Zuerst ist mal ganz wichtig, dass Ihr an der gegenüberliegenden Fritzbox folgende VPN-Verbindung einrichtet:
„Ihr Heimnetz mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung)“
Das ist die VPN-Verbindung zwischen – eigentlich – zwei Fritz-Boxen.
| EINSTELLUNGEN AN DER FRITZ-BOX | LAN-LAN-Kopplung |
| VPN-Kennwort (Preshared Key) | Hier tragt Ihr den GEMEINSAM beider Router genutzen Schlüssel ein (mind. 16, mit Zahlen und Sonderzeichen) |
| Name der VPN-Verbindung | Zur Besserung Unterscheidung der VPN-Verbindungen (frei wählbar) |
| Internet-Adresse der Gegenstelle: | DYNDNS-Adresse des TP-Link-Routers (ITH-DSL oder anderer Anbieter *) |
| Internet-Adresse dieser FRITZ!Box: | DYNDNS-Adresse der Fritzbox, die ihr gerade programmiert **) |
| Entferntes Netzwerk: | Die IP-Range des TP-Link-Routers 192.168.xxx.0 (muss auf „0“ enden) |
| Subnetzmaske: | Ist klar. Meistens 255.255.255.0 (bei Standard IP-Range) |
| VPN-Verbindung dauerhaft halten | Häkchen setzen ! |
| NetBIOS über diese Verbindung zulassen | Häkchen setzen, damit Ihr Windows-Netzlaufwerke verbinden könnt‘ |
| Gesamten Netzwerkverkehr über die VPN-Verbindung senden | KEINEN HAKEN SETZEN, sonst läuft der gesamte Traffic über Euren VPN ***) |
| Nur bestimmte Geräte nutzen die VPN-Verbindung | Hier könnt‘ Ihr NUR bestimmten Geräten die Nutzung des VPN erlauben ****) |
| VPN-Tunnel ist nur an den ausgewählten LAN-Anschlüssen der FRITZ!Box verfügbar | Damit könnt‘ Ihr bestimmen, an welchen LAN-Anschlüssen der Fritzbox, der VPN genutzt werden kann |
**) am besten, Ihr richtet Euch den myfritz-Dienst von AVM ein und nutzt diese Adresse als DYN-DNS-Adresse
***) dies ist besonders wichtig, weil die Fritzbox bis zur 7490 KEINE Hardware-Beschleunigung besitzt und der VPN sehr langsam ist. Euer Internet wäre sonst extrem langsam obwohl ihr eine schnelle Leitung habt. Der VPN bis zur 7490 ist auch nur für Telefonie (aussenliegende Nebenstellen) empfehlenswert!
****) Wenn nicht alle in der Firma die VPN-Verbindung benutzen dürfen, oder wenn über den VPN nur die Telefon-Anlage auf der Seite der Fritz-Box erreichbar sein soll (aussenliegende Nebenstellen)
| EINSTELLUGEN DES TP-LINK-Routers | Ihr müsst beim TP-Link eine IP-Sec-VPN auswählen |
| IPsec-Verbindungsname: | Zur Besserung Unterscheidung der VPN-Verbindungen (frei wählbar) |
| Remote-IPsec-Gateway (URL): | DYNDNS-Adresse der gegenüberliegenden Fritzbox (myfritz-Adresse, falls Ihr diesen Dienst nutzt) |
| Tunnelzugriff von lokalen IP-Adressen: | Subnet-Adresse |
| IP-Adresse für VPN: | Die IP-Range des TP-Link-Routers, den ihr gerade programmiert – meistens 192.168.xxx.0 (muss auf „0“ enden) |
| Subnetzmaske: | Ist klar. Meistens 255.255.255.0 (bei Standard IP-Range) |
| Tunnelzugriff von Remote-IP-Adressen: | Subnet-Adresse |
| IP-Adresse für VPN: | IP-Range der gegenüberliegenden Fritz-box |
| Subnetzmaske: | Ist klar. Meistens 255.255.255.0 (bei Standard IP-Range) |
| Schlüsselaustauschmethode: | Automatisch (IKE) |
| Authentifizierungsmethode: | Pre-Shared-Key |
| Pre-Shared-Key: | Das VPN-Kennwort, dass Ihr in der Fritzbox eingegeben habt |
| Perfektes Forward Secrecy: | Aktivieren |
| PHASE 1 | |
| Modus: | Aggressiv |
| Lokaler Identifkatortyp: | FQDN |
| Lokaler Identifikator: | DYNDNS-Adresse dieses TP-Link-Routers |
| Remote-Identifikatortyp: | FQDN |
| Remote-Identifikator: | DYNDNS-Adresse der gegenüberliegenden Fritzbox (myfritz-Adresse) |
| Verschlüsselungsalgorithmus: | AES-256 |
| Integritätsalgorithmus: | SHA1 |
| Diffie-Hellman Group für Schlüsselaustausch: | 1024bit |
| Schlüssellebensdauer (in Sekunden): | 7200 |
| PHASE 2 | |
| Verschlüsselungsalgorithmus: | AES-256 |
| Integritätsalgorithmus: | SHA1 |
| Diffie-Hellman Group für Schlüsselaustausch: | 1024bit |
| Schlüssellebensdauer (in Sekunden): | 7200 |
Mit diesen Einstellungen funktioniert bei uns die VPN-Verbindung.
Es ist ganz wichtig, dass nach den Einstellungen BEIDE Router neu gestartet werden (vor allem die Fritzbox).
Der VPN wird auch erst nach einiger Zeit aufgebaut (ruhig mal ein paar Minuten warten)!
Sollte einer der Router in einem Netz von Kabeldeutschland betrieben werden, kann es sein, dass die Verbindung nicht funktioniert, weil Kabeldeutschland den meisten Kunden eine abgespeckten Tunnel (DS-Tunnel lite) zur Verfügung stellt. Angeblich kann man nach mehreren Telefonaten und Beschwerden bei Kabeldeutschland eine Umstellung auf eine öffentliche IP-Adresse erreichen.