Das VPN funktioniert bei der FritzBox normalerweise über die öffentliche IP-Adresse bzw. dem myFritz-Dienst (oder einem anderen DynDNS-Dienst) realiisert. Für den Unterricht natürlich ein ungeeignetes Setting.
Es lässt sich aber auch ein VPN-Szenario aufbauen, wenn die FritzBoxen jeweils als kaskadierter Router konfiguriert werden:
Die „Internet-Wolke“ ist in diesem Fall das Schulnetz, d.h. das Szenario wird sowohl auf der LAN- als auch auf der WAN-Seite mit privaten Adressen eingerichtet.
Vorbereitungen
Die Anleitung zum Einrichten der der FritzBoxen als kaskadierter Router findet sich hier. Dabei bekommen die Boxen auf der WAN-Seite eine statische IP-Adresse aus dem Labornetz (bei mir 192.168.40.0 /24). Als Gateway bzw. DNS-Server können der „echte“ Gateway bzw. DNS-Server konfiguriert werden (bei mir 192.168.40.1), so können die Rechner in den lokalen Netzen der FritzBoxen auch ins Schulnetz bzw. ins Internet.
Auf der LAN-Seite bekommen die Rechner von den FritzBoxen standardmäßig eine IP-Adressse aus dem Netz 192.168.178.0 per DHCP zugewiesen. Die einzelnen FritzBoxen bekommen hier noch eine individuelle Konfiguration (bei mir neben der 192.168.178.1 noch die 192.168.100.1 und die 192.168.200.1).
VPN-Konfiguration
Die „offizielle“ Anleitung zum Einrichten eines VPN (LAN-to-LAN) findet sich hier. Die Anleitung für FritzOS 7.28 und neuer und muss natürlich für unser Szenario angepasst werden.
In unserem Szenario mit drei FritzBoxen werden pro FritzBox zwei VPN-Verbindungen aufgebaut, d.h. jede VPN-Verbindung muss mit den selben Angaben auf zwei FritzBoxen konfiguriert werden.
Die VPN-Konfiguration findet sich unter „Internet“ unter „Freigaben“, hier die Registerkarte „VPN“ auswählen. Hier können verschiedene VPN-Verbindungen hinzugefügt werden, für uns die Variante „Ihr Heimnetzwerk mit einem anderen FritzBox-Netzwerk verbinden (LAN-LAN-Kopplung)“:
Hier exemplarisch die Konfiguration einer VPN-Verbindung:
- Das „VPN-Kennwort“ muss auf beiden FritzBoxen identisch sein.
- Der „Name der VPN-Verbindung sollte der Übersicht wegen auch auf beiden FritzBoxen identisch sein – muss aber nicht.
- Unter „Internet-Adresse der Gegenstelle“ muss die jeweilige IP-Adresse der entfernten WAN-Schnittstelle eingetragen werden (bei mir die 192.168.40.84 bei der einen und 192.168.40.60 bei der anderen FritzBox).
- Unter „Internet-Adresse dieser FritzBox“ muss die jeweilige IP-Adresse der eigenen WAN-Schnittstelle eingetragen werden (bei mir die 192.168.40.60 bei der einen und 192.168.40.84 bei der anderen FritzBox).
- Bei „VPN-Verbindung dauerhaft halten“ das Häckchen setzen – das erleichtert die Fehlersuche bzw. die Abnahme.
- Fertig.
Die bestehenden VPN-Verbindungen werden dann in der Tabellle unter „VPN“ angezeigt.
Auch direkt in der „Übersicht“ werden die bestehenden VPN-Verbindungen angezeigt:
Die angeschlossenen Rechner auf der LAN-Seite der einzelnen FritzBoxen sollten sich dann z.B. per Ping erreichen können:
ping 192.168.100.20TTL=63
Ping wird ausgeführt für 192.168.100.1 mit 32 Bytes Daten:
Antwort von 192.168.100.20: Bytes=32 Zeit=2ms TTL=63
Antwort von 192.168.100.20: Bytes=32 Zeit=2ms TTL=63
Antwort von 192.168.100.20: Bytes=32 Zeit=2ms TTL=63
Antwort von 192.168.100.20: Bytes=32 Zeit=2ms
Mit Wireshark wird deutlich, dass die Kommunikation zwischen Rechner und FritzBox unverschlüsselt erfolgt (hier das Protoll ICMP mit der „Nutzlast“ abcdefg…).
… und mit einem Monitoring-Port am Switch, der die ganzen FritzBoxen verbindet („WAN-Switch“ in die „Internet-Wolke“) kann gezeigt werden, dass die Verbindung zwischen den Fritzboxen verschlüsselt erfolgt (hier das Protokoll ESP – Encapsulating Security Payload – als Bestandteil von IPsec).
