Konfigurationsdatei erstellen
Die VPN-Konfiguration auf der FritzBox erfolgt mit Hilfe einer Konfigurationsdatei. Am einfachsten lässt sich diese Datei
mit einem Windows-Programm erstellen, das uns dankenswerter Weise von unserem langjährigen, treuen Fachhändler Jürgen Etterer,
digitalLabs, zur Verfügung gestellt wurde:
Sie können die Konfigurationsdatei aber natürlich auch von Hand erstellen. Die Datei hat folgendes Format (hervorgehobene
Texte müssen Sie durch zu Ihrem Netzwerk passende Werte ersetzen):
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "DEFENDO";
always_renew = yes; // auf "no" setzen, wenn die Verbindung nur bei Bedarf aufgebaut und bei Inaktivität abgebaut werden soll
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = <externe IP-Adresse des DEFENDO>; // bei dyn. IP des DEFENDO: remotehostname = "<DNS Name des DEFENDO>";
remote_virtualip = 0.0.0.0;
localid {
fqdn = "<DNS Name der FritzBox>"; // bei fester IP der FritzBox: ipaddr = <externe IP der FritzBox>;
}
remoteid {
ipaddr = <externe IP-Adresse des DEFENDO>; // bei dyn. IP des DEFENDO: fqdn = "<DNS Name des DEFENDO>";
}
mode = phase1_mode_idp;
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "<gemeinsame Passphrase>";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = <(LAN-)Netzwerk hinter FritzBox (z.B. 192.168.1.0)>;
mask = <zugehörige Netzmaske (z.B. 255.255.255.0)>;
}
}
phase2remoteid {
ipnet {
ipaddr = <(LAN-)Netzwerk hinter DEFENDO (z.B. 192.168.0.0)>;
mask = <zugehörige Netzmaske (z.B. 255.255.255.0)>;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs"; // comp-all: Komprimierung aktiv. Muss auf DEFENDO ebenfalls aktiviert werden!
accesslist = "permit ip <Netz hinter FritzBox> <zugeh. Netzmaske> <Netz hinter DEFENDO> <zugeh. Netzmaske>";
// z.B. "permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Passen Sie diese Beispieldatei an und speichern Sie diese mit der Endung *.cfg.
Bei Verwendung einer "phase2ss" mit Komprimierung, muss in der Verbindungskonfiguration auf dem DEFENDO die Option "IPComp Komprimierung" aktiviert werden. Sie finden diese Einstellung auf dem Reiter (Tab) "Optionen" (vor Version 7.1-2.0 auf dem Tab "Phase 2"). Die von uns empfohlene Einstellung phase2ss = "esp-all-all/ah-none/comp-all/pfs"
(siehe oben) nutzt Komprimierung ("comp-all").
Konfigurationsdatei mit mehreren Netzen
Um mehrere Netzwerke miteinander zu verbinden, müssen Sie mehrere Verbindungen anlegen. Kopieren Sie dazu die komplette Verbindung
(ohne Schlüsselwort "connections" aber mit der geschweiften Klammer) und passen Sie folgende Parameter an:
- name: Jede Verbindung sollte einen eigenen Namen erhalten
- phase2localid: Falls ein weiteres Netzwerk seitens der Fritzbox verbunden werden soll, ändern Sie "ipaddr" und "mask" bitte
hier ab
- phase2remoteid: Falls hingegen ein weiteres Netzwerk seitens des DEFENDOs verbunden werden soll, ändern Sie "ipaddr" und "mask" stattdessen bitte hier
- accesslist: die Netze müssen immer passend zu "phase2localid" und "phase2remoteid" konfiguriert sein
Das nachfolgende Beispiel zeigt, wie das FritzBox Netzwerk 192.168.1.0/255.255.255.0 mit den zwei
DEFENDO Netzen 192.168.0.0/255.255.255.0 und 192.168.2.0/255.255.255.0 verbunden wird:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "DEFENDO 1. Verbindung";
... // alle weiteren Parameter wie oben
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.0.0 255.255.255.0";
}{
enabled = yes;
conn_type = conntype_lan;
name = "DEFENDO 2. Verbindung";
... // alle weiteren Parameter wie oben
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Konfigurationsdatei hochladen
Diese Konfigurationsdatei laden Sie auf die FritzBox, indem Sie im Bereich "Internet" in den "Freigaben" auf den Reiter (Tab)
"VPN" klicken. Dort können sie mit einem Klick auf "Durchsuchen..." die erstellte CFG-Datei auswählen...

... und diese dann mit "VPN-Einstellungen importieren" einlesen lassen. Dies dauert einen Augenblick!

Sobald der Import abgeschlossen ist, sollte im unteren Bereich des Fensters die VPN-Verbindung angezeigt werden und der Status
wie im gezeigten Bild auf "grün" schalten.

Kontrolle der Ereignisse
Unter "System > Ereignisse" wird der Verbindungsaufbau protokolliert. Hier erhalten Sie auch eine Meldung, wenn der VPN-Aufbau
nicht klappt.