Standortkopplung FRITZ!Box mit Lancom Router

Die Erstellung der VPN-Konfiguration für die FRITZ!Box, wird normalerweise mit Hilfe der AVM Software „FRITZ!Box-Fernzugang“ erstellt. Da wir nur 15 Minuten 🙂 haben, werden wir eine fertige Konfiguration nutzen und diese unseren Gegebenheiten anpassen. Am Ende des Artikels, befindet sich eine Konfiguration zum Download. In der nachfolgenden Konfig, müssen die Einträge: angepasst werden.

Einstellung FRITZ!Box


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = ;
remote_virtualip = 0.0.0.0;
localid {
ipaddr = ;
}
remoteid {
ipaddr = ;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = ;
mask = ;
}
}
phase2remoteid {
ipnet {
ipaddr = ;
mask = ;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any ";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF


Diese Konfiguration importieren wir nun in die FRITZ!Box. Nach dem Anmelden an der Box, gehen wir zu dem Menüpunkt: „Internet->Freigaben->VPN“ und laden die Konfiguration in die Anlage hoch.

Einstellung Lancom Router

Alle Einstellungen auf dem Lancom Router werden mit Hilfe der Software „LANconfig“ durchgeführt. Als erstes, melden wir uns an dem Lancom Router an um Ihn zu konfigurien. Alle Einstellungen werden im Menüpunkt „VPN“ durchgeführt.

Als Erstes prüfen wir die allgemeinen Einstellungen unter dem Menüpunkt: „VPN“ -> „Allgemein“ ob die folgenden Werte gesetzt sind. Wenn nicht, dann bitte setzen.

NAT-Traversal aktiviert = Ja
Aufbau Netzbeziehungen (SAs): = Gemeinsam für KeepAlive
Virtual Private Network = Aktiviert

Nun legen wir den IKE-Schlüssel und die Identität an. Als Name für die Speicherung aller nachfolgenden Einstellungen nutzen wir in diesem Beipiel „NET42“.

Den Menüpunkt „VPN“ -> „IKE-Auth.“ -> „IKE-schlüssel und Identitäten“ auswählen. Es öffnet sich ein Fenster, in dem wir auf „Hinzufügen“ klicken. Folgendes geben wir dann ein:

Bezeichnung = NET42
Preshared-Key = 
Lokaler Identität-Typ = keine Identität
Entfernter Identität-Typ = keine Identität

Zum Abschluss, bestätigen wir die gemachten Einstellungen mit einem OK. Nun wird der Schlüssel und die Identität „NET42“ in der Übersicht angezeigt.

Als nächstes, legen wir einen neuen IPsec-Proposal unter: „VPN“ -> „IPsec-Param.“ -> „IPSec-Proposals“, durch „Hinzufügen“ mit den folgenen Einstellungen an:

Bezeichnung = NET42
Modus = Tunnel
Im Bereich ESP-Proposal:
Verschlüsselung = AES-CBC
Schlüssel-Länge = 256
Authentifizierung = HMAC-SHA1
Bereich AH-Proposal:
Authentifizierung = Kein AH
Bereich IPCOMP-Proposal
Authentifizierung = Kein IPCOMP
Bereich Gültigkeitsdauer
Gültigkeitsdauer = 3600 Sekunden und 200000 kBytes

Nun legen wir im Menüpunkt: „VPN“ -> „Allgemein“ -> „Verbindungs-Parameter“ einen neuen Parameter mit folgenden Werten an:

Bezeichnung = NET42
PFS-Gruppe = 2 (MODP-1024)
IKE-Gruppe = 2 (MODP-1024)
IKE-Proposals = IKE_PRESH_KEY
IKE-Schlüssel = NET42
IPSec-Proposals = ESP_TN

Nachdem wir die Verbindungsparameter gespeichert haben, legen wir eine neue Verbindung im Menüpunkt: „VPN“ -> „Allgemein“ -> „Verbindungs-Liste“ mit folgenden Werten an:

Name der Verbindung = NET42
Haltezeit = 3600
Dead Peer Detection = 90
Extranet-Adresse = 0.0.0.0
Entferntes Gateway = 
Regelerzeugung = Automatisch
Dynamische VPN-Verbindung (nur mit kompatiblen Gegenstellen) = kein dynamisches VPN
IKE-Exchange = Aggressiv Mode
OSCP-Prüfung = Haken raus
IKE-CFG = AUS
XAUTH = AUS
IPSec-over-HTTPS = AUS
Routing-Tag = 0

Abschließend werden wir im Menüpunkt: „IP-Router“ -> „Routing“ -> „Routing-Tabelle“ noch eine Route für das VPN-Netz wie folgt anlegen:

IP-Adresse = 
Netzmake = 
Routing-Tag = 0
Schaltzustand = Rote ist aktiviert und wird immer via RIP propagiert (sticky)
Router = NET42
Distanz = 0
IP-Maskierung = IP-Maskierung abgeschaltet

Im Anschluss daran, laden wir die geänderte Konfig-Datei in den LANCOM-Router und starten diesen ggf. neu.

Nach dem Neustart sollte die VPN-Verbindung aufgebaut werden. Wichtig ist immer, dass die Daten auf beiden Seiten übereinstimmen und man keinen Fehler in der Konfiguration gemacht hat. Schon ein falscher Name oder ein falsch gesetzter Hacken, kann das Nicht-Funktionieren der VPN-Verbindung auslösen.