Howto: VPN vom iPhone zur FRITZ!Box

06/16/10 in Apple, iPhone

Lange hatte ich gebastelt, bis ich auf den Seiten von AVM diese Anleitung gefunden hatte. Und damit geht’s tatsächlich in wenigen schritten. Leider gibt es das Programm zur Erstellung der Konfigurationsdatei nur unter Windows, es wird aber nur einmalig während der Konfiguration benötigt, in einer virtuellen Maschine ist das also schnell gemacht. Wer der Anleitung folgt, wird ohne Probleme eine VPN Verbindung zwischen einer supporteten FritzBox und dem iPhone (Mac geht natürlich auch) hinbekommen.

Das Howto stammt direkt von AVM.

Los geht’s:

VPN-Verbindung mit Apple iOS (z.B. iPhone) bzw. Mac OS X zur FRITZ!Box (Client-LAN-Kopplung)

Das Programm “FRITZ!Box-Fernzugang einrichten” ermöglicht eine komfortable VPN-Konfiguration für die Verbindung von einem Computer mit FRITZ!Fernzugang zu einer FRITZ!Box (Client-LAN-Kopplung). Alle Sicherheitseinstellungen werden von dem Programm automatisch generiert und in Konfigurationsdateien geschrieben, die danach lediglich in das Programm FRITZ!Fernzugang und die FRITZ!Box importiert werden müssen. 

Für VPN-Verbindungen von der VPN-Lösung eines anderen Herstellers zur FRITZ!Box können Sie eine mit “FRITZ!Box-Fernzugang einrichten” erstellte Konfigurationsdatei manuell anpassen. In dieser Anleitung beschreiben wir Ihnen die notwendigen Anpassungen für VPN-Verbindungen mit Apple iOS für iPhone, iPad und iPod touch bzw. Mac OS X für Mac zu einer FRITZ!Box.

HINWEIS:
Bei dieser Anleitung handelt es sich um eine unverbindliche Beispielkonfiguration ohne Anspruch auf technische Vollständigkeit. Der AVM-Support bietet keine Unterstützung bei der individuellen Anpassung einer VPN-Konfigurationsdatei oder der Einrichtung einer VPN-Lösung eines anderen Herstellers.

Voraussetzungen

  • Für das Erzeugen der VPN-Konfigurationsdatei für die FRITZ!Box muss ein Computer mit Windows 7, Vista, XP oder 2000 zur Verfügung stehen.
  • Die FRITZ!Box muss die Firmware-Version xx.04.80 (oder höher) verwenden.
  • Das Apple-Gerät verwendet iOS ab Version 3.1 bzw. Mac OS X ab Version 10.6 .

Beispielwerte in dieser Anleitung

Ersetzen Sie bei der VPN-Konfiguration die hier genannten Beispielwerte durch die in Ihrer Konfiguration tatsächlich verwendeten Werte.

  • IP-Netzwerk der FRITZ!Box:
    192.168.100.0 (Subnetzmaske: 24 – 255.255.255.0)
  • IP-Adresse des VPN-Benutzers im FRITZ!Box-Netzwerk:
    192.168.100.201
  • E-Mail-Adresse des VPN-Benutzers:
    benutzer1@firma.de
  • Dynamic DNS-Name der FRITZ!Box:
    avmvpn.dyndns.org
  • Pre-Shared Key:
    VPN-Kennwort
  • xauth-Benutzername:
    Benutzername
  • xauth-Kennwort:
    Kennwort

VPN-Konfigurationsdatei für FRITZ!Box erstellen

Erstellen Sie zunächst an einem Windows-Computer mit dem Programm “FRITZ!Box-Fernzugang einrichten” die VPN-Konfigurationsdatei für die FRITZ!Box:
  1. Laden Sie im VPN-Service Portal aus dem Abschnitt “Aktuelle Downloads” das Programm “FRITZ!Box-Fernzugang einrichten” herunter und installieren Sie es auf einem Computer.
    HINWEIS:
    Das Programm “FRITZ!Box-Fernzugang einrichten” kann nur auf einem Computer mit Windows 7, Vista, XP oder 2000 installiert werden. Für die Erstellung der VPN-Konfigurationsdateien muss der Computer nicht mit der FRITZ!Box verbunden sein.
  2. Starten Sie “FRITZ!Box-Fernzugang einrichten” und klicken Sie auf “Neu”.
  3. Markieren Sie die Option “Fernzugang für einen Benutzer einrichten” und klicken Sie auf “Weiter”.
  4. Tragen Sie im Eingabefeld “E-Mail-Adresse des Benutzers:” die E-Mail-Adresse des Benutzers ein, der später VPN-Verbindungen zum FRITZ!Box-Netzwerk herstellen soll (benutzer1@firma.de). Klicken Sie danach auf “Weiter”.
  5. Tragen Sie im Eingabefeld “Name:” den Dynamic DNS-Namen der FRITZ!Box (avmvpn.dyndns.org) ein und klicken Sie auf “Weiter”.
  6. Markieren Sie die Option “Anderes IP-Netzwerk verwenden”.
  7. Tragen Sie im Eingabefeld “IP-Netzwerk” das IP-Netzwerk der FRITZ!Box (192.168.100.0) ein.
  8. Wählen Sie im Ausklappmenü “Subnetzmaske:” die Subnetzmaske der FRITZ!Box (24 – 255.255.255.0) aus.
  9. Tragen Sie als “IP-Adresse des Benutzers im Netz der FRITZ!Box” eine IP-Adresse (192.168.100.201) aus dem IP-Netzwerk der FRITZ!Box ein, die von keinem anderen Computer im FRITZ!Box-Netzwerk verwendet wird.
  10. Klicken Sie auf “Weiter” und dann auf “Fertig stellen”.
Jetzt hat das Programm “FRITZ!Box-Fernzugang einrichten” die VPN-Konfigurationsdatei für die FRITZ!Box erstellt.

VPN-Konfigurationsdatei anpassen und in die FRITZ!Box importieren

Passen Sie die zuvor erstellte VPN-Konfigurationsdatei wie folgt an:
  1. Starten Sie das Programm “FRITZ!Box-Fernzugang einrichten”.
  2. Markieren Sie im Fenster “Vorhandene Konfigurationen” den Dynamic DNS-Namen der FRITZ!Box (avmvpn.dyndns.org) und klicken Sie auf “Explorer”.
  3. Öffnen Sie die Datei fritzbox_avmvpn_dyndns_org.cfg mit einem Texteditor (z. B. WordPad).
    HINWEIS:
    Folgende Änderungshinweise finden Sie auch in der Beispieldatei FRITZBOX.CFG für Apple iOS und Mac OS X.
  4. Suchen Sie in dem Abschnitt, in dem für den Eintrag “name” als Wert die E-Mail-Adresse des VPN-Benutzers (benutzer1@firma.de) steht.
  5. Ersetzen Sie im Abschnitt “remoteid” den Eintrag “user_fqdn” durch “key_id”.
  6. Ersetzen Sie den Wert des Eintrages “key” durch ein selbstgewähltes VPN-Kennwort (Pre-Shared Key).
    ACHTUNG:
    Für optimale Sicherheit wählen Sie als Pre-Shared Key eine möglichst lange Kombination (mind. 20 Zeichen) aus Buchstaben und Ziffern. Die verwendete Kombination sollte nicht in einem Wörterbuch zu finden sein und keinen inhaltlichen Sinn ergeben.
  7. Ersetzen Sie den Wert “no” des Eintrags “use_xauth” durch “yes”.
  8. Ergänzen Sie direkt unter dem Wert “use_cfgmode” den neuen Wert “xauth” wie folgt:
    HINWEIS:
    Ersetzen Sie Benutzername und Kennwort durch individuelle Werte.
    xauth {
    valid = yes;
    username = "Benutzername";
    passwd = "Kennwort";
    }
  9. Ersetzen Sie im Abschnitt “phase2localid” die Werte für die Einträge “ipaddr” und “mask” jeweils durch “0.0.0.0″.
  10. Ändern Sie den Wert des Eintrags “phase2ss” wie folgt:
    "esp-all-all/ah-none/comp-all/no-pfs"
  11. Nur für VPN-Verbindungen unter iOS:
    iOS leitet bei bestehender VPN-Verbindung alle Internetanfragen an die FRITZ!Box weiter. Beim Einsatz einer FRITZ!Box mit einer Firmware-Version ab xx.04.86 können Sie auch bei bestehender VPN-Verbindung auf Server außerhalb des FRITZ!Box-Netzwerks zugreifen, wenn Sie im Wert des Eintrags “acesslist” den unterstrichenen Teil wie folgt ändern:

    acesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.100.201 255.255.255.255";

     

    HINWEIS:
    Jetzt werden bei bestehender VPN-Verbindungen alle Internetanfragen über die entfernte FRITZ!Box geleitet. So können Sie bspw. Ihre E-Mails auch aus öffentlichen und unsicheren WLAN-Netzwerken verschlüsselt abrufen.
  12. Speichern Sie die Änderungen ab und importieren Sie die angepasste fritzbox_avmvpn_dyndns_org.cfg in die FRITZ!Box.
Jetzt nimmt die FRITZ!Box VPN-Verbindungen von iOS bzw. Mac OS X entgegen.

VPN-Verbindungen zur FRITZ!Box in iOS einrichten

  1. Wählen Sie auf dem Homescreen des iPhones, iPads bzw. iPod touch das Symbol “Einstellungen”.
  2. “Allgemein” > “Netzwerk” > “VPN” > “VPN hinzufügen”
  3. Wählen Sie als VPN-Betriebsmodus “IPSec”.
  4. Tragen Sie als “Beschreibung” einen beliebigen Namen (z. B. “FRITZ!Box-VPN”) ein.
  5. Tragen Sie als “Server” den Dynamic DNS-Namen der FRITZ!Box (avmvpn.dyndns.org) ein.
  6. Tragen Sie als “Account” den xauth-Benutzernamen (Benutzername) des VPN-Benutzers ein.
  7. Tragen Sie als “Gruppenname” die E-Mail-Adresse des VPN-Benutzers (benutzer1@firma.de) ein.
  8. Tragen Sie als “Shared Secret” den Pre-Shared Key (VPN-Kennwort) ein.
  9. Beenden Sie die VPN-Einrichtung mit “Sichern”.

iPhone_VPN_1

Abb.: VPN-Verbindung einrichten

Jetzt ist die VPN-Verbindung zur FRITZ!Box eingerichtet.

VPN-Verbindungen zur FRITZ!Box unter iOS herstellen

1. Wählen Sie auf dem Homescreen des iPhones, iPads bzw. iPod touch das Symbol “Einstellungen”.

2. Aktivieren Sie “VPN” über den Schieberegler:

iPhone_VPN_2

Abb.: VPN-Verbindung herstellen

3. Tragen Sie im Abfragedialog “Benutzer-Identifizierung eingeben” den xauth-Benutzernamen (Benutzername) und das xauth-Kennwort (Kennwort) ein und drücken Sie “OK”.

iPhone_VPN_3

Abb.: Benutzer-Identifizierung eingeben

4. Nachdem die VPN-Verbindung hergestellt wurde, erscheint in der Symbolleiste das VPN-Symbol:

iPhone_VPN_4

Abb.: VPN-Verbindung hergestellt

VPN-Verbindungen zur FRITZ!Box in Mac OS X einrichten und herstellen

  1. Rufen Sie im Apfel-Menü die “Systemeinstellungen …” auf.
  2. Klicken Sie auf “Netzwerk”.
  3. Klicken Sie auf das Pluszeichen unter der Liste mit den bestehenden Verbindungen.
  4. Wählen Sie unter “Anschluss” den Eintrag “VPN” und unter “VPN-Typ” den Eintrag “Cisco IPSec”.
  5. Tragen Sie als “Dienstname” einen beliebigen Namen (z. B. “FRITZ!Box-VPN”) ein und klicken Sie auf “Erstellen”.
  6. Tragen Sie als “Serveradresse” den Dynamic DNS-Namen der FRITZ!Box (avmvpn.dyndns.org) ein.
  7. Tragen Sie als “Accountname” den xauth-Benutzernamen (Benutzername) des VPN-Benutzers ein.
  8. Klicken Sie auf “Identifizierungseinstellungen …”.
  9. Tragen Sie als “Schlüssel (“Shared Secret”)” den Pre-Shared Key (VPN-Kennwort) ein.
  10. Tragen Sie als “Gruppenname” die E-Mail-Adresse des VPN-Benutzers (benutzer1@firma.de) ein.
  11. Klicken Sie auf “OK” und dann auf “Verbinden”.
  12. Tragen Sie im Abfragedialog “Benutzer-Authentifizierung eingeben” den xauth-Benutzernamen (Benutzername) und das xauth-Kennwort (Kennwort) ein und drücken Sie “OK”.
    Jetzt wird die VPN-Verbindung zur FRITZ!Box hergestellt.
12 Kommentare - Kommentieren
  • Benny

    SUPER! Klappt einwandfrei!
    Vielenn Dank

  • WDZaphod

    Geht bei mir leider nicht.
    Vom Macbook aus geht es, vom iPhone aus nicht. Der Aufbau des Tunnels klappt zwar, aber lt. Fritzbox-VPN-Oberfläche hat das iPhone ein lokales Netz “0.0.0.0″ – damit komme ich zu keinem Gerät in meinem internen Netz. Irgendwo fehlt noch der Eintrag für das lokale Netzwerk…

  • Cr

    Moin,
    habe auch dieses Problem, dass das lokale Netz 0.0.0.0 ist, und ich keine interne IP erreiche :(
    Die IP Adresse des Routers stimmt, nur was ist mit “IP-Adresse des VPN-Benutzers im FRITZ!Box-Netzwerk?
    Mein Router hat die Adresse 192.168.122.211, dann habe ich die Benutzer auf 210 gesetzt?!

  • maelcum

    Super! Klappt wunderbar.

  • Sören

    Hallo,

    ich hatte das auch schon mehrfach versaucht und habe dabei  2 verschiedene Probleme:
    Entweder verweigert der Router das Importieren der CFG Datei oder, wenn ich die Datei mal hochgeladen bekomme, bekomm ich auf meinem IPOD Touch die medlung das der Server nicht antwortet. Die Fritzbox ist aber über die selbe DynDNS Adresse erreichbar.  Ich habe einen IPod Touch der 3. generation mit IOS 4.32 und eine FB 7270 mit der Aktuellsten finaliesierten FW.

    Hat jemand ne idee?

    Danke

    Sören 

  • http://twitter.com/yannicks Yannick Smits

    Ich habe das selber Problem. Schoen jemand eine loesing dafur?

  • http://www.facebook.com/profile.php?id=100000958463395 Jan Hendrik Schneider

    Schau mal direkt bei AVM nach, die Anleitung wurde im Vergleich zu deser etwas modifiziert…

  • WDZaphod

     Ich hab’s mittlerweile anders gelöst: Mac Mini mit Lion-Server.
    Kann VPN und Mobile Device Management, ist aber doch irgendwie mit Kanonen auf Spatzen geschossen :-)

  • Anonymous

    Howto ist aktualisiert, schau mal ob’s bessser klappt…

  • Anonymous

    Brauchst du eigentlich nicht, ich hab das Howto gerade an die aktelle AVM Fassung angepasst, damit sollte es funktionieren, bei mir läuft das ganz wunderbar und du kannst DIr den Mac Mini sparen…

  • Aphex87

    also verbunden bin ich.. hat super geklappt, aber nun ist mein iPhone nicht mehr online, also oben steht zwar 3g, jedoch bekomme ich keinerlei Internet Aktivitäten aufs iPhone.. hab beide acesslist Geschichten durchprobiert.. will aber nicht, kann jemand Abhilfe schaffen?

  • Aphex87

    … hat sich erledigt … nun scheint es zu funktionieren! der Fehler war wohl das ich nicht nur den unterstrichenen teil, sondern die komplette Zeile ersetzt habe. nun funktioniert es!! :) danke für die Anleitung! +1