VPN – Sichere Netzwerkverbindung über ein fremdes unsicheres WLAN aufbauen

Auch auf Geschäftsreisen oder im Urlaub möchte der ein oder andere gerne eine Internetverbindung nutzen. Sei es, um Freunden eine E-Mail mit Urlaubsbildern zu senden, den Wetterbericht nachzuschauen, Sehenswürdigkeiten zu finden oder um zu prüfen, ob der gebuchte Rückflug stattfindet oder aufgrund eines Streiks ausfällt. Da ist es sehr angenehm, dass viele Hotels ihren Gästen mittlerweile einen Internetzugang über das WLAN des Hotels anbieten. Selbst in Zügen und Straßencafés wird man vielerorts mit einer mehr oder weniger guten Internetverbindung versorgt.

Fremde Netztwerke sind unsicher

Allerdings ist es überaus unsicher, über fremde Netztwerke im Internet zu surfen oder E-Mails über diese zu verschicken. Der Netzwerkbetreiber kann unverschlüsselte Verbindungen überwachen und auch manipulieren. Bei verschlüsselten Verbindungen kann er zumindest einige Metadaten abgreifen und erhält dadurch beispielsweise Informationen darüber, welche Seiten der Benutzer aufruft. Privatsphäre gibt es nicht, wenn man sein Smartphone, Tablet oder Notebook mit einem Hotel-WLAN verbindet. Hinzu kommt die Gefahr, dass man das Gerät versehentlich nicht wie geplant mit dem WLAN des Hotels verbindet, sondern mit einem anderen WLAN, das einen ähnlichen oder gar gleichen Namen (SSID) hat, jedoch von einem Kriminellen aufgebaut wurde, um ahnungslose Hotellgäste auszuspionieren. Fremde WLAN-Netztwerke sind niemals vertrauenswürdig und es muss immer damit gerechnet werden, dass Unbekannte die Daten abhören oder manipulieren.

Virtuelle private Netzwerke

Um auf einer Geschäftsreise oder im Urlaub dennoch sicher mit dem Smartphone oder Tablet im Internet surfen oder E-Mails empfangen und versenden zu können, empfiehlt es sich, die Verbindung abzusichern. Dies kann geschehen, indem das verwendete Endgerät über ein sogenanntes verschlüsseltes virtuelles privates Netzwerk (Virtual Private Network, VPN) mit einem vertrauenswürdigen Netzwerk verbunden wird, das Zugriff auf das Internet hat. Dadurch wird es möglich, über eine öffentlich zugängliche Infrastruuktur Dienste im Internet weitgehend sicher zu verwenden.
Es gibt verschiedene Dienstleister, die VPN-Services anbieten. Bei deren Nutzung muss man den Anbietern jedoch vertrauen, da diese den unverschlüsselten Internetverkehr mitlesen können und auch beim Aufruf verschlüsselter Seiten zumindest erfahren, welche Internetseiten man aufruft. Das Vertrauensproblem wird somit lediglich vom WLAN-Betreiber zum VPN-Betreiber verschoben. Alternativ ist es auch möglich, eine VPN-Verbindung zum heimischen Netzwerk aufzubauen und dieses zu nutzen, als würde man zu Hause im Internet surfen. Dem Anbieter des Internet-Anschlusses (Telekom, Kabel Deutschland, …) vertraut man schließlich in der Regel. Da ist es dann nur konsequent, den Internetzugang, den man im Alltag verwendet, auch auf Reisen zu nutzen. Damit dies möglich ist, benötigt man jedoch einen Router, der den Aufbau einer verschlüsselten VPN-Verbindung unterstützt. Vorbildlich funktioniert dies beispielsweise mit den Routern des Herstellers AVM. Wer also eine FRITZ!Box besitzt, ist bestens gerüstet. Bei Geräten, die vom Internetanbieter bereitgestellt sind, kann die notwendige Funktionalität jedoch fehlen oder deaktiviert worden sein.

Sichere Verbindung über unsicher Netzwerke herstellen

Um eine VPN-Verbindung zum heimischen Netzwerk aufbauen zu können, sind einmalig einige Vorbereitungen notwendig. Sowohl die Fritz!Box, als auch das Mobilgerät müssen konfiguriert werden. Zudem stellt es ein Problem dar, dass in Deutschland die IP-Adressen üblicherweise dynamisch vergeben werden, der Router also nach jeder Einwahl ins Internet eine neue IP-Adresse zugewiesen bekommt. Hierfür muss eine Lösung gefunden werden.
Nachfolgend wird ausführlich beschrieben, welche Schritte notwenig sind, um zukünftig ohne großen Aufwand über ein virtuelles privates Netzwerk eine gesicherte Verbindung zum heimischen Router herzustellen und über diesen auf das Internet zuzugreifen.
Die nachfolgende Beschreibung geht davon aus, dass das Netzwerk, über das eine VPN-Verbindung aufgebaut werden soll IPSec-Verbindungen (Internet Protocol Security) erlaubt. Einige Netzwerke sperren unglücklicherweise alle Ports außer Port 80 und Port 443, da diese beiden Ports die üblicherweise einzigen notwendigen Ports sind, um verschlüsselt und unverschlüsselt Webeiten aufzurufen, also im Internet zu surfen. IPSec-Verbindungen benötigen jedoch noch weitere Ports und funktionieren nicht über Netzwerke, welche diese zusätzlich notwendigen Ports sperren. An Flughäfen scheint dies leider häufig der Fall zu sein.

Einschränkungen

Bei einem Parallelbetrieb von IPv4 und IPv6 spricht man von einem Dual-Stack-Verfahren. Dem Benutzer werden eine IPv4- und eine IPv6-Adresse zugewiesen. VPN-Verbindungen zur Fritz!Box sollten problemlos möglich sein. Einige Internet-Provider stellen ihren Kunden jedoch nur eine reduzierte Variante zur Verfügung, die als Dual Stack Lite (DS-Lite) bezeichnet wird. In diesem Fall wird dem Kunden nur eine global routbare IPv6 Adresse zugewiesen, jedoch keine IPv4-Adresse. VPN-Verbindungen zur Fritz!Box aus einem IPv4-Netz werden nicht funktionieren. Wenn eine Dual-Stack-Lite-Verbindung genutzt wird, dann sollte im Administrations-Bereich der Fritz!Box unter „Übersicht“ ein entsprechender Hinweis darauf zu finden sein.

Konfiguration der Fritz!Box

Zunächst muss die Konfigurationsoberfläche der Fritz!Box aufgerufen werden. Hierfür ist ein normaler Webbrowser auf einem an die Fritz!Box angeschlossenen Rechner zu öffnen und in die Adress-Zeile „fritz.box“ (ohne Anführungszeichen) einzutragen. Je nach Einstellung gelangt man nach Aufruf der Adresse nun direkt ins Konfigurationsmenü oder es muss zuvor ein Kennwort eingegeben werden.

Fritz!Box-Benutzer mit VPN-Rechten
Fritz!Box-Benutzer
Zunächst wird ein Fritz!Box-Benutzer benötigt, der VPN-Rechte hat. Wenn später eine VPN-Verbindung zur Fritz!Box aufgebaut wird, muss man sich zusätzlich mit diesem Benutzer anmelden. Dann erhält man die Rechte, die diesem Benutzer nachfolgend eingeräumt werden. Es kann entweder ein bestehender Nutzer mit den entsprechenden Rechten ausgestattet oder ein neuer Benutzer mit den notwendigen Rechten angelegt werden. Im Sinne einer sauberen Strukturierung wird im Folgenden ein separater Benutzer angelegt. Hierfür ist unter „System -> Fritz!Box-Benutzer“ mit dem Button „Benutzer hinzufügen“ ein neuer Benutzer einzurichten. Anschließend sind einige Einstellungen vorzunehmen:

Fritz!Box-Benutzer für VPN-Verbindungen anlegen
Das Benutzerkonto muss als „aktiv“ gekennzeichnet werden. Es müssen ein Benutzername und ein Kennwort vergeben sein. Eine E-Mail-Adresse muss nicht angegeben werden. Da man über diesen Benutzer von außen in das heimische Netzwerk gelangt, sollte es eine Selbstverständlichkeit sein, hier ein wirklich kompliziertes Kennwort zu vergeben und dies niemandem mitzuteilen! Der Eintrag „Zugang auch aus dem Internet erlaubt“ sollte aus Sicherheitsgründen deaktiviert werden. Dies mag etwas seltsam erscheinen, schließlich möchte man ja von einem fremden WLAN über das Internet auf die Fritz!Box zugreifen. Nun, der Zugriff soll über ein VPN erfolgen und nur über ein VPN. Auch wenn das virtuelle private Netzwerk letztendlich tatsächlich über eine Internetverbindung läuft, sind Verbindungen über das VPN zur Fritz!Box nicht gleichzusetzen mit Verbindungen, die ungeschützt über das Internet an die Fritz!Box geleitet werden. Würde man an dieser Stelle grundsätzlich den Zugang auch aus dem Internet erlaubt, könnte sich jeder mit dem Benutzeranmen und dem Kennwort dieses neu eingerichteten Benutzers über das Internet einwählen und hätte die Berechtigungen, die der VPN-Benutzer nachfolgend bekommen wird. Das heißt: Alle Verbindungsversuche, die ungesichert bei der Fritz!Box über das Internet ankommen, sollten aus Sicherheitsgründen vollständig ignoriert werden. Nur Zugriffe über das VPN sollen erlaubt sein. Da Zugriffen über das VPN gleichzusetzen sind mit Zugriffen über das interne Netzwerk, handelt es sich technisch gesehen somit nicht um einen Internet-Zugriff und die Einstellung „Zugang auch aus dem Internet erlaubt“ hat bei einem VPN-Zugriff keinen Einfluss.
Abschließend sind noch die gewünschten Berechtigungen zu setzen. Grundsätzlich genügt es, den Eintrag „VPN“ zu aktivieren. Die Option zum Einsehen und Bearbeiten der Einstellung kann grundsätzlich an dieser Stelle ignoriert werden, da bei einem Zugriff über ein VPN auf die Fritz!Box ohnehin das Einstellungsmenü aufgerufen werden kann, als wäre man über das heimische Netz mit der Fritz!Box verbunden. Ebenso verhält es sich mit der Einstellung „Sprachnachrichten, Faxnachrichten, FRITZ!App Fon und Anrufliste“ und „Smart Home“.
VPN-Einstellungen anzeigen
Nach dem Speichern bietet die Fritz!Box an, die VPN-Einstellungen anzuzeigen. Diese Daten werden später benötigt, um das Mobilgerät zu konfigurieren, welches eine VPN-Verbindung zur Fritz!Box herstellen soll. Die Angaben sind zu diesem Zeitpunkt noch nicht vollständig und können vorerst ignoriert werden. Die Einstellungen lassen sich jederzeit über „System -> Fritz!Box-Benutzer“ und einen Klick auf das Bleistift-Icon des VPN-Benutzers erneut anzeigen. Im Beschreibungstext der Berechtigung für den VPN-Zugriff wurde nach dem Anlegen und Speichern des Benutzers ein Link zu den VPN-Einstellungen hinzugefügt.

DynDNS-Dienst verwenden
Damit der Zugriff auf die Fritz!Box aus der Ferne überhaupt möglich ist, muss die öffentliche, vom Internetanbieter zugewiesene IP-Adresse der Fritz!Box bekannt sein, über welche die Fritz!Box aus dem Internet demnach erreichbar ist. Wer eine feste IP-Adresse von seinem Internetprovider erhalten hat, kann die Verbindung nun einfach über diese IP-Adresse herstellen. In Deutschland werden jedoch gewöhnlich IP-Adressen nicht fest vergeben. Die zugewiesene Adresse ändert sich folglich bei jeder Internet-Einwahl. Die Fritz!Box kann die aktuelle Adresse mittels eines Push-Services („System -> Push Serice“) an eine E-Mail-Adresse senden. Zumindest bei unverschlüsselten E-Mails weiß man aber nicht, wer diese mitlesen kann. Außerdem kann man erst dann sicher auf sein E-Mail-Postfach zugreifen, wenn die VPN-Verbindung eingerichtet ist und hierzu benötigt man ja bereits die Information, die im E-Mail-Postfach liegt. Der Push-Service ist also nur bedingt geeignet.

MyFritz!-Konto einrichten
Hier kommen jetzt sogenannte DynDNS-Dienste ins Spiel. Dynamisches DNS oder DDNS ist eine Technik, um Domains im Domain Name System (DNS) dynamisch zu aktualisieren. Der Zweck ist, dass ein Computer (bspw. ein PC oder ein Router) nach dem Wechsel seiner IP-Adresse automatisch und schnell den dazugehörigen Domaineintrag ändert. So ist der Rechner immer unter demselben Domainnamen erreichbar, auch wenn die aktuelle IP-Adresse für den Nutzer unbekannt ist.
Die Fritz!Box kann so konfiguriert werden, dass sie nach jeder Einwahl einem DynDNS-Anbieter die aktuelle IP-Adresse mitteilt. Anschließend kann das Mobilgerät bei dem gewählten Anbieter die aktuelle IP-Adresse der Fritz!Box abfragen und sich dann damit zur Fritz!Box verbinden. Auch hier stellt sich natürlich wieder die Frage, welchem Dienstleister man vertrauen kann, wenn man einen DynDNS-Dienst nutzen möchte und wie viel man dafür bezahlen möchte.
Erfreulicherweise bietet auch der Hersteller der Fritz!Box einen solchen Dienst für Besitzer einer Fritz!Box an, derzeit sogar ohne zusätzliche Kosten. Um den Dienst nutzen zu können, muss ein MyFritz-Konto eingerichtet werden, sofern noch kein entsprechendes Konto vorhanden ist. Die Einrichtung kann auf der Konfigurationsoberfläche der Fritz!Box über „Internet -> MyFritz!-Konto“ durchgeführt werden.
Wenn ein MyFritz!-Konto eingerichtet ist, dann muss der Eintrag „MyFritz! für diese Fritz!Box aktiv“ ausgewählt sein und die E-Mail-Adresse, die mit dem Konto verknüpft ist, angegeben werden. Der Eintrag „Internetzugriff auf die Fritz!Box über HTTPS“ sollte deaktiviert werden, wenn nicht geplant ist über eine normale Internetverbindung auf die Fritz!Box zuzugreifen. Über eine VPN-Verbindung kann die Konfigurationsoberfläche dennoch aufgerufen werden, wenn dies notwendig ist. Dabei ist jedoch zu beachten, das man sich dann keinesfalls durch eine falsche Konfiguration aussperren sollte. Deaktiviert man beispielsweise den VPN-Zugriff versehentlich aus der Ferne, kann man sich nicht mehr über VPN zur Fritz!Box verbinden und den Fehler dann erst wieder rückgängig machen, wenn man tatsächlich Zugriff auf das Netzwerk der Fritz!Box hat.

IP-Bereich anpassen
IPv4-Einstellung anpassen
Die Vorbereitungen sind nun fast abgeschlossen. Die wesentlichen Einstellungen sind getroffen und für den wahrscheinlichen Fall, dass die Fritz!Box bei jeder Einwahl eine neue öffentliche IP-Adresse erhält, wird ein DynDNS-Dienst genutzt. Neben der öffentlichen IP-Adresse, welche die Fritz!Box vom Internetanbieter erhält, vergibt die Fritz!Box ihrerseits IP-Adressen an die angemeldeten Geräte aus einem definierten Pool von Adressen für den privaten Gebrauch. Sollte man aus einem Netzwerk heraus eine VPN-Verbindung zur Fritz!Box aufbauen wollen, dass IP-Adressen im gleichen Adressbereich an die angemeldeten Geräte vergibt (beispielsweise wenn man das WLAN einer anderen Fritz!Box verwendet und beide Geräte die Standard-Einstellungen verwenden), dann wird eine VPN-Verbindung scheitern. In einem VPN muss der IP-Bereich von Quelle (Server) und Ziel (Client) unterschiedlich sein, andernfalls kann der Router die Pakete nicht auseinanderhalten. Augrund der großen Verbreitung der Fritz!Boxen und der Annahme, dass viele Besitzer eines Routers den Adressbereich nicht ändern, ist es sehr wahrscheinlich, dass es zu einer Überschneidung kommt. Um einer Adress-Überschneidung vorzubeugen, ist es ratsam, beim eigenen Router einen Adressbereich festzulegen, der nicht standardmäßig genutzt wird. Hierzu ist unter „Heimnetz -> Heimnetzübersicht“ der Tab „Netzwerkeinstellungen“ auszuwählen und im Abschnitt „IP-Adressen“ über den Button „IPv4-Adressen“ zum entsprechenden Menü zu wechseln und dort die Änderung vorzunehmen.
Bei einer Fritz!Box ist standardmäßig die Adresse „192.168.178.1“ mit der Subnetzmaske „255.255.255.0“ eingerichtet. Die IP-Adresse sollte nun nicht einfach beliebig geändert werden. Nach RFC 1918 sind für den privaten Gebracuh folgende IP-Bereiche vorgesehen:

10.0.0.0 – 10.255.255.255 (10/8 prefix)
172.16.0.0 – 172.31.255.255 (172.16/12 prefix)
192.168.0.0 – 192.168.255.255 (192.168/16 prefix)

Es bietet sich an, lediglich den dritten Zahlenblock der Standardadresse „192.168.178.1“ zu ändern. Die Zahl 178 sollte durch eine andere Zahl, die zwischen 0 und 255 liegen muss, ersetzt werden. Die neue Adresse könnte beispielsweise „192.168.123.1“ lauten. Dann wird die Fritz!Box den angemeldeten Geräten IP-Adressen im Bereich „192.168.123.XXX“ vergeben, wobei XXX eine Zahl zwischen 0 und 255 ist (wenn die Subnetzmaske unverändert bei „255.255.255.0“ belassen wird).
Die Administrationsoberfläche der Fritz!Box ist normalerweise nicht nur über die Adresse „fritz.box“ erreichbar, sondern auch über „192.168.178.1“. Der Aufruf über die IP klappt auch dann, wenn es mit der Namensauflösung Probleme gibt. Ändert man den Adressbereich, klappt der Zugriff über die bei Fritz!Boxen verwendete Standard-IP nicht mehr. Zukünftig muss die erste Adresse im neuen Bereich verwendet werden, im obigen Beispiel also „192.168.123.1“. Es ist daher ratsam, den Zugriff über die IP mindestens einmal zu testen und sich die neue Adresse zu merken!
Bei der Änderung des verwendeten IP-Adressbereiches geht es hier zunächst darum, einen Bereich zu wählen, der von anderen Fritz!Boxen nicht standardmäßig verwendet wird, so dass man über die WLANs anderer Fritz!Boxen sehr wahrscheinlich eine VPN-Verbindung aufbauen kann. Es ist jedoch nicht ausgeschlossen, dass der Betreiber des WLANs bei seinem Netzwerk ebenfalls zufällig diesen Bereich eingestellt hat. Meistens dürfte bei der Auswahl eines Adress-Bereiches mit geraden Zahlen gearbeitet werden, die sich der Administrator leicht merken kann. Durch die Verwednung von willkürlichen krummen Zahlen könnte man die Chance somit gegebenenfalls erhöhen, dass andere Netzwerke diesen Bereich nicht verwenden.

Displaysperre auf einem Smartphone mit Android einrichten
ein Smartphone mit Android erlaubt die Einrichtung eines VPN nur, wenn auch eine Displaysperre eingerichtet ist. Anderfalls könnte eventuell jeder, der das Smartphone nach einem Verlust findet oder es gestohlen hat, ungehindert über das virtuelle private Netzwerk auf das interne Netzwerk zugreifen und sich dort bewegen, als wäre er tatsächlich im echten Netzwerk angemeldet. Dies ist natürlich ein nicht zu unterschätzendes Sicherheitsrisiko!
Die Display-Sperre wird unter „Einstellungen -> Sicherheit -> Displaysperre“ eingerichtet.

Manuelles VPN auf einem Smartphone mit Android einrichten
Unter der Annahme, dass die öffentliche IP-Adresse der Fritz!Box dynamisch ist und ein DynDNS-Dienst genutzt wird, kann zunächst keine durchgehende VPN-Verbindung eingerichtet werden. Das heißt, es ist nicht möglich, das Smartphone so zu konfigurieren, dass es ausschließlich über das virtuelle private Netzwerk kommuniziert. Das Problem ist, dass der Client, also das Smartphone, ja erst bei einem fremden Server nachfragen muss, wie die aktuelle IP-Adresse des VPN-Servers, also der Fritz!Box, ist. Erst danach kann die Verbindung hergestellt werden. Das heißt, im fremden Netzwerk muss erst eine relativ ungeschützt WLAN-Verbindung aufgebaut werden und anschließend kann das VPN eingeschaltet werden. Daten, die das Smartphone bis dahin austauscht, sind ungeschützt. Da Betreiber von WLANs häufig zumindest bei der ersten Verbindung (und dann nach Ablauf einer bestimmten Zeit) auch noch Login-Seiten vorschalten und beispielsweise Lizenzbestimmungen bestätigt werden müssen, kann eine VPN-Verbindung häufig ohnehin nicht durchgehend genutzt werden. Wenn eine VPN-Verbindung besteht, kann der WLAN-Betreiber den Datenstrom nämlich nicht dahingehend manipulieren, seine eigenen Login- und Lizenzseiten an das Smartphone zu senden. Nachfolgend richten wir also zunächst ein VPN auf dem Smartphone mit Android ab Version 4.0.4 ein, das nach den Aufbau der WLAN-Verbindung manuell gestartet wird und dann den Internetverkehr verschlüsselt durch die fremden Netzwerke auf die heimische Fritz!Box leitet, von wo aus dann der eigentliche Zugriff auf das Internet erfolgt.

VPN-Profil anpassen
IPv4-Einstellung anpassen
IPv4-Einstellung anpassen
Unter „Einstellungen“ gibt es im Bereich „Drahtlos & Netzwerke“ den Menüpunkt „Mehr“. Hier befindet sich der Eintrag „VPN“. Mit dem Plus-Zeichen kann eine neues VPN-Profil eingerichtet werden. Die anzugebenden Daten können, wie bereits erwähnt, der Konfigurationsoberfläche der Fritz!Box entnommen werden. Hierzu ist im Konfigurationsmenü der Fritz!Box unter „System -> Fritz!Box-Benutzer“ auf das Bleistift-Icon des VPN-Benutzer zu klicken. Danach können die Einstellungen über „VPN-Einstellungen anzeigen“ aufgerufen werden. Die Daten sind im Wesentlichen einfach zu übernehmen. Bei „Server-Adresse“ wird eine Adresse zu myfritz.net angezeigt, wenn man ein MyFritz!-Konto eingerichtet und die Fritz!Box angewiesen hat, sich dort anzumelden. Nutzt man keinen DynDNS-Dienst, dann steht hier die aktuelle öffentliche IP-Adresse des Routers, die sich aber bei der nächsten Einwahl ändern wird. Damit die VPN-Verbindung jederzeit mit einem Knopfdruck hergestellt werden kann, sollte hier also die Adresse zum myfritz.net-Dienst genutzt werden.
Wenn das VPN-Profil eingerichtet ist, kann es durch einen Klick auf den entsprechenden Eintrag aktiviert werden. Als „Benutzername“ ist der Name des zuvor auf der Fritz!Box eingerichteten VPN-Benutzers anzugeben und als „Passwort“ das für diesen Benutzer vergebene Kennwort. Um die Daten nicht immer wieder eingeben zu müssen, können die Kontoinformationen gespeichert werden.
Eine bestehende VPN-Verbindung wird mit einem Schlüssel-Icon in der Benachrichtigungzeile angezeigt. Die VPN-Verbindung wird jedoch sofort unterbrochen, wenn die WLAN-Verbindung kurzzeitig oder für einen längeren Zeitraum abbricht. Wenn sich das Smartphone wieder mit dem WLAN verbindet, wird die VPN-Verbindung nicht automatisch erneut aktiviert und die anschließend übertragenen Daten werden somit nicht mehr automatisch durch einen VPN-Tunnel geschützt. Die Verbindung zum VPN muss immer wieder manuell aktiviert werden.

Durchgehendes VPN auf einem Smartphone mit Android einrichten
Wer einen Internet-Anschluss mit fester IP-Adresse hat, kann ein VPN-Profil mit fester IP-Adresse einrichten. Im Wesentlichen kann der Einstellung für die Einrichtung bei dynamischen IP-Adressen gefolgt werden. Als „Serveradresse“ ist dann jedoch die öffentliche IP der Fritz!Box anzugeben und unter „DNS-Server“ muss zusätzlich die IP-Adresse eines DNS-Servers angegeben werden, beispielsweise der Namensauflösungsdienst des eigenen Providers. Es kann aber auch der DNS-Service von Google genutzt werden (IP-Adresse: 8.8.8.8). Dabei ist jedoch zu beachten, dass Google dann jeden Aufruf einer Webadresse erfährt und sehr umfangreich das Nutzungsverhalten protokollieren kann. Bei der Verwendung eines Android-Smartphones mit Google-Account-Anbindung und Chrome-Browser dürfte das Leben des Benutzers für Google aber ohnehin schon ein offenes Buch sein.
Im Menü für die VPN-Einstellungen gibt es neben dem Plus-Zeichen einen Menüpunkt, der mit drei senkrechten Punkten gekennzeichnet ist. Hier kann ein „Durchgehend aktives VPN“ aktiviert werden. Wenn mehrere VPN-Profile eingerichtet sind, muss noch das gewünschte Profil ausgewählt werden.
Eine bestehende VPN-Verbindung wird mit einem Schlüssel-Icon in der Benachrichtigungzeile angezeigt.

„Manuelles“ durchgehendes VPN auf einem Smartphone mit Android einrichten
Wer keine feste IP-Adresse von seinem Internet-Anbieter erhalten hat und mit einem DynDNS-Dienst arbeiten muss, kann eigentlich kein durchgehend aktives VPN nutzen. Beim durchgehend aktiven VPN wird kein Datenverkehr ohne bestehende VPN-Verbindung zugelassen. Somit kann vor dem Aufbau der Verbindung nicht auf einen DynDNS-Dienst zugegriffen werden, um die aktuelle IP-Adresse zu erfragen. Ein großes Problem bei der manuellen Aktivierung des VPN ist aber, dass dass bei einem Abbruch der WLAN-Verbindung die VPN-Verbindung beendet und nicht mehr automatisch aktiviert wird, wenn die WLAN-Verbindung wieder verfügbar ist. Es kann also sein, dass man zwischenzeitlich nicht mehr über einen Tunnel geschützt unterwegs ist und dies erst zu spät merkt. Eine Lösung kann es sein, ein durchgehend aktives VPN nach jeder Änderung der IP-Adresse erneut herzustellen.
Hierzu verbindet man sich zunächst manuell mit dem VPN über den DynDNS-Dienst. Sobald man mit dem VPN verbunden ist, kann man die (hoffentlich passwortgeschützte) Benutzeroberfläche der Fritz!Box in einem Browser aufrufen, als würde man sich direkt im Heimnetzwerk befinden. Es kann jedoch Probleme mit der Adresse „fritz.box“ geben. Gegebenenfalls ist hier die erste IP-Adresse aus dem konfigurierten Adress-Bereich für private Adressen zu verwenden. Standardmäßig ist das „192.168.178.1“. Hat man den Bereich (wie weiter oben beschrieben) geändert, dann muss natürlich die neue Adresse verwendet werden. Bei Änderung nach dem obigen Beispiel wäre das „192.168.123.1“.
Unter „Übersicht“ wird im Abschnitt „Verbindungen“ der Internetanbieter und die aktuell zugewiesene öffentliche IP-Adresse angezeigt. Diese kann kopiert und und in einem zweiten VPN-Profil für die durchgehend aktive VPN-Verbindung bei einer Änderung immer wieder neu eingetragen werden. (Die IP-Adresse zu einem DNS-Server des Vertrauens muss nicht aktualisiert werden, es muss jedoch eine Adresse eines DNS-Servers eingetragen sein.)
Dann kann die manuelle VPN-Verbiundung beendet und ein „durchgehend aktives VPN“ aktiviert werden. Sobald die Fritz!Box eine neue öffentliche IP-Adresse vom Provider erhalten hat, muss die durchgehend aktive VPN-Verbindung abgebrochen werden. Man muss sich wieder mittels DynDNS-Dienst verbinden, die neue öffentliche IP-Adresse ermitteln und im VPN-Profil für die durchgehende verbindung eintragen. Anschließend kann sie wieder aktiviert werden. Dann ist jedoch sichergestellt, dass man bis zur nächten IP-Änderung nicht aufgrund eines kurzen Verbindungsabbruchs versehentlich ungeschützt im Internet unterwegs ist.
Falls ein fremdes WLAN einen Login voraussetzt und die dauerhafte VPN-Verbindung irgendwann nicht mehr funktioniert aber man sicher ist, dass sich die IP-Adresse noch nicht geändert hat, kann es sein, dass die Sitzung abgelaufen ist und man sich neu im WLAN anmelden muss. Hierfür muss leider kurzzeitig jegliche VPN-Verbindung abgebrochen und deaktiviert werden. Nach dem vorgesehenen Login im WLAN kann man die VPN-Verbindung dann wieder aktivieren.

Zwangstrennung
Bei IP-basierten Telefonanschlüssen wird die Zwangstrennung, die bislang häufig etwa alle 24 Stunden durchgeführt wurde, nicht mehr stattfinden. Dadurch würden nämlich auch Telefonanrufe und sogar Notrufe unterbrochen werden. Es ist also davon auszugehen, dass eine IP-Adresse über einen längeren Zeitraum unverändert bleibt. Somit sind die oben genannten Schritte gegebenenfalls nur selten notwndig, wenn man über einen IP-Telefonanschluss verfügt.
Wichtig ist jedoch, dass in den Einstellungen der Fritz!Box unter „Internet -> Zugangsdaten“ und dort im Karteireiter „Internetzugang“ im Abschnitt „verbindungseinstellungen“ der Eintrag „Dauerhaft halten (empfohlen für Flatrate-Tarife)“ aktiviert und „Zwangstrennung durch den Anbieter verschieben in die Zeit zwischen …“ deaktiviert ist. Der Menüpunkt ist leider standardmäßig ausgeblendet und muss erst über den Link „Verbindungseinstellungen ändern“ eingeblendet werden. Andernfalls baut die Fritz!Box ohne wirkliche Notwendigkeit jeden Tag selbst eine neue Verbindung auf und bezieht dabei eine neue IP-Adresse.

Verknüpfung zu den VPN-Einstellung auf den Start-Bildschirm legen
VPN-Icon
Widget-Menü-Icon
Auf Dauer ist es nicht sehr angenehm, immer wieder den langen Weg über „Einstellungen -> Mehr -> VPN“ gehen zu müssen, um eine Verbindung zum virtuellen privaten Netzwerk herzustellen. Um den Weg abzukürzen, kann eine Verknüpfung auf den Desktop gelegt werden. Hierzu muss so lange auf einen freien Bereich auf dem Start-Bildschirm getippt werden, bis das Konfigurationsmenü erscheint. Anschließend kann der Button „WIDGETS“ angeklickt und im folgenden Menü bis zum Einstellungs-Widget gescrollt werden. Durch Antippen und Halten des Icons kann dieses auf einen freien Bereich auf dem Start-Bildschirm gezogen werden. Lässt man es dann los, wird ein Menü für die Auswahl der zu eigentlichen verknüpfenden Einstellung angezeigt. Hier ist der Eintrag „VPN“ zu wählen. Und schon befindet sich auf dem Start-Bildschirm eine Verknüpfung zu den VPN-Einstellungen.

Fritz!Apps nutzen

Wenn man schon eine VPN-Verbindung zu seiner Fritz!Box hergestellt hat, kann man auch Apps nutzen, die AVM für den Zugriff auf die Fritz!Box im Google-Play-Store anbietet.

MyFRITZ!
MyFritz!-App: NAS
Die App „MyFRITZ!“ ist sehr nützlich, um Daten vom Smartphone auf den internen Speicher der Fritz!Box oder auf angeschlossene Datenträger zu sichern. So können die Urlaubsbilder noch während der Reise gesichert werden. Wenn die App bei einer aktiven VPN-Verbindung aufgerufen wird, kann im Menü der Eintrag FRITZ!NAS auszuwählt werden und führt dann direkt zum Speicher der Fritz!Box. Über das Plus-Icon rechts unten können neue Ordner angelegt und Dateien auf den Speicher kopiert werden. Auf dem Speicher vorhandene Dateien können verschoben, umbenannt oder gelöscht werden. Natürlich ist es so auch möglich, auf zuvor bereitgelegte Dateien und Dokumente zurückzugreifen und diese auf das Smartphone zu kopieren.

Fon
Interessant ist auch die App „Fon“ in diesem Zusammenhang. Sie ist eigentlich dazu gedacht, im Heimnetzwerk über den Festnetzanschluss mit dem Smartphone zu telefonieren. Ist man über ein VPN zur Fritz!Box verbunden, erscheint es für die Fritz!Box so, als würde man sich im eigenen Netzwerk und nicht im entfernten WLAN des Hotels oder des Cafés befinden und kann daher auch die verfügbaren Dienste nutzen. Telefonanrufe, welche über diese App getätigt werden laufen dann beispielsweise durch den VPN-Tunnel über das WLAN des Hotels und das Internet zur Fritz!Box. Von dort geht dann der Anruf unter der normalen Rufnummer an den Gesprächspartner. Bei einem Anruf aus dem Ausland ins Heimatland fallen dann nur die üblichen Inlandsgebühren an. Wer eine Telefon-Flatrate gebucht hat, zahlt dementsprechend keine zusätzlichen Gebühren. So ist es möglich, aus dem Ausland günstig Freunde und Verwandte in der Heimat anzurufen. Umgekehrt können Anrufe an den heimischen Festnetzanschluss auch im Hotel angenommen werden, als wäre man zu Hause.
Damit diese Funktion möglich ist, muss unter auf der Konfigurationsoberfläche über „Heimnetz -> Heimnetzübersicht“ unter dem Karteireiter „Netzwerkeinstellungen“ der Eintrag „Zugriff für Anwendungen zulassen“ aktiviert sein. Die Einstellung ermöglicht Anwendungen, Einstellungen der FRITZ!Box zu lesen und zu bearbeiten. Die Übertragung erfolgt nach dem Standard TR-064.


Sicherheit

Mobilgeräte merken sich üblicherweise die Namen der WLANs, die man bereits genutzt hat und versuchen zukünftig, sich automatisch mit jedem Netzwerk zu verbinden, das den gleichen Namen hat. Das ist zwar bequem, denn so muss man sich nicht immer wieder manuell mit seinem WLAN verbinden. Es eröffnet Angreifern aber auch beachtliche Möglichkeiten. So kann es genügen, ein WLAN anzubieten, dass so heißt wie das WLAN im Hotel nebenan oder das WLAN im ICE oder das einfach den Standardnamen hat, wie er von Routerherstellern bei ihren Geräten vorgesehen ist und von vielen Menschen unverändert genutzt wird.
Das heißt, man sollte bei seinem eigenen WLAN den Standard-Namen ändern und auf den Mobilgeräten die nicht mehr genutzten WLANs aus der Liste der bekannten Netzwerke löschen.


Weiterführende Informationen:
Dynamisches DNS
Anleitung zum VPN einrichten
VPN als Standard unter Android
8.8.8.8 und 8.8.4.4 – Googles neuer DNS-Service
VPN-Protokolle: PPTP, L2TP/IPsec oder OpenVPN?
Fremde WLANs nutzen
Die Hotspot-Falle – Gefahren in öffentlichen Funknetzen
VPNs einrichten mit PPTP
Firefox und Chrome verraten IP-Adressen trotz VPN
Sind VPN-Verbindungen zu einer FRITZ!Box am DS-Lite-Internetzugang möglich?
Dual Stack / Dual Stack Lite
IPv6-Unterstützung in FRITZ!Box einrichten
Fernzugriff ins Heimnetzwerk trotz DS-Lite – so geht’s