VPN auf dem Mac mit FRITZ!Box und DDNS von all-inkl.com

Symbolbild VPN (Quelle: openclipart.org, Padlock icon created by AJ and re-colored by user AzaToth on Wikimedia, Puplic Domain License)

Symbolbild VPN (Quelle: openclipart.org, Padlock icon created by AJ and re-colored by user AzaToth on Wikimedia, Puplic Domain License, modifiziert)

Ich gebe zu, dass der Titel dieses Posts ein wenig sperrig ist. Aber letztlich beschreibt er genau mein Setup-Szenario, welches ich hier gern darlegen möchte. Anleitungen zur Einrichtung von VPN mit einer FRITZ!Box gibt es im Netz ja bereits zuhauf, allerdings beschrieben die meisten der von mir gelesen Tutorials die Konfiguration mittels der Windows-Software „FRITZ!Fernzugang” von AVM (dem Hersteller der FRITZ!Box) bzw. – da es diese Software nicht für den Mac gibt – mittels der manuellen Anpassung einer zuvor durch „FRITZ!Fernzugang” generierten Konfigurationsdatei. Möglicherweise war das früher der einzige Weg, inzwischen geht es aber sehr viel einfacher.

Aber fangen wir von vorne an. Um Verbindung mit einem VPN-Server (hier die FRITZ!Box) aufzunehmen, benötigt man zunächst dessen Adresse. Da sich die IP-Adresse der meisten DSL-Anschlüsse aber mindest einmal aller 24 Stunden ändert (wegen der Zwangstrennung) ist diese als verlässliche Adresse in Rohform allerdings recht ungeeignet. Viel besser ist ein Domainname, der dann auf die jeweils aktuelle IP-Adresse zeigt. Für genau diesen Zweck gibt es „Dynamisches DNS” (DDNS, oder DynDNS) und eine Reihe von Websites, die dieses als (oft kostenfreien) Service anbieten. Praktischerweise ist die FRITZ!Box in der Lage mit DDNS-Anbeitern zu sprechen und denen die jeweils aktuelle IP mitzuteilen – zusammen mit einem DDNS-Anbieter haben wir also schon mal die Voraussetzung für die Adressierung des VPN-Servers via Domainname an der Hand. Welchen DDNS-Anbieter man auswählt ist nicht erheblich – als bekennender und zufriedener Kunde bei all-inkl.com nutze ich den dort angebotenen Service innerhalb meines Hosting-Vertrages.

Nachfolgend werden Änderungen an den Einstellungen des Hosters (all-inkl.com), der FRITZ!Box und den Netzwerkeinstellungen des Macs beschrieben. Bitte denkt an ein vorheriges Backup oder notiert euch ggf. alte Einstellungen. Nachmachen geschieht wie immer auf eigene Gefahr.

1. DynDNS- /DDNS-Service bei all-inkl.com einrichten

Im Kundenadministrationszentrum (KAS) von all-inkl.com legen wir unter Tools –> DDNS-Einstellungen einen Eintrag für dynamisches DNS an. (Screenshot all-inkl.com KAS)

Der DDNS-Eintrag ist schnell angelegt: Subdomain und Domain auswählen, einen Kommentar vergeben (dient nur der Wiederkennung im KAS) und ein Passwort festlegen. Der Nutzername wird von all-inkl.com beim Speichern automatisch festgelegt. Anschließend kann man sich die nötigen Einstellungen für den nachgelagerten DDNS-Client anzeigen lassen, welche wir dann in die FRITZ!Box übertragen müssen.

2. DDNS in der FRITZ!Box einrichten

In der Administrationsoberfläche der FRITZ!Box müssen unter Internet –> Freigaben –> Dynamic DNS die von all-inkl.com bereitgestellten bzw. selbst vergebenen Daten eingeben werden (Screenshot FRITZ!Box Verwaltungsoberfläche, FRITZ!OS)

Einige DDNS-Anbieter sind in der FRITZ!Box vorkonfiguriert und können aus dem Dropdown ausgewählt werden. Für den Service von all-inkl.com wählen wir hier „Benutzerdefiniert“ und füllen anschließend die Felder aus. all-inkl.com stellt eine Anleitung zur Einrichtung von DDNS auf einer FRITZ!Box 7320 bereit – das ganze funktioniert aber genauso auf meiner 3390 und sicher auch in vielen anderen Modellen.

Update-URLdyndns.kasserver.com/ (letzten Schrägstrich nicht vergessen)
Domainnamegemäß den zuvor bei all-inkl.com getätigten Einstellungen
Nutzernameden automatisch von all-inkl.com vergebenen
Domainnamegemäß den zuvor bei all-inkl.com getätigten Einstellungen

Anschließend ist die FRITZ!Box über den gewählten Domainnamen von außen erreichbar – im Beispiel also unter home.vektorkneter.de. Im Mac OS Terminal kann man mit ping domainname (im Beispiel ping home.vektorkneter.de) prüfen, ob der Domainname korrekt in die eigene öffentliche IP übersetzt wird. Die richtige öffentliche IP lässt sich unter ifconfig.me einsehen (oder via Terminal mit curl ifconfig.me).

3. VPN-Benutzer auf der FRITZ!Box anlegen

Unter System --> FRITZ!Box-Benutzer wird der neue Nutzer für den VPN-Zugang angelegt (Screenshot: Verwaltungsoberfläche der FRITZ!Box)

Unter System –> FRITZ!Box-Benutzer wird der neue Nutzer für den VPN-Zugang angelegt (Screenshot: Verwaltungsoberfläche der FRITZ!Box, FRITZ!OS)

Hier legen wir einfach einen neuen Nutzer mit Nutzername, Mail-Adresse sowie Passwort an und gewähren diesem Zugang über das Internet und die Nutzung des VPN durch setzen der entsprechenden Häkchen. Die übrigen Häkchen würde ich aus Gründen der Sicherheit für den VPN-Nutzer entfernen – es sei denn diese Funktionen werden unbedingt benötigt.

Anschließend kann man sich in der FRITZ!Box-Verwaltungsoberfläche alle zu diesem Nutzer gehörenden VPN-Zugangsdaten anzeigen lassen. Hier merken wir uns vor allem das Shared Secret – das brauchen wir dann gleich unter Mac OS zur Einrichtung des Zugangs.

Anzeige der den Nutzer betreffenden VPN-Zugangsdaten. Vor allem das Shared Secret ist hier wichtig und sollte für später notiert werden (Screenshot FRITZ!Box Verwaltungsoberfläche).

Anzeige der den Nutzer betreffenden VPN-Zugangsdaten. Vor allem das Shared Secret ist hier wichtig und sollte für später notiert werden (Screenshot FRITZ!Box Verwaltungsoberfläche, FRITZ!OS).

4. VPN-Zugang auf dem Mac konfigurieren

Um den eben vorbereiteten VPN-Zugang auf dem Mac einzurichten, öffnen wir die Systemeinstellungen, wählen dann Netzwerk und klicken das kleine Plus-Symbol unten links.

Neuer Anschluss: VPN, Typ: Cisco IPSec, beliebiger Name (Screenshot: Mac OS 10.9 Mavericks)

Neuer Anschluss: VPN, Typ: Cisco IPSec, beliebiger Name (Screenshot: Mac OS 10.9 Mavericks)

Server-Adresse (zuvor gewählten Domainnamen) und den in der FRITZ!Box vergeben Nutzernamen samt Passwort eingeben ((Screenshot: Mac OS 10.9 Mavericks))

Server-Adresse (zuvor gewählten Domainnamen) und den in der FRITZ!Box vergebenen Nutzernamen samt Passwort eingeben (Screenshot: Mac OS 10.9 Mavericks)

Über die Schaltfläche "Authentifizierungseinstellungen ..." das zuvor notierze Shared Secret eingeben (Screenshot: Mac OS 10.9 Mavericks)

Über die Schaltfläche „Authentifizierungseinstellungen …“ das zuvor notierte Shared Secret eingeben (Screenshot: Mac OS 10.9 Mavericks) – unter macOS HighSierra musste ich zudem bei „Gruppenname“ noch mal den Nutzernamen eingeben 

Mit diesen Einstellungen ist es nun bereits möglich zum VPN zu verbinden. Für den Zugriff auf Webseiten über den VPN-Zugang fehlt allerdings noch eine wichtige Zutat: der DNS-Server . In der Regel ist das die IP der FRITZ!Box im lokalen Netz, möglich ist aber auch die Angabe eines öffentlicher DNS-Server wie der von Google (IP 8.8.8.8 bzw. 8.8.4.4).

Über die Schaltfäche "Weitere Optionen" in der VPN-Konfiguration kann der DNS-Server bei Benutzung des VPN-Zugangs eingestellt werden (Screenshot: Mac OS 10.9 Mavericks)

Über die Schaltfäche „Weitere Optionen“ in der VPN-Konfiguration kann der DNS-Server bei Benutzung des VPN-Zugangs eingestellt werden (Screenshot: Mac OS 10.9 Mavericks)

AVM selbst bietet übrigens auch eine eigene Anleitung zur Einrichtung eines VPN unter Mac OS – wer da also nochmal nachlesen möchte: VPN-Verbindung zur FRITZ!Box unter Apple OS X einrichten

Fazit

Auf dem hier beschriebenen Weg kann ich auch von unterwegs vom Macbook bequem auf mein Heimnetz zugreifen und somit auch öffentlichen WLAN-Netzen vergleichsweise sicher im Netz browsen. Auch mein im Heimnetz befindliches NAS ist so erreichbar; es taucht zwar nicht wie gewohnt in der Seitenleiste des Finders auf aber via Menü –> „Gehe zu” –> „Mit Server verbinden” kann ich nach Eingabe der lokalen IP dorthin verbinden.

Was (noch) nicht geht: Auf dem iPhone unter iOS8 ist es leider nicht möglich, für den VPN-Zugang einen eigenen DNS-Server zu konfigurieren. Das führt dazu, dass die VPN-Verbindung dort zwar auch problemlos aufgebaut wird, Domainnamen aber nicht aufgelöst werden können. Der Zugriff auf via IP erreichbare Ressourcen im Heimnetz funktioniert somit problemlos, das Surfen im Netz z.B. nicht. Eine Google Suche diesbezüglich ergibt, dass auch viele Andere das gleiche Problem haben – eine Lösung dafür habe ich aber bislang nicht gefunden. Eigentlich sollte das so funktionieren, da die FRITZ!Box den DNS-Server über DHCP bekannt gibt; bei mir tut sie das aber leider nicht. Wenn ich mal Zeit und Muse habe versuche ich es mal mit Reset.

Die in diesem Tutorial verwendeten Domainnamen, Nutzernamen und Passwörter sind natürlich frei erfunden und können somit auch zum Testen NICHT genutzt werden.

2 Kommentare Schreibe einen Kommentar

  1. Moin,
    Hast du inzwischen eine Lösung für das DNS Problem?
    Google hatte nun doch eine verrückte Lösung parat, die in meinem Fall tatsächlich geholfen hat:

    „Internet -> Filter -> Listen und NetBIOS aus- (übernehmen) und wieder einschalten (übernehmen)“

    Gruss
    Sascha

    • Hallo Sascha, das Problem hat sich inzwischen bei mir von selbst erledigt: Als ich neulich mal wieder VPN auf dem iPhone aktivierte, funktionierte plötzlich auch die Namensauflösung via DNS. In der Zwischenzeit hatte ich die Fritz!Box-Firmware aktualisiert und auch das iPhone läuft auf dem neuesten iOS. Welcher der beiden Faktoren (Fritz!OS oder iOS) nun dafür verantwortlich ist, kann ich leider nicht sagen – jedenfalls funktioniert VPN samt automatischer Zuweisung eines DNS-Servers jetzt auch zuverlässig auf dem iPhone.

Schreibe einen Kommentar

Personenbezogene Daten interessieren mich nicht – daher ist die Angabe von Name und E-Mail-Adresse freiwillig. Jedoch wird jeder Kommentar von mir geprüft, bevor er freigeschalten wird.