Drücken einer beliebigen Taste.
3.)Klicken Sie am Server-PC erneut im Startmenü auf OpenVPN, dann jedoch auf OpenVPN configuration file directory. Im erscheinenden Fenster finden Sie die Datei key.txt. Kopieren Sie die zum Beispiel per USB-Stick ins gleiche Verzeichnis des Client-PCs, also nach C:\Programme\OpenVPN\config. Da Sie hierzu Administratorrechte benötigen, müssen Sie mit Fortsetzen bestätigen. Löschen Sie die Schlüsseldatei key.txt anschließend unbedingt vom USB-Stick, damit sie nicht in falsche Hände gerät.
4.)Zum Schluss brauchen Sie noch eine Konfigurationsdatei für den Server und den Client. Laden Sie dazu einfach die von CB vorbereiteten Dateien server.ovpn und client.ovpn herunter (siehe unten am Textende!). Die Datei client.ovpn müssen Sie noch bearbeiten. Dazu öffnen Sie sie per Doppelklick und ersetzen in der ersten Zeile den Eintrag abc123.myfritz.net durch die im vorigen Abschnitt notierte „MyFRITZ!-Adresse“ Ihrer FritzBox. Nun kopieren Sie die Datei server.ovpn wie oben beschrieben in den Ordner C:\Programme\OpenVPN\config des Server-PCs. Die angepasste Datei client.ovpn gehört in den entsprechenden Ordner des Client-PCs.
Wer mit der FritzBox OpenVPN nutzen will, steht vor einem technischen Problem: Der AVM-Router unterstützt zwar generell VPN-Verbindungen und hat sogar eine eigene VPN-Lösung an Bord – das OpenVPN-Protokoll unterstützt die FritzBox allerdings nicht. Hier wird gezeigt, wie Sie mithilfe einer einfachen Portweiterleitung im AVM-Router trotzdem einen abhörsicheren VPN-Tunnel errichten.
FritzBox-OpenVPN: Wozu eigentlich?
OpenVPN ist – das verrät schon der Name – ein kostenloses OpenSource-Programm. Es kommt ursprünglich aus der Linux-Welt und wird – wie dort üblich – eigentlich über komplexe Textkommandos gesteuert. Inzwischen gibt es aber auch eine nutzerfreundliche Windows-Version, die vor allem als Alternative zu den Tools kommerzieller Anonymisierungsdienste beliebt ist. Dazu müssen Sie nur die Konfigurationsdatei des entsprechenden Anbieters in den globalen Einstellungsordner des Programms (siehe unten) kopieren. Startet man das Programm dann mithilfe der Desktop-Verknüpfung „OpenVPN GUI“, lassen sich die vom VPN-Dienst angebotenen Server über das dazugehörigge Programmsymbol in der Taskleiste ansteuern – natürlich erst nach Eingabe der Zugangsdaten. Der PC fungiert dann als OpenVPN-Gateway und leitet den gesamten Internet-Traffic zum gewählten VPN-Server und wieder zurück. Nutzer können auf diese Weise ihre wahre IP-Adresse gegenüber den Betreibern besuchter Webseiten verschleiern, da sie dort mit der Internetkennung des VPN-Dienstes erscheinen. OpenVPN-Konfigurationsdateien haben die Erweiterung *.ovpn und werden von einigen VPN-Diensten angeboten.
FritzBox OpenVPN: Eigenen VPN-Tunnel einrichten:
OpenVPN ist ungemein vielseitig und komplex. Neben der simplen Nutzung von Anonymisierungsdiensten kann das Programm auch abhörsichere Netzwerkverbindungen („VPN-Tunnel“) über unsichere Netzwerke wie das Internet und ungeschützte WLANs herstellen – etwa, um Außendienstmitarbeiter sicher ins Firmennetzwerk einzubinden. In beiden Szenarien kann jedoch der Router stören. So besitzt AVMs FritzBox zwar eine automatische Erkennung und Vermittlung ausgehender VPN-Verbindungen (VPN-Passthrough). Das klappt aber nur, wenn sie die ältere IPSec-Technik nutzen. Andere Verfahren wie OpenVPN unterstützt die FritzBox jedoch nicht. Damit es trotzdem klappt, muss der für OpenVPN reservierte Netzwerkport im Router freigegeben und ans Gerät weitergeleitet werden, auf dem die OpenVPN-Software läuft. Nachfolgend lesen Sie, wie Sie diese Portweiterleitung einrichten und zum Beispiel einen sicheren Netzwerktunnel zwischen Ihrem Heim-PC hinter der FritzBox – nachfolgend Server-PC genannt – und dem Büro-Computer (Client-PC) erinrichten.
Portweiterleitung:
Im Beispiel werden VPN-Anfragen von der FritzBox zum lokalen VPN-Server durchgeschleift. Die zweite Freigabe steht für den IPv6-Adressbereich und wird hier nicht benötigt.
OpenVPN-Port: FritzBox konfigurieren
Zunächst stellen Sie sicher, dass Ihre FritzBox VPN-Anfragen aus dem Internet an den OpenVPN-Server im Heimnetzwerk weiterleitet und er stets unter derselben internen IP-Adresse erreichbar ist. So geht es:
1.)Melden Sie sich im Heimnetzwerk am FritzBox-Menü an. Dazu laden Sie die Webseite http://fritz.box/ und geben gegebenenfalls das selbstgewählte Kennwort ein.
2.) Stellen Sie sicher, dass der MyFritz-Dienst aktiviert ist – wie das geht, lesen Sie im Artikel „FritzBox-VPN: So funktioniert die Einrichtung“. Notieren Sie sich unter Internet und MyFRITZ!Konto die angezeigte „MyFRITZ!-Adresse“.
3.)Klicken Sie auf Internet, Freigaben, Portfreigaben und Gerät für Freigaben hinzufügen. Nach einem Klick auf Bitte wählen klicken Sie auf den Computer, der später als OpenVPN-Server fungieren soll, dann auf Neue Freigabe und Portfreigabe. Wählen Sie unter „Anwendung“ die Option Andere Anwendung und tippen Sie bei „Bezeichnung“ etwa OpenVPN ein. Als „Protokoll“ wählen Sie UDP und geben in die drei leeren Felder die Zahl 1194 ein. Klicken Sie zweimal auf OK und Übernehmen.
4.)Nun klicken Sie auf Heimnetz sowie Netzwerk und das Bleistift-Symbol rechts neben dem OpenVPN-Server-PC. Setzen Sie einen Haken bei Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen. Klicken Sie auf OK.
Einrichtung OpenVPN-Server und OpenVPN-Client:
Als nächstes müssen Sie OpenVPN auf beiden Computern installieren und einrichten. Das funktioniert so:
1.)Laden Sie OpenVPN für Windows herunter und installieren Sie das Programm auf dem Server- und dem Client-Computer. Bestätigen Sie dabei gegebenenfalls auch die Installation des virtuellen Netzwerkadapters „TAP-Windows“.
2.)Im Windows-Startmenü des Server-PCs klicken Sie auf OpenVPN, in der ausklappenden Liste mit der rechten Maustaste auf Generate a static OpenVPN key, dann auf Mehr und Als Administrator ausführen. Nach einem Klick auf Ja schließen Sie das erscheinende Fenster durch Drücken einer beliebigen Taste.
3.)Klicken Sie am Server-PC erneut im Startmenü auf OpenVPN, dann jedoch auf OpenVPN configuration file directory. Im erscheinenden Fenster finden Sie die Datei key.txt. Kopieren Sie die zum Beispiel per USB-Stick ins gleiche Verzeichnis des Client-PCs, also nach C:\Programme\OpenVPN\config. Da Sie hierzu Administratorrechte benötigen, müssen Sie mit Fortsetzen bestätigen. Löschen Sie die Schlüsseldatei key.txt anschließend unbedingt vom USB-Stick, damit sie nicht in falsche Hände gerät.
4.)Zum Schluss brauchen Sie noch eine Konfigurationsdatei für den Server und den Client. Laden Sie dazu einfach die von CB vorbereiteten Dateien server.ovpn und client.ovpn herunter – Sie finden die Downloads am Ende dieses Artikels. Die Datei client.ovpn müssen Sie noch bearbeiten. Dazu öffnen Sie sie per Doppelklick und ersetzen in der ersten Zeile den Eintrag abc123.myfritz.net durch die im vorigen Abschnitt notierte „MyFRITZ!-Adresse“ Ihrer FritzBox. Nun kopieren Sie die Datei server.ovpn wie oben beschrieben in den Ordner C:\Programme\OpenVPN\config des Server-PCs. Die angepasste Datei client.ovpn gehört in den entsprechenden Ordner des Client-PCs.
OpenVPN: Windows anpassen:
Damit Windows die Verbindung nicht blockiert, passen Sie auf beiden PCs die Windows-Firewall an. Nutzen Sie eine externe Firewall, befolgen Sie die Anweisungen des Herstellers.
1.)Öffnen Sie am Server-PC die Windows Defender Firewall mit erweiteter Sicherheit über das Startmenü.
2.)Am Server-PC klicken Sie auf Eingehende Regeln und Neue Regel, dann auf Port und Weiter. Im nächsten Fenster wählen Sie UDP, tippen im Feld „Bestimmte lokale Ports“ 1194 ein, klicken auf Weiter und Verbindung zulassen, zweimal auf Weiter und legen als Namen etwa OpenVPN fest. Es folgt ein Klick auf auf Fertig stellen.
3.)Wiederholen Sie den letzten Schritt am Client-PC, dort jedoch unter dem Punkt Ausgehende Regeln.
OpenVPN-Server und OpenVPN-Client verbinden:
Fertig: Mit den folgenden Schritten stellen Sie die VPN-Verbindung her und greifen aus der Ferne auf Ihren Server zu.
–Öffnen Sie den Konfigurationsordner C:\Programme\OpenVPN\config auf dem Server-PC. Einfachste Methode: Klicken Sie im Startmenü auf OpenVPN und auf OpenVPN configuration file directory.
–Um OpenVPN im Servermodus zu starten, klicken Sie mit der rechten Maustaste auf server.ovpn und im Kontextmenü auf Start OpenVPN on this config file.
–Wie im Bild oben erscheint ein Konsolenfenster mit Statusmeldungen. Lassen Sie es geöffnet. Der Server wartet nun auf eingehende Verbindungen.
–Befindet sich der Client-PC in einem anderen Netzwerk, können Sie die Verbindung starten. Dazu klicken Sie dort mit der rechten Maustaste aufs Desktop-Symbol OpenVPN GUI und auf Als Administrator ausführen.
–Nun klicken Sie mit der rechten Maustaste aufs erscheinende Taskleistensymbol und im aufklappenden Menü auf Verbinden.
–Falls die Windows-Firewall meckert, klicken Sie auf Zugriff zulassen.
–Der Client verbindet sich nun automatisch mit dem Server. Dass die Verbindung steht, erkennen Sie am Taskleistensymbol von OpenVPN – es zeigt nun einen grünen Bildschirm.
–Per Rechtsklick auf das Symbol öffnen Sie ein Kontextmenü. Dort können Sie die Verbindung trennen, neu verbinden oder OpenVPN beenden.
–Um den Server zu stoppen, schließen Sie einfach die geöffnete Eingabeaufforderung.
OpenVPN-Server: Ordner im Netzwerk freigeben:
Ab sofort haben Sie vom Client aus einen sicheren Zugriff auf den Server und können zum Beispiel die dort verfügbaren Drucker und Netzwerkfestplatten nutzen – so als säßen Sie direkt vorm fernen PC. Solange dort keine Netzwerkfreigaben eingerichtet sind, haben Sie aber keinen Zugriff auf Ordner und Dateien. Dazu müssen Sie die gewünschten Daten noch im Netzwerk freigeben. Das geht so:
-Klicken Sie mit der rechten Maustaste auf einen Ordner, den Sie freigeben möchten.
-Klicken Sie auf Eigenschaften, Freigabe und Freigabe.
-Klappen Sie im nächsten Fenster die kleine Liste auf und klicken Sie auf Jeder, dann auf Hinzufügen.
-Nach Klicks auf Freigabe und Fertig ist der Ordner freigegeben. Wiederholen Sie das bei Bedarf für weitere Ordner und klicken Sie anschliießend auf Schließen.
-Öffnen Sie am Server den Windows Explorer und klicken Sie auf Netzwerk. Folgen Sie gegebenenfalls den Hinweisen zur Aktivierung der Netzwerkfreigabe.
-Führen Sie den letzten Schritt ebenfalls am Client-PC durch. Anschließend erscheint dort der Server-PC mit den freigegebenen Ordnern. Falls Sie am Client andere Windows-Anmeldedaten verwenden, müssen Sie beim Zugriff auf die Serverfreigabe die entsprechenden Log-in-Daten eingeben.
-Erscheint der Server nicht unter Netzwerk, geben Sie in die Adresszeile **\\10.8.0.1** ein und drücken die Eingabetaste.
-Nun sollte der VPN-Tunnel funktionieren. Erscheint jedoch beim Zugriff auf die Netzwerkfreigaben eine Fehlermeldung, ist die Verbindung wahrscheinlich fehlgeschlagen. Das testen Sie, indem Sie Sie in der Eingabeaufforderung des Servers den Befehl **ping 10.8.0.2** beziehungsweise beim Client den Befehl **ping 10.8.0.1** erteilen.
Server >>> server.ovpn
Client >>> client.ovpn
