VPN

Archivierte Anleitung

Dieser Artikel wurde archiviert, da er - oder Teile daraus - nur noch unter einer älteren Ubuntu-Version nutzbar ist. Diese Anleitung wird vom Wiki-Team weder auf Richtigkeit überprüft noch anderweitig gepflegt. Zusätzlich wurde der Artikel für weitere Änderungen gesperrt.

Anmerkung: Das beschriebene Vorgehen ist mit neueren Version von FritzBox OS überflüssig, da der Aufbau eines VPN erheblich einfacher geworden ist. Mit dem Cisco-kompatiblen VPN-Client (vpnc), den man aus den Paketquellen installieren kann, ist der Zugang komplett über die Benutzeroberfläche möglich. Mehr dazu in diesem Blogbeitrag {de} .

Artikel für fortgeschrittene Anwender

Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Inhaltsverzeichnis

Installation
Liste VPN-fähiger FritzBoxen
Konfiguration der FritzBox
Konfiguration in Ubuntu
Problembehandlung
OpenVPN mit der FritzBox
Anmerkung
Links

Seit der FritzBox 7100-Serie von AVM ist es auf einfache Weise möglich, ein VPN fürs heimische Netzwerk einzurichten. Leider hat der Hersteller nur Software für Windows bereitgestellt, man kann aber unter Ubuntu den Shrew Soft VPN Client nutzen. Dieser steht als fertiges Paket in den Ubuntu-Quellen bereit.

Ab Ubuntu 11.10 funktioniert der Ansatz nicht mehr, da es Probleme mit der Version der Pakete gibt. Ein Workaround ist, ältere Pakete zu installieren wie in diesem Blog {de} beschrieben.

Eine Alternative ist die Einrichtung als iPhone auf der Fritz!Box und ein VPNC-Client unter Linux. Eine Beschreibung für Xubuntu finden Sie auf dieser privaten Homepage {de} .

Installation¶

Über folgende Pakete wird der Shrew Soft VPN Client installiert ^[1]:

ike (universe)
ike-qtgui (universe)

Wiki/Vorlagen/Installbutton/button.png mit apturl

Paketliste zum Kopieren:

sudo apt-get install ike ike-qtgui

sudo aptitude install ike ike-qtgui

Liste VPN-fähiger FritzBoxen¶

FRITZ!Box 2170
FRITZ!Box WLAN 3170
FRITZ!Box WLAN 3270
FRITZ!Box WLAN 3370
FRITZ!Box 6360 Cable
FRITZ!Box Fon WLAN 7170
FRITZ!Box Fon WLAN 7170 SL
FRITZ!Box Fon WLAN 7240
FRITZ!Box Fon WLAN 7270
FRITZ!BOX Fon WLAN 7312
FRITZ!BOX Fon WLAN 7360 SL
FRITZ!Box Fon WLAN 7390
FRITZ!Box Fon WLAN 7570

Die Liste erhebt keinen Anspruch auf Vollständigkeit. Auf der Herstellerseite kann man prüfen, ob die eigene FritzBox VPN unterstützt.

Wenn der eigene Router nicht in der Liste steht, aber von AVM hergestellt wurde, kann in einigen Fällen eine angepasste Firmware von einer der oben genannten Boxen geflasht werden. Dies gilt für bestimmte FritzBoxen, wie die 7141, und T-Com Speedport Modelle. Die Anleitung ist im IPPF-Wiki {de} zu finden, selbstverständlich auf eigene Gefahr und auf Kosten der Garantie.

Konfiguration der FritzBox¶

Dafür wird die Software "FRITZ!Box-Fernzugang einrichten" benötigt. Diese liegt ebenfalls nur als Windows-Version vor, installieren kann man sie also nur mit Wine oder man nutzt dafür einen Windows-PC. Eine Konfigurationshilfe findet man zusammen mit der Software im VPN-Portal {de} von AVM. Die Konfigurationsdatei findet man anschließend im Pfad ~/.wine/drive_c/windows/profiles/"Benutzer"/Anwendungsdaten/AVM/FRITZ!Fernzugang/"dynamische-IP"/fritzbox_dynamische-IP.cfg.

Konfiguration in Ubuntu¶

Voreinstellungen¶

Damit der VPN-Zugriff einwandfrei funktioniert, muss das Netzwerk, aus dem man auf die FritzBox zugreift, in einem anderen IP-Adressbereich liegen als das interne der FritzBox. Dadurch ist es auch nach erfolgreicher Konfiguration nicht möglich, aus dem Netzwerk der FritzBox heraus den VPN-Zugriff zu testen!

Anschließend stellt man in den Dateien

/etc/sysctl.conf
/etc/sysctl.d/10-network-security.conf

die Einträge, welche im Namen rp_filter=1 enthalten, den Wert von Eins auf Null. Bei Neuinstallationen findet man diese nur in der Datei 10-network-security.conf. Aktiviert werden die Einstellungen durch einen Neustart.

VPN-Client¶

Die Konfiguration des Clients wird von AVM in dieser Anleitung {de} beschrieben. Sie weicht nur in folgendem Unterpunkt ab:

7. Nehmen Sie auf der Registerkarte "Phase 2" folgende Einstellungen vor:
Wählen Sie im Ausklappmenü "Transform Algorithm" den Eintrag "esp-aes".

Die Option "esp-aes" gibt es bei der Linux-Variante nicht, stattdessen kann man "aes" oder "auto" nehmen.

Die in der Anleitung benötigten Informationen, wie Key, IP-Netzwerk der FRITZ!Box, etc. findet man in der oben schon erwähnten Datei fritzbox_dynamische-IP.cfg.

Alternative¶

Falls die obige Anleitung nicht klappt, kann Shrew Soft VPN auch unter Windows installiert und konfiguriert werden. Die so erstellten Konfigurationsdateien können mit Hilfe eines Skriptes aus dem Forum an die Linux-Version angepasst werden. Zuerst muss man das Skript vpnseter.pl {dl} herunterladen und ihm mit

chmode 744 vpnseter.pl

die nötigen Rechte geben. Die von der AVM-Software erstellten VPN-Profile werden nun mit dem Script aufgerufen:

./vpnseter.pl Konfigdatei.vpn

Die neue Konfigurationsdatei wird automatisch in den Ordner vom Shrew VPN Client kopiert.

VPN-Verbindung ohne GUI aufbauen¶

Um zum Beispiel von extern automatisierte Backups zu erstellen kann es notwendig sein, sich von einem Ubuntu-Rechner ohne grafische Benutzeroberfläche (GUI) am Fritz!Box-VPN anzumelden. Das VPN-Client-Programm ikec unterstützt zwar das automatische Laden und Ausführen einer Konfiguration, erfordert allerdings einen vorhandenen X-Server. Abhilfe schafft der Virtual Frame-Buffer (Xvfb) des X.org {en} -Projektes.

Dazu muss man zunächst das entsprechende Paket installieren:

xvfb (universe )

Wiki/Vorlagen/Installbutton/button.png mit apturl

Paketliste zum Kopieren:

sudo apt-get install xvfb

sudo aptitude install xvfb

Danach kann man mit diesem Befehl einen VPN-Tunnel aufbauen

xvfb-run -a ikec -r <ConfigName> -a

Dabei ist <ConfigName> durch den Namen (ohne Pfadangabe) der Konfigurationsdatei zu ersetzen. Die Konfigurationsdatei liegt im Verzeichnis ~/.ike/sites.

Den Tunnel beendet man dann über die Tastenkombination Ctrl+C bzw. über das Senden eines SIGTERM-Signals an den entsprechenden Prozess (kill <ProzessId>).

Problembehandlung¶

Falls keine der Konfigurationen oder nach einer Veränderung am System das VPN nicht mehr funktioniert, solltet Ihr vor einer Anfrage im Forum die benötigten Informationen zusammentragen. Das sind alle oben genannten Konfigurationsdateien (das Löschen der VPN-Passwörter kann dabei notfalls die Ablage („No Paste Service“) übernehmen.

Des weiteren hilft die Kernelroutentabelle:

user@pc:~$ route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.178.0   192.168.178.240 255.255.255.0   UG    0      0        0 tap0
...

Das Beispiel zeigt den VPN-Zugriff auf eine FritzBox mit der IP 192.168.178.1 .

OpenVPN mit der FritzBox¶

Statt dem offiziellen FritzBox VPN kann man auch mit Hilfe des Projektes Freetz eine alternative Firmware mit dem Modul OpenVPN kompilieren. Mehr Infos auf der Homepage {de} des Projektes.

Anmerkung¶

Auch mit Fritz OS 5.42 (und Kubuntu 12.10) läßt sich ein VPN ohne Probleme einrichten. Nach Laden von network-manager-vpnc aus den Paketquellen findet man im Networkmanager den Punkt VPNC. Nach Eintragen von Benutzer, Benutzerpasswort, Gruppenname (wie Benutzer) und Gruppenpasswort (das lange Passwort aus der Konfigurationsdatei) kann der Networkmanager neu gestartet werden und es erscheint das VPN im Networkmanager. anklicken und VPN verbindet. Mit Fritz!Fernzugang unter Wine werden die Konfigurationsdaten für iPhone in einer Textdatei erstellt. Siehe oben.

Links¶

AVM VPN-Portal
http://www.shrew.net/
- Foreneintrag zur Übernahme der Windows-Einstellungen vom Shrew VPN Client
Eintrag im IPPF-Forum
Update auf FRITZ!OS 6.0 macht nun das Einrichten eines FRITZ!Box-VPNs komplett ohne Windows möglich Blogbeitrag, 10/2013
VPN Artikelübersicht
FritzBox weitere Artikel zum Thema FritzBox

Diese Revision wurde am 23. April 2014 12:20 von aasche erstellt.

ubuntuusers.de

Wiki

VPN