Fritzbox - myfritz sicher oder besser zusätzlich VPN?

wetterauer

Lt. Commander
Dabei seit
Apr. 2009
Beiträge
1.862
Hallo,

ich bin gerade ein wenig am Ausprobieren was die 7530 so alles kann. Ich habe mir jetzt myfritz eingerichtet und kann auch somit von außen auf die Fritzbox zugreifen. Klappt super und war einfach einzurichten. Für Veränderungen an der Fritzbox habe ich auch noch den Google-Authentificator zur Sicherheit eingerichtet.

Beim Stöbern im Netz bin ich aber auf einige Sicherheitslücken in der Vergangenheit bei Fernzugriffen auf Fritzboxen gestossen. Ist myfritz alleine sicher genug oder sollte ich zusätzlich die VPN-Software von AVM nutzen und den Zugang auch einrichten?

Ich möchte eine SSD an die Fritze hängen und darauf von unterwegs zugreifen können.
 

Sparta8

Lieutenant
Dabei seit
Juli 2008
Beiträge
949
VPN würde was bringen, wenn du dem Netz über das du von unterwegs auf die Fritzbox zugreifst nicht vertraust. Z.B. wenn du im Mecci/Bahnhof WLAN bist und auf deine Daten daheim zugreifen willst.
 

wetterauer

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
1.862
Danke dir. Also aus dem WLAN vom Hotel im Urlaub wäre das dann doch sinnvoll?
 

Sparta8

Lieutenant
Dabei seit
Juli 2008
Beiträge
949
Ja auf jeden Fall. Zwar sollte eh alles über HTTPS etc. pp. verschlüsselt sein, aber einem fremden Netzwerk (Hotel) kannst du nie vertrauen. Nicht weil der Hotelbetreiber an deine Daten will, sondern es gut sein kann, dass Dritte dieses Netzwerk für ihre Zwecke missbrauchen.
 

wetterauer

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
1.862
Dann richte ich mir das mal auf dem Laptop ein. Danke nochmal.
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.415
myfritz ist doch nur ein DynDNS oder nicht? Wenn du ohne VPN via myfritz-Adresse auf die Fritzbox kommst, heißt das, dass die GUI über WAN erreichbar ist. Davon kann man nur dringend abraten! Fernzugriff auf das Heimnetzwerk bzw die Fritzbox immer nur via VPN!
 

wetterauer

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
1.862
Ich habe jetzt den HTTPS-Zugang in der Fritzbox deaktiviert. Ich kann jetzt zwar nicht mehr direkt von myfritz auf die Box zugreifen, aber die dort angezeigte Adresse führt trotzdem zum Login-Fenster. Ein Grund mehr auf VPN zu gehen. Ich dachte wenn ich das in der Box deaktiviere, sieht man auch keine Daten mehr in myfritz.
 

hildefeuer

Captain
Dabei seit
Okt. 2009
Beiträge
3.550
Der Fernzugang muss deaktiviert werden. Das ist schlicht gesagt der Wartungs-Port. Der muss zu.
VPN kann man einrichten. Für Windows gibt es diverse Client-Software. Cisco VPN Clinent Soft geht am einfachsten.
Haupt-Vorteil im Urlaub: Umgehung des Geoblocks und man ist unter der heimischen Telefon-Nr. erreichbar via FritzPhone App auf Smartphone.
Und nicht vergessen die ip der Box zu ändern, da ja tausende Boxen mit 192.168.178.1 laufen. An dehnen wird so dann keine VPN möglich sein.
 

wetterauer

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
1.862
Danke Dir. AVM hat ja auch einen VPN-Software, die wollte ich eigentlich nehmen. Allerdings braucht man dazu auch die Anmeldung bei myfritz. Bisher habe ich mich noch nie mit VPN größer beschäftigt. Das mit der IP hatte ich schon bei AVM gelesen, auch gut zu wissen ;)
 
Zuletzt bearbeitet:

hildefeuer

Captain
Dabei seit
Okt. 2009
Beiträge
3.550
Die Windows VPN Client soft von AVM funktioniert unter win10 nicht mehr. Der shrewsoft VPN Client (free version)ist zudem schwierig einzurichten. Der CiscoClient ist da einfacher, deshalb der Tipp. Bei Android ist das unproblematisch, weil das Protokoll unterstützt wird. Man muss nur einen Benutzer für die Fritte anmelden. Es geht auch mit ftpuser, der ist ja beim Auslieferungszustand eingerichtet.
Etwas zickig ist das mit der Fritz Adresse
Beispiel: httpsDoppelpunk//DeineFritzAdresse.myfritz.netDoppelpunkt:portNr = MyFritz Adresse wird suggestiert. Es ist aber genau betrachtet die URL mit Protokoll und port. Deshalb erscheint es hier auch blau als hyperlink.
"https://" am Anfang und "::portNr" am Ende muss man weglassen bei config der Clients. Da habe ich auch lange rumgesucht.
Auch das mit dem Fernzugang ist in der Fritz-Anleitung leider missverständlich. AVM unterscheidet hier nicht zwischen Wartungsport und VPN, sondern nutzt den Begriff allgemein.
 
Zuletzt bearbeitet:

wetterauer

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
1.862
Das mit Windows 10 wundert mich jetzt: Anmerkung 2018-12-31 120927.jpg

Also ist das auf dem Smartphone einfacher mit dem Cisco-Client wie auf einem Laptop? Einbinden bei myfritz muss ich die Boxen aber auch, wenn ich den Cisco-Client nutze. Ich benötige ja eine feste IP. Sorry wie gesagt, bin da relativ unterbelichtet ;-).
 

hildefeuer

Captain
Dabei seit
Okt. 2009
Beiträge
3.550
Wenn ich von Win10 schreibe, meine ich natürlich nicht die Telefone, sondern PCs.
Das mit dem myFritz wird ja gemacht, damit die Fritzen erreichbar bleiben, auch wenn sie eine neue öffendliche ip Adresse bezogen haben nach einigen Tagen. Die Windows Betriebssysteme unterstützen das VPN Protokoll der Fritzen nicht, da veraltert. Nur deshalb muss man Zusatzsoft installieren wie den ScrewVPN Client oder CiscoVPN Client.
Für Smartphone und Tablets mit Android braucht man keine extra software. Da wird das veralterte Protokoll noch unterstützt. Unter Verbindungen Erweitert VPN gibt man die Fritz Adresse (wie ich Dir erläutert habe) und das shared secret ein und gut ist. Dann läuft das und man kann es testen.
Am einfachsten ist es ein Adroid Smartphone für VPN einzurichten und zu testen. Wenn man alles eingerichtet hat, schaltet man WLAN am Smartphone aus und testet. Wenn erfolgreich, schaltet man den Personal Hotspot ein und verbindet den Lappi damit. Dann kann man auch dort die VPN Verbindung testen.
Welche Clients willst Du denn einbinden?
Der Laptop welches BS hat der denn drauf? Sind denn Android oder Apple Tablets/Smartphones vorhanden? Apple unterstützt das veralterte Protokoll auch noch. Auch dort benötigt man keine Zusatz-Soft.

Es ist ja auch nur eine Variante für Win10/64 vorhanden. Aber die funzt mit den verschiedenen Versionen von Win10 nicht mehr, weil es ja jedes halbe Jahr neue Versionen von Win10 gibt und Mircosoft ständig an diesen Dingen schraubt. Somit ist also auch nicht gesichert das es 2019 dann ab Mai auch noch funzt.
Den Versuch kannst Du Dir sparen.

Ob das mit Windows Smartphone überhaupt funzt ist fraglich, weis ich nicht. Mit win7 Phone vermutlich ja.

"Einbinden bei myfritz muss ich die Boxen aber auch, wenn ich den Cisco-Client nutze." Schreibst Du.

Den Satz verstehe ich jetzt nicht. Was meinst Du denn mit "den Boxen"?
Es ist doch nur ein Router im Heimnetz vorhanden oder? Wenn Internet über Kabel-TV kommt, gehen vpn Verbindungen eh vielfach nicht, weil Vodafone/Utiliymedia vielfach keine ipv4 Adressen vergibt sondern ipv6 Adressen. Auch sogenannte DSL Light Produkte scheiden aus. Da bekommen die Kunden nur ipv6 Adressen.

Das also mal klären, sonst ist eh alles vergeblich und Du kannst Dir weitere Bemühungen sparen.
 
Zuletzt bearbeitet:

Andy_Z

Cadet 1st Year
Dabei seit
Dez. 2018
Beiträge
8
Servus,

ich schließe mich dem Thema hier auch mal an. Vorweg will ich mal kurz auf meine aktuelle bzw. alte Konfiguration eingehen und welche Vor- und Nachteile die jeweilige Variante bietet.

Alte Konfiguartion:
Meine alte Konfiguration bestand aus einen VPN-Zugang auf das Heimnetzwerk über die Fritz!Box - genau so wie du diesen planst. Der einzige Unterschied zu deinen plan war bei mir, dass ich nie die myFritz Dienste genutzt habe. Ich habe damals auf DynDNS Anbieter zurückgegriefen wodurch ich den Vorteil hatte das ich von den myFritz Diensten unabhängig zu sein. Der Nachteil war, dass mein DynDNS Anbieter ständig meine IP hatte.

Neu (aus meiner Sicht empfehlenswerte) Konfiguration:
Wie bereits @hildefeuer erwähnt hat ist das Protokoll welches die Fritz!Box einsetzt nicht mehr das neuste und hat schon ein paar Jahre auf den Buckel. Aus diesem Grund und vor Allem weil ich mich ohne irgedeinen Software Client via VPN von Windows aus mit meinen Netzwerk verbinden will habe ich mich dazu entschieden einen seperaten VPN Server auf einen RaspberryPi in meinen Netzwerk zu erstellen.
Auf den RaspberryPi kommt der SoftEtherVPN Server zum Einsatz, da dieser das Microsoft Secure Socket Tunneling Protocol bzw. L2TP/IPsec unterstützt. Ich selber setze letzteres ein. Ein gutes Tutorial zur Installation findet ihr hier. Der enrome Vorteil ist, dass kein extra VPN Client sowohl auf Windows als auch Android benötigt wird. Um den RaspberryPi über das Internet zu erreichen nutze ich ein paar Portfreigaben - seit damit aber bitte sehr vorsichtig und gebt nur die wirklich benötigten Ports frei! Anstelle eines DynDNS Anbieters nutze ich mittlerweile eine eigene Domain welche die Nameserver von Cloudflare nutzt und ich so mithilfe der Cloudflare API selbständig den RaspberryPi meine private IP-Adresse in den IPv4 Eintrag meiner Domain setzen lassen kann.

Grundsätzlich ist meine neue Konfiguration zwar wesentlich mehr Arbeit zum einmaligen einrichten, dafür später einfacher in der Handhabung, da wenn alles einmalig konfiguriert wurde man sich von jeden Laptop oder Handy einloggen kann.

Hätten wir meine Konfiguration durch, dann kommen wir mal zum Punkt warum man überhaupt eine VPN Verbindung braucht oder verwenden sollte. Mit einer VPN Verbindung schützt man sich zum einen vor den verschiedesten möglichen Angriffen (unter anderem vor MITM-Angriffen) in öffentlichen WLANs oder man ist in der Lage auch von unterwegs auf Netzwerkgeräte in seinen Heimnetzwerk (zum Beispiel NAS) zuzugreifen.

Wie man letztendlich das ganze umsetzt und ob man sich überhaupt die Mühe macht eine VPN-Verbindung einzurichten bleibt natürlich jeden selber überlassen.

Gruß
Andy
 

hildefeuer

Captain
Dabei seit
Okt. 2009
Beiträge
3.550
ja sicher es ist halt die Frage weshalb man eine VPN-Verbindung nutzen will und was geht und ratsam ist.
Geoblock, telefonische Erreichbarkeit, mal auf Smart Home Dinge schauen, ist die eine Sache, die funzt. Sichere Verbindungen im Hotel-WLAN für Homebanking die andere Sache.

Was auf jeden Fall sinnlos ist, ist ein FTP-Zugang auf einen Netzwerkspeicher eines Routers. Der funzt zwar vom Android Smartphone ist aber grotten langsam, sodaß die Übertragung von 10 Fotos schon mal 5 Min dauern kann. Also nicht ratsam. Dafür nutzt man besser Cloud-Dienste.
 

wetterauer

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
1.862
Hallo und danke an euch beide. Da habe ich mich missverständlich ausgedrückt. Ich meinte mit Boxen nur abgekürzt die Fritzbox. Ich habe VDSL100 und die 7530 ist Modem und Router. Das Smartphone hat Android und ist kein Windows-Phone.

Ich wollte den Laptop mit Urlaub nehmen und darauf den VPN-Zugang einrichten. Der hat auch Win 10 als Betriebssystem.

Ich werde das dann aber mit dem Android-Smartphone machen. Wir haben das Gleiche gemeint: Dort ist es einfacher wie mit dem Laptop.
 

till69

Lt. Commander
Dabei seit
Jan. 2010
Beiträge
1.968
In manchen Mobilfunk-Netzen (und auch vielen Hotel-WLANs auf aller Welt) funktioniert das Fritz-VPN nicht (UDP-Ports 500/4500 geblockt). Zuverlässig von allen Zugängen aus funktioniert eigentlich nur OpenVPN über TCP-Port 443.
 

wetterauer

Lt. Commander
Ersteller dieses Themas
Dabei seit
Apr. 2009
Beiträge
1.862
Wow, eben mal eingerichtet. Das waren ja wirklich nur 5 Minuten mit dem Smartphone und hat sofort geklappt. Danke nochmal an alle.
 
Top