ecki75
Goto Top

VPN zu FritzBox über Hardware?

Hallöschen zusammen,

ich hänge gerade an einem Problem mit unserem Firmennetzwerk. Ich habe einige Mitarbeiter im Homeoffice.
Diese haben zu Hause Ihren eigenen Router und ihren eigenen Internetanschluss (diverse Anbieter und Hersteller). Alle arbeiten am Laptop und haben ein Voip-Systemtelefon.

Da die Voip-Telefone zwar eine Funktion haben sich direkt über das VPN der Fritzbox anzumelden, das aber nicht stabil funktioniert, suche ich im Prinzip einen kleinen Switch, der die Verbindung zu unserer 7490 aufbaut. Dann haben die Mitarbeiter weiter ihr privates Internet und ich habe (hoffentlich) eine kontinuierliche und stabile VPN Verbindung für das Telefon und das Laptop.

Hat da jemand Erfahrungen wie man das am besten umsetzt? Es gibt von TP-Link einen kleinen managed Switch der als "VPN Switch" angeboten wird. Kosten sind mit 50 Euro überschaubar: TP-Link ER605 Omada
Allerdings habe ich keine Ahnung ob das funktioniert und der Support ist nicht erreichbar :/

Danke für Eure Hilfe und Tipps!

Grüße
Ecki

Content-ID: 7162873304

Url: https://administrator.de/forum/vpn-zu-fritzbox-ueber-hardware-7162873304.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

Kristian-86Bit
Kristian-86Bit 15.05.2023 aktualisiert um 14:41:56 Uhr
Goto Top
Zitat von @Ecki75:

Hallöschen zusammen,

Moin,

ich hänge gerade an einem Problem mit unserem Firmennetzwerk. Ich habe einige Mitarbeiter im Homeoffice.
Diese haben zu Hause Ihren eigenen Router und ihren eigenen Internetanschluss (diverse Anbieter und Hersteller). Alle arbeiten am Laptop und haben ein Voip-Systemtelefon.

Davon ist auszugehen das alle einen Internetanschluss und einen Router haben
Sorry, an der Stelle... konnte es mir nicht verkneifen face-smile


Da die Voip-Telefone zwar eine Funktion haben sich direkt über das VPN der Fritzbox anzumelden, das aber nicht stabil funktioniert, suche ich im Prinzip einen kleinen Switch, der die Verbindung zu unserer 7490 aufbaut. Dann haben die Mitarbeiter weiter ihr privates Internet und ich habe (hoffentlich) eine kontinuierliche und stabile VPN Verbindung für das Telefon und das Laptop.

Naja, das liegt auch nicht zu 100% in deiner Hand. Bei einer "geringen" Breitbandgeschwindigkeit
und evtl. Störungen des Providers hast du dort keinen Einfluss drauf!


Hat da jemand Erfahrungen wie man das am besten umsetzt? Es gibt von TP-Link einen kleinen managed Switch der als "VPN Switch" angeboten wird. Kosten sind mit 50 Euro überschaubar: TP-Link ER605 Omada
Allerdings habe ich keine Ahnung ob das funktioniert und der Support ist nicht erreichbar :/

Ich würde an deiner Stelle (meine Meinung) lieber das Geld in eine ordentliche FW investieren.
Und über eventuelle Switches mit "QoS" Funktion integrieren.


Gruß
aqui
Lösung aqui 15.05.2023 aktualisiert um 15:03:13 Uhr
Goto Top
Hat da jemand Erfahrungen wie man das am besten umsetzt?
Sicher eine überflüssige, da evidente Frage in einem Administrator Forum. face-wink

Mikrotik Router wären z.B. eine elegante und preiswerte Lösung die sowohl mit IPsec VPNs als auch per Wireguard mit der FritzBox (und allen anderen VPN Routern und Firewalls) problemlos zusammenarbeiten.
Los gehts z.B. mit einem einfachen 26 Euro Router.
Diverse HowTos zum Verheiraten mit der Fritte findest du hier im Forum:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a

Bei Wireguard VPNs mit der Fritzbox gibt es allerdings ein paar Besonderheiten zu beachten da AVM eine nicht Standard basierte Wireguard Konfig auf den FBs verwendet aber das ist auch sehr einfach lösbar:
S2S-Wireguard: AVM zu Mikrotik
Lesen und verstehen! face-wink
Ecki75
Ecki75 15.05.2023 um 15:13:31 Uhr
Goto Top
Hallo,
danke Euch beiden erstmal für die Schmunzelkommentare face-wink aber vielmehr noch für den technischen Teil Eurer Antworten. An Mikrotik hatte ich auch schon gedacht - mit den Mikrotik Kisten hatte ich vor Jahren schon mal das Vergnügen. Wenn man weiß, was man macht gibt es wohl kaum etwas, das sie nicht können. Ich hoffe, die How-Tos sind auch für Menschen wie mich geschrieben ;) Ich werde mal einen bestellen und es einfach versuchen.

Danke und Grüße
Ecki
aqui
aqui 15.05.2023, aktualisiert am 19.05.2024 um 14:03:21 Uhr
Goto Top
Ich hoffe, die How-Tos sind auch für Menschen wie mich geschrieben
Das sind sie! Aber du bist ja dann so oder so ein gestandener Mikrotik Profi wenn du die Kisten kennst. Wo ist also dein wirkliches Problem?!
Ansonsten verfassen wir für dich hier nochmal ein extra Tutorial mit vielen bunten Bildern (siehe unten) damit du es mit dem neu bestellten Router auch ganz sicher mit der FB zum Fliegen bekommst! 😉
kevsei
kevsei 15.05.2023 aktualisiert um 17:46:51 Uhr
Goto Top
Moin,

eine Alternative Lösung (aber bestimmt nicht mal ebenso umzusetzen), wäre es die Telefonie vom normalen Telefon auf den Laptop mittels Software und Headset zu verlagern. So hätten die Mitarbeiter 2 Geräte weniger zu hause. Der Laptop baut die Verbindung zum VPN ja eh auf (Software oder direkt über Windows usw.).

Hätte den netten Effekt, dass man auch nicht mehr Unsummen an Geld für Telefonhardware ausgeben muss, damit die Mitarbeiter ein bisschen quatschen können face-smile

Grüße
Ecki75
Ecki75 17.05.2023 um 15:56:03 Uhr
Goto Top
Hallo aqui, vielen, lieben Dank für das Angebot mit der IKEA-Style Anleitung - könnte sein, dass ich darauf zurückkommen muss ;)
Die letzten Mikrotik Router waren zum Betreiben einer Richtfunkstrecke mit verschiedenen Vlans über eine Mikrotik Antenne und das hatte ich nur übernommen und nicht eingerichtet.

@kevsei: Die Alternative hatte ich auch schon mal überlegt aber dummerweise habe ich erst die Systemtelefone von Auerswald gekauft und dann festgestellt, dass die dauernde VPN-Verbindung Probleme macht. Zusätzlich kann man die Telefone zwar über Weboberfläche konfigurieren - die VPN-Einstellungen aber nicht, nur über das Minidisplay des Telefons ... aber zu spät - jetzt sind sie angeschafft und ich persönlich hab auch gerne noch ein Telefon in der Hand zum Telefonieren face-smile

Danke Euch!

Grüße
Ecki
aqui
aqui 17.05.2023 um 16:23:12 Uhr
Goto Top
könnte sein, dass ich darauf zurückkommen muss
Kein Problem, dafür ist ein Forum ja da. face-wink
Der hiesige Thread erklärt es aber auch absolut Anfänger kompatibel. Ansonsten einfach fragen.
aqui
aqui 07.05.2024, aktualisiert am 10.06.2024 um 15:39:57 Uhr
Goto Top
Ein praxistaugliches Beispielsetup mit einer zentralen Fritzbox mit fester IPv4 IP und 2 Mikrotik VPN Router an Netzen mit wechselnder, dynamischer IP, DS-Lite tec. ist im folgenden beschrieben.
Natürlich funktioniert so ein Setup auch an einer zentralen Fritzbox mit wechselnder IP und DDNS Hostnamen wie z.B. myfritz.de etc.
Die Mikrotiks werden in bestehende Heimnetze gesteckt und realisieren dort ein geschütztes, abgetrenntes Büronetz z.B. für Home Office Benutzer. Dies enthält auch ein Telefon oder Softphone was per VoIP über den VPN Tunnel mit der zentralen Fritzbox kommuniziert.
Mit diesem Setup ist man vollständig unabhängig vom bestehenden Heimnetz und kann die Mikrotik Router den Home Office Usern "Plug and Play fertig" mitgeben. Es hat den zusätzlichen Vorteil das die Büronetz Komponenten durch die Mikrotik Firewall sicher vom Heimnetz getrennt sind.
Los gehts...
⚠️ Verbessertes Setup im Folgethread!


back-to-topStandard VPN Netzdesign


Basis ist ein klassisches IPsec VPN Design mit der Fritzbox als VPN Responder (Server) und den Mikrotiks als Initiator (Client).

mt-fb-vpn.

Durch die Initiator Funktion auf der VPN Client Seite ist dabei die Art und Weise des remoten Heimnetzes egal. Ob dies ein DS-Lite, CGN oder Dual Stack Anschluss ist und ob die Heimnetze eine gleiche IP Adressierung haben spielt keinerlei Rolle.
(Für die Simulation der DDNS (Dynamic DNS) Adressen werden hier die bekannten nip.io Adressen verwendet. Die Fritzbox verwendet im Setup die feste WAN IP Adresse: 10.1.10.199)
❗️Obsolet! 👉🏽 Siehe verbessertes Setup im Folgethread!

back-to-topSetup Mikrotik IPsec VPN


back-to-top1.) Setting der Phase 1 und Phase 2 Default Proposals:

(Optional kann man hier auch jeweils ein dediziertes Profil für die Fritzbox erstellen)
mtprof-prop

back-to-top2.) Peer Definition Fritzbox:

Da die remoten Mikrotiks in den verwendeten Heimnetzen wechselnde IPs oder bei DS-Lite z.B. eine zentrale Provider IP verwenden sind die IP Adressen die als VPN ID unbrauchbar. Hier arbeitet man immer mit internen FQDN IDs wie z.B. fritzbox1.internal, fritzbox2.internal usw.
Sinnvoller wäre es sicher dies Usernamen bezogen zu machen wie schmidt.internal, meier.internal usw. Wichtig ist das die Mikrotik IDs immer individuell sind wie auch die jeweiligen lokalen IP Netze (Büronetze) am Mikrotik. (Siehe dazu auch hier!)
mt-peer-prop

back-to-topFritzbox VPN Konfiguration


Die dazu korrespondierende Fritzbox VPN Konfigurationsdatei für den Import sieht dann entsprechend dazu aus:
Inhalt mit einem Editor in eine einfache Textdatei kopieren, auf die eigene IP Adressierung anpassen und in die Fritzbox importieren.
Für weitere Mikrotiks fügt man ganz einfach per Cut and Paste weitere Connections mit den entsprechenden Daten hinzu.
Die DDNS Adressen und Passwörter müssen hier mit einem Text Editor natürlich vor dem Hochladen auf die Fritzbox an die eigenen angepasst werden!
⚠️ DDNS Adressen der Peers sind obsolet und nicht erforderlich auf der Fritzbox Seite!
👉🏽 Siehe verbessertes Fritzbox VPN Setup einen Thread weiter!!
vpncfg {
        vpncfg_version = 3;
        connections {
                enabled = yes;
                editable = yes;
                use_ikev2 = no;
                conn_type = conntype_lan;
                name = "Mikrotik-1";  
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = ::;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "0a630196.nip.io";  
                keepalive_ip = 0.0.0.0;
                localid {
                        ipaddr = 10.1.10.199;
                }
                remoteid {
                        fqdn = "fritzbox1.internal";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "test1234";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.88.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 192.168.88.0 255.255.255.0";  
        } {
                enabled = yes;
                editable = yes;
                use_ikev2 = no;
                conn_type = conntype_lan;
                name = "Mikrotik-2";  
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = ::;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "0a0b0196.nip.io";  
                keepalive_ip = 0.0.0.0;
                localid {
                        ipaddr = 10.1.10.199;
                }
                remoteid {
                        fqdn = "fritzbox2.internal";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "test1234";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.18.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 192.168.18.0 255.255.255.0";  
        }
} 
(Wer die VPN Verbindung nicht editierbar haben möchte in der Fritzbox setzt editable = no; !)

back-to-topPing und Funktionscheck


Entsprechend werden die VPN Tunnel fehlerfrei aufgebaut und auch Ping Checks laufen problemlos.
Die im Bürosegment angeschlossenen VoIP Telefone registreiren sich dann an der Fritzbox und laufen ebenso erwartungsgemäß fehlerfrei.
Getestet wurde das o.a. Setup mit Cisco VoIP Telefonen die an der FB registriert sind. (Weitere Infos dazu auch hier)
fritzvpn

Works as designed! 👍 😉
aqui
aqui 09.05.2024, aktualisiert am 10.06.2024 um 15:53:14 Uhr
Goto Top
Es gibt eine entscheidende Korrektur zum Besseren die das VPN Setup noch einmal deutlich vereinfacht!!!
Durch diese Änderung sind DDNS Adressen bzw. Hostnamen für die Peers der remoten Mikrotiks überflüssig!
Man erspart sich so lästige Fragerei nach IP Adressen, DDNS usw. in den Zielnetzen der Home Office Kollegen und ist damit vollkommen unabhängig von deren lokalem Setup.

Zur einfachen Lösung gibt man, wie generell üblich, die "0.0.0.0" als Peer IP Adresse auf der Responderseite also der Fritzbox ein mit dem Parameter remoteip = 0.0.0.0;
Mit diesem IP Setup akzeptiert die Fritzbox generell alle eingehende VPN Verbindungen, egal von welcher Absender IP Adresse und ob DS-Lite oder nicht.

Damit kann man den Home Office Kollegen den Mikrotik fertig konfiguriert als "Plug and Play Box" mitgeben die sie lediglich nur noch ins heimische Netzwerk klemmen müssen für den Bürozugang! face-wink
Es ist damit auch vollkommen irrelevant ob dort ggf. DS-Lite, CGNAT usw. vorhanden ist da die Anschlussart mit dieser Anpassung ohne jeglichen Einfluß auf das gesamte VPN Setup ist.


Die damit deutlich verbesserte, da einfachere Version des o.a. Tutorials sieht dann so aus:

back-to-topFritzbox VPN Konfiguration


Den Inhalt auch hier wieder ganz einfach mit einem Text Editor wie z.B. Notepad++ in eine einfache Textdatei kopieren, auf die eigene IP Adressierung anpassen und in die Fritzbox über die VPN Upload Funktion importieren.
Hier mit verbessertem Setup mit 8 Stunden Key Lifetime in Phase 1 "phase1ss = "LT8h/all/all/all";" !
vpncfg {
        vpncfg_version = 3;
        connections {
                enabled = yes;
                editable = no;
                use_ikev2 = no;
                conn_type = conntype_lan;
                name = "Mikrotik-1";    
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                localid {
                        ipaddr = 10.1.10.199;
                }
                remoteid {
                        fqdn = "fritzbox1.internal";    
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "test1234";    
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.88.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";    
                accesslist = "permit ip any 192.168.88.0 255.255.255.0";    
        } {
                enabled = yes;
                editable = no;
                use_ikev2 = no;
                conn_type = conntype_lan;
                name = "Mikrotik-2";    
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0; 
                keepalive_ip = 0.0.0.0;
                localid {
                        ipaddr = 10.1.10.199;
                }
                remoteid {
                        fqdn = "fritzbox2.internal";    
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";    
                keytype = connkeytype_pre_shared;
                key = "test1234";    
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.18.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";    
                accesslist = "permit ip any 192.168.18.0 255.255.255.0";    
        }
} 

back-to-topAnpassungen der Mikrotik VPN Konfig


⚠️ Hier muss unbedingt in den Policies unter Action der Level auf Unique gesetzt sein!!
Danach kommen die Peers sofort hoch im Status "Established" (Verbunden) und auch die Fritzbox VPN Indikatoren werden grün!

fb2mikrotik2

back-to-topPing Check Mikrotik


Hier ist beim Pingen der Fritzbox über den VPN Tunnel zwingend darauf zu achten in den Advanced Settings die Absender IP auf die lokale LAN IP zu setzen!!
Andernfalls verwendet der Mikrotik eine andere Absender IP und der VPN Ping geht ins Nirwana!

fb2mikrotik3

back-to-topConnection Check Fritzbox


fb2mikrotik

Fazit: Works much better and also as designed!! 👍 😉

(Wie man das gesamte Setup unter einem Wireguard VPN mit der nicht Standard konformen AVM / Fritzbox Wireguard Implementation zum Laufen bekommt erklärt ein separates Forentutorial)