Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

In FRITZ!OS 6.00 (84.06.00) gibt es neuerdings die Möglichkeit, VPN-Verbindungen direkt in der Benutzeroberfläche und ohne Umweg über das Programm FRITZ!Fernzugang einrichten anzulegen. In der Benutzeroberfläche lassen sich anschließend die VPN-Einstellungen für iPhone, iPad, iPod touch sowie Android ab Version 4.0.4 (Ice Cream Sandwich) anzeigen. Alternativ kann man aber z.B. auch den Shrew Soft VPN Client verwenden, um die per FRITZ!Box-Benutzeroberfläche angelegte VPN-Verbindung vom PC aus zu nutzen. Der Shrew Soft VPN Client ist in der Standard-Edition kostenlos und im Gegensatz zu AVMs FRITZ!Fernzugang unter anderem auch für die 64-Bit Versionen von Windows verfügbar.

Im Folgenden zeige ich, wie man in FRITZ!OS 06.00 auf einer FRITZ!Box 7390 und mit dem Shrew Soft VPN Client (Version 2.2.2) unter Windows 7 eine VPN-Verbindung einrichtet.

1. FRITZ!Box-Benuzter hinzufügen/bearbeiten

In der Benutzeroberfläche der FRITZ!Box muss unter System -> FRITZ!Box-Benutzer ein Benutzer für den VPN-Zugang eingerichtet werden bzw. einem bestehenden Benutzer diese Berechtigung erteilt werden:

FRITZ_VPN_Option

Nach dem Hinzufügen/Bearbeiten wird hinter dieser Option ein Link angezeigt, über den die VPN-Einstellungen für diesen Benutzer abgerufen werden können:

FRITZ_VPN_Option_mit_Link

Für die Einrichtung des Shrew Soft VPN Client benötigt man:

  • Den Benutzernamen des FRITZ!Box-Benutzers,
  • das Passwort des FRITZ!Box-Benutzers,
  • die Server-Adresse (wird im VPN-Einstellungen-Popup angezeigt),
  • den IPSec Pre-Shared Key für den jeweiligen FRITZ!Box-Benutzer (wird ebenfalls im VPN-Einstellungen-Popup angezeigt) sowie
  • ggf. das lokale IPv4-Netzwerk der FRITZ!Box, falls man nicht den gesamten Datenverkehr über die VPN-Verbindung leiten möchte. (Das IPv4-Netzwerk kann man unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Adressen nachsehen, Standard ist 192.168.178.0/255.255.255.0.)

Hier noch ein Screenshot mit einem Ausschnitt aus dem VPN-Einstellungen-Popup, um zu verdeutlichen wo man Server-Adresse und IPSec Pre-Shared Key findet:

FRITZ_VPN_Einstellungen

2. VPN-Konfiguration in Shrew Soft VPN Client hinzufügen

Im VPN Access Manager des Shrew Soft VPN Client mit Edit -> Add eine neue VPN-Konfiguration anlegen und folgende Einstellungen vornehmen:

Reiter „General„:

Bei Host Name or IP Address die Server-Adresse der FRITZ!Box (siehe 1.) eintragen:

ShrewSoftGeneralTab

Reiter „Client„:

Keine Änderungen:

ShrewSoftClientTab

Hinweis: steffen hat am 05.08.2014 in einem Kommentar darauf hingewiesen, dass für eine erfolgreiche Verbindung mit der Labor-Firmware 06.10-28510 (und auch mit der vorherigen Labor-Firmware von Juni 2014) auf dem Reiter „Client“ bei NAT Traversal die Option force-rfc (anstelle von enable) ausgewählt werden muss. Bei mir funktioniert es in FRITZ!OS 06.04 mit beiden Einstellungen – enable oder force-rfc. Es wäre schön wenn andere Ihre Erfahrungen als Antwort auf steffens Kommentar posten.

Reiter „Name Resolution„:

Wenn der gesamte Datenverkehr über die VPN-Verbindung laufen soll, keine Änderungen:

ShrewSoftNameResolutionTabDNS2

ShrewSoftNameResolutionTabWINS2

Wenn dagegen nur der Datenverkehr ins lokale Netz der FRITZ!Box über die VPN-Verbindung laufen soll, dann müssen folgende Einstellungen vorgenommen werden:

Enable DNS deaktivieren:

ShrewSoftNameResolutionTabDNS

Enable WINS deaktivieren:

ShrewSoftNameResolutionTabWINS

Reiter „Authentication„:

Als Authentication Method Mutual PSK + XAuth auswählen; unter Local Identity bei Identification Type Key Identifier auswählen und bei Key ID String den Benutzernamen des FRITZ!Box-Benutzers (siehe 1.) eintragen:

ShrewSoftNameAuthenticationTabLocalIdentity

Unter Remote Identity bei Identification Type IP Address auswählen:

ShrewSoftNameAuthenticationTabRemoteIdentity

Unter Credentials bei Pre Shared Key den IPSec Pre-Shared Key des jeweiligen Benutzers (siehe 1.) eintragen:

ShrewSoftNameAuthenticationTabCredentials

Reiter „Phase 1„:

Keine Änderungen:

ShrewSoftPhase1Tab

Reiter „Phase 2„:

Keine Änderungen:

ShrewSoftPhase2Tab

Reiter „Policy„:

Wenn der gesamte Datenverkehr über die VPN-Verbindung laufen soll, keine Änderungen:

ShrewSoftPolicyTab

Wenn dagegen nur der Datenverkehr ins lokale Netz der FRITZ!Box über die VPN-Verbindung laufen soll, dann müssen folgende Einstellungen vorgenommen werden: Bei Policy Generation Level shared auswählen, Obtain Topology Automatically or Tunnel All deaktivieren und mit einem Klick auf Add eine Remote Network Resource entsprechend dem lokalen IPv4-Netzwerk der FRITZ!Box (siehe 1.) hinzufügen:

ShrewSoftPolicyTabExt

3. VPN-Verbindung aufbauen

Im VPN Access Manager des Shrew Soft VPN Client die eben erstellte VPN-Konfiguration auswählen und Connect anklicken. In dem erscheinenden VPN-Connect-Fenster muss man Benutzernamen und Kennwort des FRITZ!Box-Benutzers (siehe 1.) angeben:

ShrewSoftVPNConnect

Bei erfolgreicher Verbindung sollten folgende Meldungen in dem Fenster erscheinen:

Außerdem sollte der erfolgreiche Aufbau der VPN-Verbindung im Abschnitt Verbindungen auf der Seite Übersicht in der Benutzeroberfläche der FRITZ!Box angezeigt werden, wobei es einen Moment dauern kann bis der korrekte Status angezeigt wird:

FRITZ_VPN_Status

VPN-Konfigurationen für Shrew Soft VPN Client herunterladen

Alternativ zur oben beschriebenen Erstellung der VPN-Konfiguration im Shrew Soft VPN Client können diese VPN-Konfigurationen heruntergeladen, mit einem Texteditor angepasst und im Shrew Soft VPN Client importiert werden:

In den Dateien müssen die folgenden Zeilen ersetzt werden, wobei die letzte Zeile nur in der Datei „FRITZ VPN nur Datenverkehr ins lokale Netzwerk tunneln.vpn“ vorhanden ist:

Der IPSec Pre-Shared Key muss hier BASE64-kodiert eingetragen werden. Das Kodieren kann man z.B. bei base64encode.org vornehmen.

263 Gedanken zu „Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

  1. Hallo Ray,
    danke für die ausführliche Anleitung. Ich bin mit der von dir zur Verfügung gestellten Konfiguration (Gesamter Datenverkehr) zum Ziel gekommen. Mit der selbst erstellten Konfiguration, die glaube ich weitestgehend der von AVM entspricht, gibt es jedoch ein „negotiation timeout occured“. Die Fritzbox 3390 mit Firmware 6.51 bezieht eine feste IP und steht hinter einem DSL-Modem. Hier ist der diff der beiden Versionen:

    ### Start diff
    6a7,10
    > n:client-splitdns-auto:1
    > n:client-splitdns-used:0
    > n:client-wins-auto:1
    > n:client-wins-used:1
    14,15c18
    < n:phase1-dhgroup:1
    n:phase1-dhgroup:2
    18d20
    < n:phase2-keylen:0
    ### End diff

    Die funktionierende Version ist die rechte, mit den zusätzlichen Einträgen n:client-…

    Vielleicht hilft der Hinweis weiter. Ich bin nicht genug Netzwerker, um auf Anhieb zu sehen, was hier den timeout verursacht.

    Gruss Oliver

    • Im diff sind mir beim Leerzeilen löschen einige Zeichen untergegangen, sorry. Hier nochmal der vollständige diff:

      6a7,10
      > n:client-splitdns-auto:1

      > n:client-splitdns-used:0

      > n:client-wins-auto:1

      > n:client-wins-used:1

      14,15c18
      < n:phase1-dhgroup:1

      n:phase1-dhgroup:2

      18d20
      < n:phase2-keylen:0

      • Ray, copy und paste verschluckt hier was, ich versuch es mal mit Kommentarzeichen vor den diff zeilen (Du könntest markdown für deine wordpress Kommentare aktivieren?)
        # 14,15c18
        # < n:phase1-dhgroup:1
        # n:phase1-dhgroup:2

        • Aaargh!
          Die Kommentarfunktion interpretiert sich öffnende spitze Klammern eventuell als HTML??
          Schade auch dass es keine Vorschau gibt, langsam komm ich mir etwas blöd vor….

          14,15c18
          > n:phase1-dhgroup:1
          > n:phase1-keylen:0

          > n:phase1-dhgroup:2

          • Jetzt hab ich entities benutzt, aber natürlich die falsche Klammer:

            14,15c18
            < n:phase1-dhgroup:1
            < n:phase1-keylen:0

            > n:phase1-dhgroup:2

  2. Bei mir hat zunächst weder die Version mit der manuellen Eingabe noch die mit der Konfigurationsdatei funktioniert. Ich hatte einen VPN-Nutzer verwendet, mit dem ich von Android aus VPN-Zugriff hatte. Erst nachdem ich einen neuen VPN-Nutzer in der FB angelegt hatte, hat es auch unter Windows und Shrew funktioniert.

  3. Super Anleitung,
    ich habe endlich eine VPN Verbindung zur Fritzbox. Wird in der Fritzbox auch entsprechend angezeigt….
    Nur wie kann ich nun über die Verbindung arbeiten? Dort wo im Heimnetz „die anderen“ Computer angezeigt werden ist der aus dem „Tunnel“ nicht sichtbar…
    und auch auf dem PC der den Tunnel gebaut hat… kann ich keinen der an der Fritzbox hängenden Rechner sehen…. was mache ich falsch?

  4. Erstmal vielen Dank für die Anleitung. Eigentlich unglaublich, dass es nach über drei Jahren immer noch keine andere Lösung für aktuelle Windows Versionen gibt. Unter Linux läuft die Einrichtung von VPN Verbindungen doch wesentlich einfacher ab.
    Ich würde mich der von Lars aufgworfenen Frage ebenfalls anschließen.
    Ich bekomme eine VPN Verbindung. Ich kann meine Geräte im Netzwerk (NAS, Drucker etc.) auch über den Browser ansprechen. Windows 10 zeigt mir aber keine Netzwerkgeräte an.
    Haber schon relativ viel versucht, leider alles ohne Erfolg.
    Vielen Dank

  5. Moin,

    danke für die Tolle Anleitung. Die Verbindung sthet und wird in der FB7390 mit FBOS 6.51 angezeigt. Nur erreiche ich nach Eingabe der IP 192.168.178.1 nicht die FB oder nach angabe anderer IPs z.B. nicht das dort angeschlossene NAS.

    Danke, Chris

  6. Moin,
    habe noch folgendes hinzuzufügen: Win7 prof. 64 bit, Shrew2.2.2,
    IP des „angeschlossenen“ Netzes 192.168.2.0 (via Speedport 724V.

    Schonmal mein Dank im Voraus,
    Chris

  7. Moin,

    isch habe das Problem gelöst. Hoffentlich bleibt es so 😉

    Also: Ich habe den Client deinstalliert, Windows neu gestartet und mit abgeschatetem Echtzeitschutz (MS Security Essentials) neu installiert.
    Danach ging es immer noch nicht. Verbindung ja, aber kein connect auf die IP der entfernten Fritzbox. Schließlich habe ich unter General den viruellen Adapter eingeschaltet (der vorher nicht funktionierte). Und siehe da, es läuft.
    Möglich also das die AV- Software die Installation des virtuellen Adapters verhindert hat und es daher nicht funktionierte.

  8. Vielen Dank für die Beschreibungen. Es klappt mal sehr gut mal garnicht. Ich habe festgestellt, das eine IP Adressenproblem vorhanden ist wenn man eine DHCP Server in der Netzwerk hat und nicht die FritzBox eigene DHCP Server benutzt. Der Boc vergibt einfach eine IP Adresse die bereits in der NEtzwerk vorhanden ist. Ich würde gerne für die VPN Verbindungen eine IP Bereich definieren, weiss ich aber nicht wo und wie. Das könnte das Problem und einige Abbrüche endlich lösen. Hat jemand eine Idee wie?
    mfg York Warren

    • Ergänzung, was ich gemerkt habe das der VPN Client/Fritz Box zusammenarbeit erfolgt so das ein bestimmte Client immer die gleiche IP Adresse bekommt. Ich habe also bei jeder VPN Client die MAC und die IP Adresse angeschaut und eine Reservierung eingerichtet. So funktioniert es. Komisch bleibt weiterhin das die IP Nummer absolut wirkürlich gewählt (z.B: 188, dann die nächste 170 etc) sind. Macht man diese manuelle Rerservierung nicht entsteht eine IP Kollosion und eine Client kann nicht arbeiten.

      • Lösung Teil 1: Benutze jetzt wieder die FritzBox fernzugang einrichten Software und generiere IPHone Profiles, die ich dann bei der VPN Einstellungen weiterhin einlesen kann. soweit gut, die IP bereich kann eingestellt werden und bei jeder Benutzer wird es fortlaufend vergeben.
        Problem: alle Shrew Clients bekommen die gleiche MAC Adresse zugewiesen: AAAAAA2CAC00 das wiederum verursacht probleme.
        Frage:
        Weiss jemand wo ich die Virtuelle MAC Adresse in der Software umstellen kann?

  9. Moin,
    Versuche zur Zeit ein Win10 Tablet über VPN mit der Fritz.Box ( 7490, sw 6.60) zu verbinden.
    Nutze den Shrew soft 2.2.2 client.
    Nach Konfiguration wird der Tunnel erfolgreich gestartet, in der Fritz Box leuchtet die „virtuelle“ LED in der VPN Konfiguration.
    Ein Ping auf die IP der Fritzbox ist erfolgreich, doch leider komm ich weder auf die Benutzeroberfläche noch auf andere angeschlossene Geräte.
    Hat irgend jemand eine Idee ?
    Noch eine Frage, in der Shrew Config ist initial der Port 500 gesetzt, sollte der geändert werden?
    ( habe schon Portfreigaben fürs Gerät und auch andere Ports probiert –>Leider ohne Erfolg).

    Danke Hoss

  10. Hallo,

    gibt es eine Möglichkeit mit der oben beschriebenen Methode einem VPN eine feste IP zuzuweisen? Bei uns mussen leute auf einem Server arbeiten und dort haben diese feste ip Adressen zugewiesen bekommen. Allerdings bekommen VPN Zugänge die ich mit der obigen Methode einrichte eine willkürliche ip zugewiesen. Somit sind die VPN Zugänge zwar erfolgreich im Netzwerk angelemeldet, diese haben jedoch keinen Zugriff auf den Server.

    Für einen Tip wäre ich sehr dankbar.

  11. Vielen Dank für diese tolle Anleitung, endlich kann ich vom Laptop aus eine VPN Verbindung aufbauen. Es ging bisher nur auf meinen Android Geräten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.