Ob das nun ein grundsätzliches Problem ist oder nur auf meine Fritzbox in Kombination mit DynDNS.com zurückzuführen ist, ist mir noch nicht wirklich klar. Fällt mir auch nicht wirklich auf, da ich nicht täglich auf die DDNS Dienste angewiesen bin. Wenn man allerdings beispielsweise VPN über sein iPhone nutzen möchte und die Verbindung nicht aufgebaut werden kann, dann sucht man schon erstmal ein wenig
Einfach mal unter Internet -> Onlinemonitor nachsehen, ob dort bei Dynamic DNS unter Status ebenfalls Fehler steht.

Gibt es noch andere Nutzer, die derzeit Probleme haben und die Aktualisierung nicht mehr automatisch und problemfrei funktioniert? Würde mich interessieren…..

Update 1, 04.01.2012
Es handelte sich wohl um eine temporäre Problematik bei DynDNS. Seit nunmehr einigen Tagen ist es nicht wieder aufgetreten. Daher sehe ich also mal die FritzBox als unschuldig an

>> Hörer am Telefon hochnehmen
>> warten bis man ein Freizeichen hört
>> Die Kombination #991*15901590* eintippen
>> man hört einen Signalton
>> auflegen
>> rund zwei Minuten warten

Die Box wird komplett resettet und ist danach wieder unter der IP Adresse 192.168.178.1 zu erreichen. Hatte man vorher der Box eine andere IP vergeben muss der Rechner mit einer zweiten IP aus dem 192.168.178.0/24′er Netz versehen werden oder auf DHCP umgestellt werden.

Nun kann man seine Konfigurationssicherung (die man vor der fehlerhaften Änderung durchgeführt hatte) wieder einspielen und alles ist wie vorher. Fertig.

Natürlich könnte man auch fremde FritzBoxen resetten. Was man natürlich nie machen würde

  Nun hat es sich ergeben, dass mein Android Smartphone HTC Desire S entgegen meiner Hoffnung mehr als unbrauchbar ist, was VPN (und ein paar Dinge mehr…) angeht. Vom iPhone habe ich bisher ohne Probleme einen IPsec VPN Tunnel zur FritzBox herstellen können. Das derzeit installierte (und von HTC in der Aktualisierung vernachlässigte) Android 2.3.3 macht kein normales IPsec sondern L2TP/IPsec. Und das kann die FritzBox (die nur “reines” IPsec macht) wiederum nicht. PPTP und OpenVPN kann das Android (und iPhone) ebenfalls auch nicht. Also musste etwas VPN-ähnliches her, was das Android ebenfalls kann. Wenn möglich natürlich auch das MacBookAir, das iPhone…

“Aus Gründen” probiere ich mich hier an einem MikroTik 750G mit dem derzeit (August 2011) offiziellen Release RouterOS 5.6 aus. Eine sehr kleine und äußerst geniale Kiste, die alles kann, was IP macht. Naja, fast alles

Die VPN Möglichkeiten sind derer vielfältig: OpenVPN, IPsec, PPTP, SSTP, LT2P.
PPTP ist somit leider quasi der einzige, kleinste gemeinsame Nenner zwischen Android, iPhone, MacBookAir und dem MikroTik Router OS. PPTP gehört schon seit Jahren nicht mehr zu den Protokollen, die man einsetzen wollen würde. Aber, es hilft leider nix ;-(
Das MacBookAir ließe sich auch mit OpenVPN einrichten und über dieses ein VPN Tunnel herstellen. Die Vorbereitungen, d.h. der benötige OpenVPN Server wären ja da. Aber wenn man das nicht über auf den Smartphones einsetzen kann, ist es auch unnötig. Als zusätzliche oder alternative Anbindung kann es ja bestehen bleiben.
Also beiße ich in den sauren Apfel und erstelle mir einen PPTP Zugang, um von remote wieder in mein LAN zu kommen. Und auch gleich, um darüber ins Internet und auch den OpenVPN Tunnel zu kommen. Somit also gar nicht sooo schlimm, auch wenn man sicherheitsrelevante Verbindungen sicherlich nicht über den PPTP Tunnel fahren wollen würde. Da hätte ich schon immense Bauchschmerzen. Aber das ist eine andere Geschichte…

Zum Aufbau:
Die FritzBox terminiert das Internet und wählt sich per PPPoE ins Internet ein. Der MikroTik Router ist wiederum an die FritzBox angeschlossen. Ein LAN Port des MikroTik ist quasi der Weg ins LAN (nachfolgend “Uplink Port”). An die anderen Ports des MikroTik sind derzeit keine weiteren Geräte dauerhaft angeschlossen, die LAN Ports sind als Switchports konfiguriert.
LAN Port 1 ist mit einer festen IP Adresse (IP -> Adresses; zugeordneter Switchport) aus dem normalen LAN (wir nennen es mal Intranet) konfiguriert. Ein zweiter LAN Port des MikroTik erhält eine IP Adresse aus einem ganz anderen IP Bereich und dient der Einrichtung u.a. der Firewall. AUf diesem wird ein DHCP Server eingerichtet, der IP Adressen vergibt. An den damit für den “internen Gebrauch” konfigurierten LAN Port wird erstmal ein Laptop zur Konfiguration angeschlossen. Somit kann man die Firewall-Regeln anpassen und sägt sich bei einem Fehler nicht gleich den Ast ab
Hat man den MikroTik so eingerichtet, dass man zur Not auch noch per SSH o.ä. vom Intranet drauf kommt, kann man sich das natürlich auch sparen.

Einrichten eines PPTP-Zugangs auf dem MikroTik per WebFig unter RouterOS 5.6

  Den Benutzern (Clients) weise ich statische IP Adressen zu. Dieses macht es nachher einfacher, Firewallregeln und ähnliche Dinge zu regeln. Man möchte ja vll. auch Benutzer haben, die nur per VPN und dann ins Internet, jedoch nicht ins Intranet kommen sollen.
Unbedingt default-encryption wählen. PPTP ist ja schon nicht der Hit. Aber ohne Verschlüsselung (gut, die ist auch eher einfach zu knacken) wäre das alles noch viel sinnfreier. So hat man zumindest MPPE128 Verschlüsselung. Besser als gar nix…

PPP > Secrets > Add new
Name: irgendeinbenutzername
Password: einMoegl1chstSIcher3sPazzworD
Service: pptp
default profile: default-encryption
Local Address: 192.168.1.1
Remote Address: 192.168.1.123

(Das IP Netz ist völlig unabhängig vom eigentlichen Intranet-IP-Bereich. Hier kann man sich frei auslassen und ein für sich brauchbares Netz wählen. Überschneidungen mit anderen IP Netzen sollte man natürlich vermeiden.)

Der Client kann sich nun mit seiner Benutzer-Passwortkombination anmelden. Zum Testen kann man nun einfach mal einen Rechner am internen LAN Port des MikroTik anschließen und den PPTP Zugang auf die (für die Switchports konfigurierte) IP des Routers verbinden. Das sollte schon einmal funktionieren. Klappt es, so ist der erste Schritt erfolgreich erledigt und man kann sich um die Firewall für den Uplink-Port kümmern.

Firewallregeln

  Der Router soll natürlich nicht alles von außen erlauben. Wie es sich gehört wird erstmal alles verboten. Wir machen in der Firewall nun die für den PPTP Zugang nötigen Ports auf, so dass man aus dem Intranet (also dem Netz, was an den Uplink-Port angeschlossen ist) per PPTP zugreifen können.
Zwei Regeln unter IP -> Firewall sind nötig, damit die PPTP Verbindung erfolgreich auf dem MikroTik ankommen kann und nicht direkt geblockt wird:

Chain: Input
Protocol: 6 (tcp)
Dst. Port: 1723
In. Interface: Name des Uplink Ports
Action: accept

Chain: Input
Protocol: 47 (GRE)
In. Interface: Name des Uplink Ports
Action: accept

Diese Regeln werden irgendwo sinnvoll zwischen der ersten und vor der letzten Regel (deny-any) durch drag&drop einsortiert. Ist man sehr restriktiv empfiehlt es sich, die Regeln vor allen deny-Regeln einzusortieren. Fertig.

Zum Testen kann man nun versuchen, sich per PPTP aus dem Intranet zu verbinden. Hat man alle Regeln korrekt eingerichtet wird die PPTP Verbindung erfolgreich aufgebaut. Firewall und PPTP Zugang sind somit korrekt eingerichtet. Bingo

Portweiterleitung aus dem Internet über die FritzBox auf den MikroTik

  Funktioniert der PPTP Tunnel aus dem Intranet, so hat man schon ein gutes Stück geschafft. Nun gilt es, die FritzBox zu überzeugen, die Verbindungen aus dem Internet anzunehmen und an den MikroTik Router weiterzuleiten.
Hierzu sind auf der FritzBox ein paar Portweiterleitungen einzurichten, die sich unter Internet -> Freigaben -> Portfreigaben finden. Dort sind zwei Einträge anzulegen, einer für GRE (Generic Routing Encapsulation), einer für Port 1723 (die PPTP Kontrollverbindung).
Router, die die Option “VPN Passthrough” unterstützen brauchen diese Einstellungen nicht. Einfach aktivieren, dann sollte das auch ohne Probleme gehen.

Portfreigabe für die Kontrollverbindung:

Portfreigabe aktiv für: Andere Anwendung
Bezeichnung: PPTP Kontrollverbindung zu MikroTik (oder irgendein anderer Name für die Verbindung)
Protokoll: TCP
von Port: 1723
an Computer: Manuelle Eingabe der IP Adresse
an IP Adresse: 192.168.178.123
an Port: 1723

(Hier nehme ich exemplarisch die IP 192.168.178.123 als IP des MikroTik. Diese ist entsprechend dein eigenen Begebenheiten anzupassen.)

Und die GRE Verbindung wird wie folgt eingerichtet:

Portfreigabe aktiv für: Andere Anwendung
Bezeichnung: PPTP GRE-Verbindung zu MikroTik (oder irgendein anderer Name für die Verbindung)
Protokoll: GRE
an Computer: Manuelle Eingabe der IP Adresse
an IP Adresse: 192.168.178.123

(Auch hier ist die IP 192.168.178.123 entsprechend den eigenen Begebenheiten anzupassen.)

Das sieht auf der FritzBox dann so aus:

Die Porweiterleitung sollt nun alle Anfragen auf dem entsprechenden Port bzw. dem entsprechenden Protokoll zum MirkoTik Router weiterleiten.Ein Verbindungsversuch dem Internet per PPTP kommt nun auf dem MikroTik an. Hier kann man entweder in den Logs oder beispielsweise der Firewall unter den empfangenen Paketen eine Erhöhung sehen.

Einrichtung auf dem MacBook Air/ Mac OS-X 10.7

  Die Einrichtung beschränkt sich natürlich nicht nur auf ein MacBook Air. Da dieses jedoch bei mir das portable MacBook ist, was ich unterwegs mit VPN nutze, bezieht sich die Beschreibung auf das “Air”. Die PPTP-VPN Einrichtung sollte bei jedem anderen, MacOS-X 10.7 Gerät identisch sein. Auch Einrichtungen unter OS-X 10.6 und älter sollten nach dieser Anleitung einwandfrei funktionieren (oder zumindest die richtigen Hinweise geben)…
Einstellungen -> Netzwerk, hier unten auf das Pluszeichen. In dem darauffolgenden Fenster kann man sich einen Namen für die Verbindungen wählen, als Verbindungstyp PPTP.



Danach sind die Einstellungen für den PPTP Host, Benutzername und Verschlüsselungsstärke zu setzen:

Und das Passwort unter Authentifizierungseinstellungen eingeben, abspeichern.

Wenn mit diesen Einstellungen die PPTP aus dem internen Netz funktioniert, so kann die Serveradresse auf die externe (feste) IP Adresse (sofern vorhanden) oder einen DNS (auch dynamische DNS Dienste wie DynDNS.org usw.) Namen umgestellt werden.

Der VPN Tunnel kann über das in der oberen Statuszeile befindliche VPN Symbol einfach gestartet und beendet werden. Über den laufenden Timer ist man bestens im Blick, wie lange der Tunnel schon up ist.

Einrichtung auf dem Android

  Da dieses ganze Konstrukt nur wg. des Android-Smartphones entstanden ist, hier also endlich noch ein paar Infos zur Einrichtung unter Android…

Unter Einstellungen -> Drahtlos und Netzwerke -> VPN Einstellungen wird über “VPN hinzufügen” ein neuer VPN Zugangspunkt definiert:
VPN-Name: irgendein Name für die Verbindung
VPN-Server festlegen: Der DNS, dynamische DNS Name oder eine feste, öffentliche IP Adresse
Verschlüsselung aktivieren: aktivieren

Abspeichern. Versucht man sich nun zu verbinden wird noch der Benutzername und das Passwort abgefragt. Beides eingeben, den Haken bei “Benutzername speichern” setzen. Fertig.

(Und wenn es unter Android eine Möglichkeit gäbe, einfach und schnell und ohne Zusatzapp und ohne sein Android rooten zu müssen einen Screenshot zu erstellen, dann wäre dieser Screenshot hier zu sehen. Das ist aber wohl auch nicht vorgesehen, braucht ein Android-Nutzer wohl nicht “von Haus” aus….)

Einrichtung auf dem iPhone

  Wie auch andere VPN Einstellungen wird die PPTP Verbindung unter Einstellungen -> VPN -> VPN hinzufügen neu angelegt (oder eine eingerichtete Verbindung verändert).

Der DNS Name (hier beispielhaft: irgendeinDNSname.tld) muss mit der externen IP Adresse oder einem DNS Namen (auch DynDNS Dienste) konfiguriert werden.

Eine bestehende VPN Verbindung wird einem in der Statuszeile mit dem VPN Symbol angezeigt. Leider fehlt den Einstellungen auf dem iPhone die Möglichkeit, eine Verbindung “dauerhaft” aufzubauen. Schön wäre es, wenn man angeben kann, dass das Gerät immer (sofern irgendwie Internet da ist), den Tunnel aufbauen und bestehen lassen soll. Aber, man darf hoffen, dass das irgendwann vll. auch noch mal kommt…

Proxy oder kein Proxy?

Möchte man die Datenbandbreite /-volumen von unnötigen Werbebannern, Zählpixeln und sonstigem Datenmüll befreien und hat einen Proxyserver, so kann unter Proxy dieser eingetragen werden. HTTP-Verbindungen werden dann bei bestehender VPN Verbindung automatisch über den Proxy geschoben, man bekommt im Browser nur noch gesäuberte Inhalte. Das spart z.T. Zeit bei der Übertragung und verringert auch die zu übertragenden Daten. Lohnt sich nicht immer, aber für weniger Werbung sicherlich eine gute Udee.

Probleme

  Ein Problem bei den VPN Verbindungen speziell vom iPhone (und eingeschränkt auch vom Android) nerven mich: Die Verbindung wird nicht dauerhaft aufrecht erhalten. Gerade beim iPhone nervt es, da dieses schon nach kurzer Zeit der Inaktivität die VPN Verbindung beendet. Das Android ist dort etwas besser und lässt den Tunnel auch länger bestehen. Nicht immer auch netzübergreifend (Wechsel beispielsweise vom WLAN in UMTS und zurück), trotzdem schon deutlich länger und besser als das iPhone. Und vor allem auch, wenn das Android einfach im WLAN dauerthaft eingebucht ist aber nicht wirklich genutzt wird. Damit kann man dann sogar schon über einen SIP-Softphone Client nachdenken, der eine SIP Verbindung durch den Tunnel aufbaut. Man sollte sich aber sicherlich nicht drauf verlassen und davon ausgehen, dass der Client “immer” angemeldet ist und man somit über seine SIP Rufnummer (beispielsweise an der FritzBox) erreichbar ist.

Fazit

  Wenn man sicher und ohne große (Sicherheits)Probleme eine VPN Verbindung aufbauen möchte, würde ich selbstverständlich OpenVPN oder IPsec bevorzugen. Ist das nicht (aus welchen Gründen auch immer) einrichtbar, muss man sich halt andere VPN Verbindungen einfallen lassen.
PPTP ist hierbei leider nur eine Notlösung. Das Protokoll, der Verbindungsaufbau usw. ist schon lange nicht mehr state-of-the-art. (Und von Microsoft.) Seit Jahren gibt es sichere, deutlich bessere VPN Protokolle. Diese sollte man immer bevorzugen. Gibt es keine andere Wahl, so kann man natürlich auch auf PPTP zurückgreifen. Aber man sollte sich immer der Problematik bewusst sein die man hiermit eingeht. Für Verbindungen, die man über ein offenes WLAN einigermaßen sicher verschlüsselt haben möchte, ist es OK. Also dann, wenn man in einem offenen WLAN seine komplette IP Kommunikation einigermaßen gesichert übertragen möchte Aber für alles, was sicher ein soll ist es keien Lösung. Dafür ist das gesamte Protokoll lange überholt…. Und es kommt ursprünglich aus dem Hause “Microsoft”. Das würde mich ja normalerweise schon von sowas abhalten……….

Eine kleine, äußerst geniale Kiste ist der MikroTik Router. Und das wird sicherlich nicht der letzte Blogpost über den sein. Schließlich bietet der (was IP angeht) alles, was man braucht. Und zum Rumspielen und Experimentieren ist der einfach klasse…

VPN-Verbindung Der VPN-Server antwortet nicht

gestolpert.
Das verwunderte mich dann schon etwas, zumal es sonst immer geklappt hat. Warum also jetzt nicht mehr?
Etwas in der (Gedächtnis)Änderungsliste der letzten Wochen gesucht und siehe da, was gefunden. Zu Testzwecken hatte ich vor einigen Tagen mal mit der Portfreigabe in der FritzBox die UDP Ports 500 und 4500 auf einen anderen Router weitergeleitet. Und diese sorgen nun natürlich dafür, dass die VPN Verbindung zur FritzBox nicht mehr auf derselben verbleiben sondern weitergeleitet werden. Das ist dann natürlich nicht gewollt gewesen. Also erstmal wieder deaktiviert. VPN Verbindung kann wieder hergestellt werden.

Wer gleiche oder ähnliche Probleme hat sollte das einfach mal prüfen. Sofern man ausschließen kann, dass es nicht an der Konfiguration liegt…

NAS heißt “Network Attached Storage“. Das bedeutet im Klartext nur so viel wie “über Netzwerk angeschlossener Speicher”. In welchem Format und welches Protokoll (Samba, CIFS, NFS, AFP usw.) genutzt wird, ist hiermit noch nicht gesagt. Klar ist nur, dass der Speicher über Netzwerk erreichbar und von (mehreren gleichzeitig) Clients genutzt werden kann.

Die FritzBox’en bieten seit einiger Zeit eine einfache, aber ganz gute (leider mit JAVA Applet verseuchte) Oberfläche, mit der man per Webbrowser auf die auf einem an der FB angeschlossenen USB Stick oder Platte befindlichen Daten zugreifen kann. Hierdrüber hat man einen recht einfachen und komfortablen Zugriff auf diese Daten, kann diese herunterladen, neue abspeichern, ansehen usw. Dateien kann man sich direkt hierdrüber ansehen, mit Drag&drop Dateien hoch- bzw. herunterladen.
Das ist natürlich schön. Aber halt erstmal nur über den Webbrowser nutzbar. Der Zugriff über seinen Rechner über das “normale” Dateisystem wäre schöner. Und das geht seit langer Zeit über die Freigabe als Samba/ CIFS Speicher. Diese Freigabe kann im Netzwerk per Samba/CIFS anderen Rechnern und Geräten zur Verfügung gestellt werden. Somit kann ein zentraler Speicherplatz im Netzwerk Daten für alle vorhalten.

Nun habe ich keinen Windows-Rechner sondern nur UNIX bzw. Linux basierte Rechner in meinem Netz. Samba, als eigentlich windowsbeheimatetes Protokoll, wird jedoch schon seit Jahren fast ohne Probleme auch unter Linux unterstützt. Hierdrüber kann man sich nun auch von seinem Linux/ Mac/ UNIX Rechner Zugriff auf den Speicher der Fritzbox herstellen und diesen gemeinsam nutzen.

Im Folgenden setze ich die Standard-IP der Fritzbox 192.168.178.1 ein. Hat man diese verändert, muss die natürlich passend geändert werden. Aber das muss ich jemandem, der vom Linux mounten möchte ja nicht wirklich schreiben
Als OS setze ich ein Ubuntu Linux ein. Die Beschreibung lässt sich allerdings auf jedes andere Linux übertragen…

  NAS Freigabename (AVM Sprech: “Heimnetzfreigabe”) anpassen

Hat man also kein Interesse, den von AVM vorgegebenen Namen für die Freigabe zu verwenden kann man diesen seinen Wünschen entsprechend anpassen. Der Name für die NAS Freigabe lässt sich über die Konfigurationsoberfläche der FritzBox unter
    Heimnetz -> Speicher (NAS) -> Heimnetzfreigabe
einstellen bzw. verändern. Im Folgenden nenne ich diese Freigabe fritzbox-nas.
Nun sollte man diesen geänderten Namen im Netzwerk finden können. Mac (im Finder) und Ubuntu & Co. (“mit Server verbinden”) zeigen einem diesen an.

  Mounten (nicht permanent) auf der Konsole

Um “nur mal temporär” den Speicher der FritzBox 7270 zu mounten müssen zwei Dinge vorhanden sein: Der Freigabe-Name (siehe oben) der FB muss bekannt sein und ein Ziel, wohin der Speicher gemountet werden kann, muss existieren.
  Auf dem Rechner befindet sich ein Verzeichnis /media/fritzbox-nas. Hierher soll die Freigabe der FritzBox gemountet werden:

Linuxrechner$ # sudo mount -t cifs -o guest //192.168.178.1/fritzbox-nas /media/fritzbox-nas/
(Hiermit wird die NAS-Samba-Freigabe von der FritzBox mit der IP 192.168.178.1 nach /media/fritzbox-nas gemountet.)

Der Samba (bzw. CIFS) Speicher wird gemountet und steht dem Rechner “lokal” zur Verfügung. Wir prüfen den erfolgreichen Mountvorgang durch einen Aufruf von mount auf der Konsole. Die Ausgabe zeigt einen Mountpoint mit Ziel /media/fritzbox-nas, dem genutzten Protokoll und weiteren Datei-/ Zugriffsoptionen (hier biespielsweise read-writable):

Linuxrechner$ # mount
  …. [andere Mounteinträge] ….
  //192.168.178.1/fritzbox-nas on /media/fritzbox-nas type cifs (rw,mand)

Ein df -h zeigt einem die Größe des Speichers und die verfügbare Kapazität an. Die Freigabe kann genutzt werden.
Man kann nun mit einem cd /media/fritzbox-nas/ in das Wurzelverzeichnis der Freigabe wechseln und auf dortige Verzeichnisse/ Dateien zugreifen. Die USB Festplatte/ der USB Speicherstick werden nun mit dem zugehörigen Namen angezeigt. Die anderen Verzeichnisse sind vom System der FB genutzt.

  Automatisches mounten per fstab

Funktioniert die Freigabe wie gewünscht lässt sich der Speicher auch “dauerhaft” mounten. Startet der Rechner, so wird der Speicher automatisch eingebunden. Dieses wird durch einen Eintrag in der Datei /etc/fstab erledigt. Steht der Eintrag in der fstab, so kann über einen mount /media/fritzbox-nas bzw. umount /media/fritzbox-nas die Freigabe eingebunden bzw. wieder freigegeben werden.
Der Eintrag in der fstab muss so aussehen:

//192.168.178.1/fritzbox-nas /media/fritzbox-nas   cifs   guest,noauto  0 0
(alles in einer Zeile stehend!)

Hierdrüber kann man den Speicher der FritzBox über
Linuxrechner$ # sudo mount /media/fritzbox-nas
auf der Konsole mounten.
Soll der Speicher beim Booten automatisch gemountet werden ändert man die Option noauto in auto. Somit wird beim Booten der Speicher der FritzBox automatisch dem Dateisystem hinzugefügt und kann genutzt werden, ohne dass man diesen händisch hinzufügen muss.

Natürlich lassen sich auch die einzelnen Verzeichnisse jeweils einzeln nach Bedarf in der fstab einstellen und können einzeln für unterschiedliche Bedürfnisse gemountet werden.

  Ein Vorteil: Skriptfähigkeit

Durch den Zugriff auf den FB Speichers durch einen Linux Rechner ergibt sich auch die Möglichkeit, diesen Speicher scriptgesteuert zu nutzen. Beispielsweise kann man nun per rsync & Co. auf diesen Speicher zugreifen und Daten speichern, verändern bzw. auch löschen, Backups auf sein Strato HiDrive ablegen usw.

  Ein weiterer Vorteil: automatische Backups vom (Fax-)Speicher

Nicht nur Daten sondern auch eingegangene Faxe lassen sich nun automatisch sichern bzw. in seinen normalen Datenspeicher einsortieren.
Eingegangene Faxe werden auf dem Speicher der FB abgelegt. Schaut man beispielsweise in
  /media/fritzbox-nas/(USB-Speichername)/FRITZ/faxbox
Hierdrüber kann man nun seine als PDF gespeicherten Faxe abrufen. Und natürlich auch kopieren. Ein kleines Skript könnte beispielsweise die Faxe anhand der im Dateinamen hinterlegten Anrufernummer automatisch in passende Verzeichnisse auf seinem normalen Storage ablegen. Oder einfach nur zusätzlich zum backup’pen.
Das eigene Skript könnte also stündlich das “Faxverzeichnis” auf dem Speicher prüfen und ein neues PDF anhand der Nummer im Dateinamen in ein passendes Verzeichnis auf dem eigenen Rechner ablegen. Das setzt natürlich voraus, dass man häufiger von dieser Faxnummer Faxe erhält und die Nummer bekannt ist und übertragen wird….

  Weitere Vorteile: Internet-WebDAV-Speicher (HiDrive & Co.)

Hat man die NAS Freigabe der FritzBox auf seinem Rechner gemountet, so steht einem am Rechner auch gleich ein auf der FB per WebDAV gemounteter “Internet-Speicherplatz” (also beispielsweise Strato HiDrive usw.) zur Verfügung und muss nicht zusätzlich auf dem Rechner gemountet werden. Die FritzBox stellt also die Verbindung zum Internet-Speicherdienst her und mountet diesen in die Freigabe als “Online-Speicher”.
Nun kann man direkt unter /media/fritzbox-nas/Online-Speicher den WebDAV Speicher nutzen. Also muss sich nur ein Client per WebDAV anmelden und gibt diesen Speicher wiederum an andere Clients im LAN weiter. Spart den Aufwand der Einrichtung auf jedem Client.

  Weitere Vorteile: DLNA Medien-Streaming

Neben der Freigabe per Samba/ CIFS können die Daten ebenfalls per DLNA abgerufen werden. Neuere Fernseher und andere Media-Boxen verbinden sich quasi automatisch mit dem FritzBox NAS und spielen die darauf befindlichen Daten ab. Die FritzBox liefert somit die Video-, Bild- oder Audiodaten als “Mediensammelbox” an entsprechende Geräte aus, die diese per Streaming wiedergeben können.
Und natürlich kann auch ein Smartphone mit DLNA Freigaben umgehen. Ohne viel Aufwand ist ein passender DLNA Client für das iPhone gefunden (Beispielsweise: Media Link Player Lite) und installiert. Nach dem Starten findet die App die im LAN befindlichen DLNA Freigaben automatisch. Die auf dem DLNA Speicher (also der FritzBox) befindlichen Mediendaten werden, unterteilt in Filme, Musik und Bilder, im Client zur Auswahl und Widergabe gestellt. Hierbei ist es relativ unerheblich, in welchem Verzeichnis die Mediendaten gespeichert werden. Auf dem USB Speicher kann man sich verschiedene Ordner anlegen, die vom DLNA Client sortiert in der passenden Kategorie angezeigt und zur Auswahl angeboten werden.
MP3, Filme und Bilder werden vom Client nun wiedergegeben (sofern das Format unterstützt wird). Die große Musiksammlung gelangt hierdrüber ohne viel Aufwand auf das iPhone und belegt auf diesem keinen Speicher….
In der gemounteten Freigabe kann man einfach mal im Verzeichnis /media/fritzbox-nas/(USB-Speichername/ ein Verzeichnis Musik anlegen und in dieses ein paar MP3s ablegen. Nach einiger Zeit warten hat die FritzBox diese in die interne Medien-Datenbank übernommen und der DLNA Client zeigt die MP3s in der Musikauswahl an.

  Was hat das nun mit Samba/ CIFS zu tun?
Nun ja. Irgendwie müssen die Daten ja auf die FritzBox gelangen. Hat man sich seinen Speicher auf der FritzBox am Rechner gemountet kann man damit die Mediendaten einfach und unkompliziert vom Rechner auf die FritzBox bewegen. Ein kleines Skript geschrieben, welches die MP3s nach Wunsch (Playlist o.ä.) vom Rechner auf die FritzBox bewegt. Oder man möchte für einen speziellen Fall nur ein paar Dateien anderen DLNA fähigen Clients (Fernseher, Spielekonsole usw.) freigeben ohne sich auf der FritzBox durch Unmengen an Daten klicken zu müssen.
Die Vorauswahl an MP3s wird auf der FritzBox hinterlegt, das iPhone zur Wiedergabe genutzt. Die Musik kommt somit per WLAN “over the air” in das iPhone. Dieses an einen passenden Verstärker angeschlossen findet wiederum den Weg in die Anlage (sofern diese nicht auch schon DLNA fähig ist).
Schöne neue Technikwelt
Leider kann der Client nicht mit allen bekannten Medien-Filmformaten umgehen. Die Auswahl ist doch recht überschaubar. Man sollte sich also nicht wundern, wenn man die Filme nicht alle wiedergeben kann.

  Was wäre noch besser?

Ideal wäre es: Die Freigabe auch per NFS. Das zugrundeliegende Betriebssystem einer FritzBox ist ein angepasstes Linux. Leider bietet die FritzBox nicht von Haus aus eine Freigabe per NFS. Dieses Protokoll ist unter Linux/ UNIX ein ideales Netzwerkprotokoll und ist in quasi jeder Distribution direkt mit drin. Warum baut AVM nicht einfach dieses Protokoll mit ein? Damit hätte man direkt von jedem LInux-Rechner einen Zugriff auf den Speicher. Wozu also der Umweg über Samba/ CIFS?
Man kann nur hoffen, dass AVM in einer der kommenden Firmware-Versionen diese Unterstützung nativ einbaut.

Nun ist aber Schluss mit der Fritz!App. Warum?

Ich habe ja schon beschrieben, wie man sein iPhone mit der App per VPN Tunnel an seine FritzBox anmelden kann um darüber von extern (über das Internet) zu telefonieren.
Leider habe ich nun aus eigener und leidiger Erfahrung selber feststellen dürfen: Die funktioniert einfach nicht, wie sie soll. Nicht, dass sie Sprachqualität nicht ausreichend ist, nein, die hat ganz andere Probleme. Trotz aufgebautem Tunnel meldete sich die App mal an, mal nicht. Mal schnell, mal langsam. Und häufig überhaupt gar nicht. Den Tunnel neu aufbauen und das gleiche Prozedere abermals durchprobieren scheiterte auch meist. Eigentlich rein zufällig meldete sich die App an. Oder halt auch nicht. Ein bestimmtes Verhalten diesbezüglich war nicht zu erkennen. Die Buttons “FritzBox” und “Telefonie” (rechts oben in der App) blieben häufig komplett grau. Weder rot noch grün. Auch ein Klick auf diese brachte einen nicht wirklich weiter. Scheinbar hat die App (warum auch immer) keine Verbindung zur FritzBox herstellen können oder aber auch wollen.

Ich sehe nicht ein, dass ich erstmal ewig hin- und herprobieren muss bis sich die App vielleicht unter Umständen dazu bequemt, mal an der FritzBox anzumelden. Das ist für mich ein Zustand, der absolut nicht tragbar ist. Entweder meldet sich die App direkt an und es geht oder es geht halt aus anderen Gründen (weil z.B. der Tunnel nicht besteht oder Passwort falsch) nicht. Es darf meiner Meinung nach nicht so sein, dass man einen “vielleicht geht’s oder halt auch nicht” Status hat. Zumal ich die Software auch nicht täglich nutze nervt es um so mehr, wenn man diese einmal alle paar Wochen nutzen möchte und dann diesen firlefanz mit hin- und herprobieren über sich ergehen lassen muss bis sich die App vielleicht einmal bequemt, eine Anmeldung durchzuführen. Oder eben auch nicht….

Welche Anforderungen an eine Alternative habe ich? Gibt es Alternativen?

  Es musste nun eine Alternative her, die zuverlässig funktioniert. Doch welche? Was muss eine Alternative erfüllen, um meinen doch eigentlich recht geringen Anforderungen gerecht zu werden? Was für Anforderungen habe ich an solch ein Softphone?

– Zuverlässig
– schnell startend
– gute Sprachqualität
– einfach zu konfigurieren
– kein rumzicken.

Die Vorteile der FritzApp (sofern man diese denn als Vorteil ansieht):
– Man hat mehr oder weniger direkten Zugriff auf die Anruflisten (eingehend, ausgehend, verpasst) der FritzBox
– sieht eigentlich ganz nett aus
– Informationen über die FritzBox FW, IP usw.

Darauf kann ich gut verzichten, denn es gibt neben der schon erwähnten Instabilität noch weitere Nachteile: Das Adressbuch. Wie kommt AVM auf die Idee, dass man nicht das auf dem iPhone befindliche Adressbuch nutzen möchte? Ich pflege doch nicht auf meinem iPhone ein Adressbuch und versuche noch, dieses zusätzlich in der FritzBox aktuell zu halten.

Ist Adore Softphone eine Alternative?

  Adore Softphone ist aus dem App Store kostenfrei zu laden. Die Einrichtung ist schnell und ohne viel Aufwand erledigt. Das Softphone verhält sich, wie man es erwartet: Schnelle Anmeldung. Einfache Bedienung. Gute Sprachqualität. Nutzung des Adressbuches vom iPhone.
Bisherige Nutzungen zeigten keine Probleme. Programm startete jeweils innerhalb kürzester Zeit und die Anmeldung war gleich darauf vorhanden. Das Softphone glänzt nicht mit einer voll durchdesignten GUI, macht aber genau, was es soll.

    Zusammenfassung: Gute Alterantive.

Ist 3cx eine Alternative?

  3CX Phone kennt man vielleicht schon von seinem Rechner, sofern man hier mit Softphones schon gearbeitet hat.
Die Einrichtung ist auch recht übersichtlich gehalten und das Softphone ist schnell angemeldet. Aber leider funktioniert die App nicht immer, wie sie soll. Häufig wollte das Programm nicht starten bzw. brauchte mehrere Anläufe. Zwischendurch ist die App leider auch ein paar Mal einfach gecrasht. Wieso? Nicht ersichtlich, einfach aus und vorbei.

    Zusammenfassung: Leider keine Alterantive.

Fazit

  Die AVM App ist erstmal zur Seite gelegt. Vielleicht wage ich irgendwann noch einmal den Versuch. Vorläufig werde ich bei Adore bleiben. Die macht wenigstens, was sie soll….

Jeder, der sich mit der AVM Fritz!App und dem “Telefonie bleibt rot” Problem oder ähnlichen Phänomenen rumärgert sollte mal über einen Umstieg nachdenken. Es lohnt sich…

  Weil mich dieses Thema die letzten Tage beschäftigt hat. Und wie ich sehen konnte scheint es zum Einen nicht ganz trivial zu sein, zum Anderen wurde ich von jemandem angesprochen, ihm bei der Lösung (s)eines Problems zu helfen.
Gibt man sich also im allumfassenden Netz auf die Suche nach einer hoffentlich brauchbaren und verständlichen Anleitung, die es einem mehr oder weniger Schritt-für-Schritt erklärt, so wird man (zumindest ich) nicht so leicht fündig…. Und damit nun ein für alle Male eine Anleitung brauchbar im Netz verfügbar (und auch für mich nachlesbar ) steht hier die Anleitung, wie man seinen kompletten Internetverkehr über seine FritzBox über einen OpenVPN Tunnel zu einem OpenVPN Server und von dort frei und ungefiltert ins Internet bekommt.
Wozu denn dieses mag man sich fragen? Warum der Aufwand, die FritzBox macht doch Internet ohne Probleme? Was bringt es mir, wenn ich alles noch zusätzlich über den OpenVPN Server laufen lasse, verringert doch unter Umständen die Performance usw.?
Erste Antwort: Weil ich es kann. Zweite und sinnvolllere Antwort ist wohl die, dass es unter Umständen den Bedarf gibt, seine FritzBox nicht direkt mit dem Internet verbinden zu wollen oder zu können. Oder man hat bestimmte Dienste, die es erforderlich machen, über den VPN Tunnel zu gelangen.

  Zweck und Ziel dieses Projekts

  Dieser Blogpost ist dazu gedacht, seine FritzBox in der Art und Weise abzuändern, dass der gesamte Internetverkehr über einen VPN Tunnel zum OpenVPN Tunnel Endpunkt geroutet wird. Hier findet kein split-tunneling statt, alles soll durch den Tunnel geroutet werden. Alle Datenpakete, die die FritzBox verlassen sind verschlüsselt und kennen nur den einen Weg: Über den OpevnVPN Tunnel zum Server. Keine unverschlüsselten Datenpakete sollen außerhalb des Tunnels vorbei gehen (können).

  Ein Beispiel für einen möglichen Einsatzzweck

  Ein Beispiel wäre, wenn man seinen Internetanschluss in der FritzBox mit Lan1 (also das DSL Modem abschaltet und nicht nutzt) konfiguriert hat und dieser LAN1 Anschluss in einem von anderen Personen administrierten Netzwerk hängt. Dieses Netzwerk vergibt statisch oder dynamisch IP Adressen über Ethernet, die FritzBox routet alles aus dem internen Netzwerk der FritzBox an diesen LAN Port. Über diesen Netzwerkanschluss wird also der komplette Internetzugang realisiert. ohne viel Einfluss auf den Verlauf des Datenverkehrs haben zu können. Die Kontrolle, was unter Umständen in diesem Netzwerk geblockt, mitgelesen oder sonstwie verhindert wird obliegt also nicht dem eigenen Einfluss. Man muss sich also immer überlegen, wie viel Vertrauen man seinem Netzwerkadministrator entgegen bringt.
Es kann ebenfalls sein, dass in diesem fremdadministrierten Netzwerk verschiedene Dienste blockiert werden: Telefonie über VoIP, Webseiten müssen über einen Zwangs-Proxy aufgerufen werden, Mail geht nicht, SSH in die weite Welt ist unterbunden. Vielleicht der Einzige (und nicht gefilterte Dienst) ist VPN und kann für den Zugriff in die weite Welt genutzt werden. Ist auch dieses etwas erschwert (da die Netzadministratoren ja mitunter nicht ganz doof sind) und verschiedene bekannte und üblicherweise genutzte Ports sind blockiert, so muss man sich noch einen weiteren Trick zur Umgehung dieser Hürde einfallen lassen.

Eine andere Idee: Man möchte auf der FritzBox (s)einen VoIP Provider für die Telefonie nutzen. Angeschlossen ist die FritzBox ebenfalls über ein nicht vertrauenswürdiges Netz. Alle Sprachdaten würden/ könnten mitgelesen bzw. abgehört werden. Traut man nun seinem Netzanbieter, über den der VPN Server angeschlossen ist mehr als seinem Netzlieferant der FritzBox-Internetanbindung, so macht auch hier wieder ein Tunnel Sinn.
Möglichkeiten und Einsatzzwecke gibt es also zur Genüge. HomeOffice, Standortvernetzung usw. sind ebenfalls denkbar.

Selbstverständlich kann die FritzBox bei dem nachfolgenden Aufbau auch ganz normal über das eingebaute ADSL Modem über einen ADSL Anschluss mit seinem Internetserviceprovider verbunden sein. Das bleibt sich schlussendlich gleich und ändert in der Anleitung nichts.

  Voraussetzungen

  Wie schon bei meinen anderen Blogposts mit OpenVPN setze ich hier eine funktionsfähige Installation und (Grund)Kenntnisse bei der Konfiguration und Einrichtung von OpenVPN voraus. Ein funktionsfähiger OpenVPN Server ist für die Einrichtung Grundvoraussetzung. Sollte der nicht eingerichtet sein bzw. die FritzBox noch nicht als OpenVPN Client konfiguriert sein, so sollte dieses in meinem Blogpost http://www.rotzoll.net/2010/04/fritzbox-7270-als-openvpn-client/ nachgelesen und entsprechend eingerichtet werden. Ein Zugriff auf die Konfigurationsdatei des OpenVPN Servers (um beispielsweise das LogLevel zum Debuggen zu erhöhen) ist ebenfalls erforderlich.
Ebenfalls sind Linux und im späteren Verlauf IPtables Kenntnisse erforderlich.

Die angesprochenen Konfigurationsschritte beziehen sich auf AVM FritzBox 7390′er und 7270′er, die als OpenVPN Client erweitert wurden. Sicherlich sind die angegebenen Konfigurationsschritte und Beispiele auch auf andere FritzBoxen übertragbar und lassen sich dort ebenfalls abbilden.

Da es bei der Einrichtung auch an das Routing zwischen der FritzBox und der OpenVPN Server geht, ist es sinnvoll, noch einen zweiten Internetzugang für “den Fall der Fälle” zu haben. Also über UMTS oder ähnlich noch ein zweiter Weg im Notfall, sollte man das Routing fehlerhaft verstellt haben oder aus sonstwelchen Gründen nicht mehr an den OpenVPN Server kommen. Es hilft, sich vorher Gedanken über Plan B zu machen.
Und nicht erst, wenn man sein Routing zerstört und keinen Zugriff mehr auf den OpenVPN Server hat

  Begrifflichkeiten und Netzwerke

  In der nachfolgenden Beschreibung gehe ich von folgenden Begrifflichkeiten aus:

• Der OpenVPN Server ist über eine offizielle IP Adresse 20.30.40.50 erreichbar
• Das Netzwerkinterface am Server Richtung Internet heißt eth0
• Das VPN Netzwerkinterface heißt tun0
• IP Netz für die VPN Client: 10.1.2.0/24
• IP Netz für die Clients hinter der FritzBox: 192.168.178.0/24

Alles sind natürlich nur Beispieldaten und müssen, je nach eigener Konstellation angepasst, werden.
Ebenfalls werden die Aufrufe auf dem OpenVPN Server als root ausgeführt. Natürlich kann auch mit sudo gearbeitet werden. Der Einfachheit halber habe ich aber in der Beschreibung darauf verzichtet. Wenn mit sudo gearbeitet wird, so ist vor die Aufrufe sudo vorzusetzen. Das erklärt sich aber sicher von selbst….

Telnet zur FritzBox

  Voraussetzung für die Konfiguration der FritzBox ist, dass der Zugriff per Telnet auf diese aktiviert ist. Auf dem konfigurierenden Rechner ist ein Programm zur Nutzung von Telnet installiert und kann ausgeführt werden (Linux/ Mac Nutzer: Terminal öffnen und telnet IP_der_FritzBox eingeben; Windows Nutzer: Putty starten, als Verbindungstyp telnet auswählen, IP_der_FritzBox eingeben; Loginpasswort ist das normale Webpasswort).
Eine Verbindung von seinem Rechner zur FritzBox per Telnet ist nachfolgend immer dann nötig, wenn Änderungen/ Anpassungen auf dieser beschrieben werden. In meinen Beispielen ist dieses ebenfalls zu erkennen an der Bezeichnung der Konsolenausgabe.

Ganz wichtig: Man sollte die komplette Einrichtung natürlich nur aus dem lokalen Netzwerk vornehmen. Meint man, dass man dieses auch von remote einrichten kann, so könnte wird man sich ganz schnell den Ast absägen, auf dem man sitzt. Es geht natürlich auch, dann darf man sich allerdings beim Löschen der Default-Route nicht an die von mir angegebene Reihenfolge halten und muss erst die Host-Route zum OpenVPN Host setzen eh man die Default-Route löscht.
Ebenfalls kann es sein, dass man die FritzBox neu starten möchte. Dann hilft es, wenn man diese in Zugriff hat

  Routing des kompletten Datenverkehrs in den Tunnel hinein

Der VPN Tunnel kann aufgebaut werden und der Tunnel steht. Von der FritzBox kann ein Ping auf die IP des VPN Tunnelendpunktes (die interne VPN IP Adresse des OpenVPN Servers) gemacht werden, Pakete werden beantwortet. Wenn dieses erfüllt ist, beenden wir erstmal den OpenVPN Client auf der FritzBox durch ein kill der Prozess-ID:

telnet:~ fritzBox$ # ps | grep openvpn
1234 root 2072 S /var/media/ftp/DEVICENAME/vpn/openvpn –config openvpnclient.conf –daemon
(Man erhält die Ausgabe zu dem openvpn Dienst. Die Prozess ID ist die este Spalte, in diesem Beispiel also 1234.)

Durch einen Aufruf auf der Konsole der FritzBox von

telnet:~ fritzBox$ # kill 1234

wird der Prozess auf der FritzBox beendet. Der Prozess wird beendet und das Tunneldevice tun0 sollte nicht mehr vorhanden sein (Test mit: ifconfig tun0).

Nun soll das Routing des Datenverkehrs soweit abgeändert werden, dass der gesamte Datenverkehr nicht mehr seinen “normalen” Weg ins Internet geht sondern über den VPN Tunnel geroutet wird.
Auf der Fritzbox muss hierzu das Default-Gateway (normalerweise also die Anbindung ans Internet und namentlich als Device dsl in der Routingtabelle) gelöscht werden. Danach wird eine einzelne Host-Route angelegt, die die IP Adresse des OpenVPN Servers auf das “Internetdevice” routet. Nachdem der OpenVPN Tunnel aufgebaut wurde wird der gesamte Internetverkehr über das Tunnel-Device tun0 als Default-Gateway geroutet:

Wir löschen auf der FritzBox das default Gateway, welches uns mit netstat angezeigt wird und als Route für das Ziel 0.0.0.0 definiert ist:

telnet:~ fritzBox$ # netstat -nr
Destination     Gateway     Genmask     Flags MSS Window irtt Iface
0.0.0.0     0.0.0.0     0.0.0.0     U     0 0     0 dsl
telnet:~ fritzBox$ # route del default dev dsl
(Das Default-GW wird gelöscht.)

Nun wurde das Default-GW aus der Routingtabelle der FritzBox gelöscht. Würden wir nun versuchen, den OpenVPN Client zu starten hätte dieser keine Möglichkeit, den OpenVPN Host zu erreichen. Also setzen wir eine Host-Route für die IP des OpenVPN Servers auf das Device dsl:

telnet:~ fritzBox$ # route add -host 20.30.40.50 dev dsl
(Routing auf die IP Adresse des VPN Servers über das Device dsl.)

Hiernach kann der OpenVPN Client auf der FritzBox wieder gestartet werden, das Ziel ist über die Hostroute erreichbar und der Client kann sich gegen den Host connecten. Ist der Tunnel erfolgreich initialisiert (Prüfung im Log des VPN Servers und des Clients hilft hier bei etwaigen Problemen sehr…), so erscheint das Netzwerkdevice tun0 auf der FritzBox:

telnet:~ fritzBox$ # ifconfig tun0
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.1.2.22 P-t-P:10.1.2.21 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:379 errors:0 dropped:0 overruns:0 frame:0
TX packets:218 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3690 (3.7 MiB) TX bytes:1744 (1.7 MiB)

Nun ist der OpenVPN Server über den VPN Tunnel erreichbar. Allerdings soll ja der gesamte Internetdatenverkehr über diesen Tunnel geroutet werden. Also setzen wir einen Default-Gateway Eintrag auf dieses Device:

telnet:~ fritzBox$ # route add -net 0.0.0.0/0 dev tun0
(Das Default-GW wird auf das VPN Device tun0 gelegt.)

Die Routingtabelle über netstat -nr zeigt nun auf, dass wir eine Hostroute haben, ein default-GW und natürlich die normalen Netzrouten-Einträge für das OpenVPN Netz.

  Aktivierung als Gateway

  Vermutlich wird der OpenVPN Server noch nicht als Gateway dienen. Vielleicht hat dieser ein “externes” Interface für das Internet, auf ihm laufen vll. noch ein paar Internetdienste (HTTPd usw.) und noch der OpenVPN Serverdienst. Bisher wurde der Server noch nicht als Router (Gateway für verschiedene Netze) genutzt.
Es fehlt somit die Einrichtung, dass zwischen den Netzen geroutet werden soll. Hierzu muss eine Option im Kernel gesetzt sein, die das Routing zwischen den Netzen steuert. Als Werte gibt es 0 (keine Gatewayfunktion) oder 1 (es wird geroutet). Wir prüfen ersteinmal, ob der Kernelwert schon gesetzt ist:

OpenVPNserver$ # cat /proc/sys/net/ipv4/ip_forward
0
(Hier wäre das Routing zwischen den Netzen deaktiviert.)

Ist der Wert auf 1, so kann der nachfolgende Aufruf gespart werden. Andernfalls muss der Wert von 0 auf 1 geändert werden:

OpenVPNserver$ # echo 1 > /proc/sys/net/ipv4/ip_forward
(Aktiviert das Routing zwischen den Netzen.)

Nun wird zwischen den unterschiedlichen Netzen (z.B. eth0 für das externe Interface und tun0 für das VPN Netz) geroutet. Dieses sollte ebenfalls reboot-save gemacht und bei Ubuntu in die Datei /etc/sysctl.conf eingetragen werden bzw. der Wert muss auf 1 gesetzt werden. Die Zeile wird schon in der Datei vorhanden, aber unter Umständen mit einem ‘#’ Zeichen “deaktiviert” sein. Das Raute-Zeichen muss entfernt werden und die Zeile wie folgt in drinstehen:

net.ipv4.ip_forward = 1
(Aktiviert das Routing zwischen den Netzen.)

Nun sollte das Routing prinzipiell erlaubt sein und funktionieren. Man kann durch den obigen Aufruf abermals prüfen, ob der Kernel nun mit dem Wert versehen ist und erhält statt ’0′ nun eine ’1′.

  Anpassung der IPtables Regeln auf dem OpenVPN Server

  Auf dem OpenVPN Server müssen, wenn hierzu IPtables genutzt wird, Regeln erstellt werden, die das Masquerading und “Weiterleiten” der Pakete erlaubt. Wird statt IPtables IPchains genutzt, so muss dieses eigenständig nachgeschlagen werden. Es wird aber ähnlich ablaufen…

Die nachfolgenden Regeln richten NAT (Network-Adress-Translation) zwischen dem OpenVPN Interface tun0 und dem externen Netzwerkinterface eth0 ein. Wer die genaueren Aktionen verstehen will, der sollte sich einmal die Grundlagen von IPtables ansehen. Hier werde ich nicht näher auf die einzelnen Optionen eingehen und die Aufrufe erläutern sondern gebe diese als gegeben an. Auf der Konsole werden die Zeilen nacheinander eingegeben (oder, sofern man ein IPtables Regelwerk schon hat, in dieses eingebaut):

OpenVPNserver$ # iptables -I FORWARD -i tun0 -j ACCEPT
OpenVPNserver$ # iptables -I FORWARD -o tun0 -j ACCEPT
OpenVPNserver$ # iptables -t nat -A POSTROUTING -o eth0 -s 10.1.2.0/24 -j MASQUERADE
OpenVPNserver$ # iptables -t nat -A POSTROUTING -o eth0 -s 192.168.178.0/24 -j MASQUERADE
OpenVPNserver$ # iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
(In Kurzform: Pakete auf dem tun0 Interface werden erlaubt und das OpenVPN/ FritzBox Netz ge’nat’net.)

Natürlich kann man obige Aufrufe noch seinen eigenen Bedürfnissen anpassen oder erweitern. NAT sollte vollkommen ausreichend sein, da zusätzlich noch auf der FritzBox ge’nat’net wird. Also ein DoppelNAT
Reicht einem dieses aus eigenem Sicherheitsempfinden nicht, so kann auch über einzelne Portregeln (z.B. nur HTTP Port 80, 443 und DNS auf vorgegebene DNS Server) der ausgehende Verkehr ins Internet eingeschränkt werden. Das wäre aber nicht sinnvoll, da wir ja auf der FritzBox noch ein paar andere Dienste (VoIP usw.) nutzen wollen und uns das Leben somit unnötig kompliziert machen würden.

  Sind obige Regeln aktiviert, so sollte von der FritzBox ein Ping in die Weite Welt erfolgreich durchgeführt werden können. Dieses kann auf dem OpenVPN Server durch einen TCPdump geprüft werden. Hier werden nun Pakete ein- und ausgehend auf dem Interface tun0 laufen. Aber nicht nur von der FritzBox direkt, auch von einem angeschlossenen Rechner sollte das nun möglich sein, sofern dieser die FritzBox als Default-GW hat.
  IP Pakete laufen nun vom PC zur FB, dort in den VPN Tunnel, gehen verschlüsselt durch den Tunnel über die “Internet”anbindung (ob nun DSL oder LAN->Internet) zum OpenVPN Server, werden entschlüsselt und gehen von dort ins Internet. Ruft man eine Seite zur Ausgabe seiner derzeitigen IP Adresse auf (z.B. http://checkip.dyndns.org oder http://www.wieistmeineip.de), so wird einem die öffentliche IP des OpenVPN Servers angezeigt.
Bingo. Ziel quasi erreicht

  Prüfung, ob der Datenverkehr auf dem OpenVPN Host aus dem Tunnel ankommt

Der Datenverkehr wird nun durch die FritzBox in den Tunnel geschickt und kommt auf dem OpenVPN Server an. Kommt der das wirklich über den Tunnel?
Wenn man beim Routing einfach mal sehen möchte, was die obigen Regeln erlauben, so kann man mit TCPdump vor und während des Aufrufs die Pakete mitlesen.

Wir überprüfen dieses durch einen tcpdump auf dem OpenVPN Host:

OpenVPNserver$ # tcpdump -i tun0 -vvv

Auf dem Rechner im FritzBox-Netz rufen wir nun beispielsweise die Seite http://www.google.com auf. Wie im tcpdump nun einfach zu sehen sein sollte kommuniziert der über den VPN Tunnel angeschlossene Host mit der IP 192.168.178.X mit dem externen Server www.google.com. Wir sehen Pakete, die aus dem Tunnel ins Internet und umgekehrt beantwortet wieder in den Tunnel gehen.

  Konfiguration reboot-save machen

  Wenn obige Schritte erfolgreich durchgeführt wurden und alles funktioniert, so kann bzw. sollte man dieses alles reboot save machen. Schließlich sollen die Änderungen sowohl nach einem restart der FritzBox als auch des OpenVPN Servers wieder funktionieren.
Auf dem OpenVPN Server
Die Einstellungen für IPtables sollte man in einem Skript (wo sicherlich schon ein paar andere Einträge für IPtables stehen) einfügen. Dieses wird beim Booten ausfgeführt. Alternativ sollte man ein Startskript erstellen oder den Aufruf von IPtables in ein anderes mit einfügen.
Eine andere sehr schöne Variante ist die Nutzung der up und down Befehle in der server.conf des OpenVPN Servers. Hiermit können Skripte angegeben werden, die beim Start eines Tunneldevices (tun0) bzw. Stop ausgeführt werden. Damit kann man die IPtables Regeln automatisch setzen wenn der OpenVPN Server startet und ebenfalls diese Regeln wieder löschen (wenn man das möchte).
Hierzu müssen folgende Zeilen in die server.conf eingefügt werden:

script-security 2
up "./tun_up.sh"
down "./tun_down.sh"


Das Setzen von script-security auf ’2′ erlaubt es, alle Arten von (User)Skripten auszuführen. Die Angabe bei up und down verweist auf die Skripte, die beim Hochnehmen oder Herunternehmen des Interfaces ausgeführt werden. Das UP Skript beinhaltet eigentlich nur die IPtables Regeln, die wir vorhin schon händisch aufgerufen haben:


#!/bin/sh
iptables -t nat -A POSTROUTING -o eth0 -s 10.1.2.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.178.0/24 -j MASQUERADE


Wenn das Skript erstellt wurde muss dieses ausführbar gemacht werden:


OpenVPNserver$ # chmod 755 tun_up.sh


Ein Neustart des OpenVPNd liest die Konfiguration komplett neu ein, das Skript wird nun passend gestartet.

Auf der FritzBox
Das Startskript zur Ausführung des OpenVPN Clients funktioniert und existiert schon aus meinem früheren Blogpost.
In dieses Skript könnte man nun die für die FritzBox nötigen Änderungen einfließen lassen und dieses anpassen. Nach dem Aufbau des Tunnels durch den Start des OpenVPN Clients auf der FritzBox bauen wir eine kurze Pause ein, bis der Tunnelendpunkt angepingt werden kann. Danach ändern wir die Routingeinträge ab und fertig. An das bisherige Skript startup.sh zum Start des VPN Clients hängen wir noch folgende Zeilen an:


# Ans Ende der startup.sh anfuegen.....
# Warten, bis der Tunnel steht
echo Waiting for VPN Tunnel connection
while !(ping -c 1 10.1.2.1); do
echo Tunnel noch nicht gestartet
echo
sleep 5
done

#Aendern der Route zum OpenVPN Server
route add -host 20.30.40.50 dev dsl
sleep 2
# Aenderung des Default-Gateway
route del default dev dsl
sleep 3
route add -net 0.0.0.0/0 dev tun0

echo Routing zum VPN Server aktiviert
# # # # ENDE # # # #


Wird dieses mit in die startup.sh eingefügt, so wird nach dem Start des OpenVPN Tunnels automatisch das Default-Gateway auf den VPN Tunnel gesetzt. Aller Traffic aus dem internen “FritzBox Netz” geht über die FritzBox in den VPN Tunnel und über diesen zum OpenVPN Server. Auf diesem

  auftretende Probleme

Die wohl häufigsten auftretenden Probleme sind, dass vom OpenVPN Server die aus dem OpenVPN Tunnel kommenden Datenpakete nicht richtig geroutet und auf das dortige Default-Gateway (Anbindung ans Internet) gelangen. IPtables ist hierfür verantwortlich und muss richtig konfiguriert werden. Sehr hilfreich ist es, wenn man sich auf dem OpenVPN Server mit TCPdump die Datenpakete ansieht, die dort ankommen. Anhand dessen erkennt man schon recht schnell, in welche Richtung die Pakete gehen bzw. dass die Antwortpakete ausbleiben. Sieht man auf dem Server schon gar keine Pakete mit IP Adressen aus dem privaten IP Adressbereich der FritzBox bzw. die VPN IP Adresse der FritzBox selbst, so funktioniert das Routing von der FritzBox in den Tunnel nicht richtig. Mindestens sollte man diese unterschiedlichen Pakete sehen, die dann vom OpenVPN Server geroutet werden müssen.

Ein weiteres Manko fällt bei IPtables auf: Man kann die Regeln nicht auf virtuelle Interface (z.B. eth0:1) beziehen. Hat man also virtuell eine zweite IP Adresse auf dem VPN Server, die für die ausgehende Kommunikation aus dem FritzBox-Netz genutzt werden soll, so kann IPtables mit den Regeln ... -o eth0:1 nichts anfangen und verweigert die Aufnahme dieser Regel. Schade eigentlich.

  Disclaimer/ Haftungsausschluss

Wie immer gilt auch hier: ALLES geschieht auf eigene Verantwortung! Ich übernehme für keine Probleme oder Folgen irgendeine Gewähr, keine Garantie oder sonstige Verantwortung. Jede Änderungen und Anpassungen, Ausführung oder/ und Aufruf irgendwelcher Befehle/ Skripte sollte wohl überlegt und verstanden sein.
Das Umgehen von Sicherheitsmaßnahmen (Sperrung von Ports/ bestimmten Diensten; Umgehung von Zwangsproxys usw.) sollte wohl überlegt sein. Schließlich gibt es durch die Netzbetreuer gute Gründe, warum das so ist. Oder die Anbieter haben im Kleingedruckten die Nutzung bestimmter Dienste untersagt und filtern auf den Core Routern diese Dienste heraus, verlangsamen oder behindern diese.

Jeder ist für sein Handeln selbst verantwortlich. Da mit IPtables & Co. schnell Fehler in der Konfiguration gemacht werden können sollte man sich schon etwas damit auskennen. Unbedachtes Handeln kann ungewünschte Ergebnisse/ Folgen nach sich ziehen.

• direkter Anschluss an analoge oder ISDN Anschlüsse durch eingebauten DSL Splitter
• Anschluss von analogen Telefonen über TAE
• interner ISDN S0 Mehrgeräteanschluss über RJ45 oder Klemmleiste
• WLAN nach 802.11b/g/n mit WPS, WPA2 und dem unsicheren WEP
• Anschluss von USB Speicher, Drucker oder UMTS Stickt
• WLAN über einen Schalter ausschaltbar
• 4 LAN Ports für den Anschluss ans lokale Netzwerk
• SIP Telefonie für verschiedene VoIP Provider
• Telefonanlagenfunktion

In den Grundzügen sind die FritzBox 7270 und EasyBox 802 vergleichbar. Keine der beiden watet mit speziellen Hardware-Merkmalen (ausgenommen die DECT Funktion in der FritzBox) auf. Ich glaube daher, dass man den Vergleich wagen kann. AVM ist sicherlich der bekanntere Hersteller als Astoria Networks (Hardwarelieferant der EasyBox 802).

Was fällt bei der EasyBox 802 positiv auf?

Die EasyBox (EB) bietet einige Funktionen an, die die FritzBox nicht hat. Ob man diese nun braucht oder nicht, sei dahingestellt. Ich betrachte es erstmal als interessant, was man anders/ mehr mit der EB als der FB machen kann.

• Remote-Management auf eine feste IP Adresse einstellbar: Ideal, wenn man von einer festen, externen IP Adresse auf die Box zugreifen und Konfigurationsänderungen machen möchte.
• Filterregeln: Bestimmte Dienste (HTTP, Mail, FTP, NetMeeting usw. oder auch eigene Definition) können explizit erlaubt oder verboten werden. Hierzu können Zeitpläne erstellt und bestimmten Clients zugeordnet werden. Damit kann z.B. allen Clients das Surfen zu bestimmten Uhrzeiten erlaubt oder verboten werden.
• URL Blacklisting: Interessant, um z.B. den Zugang für seine Kinder ein wenig zu filtern. Bestimmten Rechnern kann eine Filterregel zugeordnet werden. Innerhalb dieser Filterregel lässt sich beispielsweise der Zugriff auf Domains mit dem enthaltenen Begriff ‘ebay’ blockieren. Ein Aufruf von www.debayernserverbeispiel.de und ebenfalls www.ebay.de würden mit einem Hinweis abgewiesen werden.
• 3 USB Anschlüsse: 2 USB Ports für Drucker, USB Speicher (Sticks, HDDs) und ein USB Port für einen UMTS Stick
• Klemmleiste für ISDN Verkabelung: Über die Klemmleiste kann die Hausverkabelung (ISDN Bus) direkt hart verdrahtet angeschlossen werdne.
• Durchdachteres Gehäusedesign: Die Box ist so konzipiert, dass Sie hochkant flach zur Wand oder auf einer Fläche positioniert werden kann. Hierzu werden sowohl Fuß als auch Wandhalterung mitgeliefert. Auf der Rückseite sind alle Anschlüsse gut angebracht und können gut erreicht werden. Ein USB Anschluss ist auch bei Wandmontage von der Seite zu erreichen, der UMTS-USB Anschlussport (oben) kann bei geöffneter Klappe mit dem Stick versehen werden.
• Eingebaute Antenne: Ob nun ein Vor- oder Nachteil (im Empfang sicherlich messbar) ist die integrierte Antenne. Keine störenden Stummel-Antennen stehen wie bei der FB von der Rückseite hoch.
• SNMP Management: Die EB kann per SNMP überwacht werden. Interessant, wenn man seinen Anschluss und die Box monitoren möchte.
• Firewall/ IDS: Die EB bietet ein Intrusion-Detection-System. Gut, wohl eher einfachster Natur. Trotzdem kann man sich über eMail informieren lassen, wenn die Box meint etwas erkannt zu haben.
• Einstellbarkeit: Die EB bietet einige Einstellungen für Priorisierung über QoS, TCP Verbindungen, Filterregeln, Port-Forwarding, SNMP, Zeitpläne für WLAN usw. an.
• Schnelle Einstellung einer Nur-UMTS-Verbindung: Die Box kann in wenigen Schritten als UMTS-Router konfiguriert werden. Das eigene Netz erhält dann statt über DSL die Internetverbindung über UMTS.

Die Einstellungen sind meist mit kleinen Beschreibungen erklärt und lassen sich seinen eigenen Wünschen anpassen. Auf das Handbuch kann man bei den meisten Punkten komplett verzichten. Hauptsache, man macht erstmal den Expertenmodus an, dann macht es auch mehr Laune

Was fällt bei der EasyBox 802 negativ auf? Welche Probleme stellt man direkt fest?

• Firmware-Update: Die Vodafone Easybox kann mit einer Firmwaredatei aktualisiert werden. Über die Konfigurationsoberfläche kann eine bei http://www.dsl-easybox.de herunterladbare und lokal auf dem Rechner gespeicherte Firmware-Datei ausgewählt oder über eine bestehende Internetverbindung in die Box geladen werden. Der sichere Weg ist natürlich die Auswahl einer schon heruntergeladenen Datei.
  Leider gibt es Probleme mit dem Google Chrome Browser. Trotz korrekter Datei behauptet das Konfigurationsmenü immer, dass ein “falsches Dateiformat” ausgewählt wurde. Nimmt man schnell den Firefox zur Hand lädt die gleiche Datei korrekt in die Box.
• DLNA Unterstützung: Vodafone schreibt, dass nach Aktualisierung der Bootloaderversion von 1.00.01 auf 1.00.02 die Einspielung einer Firmware möglich ist, die DLNA (Digital Living Network Alliance) unterstützt. Eigentlich gut beschrieben soll man die reset Taste gedrückt halten während man das Netzteil einsteckt. Danach noch rund 5 Sekunden gedrückt halten startet die recovery-Firmware auf der EB. Über diese lässt sich dann der Bootloader aktualisieren.
  Leider aber wohl nicht überall. Bei mir ist es nicht möglich. Google wirft hier auch Ergebnisse anderer heraus, die das gleiche Problem haben. Kaufe ich mir nämlich genau aus diesem Grunde diese Box, um z.B. meinen Fernseher mit DLNA Inhalten zu versorgen, so wäre dieses ein Manko. Da müssen die wohl auch noch mal ran. Scheint also noch ein verstecktes “Feature” zu sein, welches in einer der kommenden Versionen hoffentlich gefixt wird…
• Firmware-Pflege: Die Firmware der EB wird augenscheinlich nicht wirklich aktiv (aktuelle Nicht-DLNA Firmware Version: 20.02.223 (26.03.2010-15:31:20)) entwickelt. Nur selten kommen neue Funktionen hinzu. Man kann darauf hoffen, dass demnächst mal wieder ein Update erscheint und neue Funktionen einfließen.

Wahrscheinlich werden nun nach und nach noch weitere Dinge auffallen, die sich in nähergehender Betrachtung und weiterer Nutzung ergeben.

Was fehlt der EasyBox 802 an Funktionen?

Sicherlich gibt es immer Dinge, die einem fehlen. Ob man die nun braucht oder nicht sie dahingestellt. Hier aber mal ein paar Funktionen, die mir persönlich fehlen:

• Anrufbeantworter: Wie ich finde eine echt super Geschichte bei der FB ist der eingebaute Anrufbeantworter. Nachrichten können auf einem angeschlossenen USB Speicher gespeichert und per eMail direkt an eine voreingestellte Adresse geschickt werden. Das fehlt hier leider gänzlich. Man kann zwar einen AB anschließen, aber wozu bitte dieses extra Gerät?
• Faxempfang: Auch hier hat die FB die Nase vorn. Der eingebaute Faxempfang ist auch ein Pluspunkt. Faxe können auf einem angeschlossenen USB Speicher gespeichert und per eMail verschickt werden.
• DECT: Wieder eine Funktion der FB, die hier fehlt. Man kann keine DECT Geräte an der Box anmelden.
• OpenVPN/ IPSecVPN Server: Nicht mal über “Hacks” ist es derzeit möglich, die Box mit einer VPN Funktion zu erweitern. Weder kann die Box selber als VPN Server für IPSec (z.B. zur Anbindung von Laptop, iPhone & Co. von unterwegs) noch OpenVPN dienen. Das wäre schon sehr wünschenswert, um von unterwegs eine gesicherte Verbindung zu seinem Heimnetz aufbauen zu können.
• OpenVPN Client: Ebenfalls fehlt der Box die Möglichkeit, diese als Client an einen VPN Server anzumelden und Routen “komplettes Netzwerk”/ “bestimmte Routen” auf den VPN-Tunnelendpunkt zu setzen.
• LAN-LAN-Kopplung: Da auch schon die zwei oberen Punkte nicht möglich sind, ist auch dieses fehlend.
• SIP Registrar: Die EB kann zwar selber als SIP Client bei verschiedenen SIP Providern (Sipgate & Co.) angemeldet werden, kann selber aber leider nicht als SIP Registrar fungieren. Somit können beispielsweise keine SIP Telefone/ Softphones im Netzwerk an der Box angemeldet und wie normale analoge oder ISDN Telefone genutzt werden.
• Vielleicht habe ich es bisher einfach übersehen oder die Box bietet nicht die Möglichkeit, die Verbindung über ein externes DSL Modem herzustellen? Ebenfalls scheint zu fehlen, dass die Box eine feste IP Adresse auf einem LAN Port erhält und hierdrüber die Internetverbindung bereit stellt. Vll. auch bei Leuten interessant, die in WGs wohnen und den eigenen Rechner noch einmal mit einem Router davor etwas “absichern” wollen.
• Statusmails: Ich kann leider keine täglichen Statusberichte über Anrufe, DSL Verbindung usw. automatisiert verschicken lassen.
• Anruffilter: Gaaanz großes Manko ;-( Wieso kann ich nicht bestimmte Rufnummern (nervende Callcenter) direkt ins Nirvana schicken? Oder Anrufsperren zu bestimmten Uhrzeiten einrichten? Anrufe unbekannter Anrufe auflegen? Da muss nachgearbeitet werden.

Einige Funktionen (Faxempfang, Anrufbeantworter, VPN, Anruffilter) könnten vll. doch noch mal in einer der kommenden Softwareversionen kommen. Andere Dinge (z.B. DECT) werden nicht über Updates kommen können. Auch das “Nachfolgemodell” EasyBox 803 bietet noch kein integriertes DECT an. Wünschenswert wäre dieses ja. Hardwaretechnisch ließe sich dort sicherlich noch einiges verbessern. Ebenfalls wäre der Umstieg auf GigaBit sicher nicht die schlechteste Idee.

Fazit

Ich bin positiv überrascht! Der Funktionsumfang ist für das Geld sehr gut und für den Großteil der Nutzer sicherlich vollkommen ausreichend. Die Konfigurationsoberfläche mag an einigen Stellen verbesserungsfähig (mein esthätisches Empfinden ist da nicht sooo anspruchsvoll) sein, ist aber nach etwas Einarbeitung gut zu bedienen. Einige Einstellungen könnten in der Oberfläche AJAX-dynamischer (z.B. bei den statischen Listen für Filterregeln und so weiter) sein.

Wirklich super wäre es, wenn man noch Funktionen wie OpenVPN/ IPSec, Anrufbeantworter, Anruffilter (“Blackliste”) und Faxempfang in der Box integriert hätte. Dann wäre diese Hardware derzeit eine wirklich gute und vor allem günstigere Alternative zu (m)einer FritzBox. Auf DECT kann ich persönlich derzeit verzichten, da mein ISDN Telefon gleichzeitig DECT Basis ist. Aber für die Überbrückungszeit (z.B. bei einem Defekt der FritzBox) wäre die Box eine gute Zwischenlösung.

Die Kombination UMTS Stick und FritzBox macht aus der FritzBox einen (auch fast mobilen) WLAN-UMTS Router. Wofür? Eine Möglichkeit ist die Nutzung des UMTS-WLAN Routers bei Umzug oder Wechsel des DSL Anbieters, bei Nutzung einer UMTS Flatrate mit mehreren Endgeräten oder auch im Ferienhaus, wenn sich mehrere Nutzer/ mobile Endgeräte eine UMTS Anbindung teilen sollen.
In wenigen Schritten wird die FritzBox von DSL auf UMTS umgestellt und arbeitet genau wie vorher: Sie ist ein Router für das lokale kabelgebundene und auch kabellose (WLAN) Netz.

Welche Voraussetzungen müssen erfüllt sein?

• Hardware: Leider kommt man nicht ohne passende UMTS Hardware aus. Nicht jeder (billige) UMTS Stick wird derzeit von der FritzBox unterstützt. Man fährt also gut dran, sich vor dem Kauf eines vermeintlichen Angebots zu überlegen, ob man den auch mit der FritzBox wirklich ohne Probleme nutzen kann.
  Eine Übersicht der unterstützen UMTS Sticks findet man auf den Seiten von AVM.
• Datentarif: Weiterhin sollte man einen mobilen Datentarif haben, der einen nicht innerhalb kurzer Zeit ins Armenhaus treibt. Die Netzbetreiber sind derzeit ja sehr einfallsreich, was deren Berechnung angeht. Eine Deckelung und damit Drosselung nach einem bestimmten Datenkontingent ist sicher besser als eine teure Berechnung von zum Teil mehreren Euro pro Megabyte nach Erreichen des Inklusivvolumens. Also lieber mal das Kleingedruckte gründlich lesen eh man eine böse Überraschung (Rechnung) erhält
• Netzbetreiber: Günstig und meist auch überall verfügbar sind die Angebote von O2.
  Bevor man sich einen Netzbetreiber aussucht und sich auf diesen festlegt sollte man diesen, sofern man das kann, testen. Einfach mal eine Karte/ ein (UMTS-) Handy des gewünschten Netzbetreibers ausleihen und die Verfügbarkeit von mobilem Internet per UMTS prüfen. GPRS ist für einen Nutzer schon recht wenig. Teilt man sich das noch mit mehreren, so vergeht einem sehr schnell der Spaß beim Surfen…
• FritzBox: Eine aktuelle Firmware auf einer FritzBox. Derzeit (Jan. 2011) aktuelle Firmware-Version 54.04.88.

Welche UMTS Sticks funktionieren ohne Probleme?

Selber getestet und für funktionsfähig erklärt sind die Vodafone K3520-H und K3786-H. Wichtig ist hierbei der Hersteller Huawei (dafür das Kürzel ‘-H’ im Artikelnamen). Die UMTS Sticks mit dem Kürzel ‘-Z’ (Hersteller ist hier ZTE) können nicht genutzt werden. Natürlich sind beide Sticks ohne Netlocks oder ähnlichen Sperren und können in jedem Netz genutzt werden.
Grundsätzlich fährt man meiner Meinung nach mit den Huawei sowieso deutlich besser als mit den ZTE. Nicht nur die bessere Verfügbarkeit von Firmwares zum un-netlocken der Sticks, auch die Verarbeitung und Qualität ist bei den Huawei etwas besser und wertiger als bei ZTE. Sinnig ist es, sich vll. ersteinmal einen Stick auszuleihen und zu testen, eh man sich einen kauft.
Also lieber gleich bei AVM die Liste ansehen, welche Sticks unterstützt werden oder einen erwerben, bei dem man sich sicher sein kann.

Wie richte ich den UMTS Stick in der FritzBox ein?

FritzBox vom Strom trennen. Den UMTS Stick mit eingesetzter SIM Karte in den USB Port der FritzBox stecken. Wieder mit Strom versorgen. Per Webbrowser die Konfigurationsoberfläche der FritzBox aufrufen. Expertenansicht aktivieren (sofern noch nicht geschehen). Dann unter Internet -> Mobilfunk.
Hier nun den Haken bei Mobilfunk aktiv setzen. Das Feld PIN wird schreibbar. Die PIN der SIM Karte eintragen (Vorsicht: Vertippt man sich hier, so ist die Karte ganz schnell gesperrt und muss in einem Hand mit PUK entsperrt werden!). Nach erfolgreicher Eingabe der PIN weiter unten bei Internetzugang den Provider auswählen oder selber die Daten eintragen. Auch hier sollte drauf geachtet werden, die richtigen Daten zu nutzen. Trägt man z.B. den falschen APN des Anbieters ein, so kann es hier zu Kosten kommen. Also lieber sicherstellen, hier den richtigen Eintrag vorgenommen zu haben.
Auf Übernehmen klicken. Die Daten werden gespeichert. Man sollte nun bei Netzverfügbarkeit das Einbuchen in das UMTS Netz sehen können.

Die FritzBox sollte einem nun ein (ähnliches) Bild zeigen:

(FritzBox UMTS Einrichtung in Kleinansicht. Klicken zum Vergrößern.)

Testen der Verbindung über UMTS

Um zu testen, ob die FritzBox nun korrekt über UMTS den Internetzugang hergestellt hat kann man einfach mal das DSL Kabel aus der FritzBox entfernen. Der angeschlossene Rechner sollte nun weiterhin ohne Probleme online gehen können. Meist natürlich nicht mehr so schnell wie per DSL (je nach Anbieter, Netzverfügbarkeit, Auslastung der Zelle usw.), aber trotzdem in den meisten Fällen vollkommen ausreichend…. Zumal, wenn man den Stick als Alternative zur Anbindung per DSL nutzen will/ muss

Probleme mit der Nutzung eines UMTS Sticks

Es können sich bei der Einrichtung ein paar kleine Probleme aufstellen, die sich meist recht einfach lösen lassen. Grundsätzlich sollte man ersteinmal prüfen, ob der Stick mit der Karte überhaupt funktioniert. Und natürlich sollte man sicherstellen, dass dieser von der FritzBox unterstützt wird und auch korrekt erkannt wird (siehe Netzverfügbarkeit -> Status).
Geschwindigkeitsprobleme: Lassen sich meist wenig beeinflussen. Wenn jedoch die UMTS Verfügbarkeit nicht gut ist sollte man überlegen, die FritzBox anders zu positionieren. Manchmal hilft es schon, die FritzBox z.B. an ein Fenster zu stellen und damit den Empfang per UMTS zu verbessern.
Sinnvoll ist immer mal ein Vergleich mit seinem Rechner und der direkten Verbindung per UMTS Stick in diesem. Schneller wird es mit der FritzBox auch nicht werden können…

Weitere Ideen für einen mobilen “Hotspot”

Die FritzBox ist somit nicht nur eine gute Möglichkeit, seinen Zugang über UMTS herzustellen, wenn man kein DSL hat. Auch, wenn man z.B. seinen Urlaub in einem Ferienhaus ohne Internetanschluss (ja gibt es das denn noch? ) verbringen möchte ist die Idee, sich seine FritzBox mitzunehmen, wohl nicht falsch. Die SIM Karte eines günstigen lokalen Anbieters in den Stick getan, u.U. die APN Einstellungen händisch eingestellt und schon kann man per LAN und WLAN online gehen. Die Zeiten, dass man im Urlaub auf seinen Laptop, sein iPhone, sein Internetradio usw. usf. verzichten mag sind wohl mittlerweile vorbei…
Seine selber mitgebrachte und vll. als OpenVPN Client “optimierte” FritzBox bietet damit aus dem Urlaub/ Ausland ohne Probleme Zugriff auf sein Heimnetzwerk und die dortigen Daten.
Eine andere Idee: Man hat ein Auto/ Wohnmobil und möchte unterwegs per WLAN online gehen können. Die FritzBox wird mit 12Volt Gleichspannung bei max. 1,4A betrieben. Ins WoMo eingebaut und man kann sich bequem ins WLAN einbuchen, sein iPad (die Ausstattung mit nur-WLAN) als Navi nutzen. Stellt man hier die gleiche SSID und WPA2 Key wie im normalen Heimnetzwerk ein geschieht das alles sogar ohne Konfigurationsaufwand auf den Clients…
Oder oder oder….

Links

• Beschreibung der Einrichtung bei AVM http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/15982.php3?portal=FRITZ!Box_Fon_WLAN_7270
• Liste mit unterstützen UMTS Sticks bei AVM http://www.avm.de/de/Service/Service-Portale/Labor/geeignet_fuer_UMTS.php

Wie immer der obligatorische Hinweis:
Alles geschieht auf eigene Verantwortung! Ich übernehme für keine entstehenden Probleme irgendeine Gewähr/ Garantie/ Haftung.
Bei Fehlnutzung/ -konfiguration können Kosten durch den Netzversorger entstehen.

Gut, wenn man noch ein ADSL Modem hat, welches einem durch ein erst schnelles Blinken, dann dauerhaftes Leuchten die Synchronisation mit dem DSL signalisiert. Zumindest dieses Problem also eingegrenzt und ersteinmal umgangen: FritzBox umkonfiguriert, dass diese ihr Internet über LAN1 und nicht DSL erhält. Fertig.

Nun geht das ganze Trauerspiel mit AVM los. Immerhin gut, dass die Geräte 5 Jahre Garantie haben. Und die FritzBox ist noch innerhalb dieser Zeit.

Ich hoffe, dass sich AVM bemüht und ich schnell eine neue/ reparierte Box zurück habe. Vielleicht überrascht mich AVM bei diesem Problem ja endlich mal positiv.
Und für mich bedeutet der Ausfall, dass ich mir vielleicht doch noch mal Gedanken über eine Ersatz-FritzBox machen muss. Oder ein Upgrade auf die 7390. Die bringt auch gleich Gigabit mit, was mir wieder entgegen käme

Ich werde berichten….

// Update 1, 06.02.2011 //
Die Geschichte ging nun weiter und hat heute endlich ein Ende gefunden…
Online habe ich bei AVM meinen Defekt gemeldet. Daraufhin habe ich eine eMail mit einer RMA Nummer und der Adresse in Berlin zur Einsendung erhalten. Beizulegen war eine Rechnungskopie über den Kauf. Zusätzlich habe ich noch eine kurze Fehlerbeschreibung der FritzBox beigelegt und alles vor 2,5 Wochen per Paketdienst nach Berlin geschickt… 1,5 Wochen später habe ich endlich eine Bestätigung erhalten, dass meine RMA Lieferung eingegangen sei und nun geprüft und repariert werde.
Gestern stellte ich mit Freude fest, dass mir die Post mal wieder einen DHL-laufen-sie-selber-zum-Paket-in-der-Packstation-Zettel eingeworfen hatte. Also gerade die FritzBox aus der Packstation geholt, etwas aklimatisieren lassen und währenddessen schon mal den Reparaturbericht gelesen. Ich habe nun eine neue FritzBox erhalten. Neue Seriennummer, keinerlei Gebrauchsspuren (meine sah auch 1A aus, hatte aber zum Beispiel doch zwei, drei Staubkörner in den Lüftungsschlitzen angesammelt). Das ist ja schon mal ein guter Anfang…
Also ausgepackt, meinem Rechner eine IP aus dem Standard-FritzBox IP Netz 192.168.178.1 gegeben, eingeloggt. Auf der Box war noch eine alte Firmware drauf, also gleich ein Update auf die neue Laborversion 54.04.88-18956 (von Januar 2011) vorgenommen, meine aktuelle Konfigurationssicherung eingespielt, neu gebootet. Internet über die FritzBox war nun wieder möglich.

Allerdings fehlten nun noch meine Optimierungen für OpenVPN. Gleich meiner eigenen Anleitung gefolgt, telnet eingeschaltet, mich per Telnet eingeloggt. Einzige Anpassung war, dass ich meine auf dem USB Speicher befindliche debug.cfg Datei wieder in den Flash der FritzBox schreiben musste. Über cat debug.cfg > /var/flash/debug.cfg wurde diese wieder fest gespeichert. Noch einmal rebooten und ich konnte wieder als OpenVPN Client am OpenVPN Server angemeldet werden.
Super, wenn das alles durch gute Dokumentationen sooo einfach klappt

Fazit zum Support von AVM
Der Support von AVM hat sehr gut geklappt. Eine Garantiezeit von 5 Jahren ist für solche Geräte eine echt gute Vorgabe. Normalerweise würde man wohl eher selten solch eine Geräteart so lange behalten und vorher schon einmal gegen neue Hardware tauschen. Somit ist vermutlich die komplette Lebenszeit der FritzBox mit der Garantie abgedeckt.
Nun muss sich meine neue FritzBox wieder ein paar Jahre beweisen…