Beiträge von hchristo

Vorab:

Diese Anleitung dient zur Einrichtung einer IPSec VPN Verbindung für FritzBoxen (wie in meinem Fall) die Wireguard nicht unterstützen. Meine Gegenstelle ist eine 6490 Kabel Box welche keine Wireguard Verbindung kann. Quelle: https://confluence.home-hosting.de/x/AoCVBw

Basiseinstellung

VPN-Typ: IPSec

Name: Hier ein Beliebiger Name

Pre-Shared-Key: Gemeinsamer Schlüssel für die FritzBox und die UDM

Lokale IP: Hier steht die Öffentliche IP Adresse deines Internet Providers

Remote IP / Host: Die Feste IP, FQDN oder die MyFritz Adresse der Gegenstelle/FritzBox

Netzwerkkonfiguration

VPN Typ: Routenbasiert

Remote Netzwerk(e): Lokales IP Netz der Fritzbox (Default: 192.168.178.0/24)

Erweiterte Einstellung

Erweitert: Manuell

Schlüsselaustausch Version: IKEv1

IKE:

• Verschlüsselung: AES-256
• Hash: SHA512
• DH-Gruppe: 15
• Lebenszeit: 3600

ESP:

• Verschlüsselung: AES-256
• Hash: SHA512
• DH-Gruppe: 15
• Lebenszeit: 3600
• Perfect Forward Secrecy (SPF): Angehakt

Verschlüsselung Hinweis


Die hier in dem Artikel gezeigten Verschlüsselungsmethoden sind bereits die höchsten von der FritzBox unterstützten Technologien.

Lokale Authentifizierungs-ID - (Manuell: Haken Weg): <FQDN/DynDNS der UniFi UDM>

Remote-Authentifizierungs-ID- (Manuell: Haken Weg): <FQDN/MyFritz-Adresse der FritzBox>

Maximale Übertragungseinheit: Automatisch

Voraussetzungen / Einschränkungen durch die FirtzBox

Diese Anleitung wurde mit einer FritzBox 6490 Kabel getestet und erfolgreich umgesetzt.

Quelle: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3331_FRITZ-Box-mit-einem-Firmen-VPN-IPSec-verbinden/

Vorbereitung für der FritzBox:

Man erstellt ne neue Text Datei, Trägt meine Vorlage ein und Lädt diese in der FritzBox unter "Internet" → "Freigaben" → VPN (IPSec) als Config hoch:

Angepasst müssen Folgende werte:

Zeile 5, Zeile 7, Zeile 14, Zeile 16, Zeile 19, Zeile 24, Zeile 31-32, Zeile 37-38 und Zeile 42

Zeile 5: Name der VPN Verbindung der in der FirtzBox angezeigt wird.

Zeile 7: keepalive_ip = "<FQDN/DynDNS der UniFi UDM>"; oder keepalive_ip = <Ohne "" für Feste IP Adresse der UDM>;

Zeile 14: remotehostname = "<FQDN/DynDNS der UniFi UDM>";

Zeile 16: fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";

Zeile 19: fqdn = "<FQDN/DynDNS der UniFi UDM>";

Zeile 24: key = "<Gemeinsamer Schluessel zwischen FritzBox und UniFi UDM>";

Zeile 31-32: IP Netz inkl. Subnet der FirtzBox

Zeile 37-38: IP Netz inkl. Subnet der UniFi UDM

Zeile 42: accesslist = "permit ip any <IP Netz der UDM> <Subnet, Beispiel: 255.255.255.0>";

VPN Config FritzBox

vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "<Verbindungsname>";
        always_renew = yes;
        keepalive_ip = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;
        remote_virtualip = 0.0.0.0;
        remotehostname = "<FQDN/DynDNS der UniFi UDM>";
    localid {
        fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";
    }
    remoteid {
        fqdn = "<FQDN/DynDNS der UniFi UDM>";
    }
        mode = phase1_mode_idp;
        phase1ss = "dh15/aes/sha";
        keytype = connkeytype_pre_shared;
        key = "<Gemeinsamer Schluessel>";
        cert_do_server_auth = no;
        use_nat_t = yes;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = <IP Netz der FritzBox>;
                mask = 255.255.255.0;
            }
        }
        phase2remoteid {
            ipnet {
                ipaddr = <IP Netz der UDM>;
                mask = 255.255.255.0;
            }
        }
        phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
        accesslist = "permit ip any <IP Netz der UDM> 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
        "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

Bekannte Probleme: