Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

In FRITZ!OS 6.00 (84.06.00) gibt es neuerdings die Möglichkeit, VPN-Verbindungen direkt in der Benutzeroberfläche und ohne Umweg über das Programm FRITZ!Fernzugang einrichten anzulegen. In der Benutzeroberfläche lassen sich anschließend die VPN-Einstellungen für iPhone, iPad, iPod touch sowie Android ab Version 4.0.4 (Ice Cream Sandwich) anzeigen. Alternativ kann man aber z.B. auch den Shrew Soft VPN Client verwenden, um die per FRITZ!Box-Benutzeroberfläche angelegte VPN-Verbindung vom PC aus zu nutzen. Der Shrew Soft VPN Client ist in der Standard-Edition kostenlos und im Gegensatz zu AVMs FRITZ!Fernzugang unter anderem auch für die 64-Bit Versionen von Windows verfügbar.

Im Folgenden zeige ich, wie man in FRITZ!OS 06.00 auf einer FRITZ!Box 7390 und mit dem Shrew Soft VPN Client (Version 2.2.2) unter Windows 7 eine VPN-Verbindung einrichtet.

1. FRITZ!Box-Benuzter hinzufügen/bearbeiten

In der Benutzeroberfläche der FRITZ!Box muss unter System -> FRITZ!Box-Benutzer ein Benutzer für den VPN-Zugang eingerichtet werden bzw. einem bestehenden Benutzer diese Berechtigung erteilt werden:

FRITZ_VPN_Option

Nach dem Hinzufügen/Bearbeiten wird hinter dieser Option ein Link angezeigt, über den die VPN-Einstellungen für diesen Benutzer abgerufen werden können:

FRITZ_VPN_Option_mit_Link

Für die Einrichtung des Shrew Soft VPN Client benötigt man:

  • Den Benutzernamen des FRITZ!Box-Benutzers,
  • das Passwort des FRITZ!Box-Benutzers,
  • die Server-Adresse (wird im VPN-Einstellungen-Popup angezeigt),
  • den IPSec Pre-Shared Key für den jeweiligen FRITZ!Box-Benutzer (wird ebenfalls im VPN-Einstellungen-Popup angezeigt) sowie
  • ggf. das lokale IPv4-Netzwerk der FRITZ!Box, falls man nicht den gesamten Datenverkehr über die VPN-Verbindung leiten möchte. (Das IPv4-Netzwerk kann man unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Adressen nachsehen, Standard ist 192.168.178.0/255.255.255.0.)

Hier noch ein Screenshot mit einem Ausschnitt aus dem VPN-Einstellungen-Popup, um zu verdeutlichen wo man Server-Adresse und IPSec Pre-Shared Key findet:

FRITZ_VPN_Einstellungen

2. VPN-Konfiguration in Shrew Soft VPN Client hinzufügen

Im VPN Access Manager des Shrew Soft VPN Client mit Edit -> Add eine neue VPN-Konfiguration anlegen und folgende Einstellungen vornehmen:

Reiter „General„:

Bei Host Name or IP Address die Server-Adresse der FRITZ!Box (siehe 1.) eintragen:

ShrewSoftGeneralTab

Reiter „Client„:

Keine Änderungen:

ShrewSoftClientTab

Hinweis: steffen hat am 05.08.2014 in einem Kommentar darauf hingewiesen, dass für eine erfolgreiche Verbindung mit der Labor-Firmware 06.10-28510 (und auch mit der vorherigen Labor-Firmware von Juni 2014) auf dem Reiter „Client“ bei NAT Traversal die Option force-rfc (anstelle von enable) ausgewählt werden muss. Bei mir funktioniert es in FRITZ!OS 06.04 mit beiden Einstellungen – enable oder force-rfc. Es wäre schön wenn andere Ihre Erfahrungen als Antwort auf steffens Kommentar posten.

Reiter „Name Resolution„:

Wenn der gesamte Datenverkehr über die VPN-Verbindung laufen soll, keine Änderungen:

ShrewSoftNameResolutionTabDNS2

ShrewSoftNameResolutionTabWINS2

Wenn dagegen nur der Datenverkehr ins lokale Netz der FRITZ!Box über die VPN-Verbindung laufen soll, dann müssen folgende Einstellungen vorgenommen werden:

Enable DNS deaktivieren:

ShrewSoftNameResolutionTabDNS

Enable WINS deaktivieren:

ShrewSoftNameResolutionTabWINS

Reiter „Authentication„:

Als Authentication Method Mutual PSK + XAuth auswählen; unter Local Identity bei Identification Type Key Identifier auswählen und bei Key ID String den Benutzernamen des FRITZ!Box-Benutzers (siehe 1.) eintragen:

ShrewSoftNameAuthenticationTabLocalIdentity

Unter Remote Identity bei Identification Type IP Address auswählen:

ShrewSoftNameAuthenticationTabRemoteIdentity

Unter Credentials bei Pre Shared Key den IPSec Pre-Shared Key des jeweiligen Benutzers (siehe 1.) eintragen:

ShrewSoftNameAuthenticationTabCredentials

Reiter „Phase 1„:

Keine Änderungen:

ShrewSoftPhase1Tab

Reiter „Phase 2„:

Keine Änderungen:

ShrewSoftPhase2Tab

Reiter „Policy„:

Wenn der gesamte Datenverkehr über die VPN-Verbindung laufen soll, keine Änderungen:

ShrewSoftPolicyTab

Wenn dagegen nur der Datenverkehr ins lokale Netz der FRITZ!Box über die VPN-Verbindung laufen soll, dann müssen folgende Einstellungen vorgenommen werden: Bei Policy Generation Level shared auswählen, Obtain Topology Automatically or Tunnel All deaktivieren und mit einem Klick auf Add eine Remote Network Resource entsprechend dem lokalen IPv4-Netzwerk der FRITZ!Box (siehe 1.) hinzufügen:

ShrewSoftPolicyTabExt

3. VPN-Verbindung aufbauen

Im VPN Access Manager des Shrew Soft VPN Client die eben erstellte VPN-Konfiguration auswählen und Connect anklicken. In dem erscheinenden VPN-Connect-Fenster muss man Benutzernamen und Kennwort des FRITZ!Box-Benutzers (siehe 1.) angeben:

ShrewSoftVPNConnect

Bei erfolgreicher Verbindung sollten folgende Meldungen in dem Fenster erscheinen:

Außerdem sollte der erfolgreiche Aufbau der VPN-Verbindung im Abschnitt Verbindungen auf der Seite Übersicht in der Benutzeroberfläche der FRITZ!Box angezeigt werden, wobei es einen Moment dauern kann bis der korrekte Status angezeigt wird:

FRITZ_VPN_Status

VPN-Konfigurationen für Shrew Soft VPN Client herunterladen

Alternativ zur oben beschriebenen Erstellung der VPN-Konfiguration im Shrew Soft VPN Client können diese VPN-Konfigurationen heruntergeladen, mit einem Texteditor angepasst und im Shrew Soft VPN Client importiert werden:

In den Dateien müssen die folgenden Zeilen ersetzt werden, wobei die letzte Zeile nur in der Datei „FRITZ VPN nur Datenverkehr ins lokale Netzwerk tunneln.vpn“ vorhanden ist:

Der IPSec Pre-Shared Key muss hier BASE64-kodiert eingetragen werden. Das Kodieren kann man z.B. bei base64encode.org vornehmen.

247 Gedanken zu „Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

  1. Hallo Ray,
    danke für die ausführliche Anleitung. Ich bin mit der von dir zur Verfügung gestellten Konfiguration (Gesamter Datenverkehr) zum Ziel gekommen. Mit der selbst erstellten Konfiguration, die glaube ich weitestgehend der von AVM entspricht, gibt es jedoch ein „negotiation timeout occured“. Die Fritzbox 3390 mit Firmware 6.51 bezieht eine feste IP und steht hinter einem DSL-Modem. Hier ist der diff der beiden Versionen:

    ### Start diff
    6a7,10
    > n:client-splitdns-auto:1
    > n:client-splitdns-used:0
    > n:client-wins-auto:1
    > n:client-wins-used:1
    14,15c18
    < n:phase1-dhgroup:1
    n:phase1-dhgroup:2
    18d20
    < n:phase2-keylen:0
    ### End diff

    Die funktionierende Version ist die rechte, mit den zusätzlichen Einträgen n:client-…

    Vielleicht hilft der Hinweis weiter. Ich bin nicht genug Netzwerker, um auf Anhieb zu sehen, was hier den timeout verursacht.

    Gruss Oliver

    • Im diff sind mir beim Leerzeilen löschen einige Zeichen untergegangen, sorry. Hier nochmal der vollständige diff:

      6a7,10
      > n:client-splitdns-auto:1

      > n:client-splitdns-used:0

      > n:client-wins-auto:1

      > n:client-wins-used:1

      14,15c18
      < n:phase1-dhgroup:1

      n:phase1-dhgroup:2

      18d20
      < n:phase2-keylen:0

      • Ray, copy und paste verschluckt hier was, ich versuch es mal mit Kommentarzeichen vor den diff zeilen (Du könntest markdown für deine wordpress Kommentare aktivieren?)
        # 14,15c18
        # < n:phase1-dhgroup:1
        # n:phase1-dhgroup:2

        • Aaargh!
          Die Kommentarfunktion interpretiert sich öffnende spitze Klammern eventuell als HTML??
          Schade auch dass es keine Vorschau gibt, langsam komm ich mir etwas blöd vor….

          14,15c18
          > n:phase1-dhgroup:1
          > n:phase1-keylen:0

          > n:phase1-dhgroup:2

          • Jetzt hab ich entities benutzt, aber natürlich die falsche Klammer:

            14,15c18
            < n:phase1-dhgroup:1
            < n:phase1-keylen:0

            > n:phase1-dhgroup:2

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.