Tipps & Tricks: FRITZ!Box - nur OpenVPN-Verkehr durchlassen

Inkognito

Active Member
Hallo,

in dieser Anleitung zeige ich euch eine Methode, mit der ihr euer Fritzbox Heimnetzwerk dahingegend absichern könnt, dass Clients ausschließlich WAN-OpenVPN-Traffic in Richtung der Perfect-Privacy Servcr und zu den DNS-Servern schicken können. Damit verhindert ihr, dass eure vom ISP zugewiesene öffentliche IP-Adresse unbeabsichtigt leakt, wenn der VPN-Tunnel zusammenbricht und keine Desktop-Firewall den Traffic blockt. Natürlich kann man die Fritzbox auch für andere Protokolle wie SSH, IPSec oder PPTP konfigurieren, in dieser Anleitung zeige ich euch aber die Konfiguration für OpenVPN über UDP.

In der Fritzbox 7580 sieht die Konfiguration in der erweiterten Ansicht wie folgt aus:

1. Liste erstellen

Geht dazu in der FB unter "Internet" -> "Filter" auf "Listen". Hier sind schon einige andere Listen vorkonfiguriert. Mit diesen Listen kann man sich große Profile zusammenbauen, die man dann einzelnen Netzwerkgeräten zuweisen kann und genau das ist der Plan. Um alles außer OpenVPN und DNS Traffic zu blockieren muss man alle anderen Ports und Protokolle blockieren. PP nutzt für OpenVPN über UDP acht verschiedene Ports und DNS benötigt Port 53. DNS wird benötigt, damit die Serverhostnamen wie steinsel1.perfect-privacy.com in IP-Adressen aufgelöst werden können.

Die fertige Liste "alles außer PP OpenVPN" sieht dann wie folgt aus:

Filter.jpg


2. Zugangsprofil erstellen

Unter dem Reiter "Zugangsprofile" erstellt ihr ein neues Profil, dieses nennt ihr zum Beispiel "PP OpenVPN" und stellt dort bei "Gesperrte Netzwerkanwendungen" eure kürzlich eingerichtete Liste ein.

3. Netzwerkgeräte einschränken

Jetzt müsst ihr nur noch unter "Kindersicherung" einstellen, welche Rechner im Netzwerk nur für OpenVPN zugelassen werden sollen, dazu einfach im rechten Dropdown-Menü euer erstelltes Profil auswählen und übernehmen. Wenn ihr neuen Netzwerkgeräten ausschließlich OVPN-Traffic erlauben wollt, ohne jedes Mal auf die Fritzbox zugreifen zu müssen, könnt ihr im Zugangsprofil "Standard" die erstellte Liste einrichten.

4. Testen

Probiert im Browser ohne VPN-Tunnel eine beliebige Webseite aufzurufen, sollte das scheitern stellt einen VPN-Tunnel her und probiert erneut. Wenn ihr jetzt ins Netz kommt funktioniert die Hardwarefirewall und ihr seid relativ sicher. Leider lässt die FB bis dato die Sperrung von ICMP-Traffic in der Kindersicherung nicht zu, was bedeutet, dass Netzwerkgeräte trotz aktivierter Kindersicherung und ohne VPN-Tunnel ICMP-Pakete versenden können, welche zum Anpingen von Servern genutzt werden. Zuverlässig geblockt werden also nur TCP und UDP-Pakete, die allerdings 99,999% des Traffics ausmachen, was bei Abbrüchen der VPN-Verbindung alle Leaks verhindern sollte, es sei denn natürlich eine Anwendung nutzt ein anderes Protokoll als TCP/UDP (nahezu ausgeschlossen) oder verschickt eine Ping-Anfrage über ICMP, was auch sehr selten vorkommt. In der Theorie ist es auch möglich, dass UDP Traffic auf einem der PP oder DNS-Ports an einen fremden Server durchgeht, das ist aber noch unwahrscheinlicher als das vorherige Szenario.

Gerade Browsertraffic, den ich persönlich primär vor einem Leak schützen möchte, ist mit dieser Hardware-Firewalllösung für Arme aber gut geschirmt.

Für mehr Sicherheit und ganz Paranoide empfiehlt es sich zusätzlich noch eine Desktopfirewall wie die Windows Firewall einzurichten oder einfach die Firewalloption im PP VPN-Manager zu aktivieren, dann könnt ihr euch noch einmal zusätzlich absichern und zudem weitere Protokolle blockieren.

Viel Spaß damit!
 
Last edited:

Inkognito

Active Member
Fänd ich auch super! Inkgonito hätte sich das auch redlich verdient, er sorgt hier im Forum für Recht und Ordnung und dann gibt er sich auch noch Mühe mit Tutorials? Das sollte redlich belohnt werden!
 

Inkognito

Active Member
Schön, dass du das auch so siehst! Man scheint hier ja geteilter Meinung zu sein. Zudem gibt es Gerüchte, dass Inkognito besonders gut bestückt sein soll.
 

Dexter

Member
Ey vielen Dank für die Anleitung. Werde ich gleich mal die Tage in meiner Fritz!Box umsetzen. So etwas habe ich schon gesucht :)
 

Ghost

Member
@Inkognito

DANKE für die Anleitung.
Super. :)

Werde ich zeitnah umsetzen.


Nachtrag: Habe meine Fritz!Box nun nach Anleitung konfiguriert. Funktioniert perfect!:)


Probiert im Browser ohne VPN-Tunnel in das Internet zu kommen, sollte das scheitern stellt einen VPN-Tunnel her und probiert erneut. Wenn ihr jetzt ins Netz kommt funktioniert die Hardwarefirewall und ihr seid relativ sicher.

Warum nur relativ sicher?
Müsste doch safe sein.
 

Black

Junior Member
Naja, in der Theorie kann ein Programm ja einfach UDP Traffic auf den PP Ports senden, das geht dann durch die Firewall! Um es bulletproof zu machen, müsste man also nur die PP Hostnamen oder IP-Adressen freigeben. Die Wahrscheinlichkeit ist aber sehr gering, der Browser surft mit TCP und andere Software mit UDP auf den PP Ports ist schon sehr unwahrscheinlich...
 

R. Lacht

Junior Member
Hi, ich hab ein Problem mit der oben beschriebenen Config. Wenn ich bereits eine Verbindung zu PP aufgebaut habe, funktioniert der Filter wunderbar. Will ich mit aktivierten Filter eine Verbindung zu PP, kommt diese nicht zustande. Zumindest nicht auf meiner Linux TV Box.

Sat Feb 6 16:39:10 2016 us=258851 Attempting to establish TCP connection with [AF_INET]89.xxx.xxx.29:152 [nonblock]
Sat Feb 6 16:39:11 2016 us=259229 TCP: connect to [AF_INET]89.xxx.xxx.29:152 failed, will try again in 5 seconds: Connection refused

Warum will er bei Verbindung TCP?
 

ankerbrot

Junior Member
Tolle Sache! Danke für die Idee!

Ich hab's auf meinem Asus-Router nachgebaut - müßte doch eigentlich auf jedem Router mit Netzwerkdienstfilter funktionieren, oder?
 

Ghost

Member
Info: Es ist nur eine Spielerrei, es ersetzt nicht den IP-Leak Schutz durch die Konfiguration der Windows/Linux/Apple... Firewall

AVM Support zum Thema: Fritz!Box Firewall
Es gibt in der Fritz!Box keine ausgehende Firewall, die sich entsprechend einrichten ließe.
Nur für aus dem Internet ankommende Verbindungen lässt sich mit Portfreigaben in der Firewall konfigurieren, ob diese diese passieren dürfen oder nicht.
Ihr Anliegen lässt sich mit der Fritz!Box leider nicht umsetzen.

Das ganze lässt sich auch überprüfen mit z. B. ping 8.8.8.8
Der Ping geht durch, wenn VPN offline ist
 

Inkognito

Active Member
Info: Es ist nur eine Spielerrei, es ersetzt nicht den IP-Leak Schutz durch die Konfiguration der Windows/Linux/Apple... Firewall

AVM Support zum Thema: Fritz!Box Firewall


Das ganze lässt sich auch überprüfen mit z. B. ping 8.8.8.8
Der Ping geht durch, wenn VPN offline ist

Ich habe meine Anleitung komplett überarbeitet und auf die Einschränkungen der FB Firewall hingewiesen.

Könntest du bitte deine Fragestellung und die komplette Antwort des Support-Chats veröffentlichen? Die Firewall funktioniert natürlich auch für ausgehende Verbindungen, das allerdings nur für TCP und UDP, Ping, was über ICMP läuft, lässt sich leider nicht blockieren, obwohl man "ICMP" unter "Liste" auswählen kann.

"Nur für aus dem Internet ankommende Verbindungen lässt sich mit Portfreigaben in der Firewall konfigurieren, ob diese diese passieren dürfen oder nicht." ist dementsprechend nicht korrekt, zumindest in dem mir ersichtlichen Kontext.

Schön wäre auch, wenn du den Support um die Aufwertung der Kindersicherung bitten würdest, damit man nicht nur TCP und UDP blocken kann sondern auch alle anderen Protokolle bzw. man über eine Protokoll-Whitelist einzelne TCP oder UDP Ports erlauben kann.
 

Ghost

Member
@PP Frank Bitte prüfen, ob das Posting in Ordnung geht (Frage an AVM Support + Antwort)

Könntest du bitte deine Fragestellung und die komplette Antwort des Support-Chats veröffentlichen?

Meine Frage an AVM:

Hallo,

ich verwende einen VPN Anbieter zum Surfen.
Ich möchte die Firewall der Fritz!Box 7580 so konfigurieren, dass nur die Ports des VPN Anbieters offen sind und alle anderen gesperrt sind.
(UDP Ports des VPN Anbieters: 149,150,151,1149,1150,1151) + Port 53 für DNS
Hintergrund: Es soll nur eine Verbindung ins Internet möglich sein, wenn die VPN Verbindung aktiv ist. Sollte die VPN Verbindung unterbrochen werden, muss die Verbindung blockiert werden.
Ich würde mich freuen, wenn Sie mir eine Anleitung geben könnten, wie ich die Firewall der Fritz!Box 7580 konfigurieren muss.

Antwort von AVM:
Guten Tag Herr XXX XXX,
vielen Dank für Ihre Anfrage an den AVM Support.
"Ich möchte die Firewall der Fritz!Box 7580 so konfigurieren, dass nur die Ports des VPN Anbieters offen sind und alle anderen gesperrt sind."
Es gibt in der Fritz!Box keine ausgehende Firewall, die sich entsprechend einrichten ließe. Nur für aus dem Internet ankommende Verbindungen lässt sich mit Portfreigaben in der Firewall konfigurieren, ob diese diese passieren dürfen oder nicht.

Ihr Anliegen lässt sich mit der Fritz!Box leider nicht umsetzen.


Freundliche Grüße aus Berlin
XXX XXX (AVM Support)
 
Last edited:

PP Frank

Staff member
@Ghost

So ganz verstehe ich das Anliegen an mich jetzt nicht. Womit könnte es denn ein Problem geben? Meinst du weil du Aussagen von irgendeinem externen Anbieter hier postest? Also das geht völlig in Ordnung
 

Inkognito

Active Member
@Ghost: Nun ja, dann hat der AVM Mitarbeiter wohl keine Ahnung von der Software. Mit der FB kann man problemlos ausgehenden TCP/UDP-Traffic blockieren, wie mit einer richtigen Firewall. Das Wort "Kindersicherung" sollte man dann vielleicht nicht in Szeneboards verwenden, wenn man mit seiner elitären Hardwarefirewall prahlen möchte.
 

Logan Zufall

Junior Member
Hallo,

ich hätte eine kleine Ergängzung zu dem Ganzen da sich für meine Anwendung das UDP Protokoll nicht eignet habe ich das TCP Protokoll gewählt und eine Liste selbst zusammen gebaut.
Die Schritte bleiben alle die gleichen nur die Liste wird etwas anders aussehen. FritzBox unter "Internet" -> "Filter" auf "Listen". Leider sind die Einträge etwas durcheinander.

EDIT: Was mich verwundert beim Schreiben des Beitrags wie die DNS Auflösung klappt ohne den Port 53 ?

Ports die offen bleiben müssen meiner Meinung nach: (Quelle - Grund)

PP Website / conf Datei - OpenVPN(TCP) 1152, 152
Wiki OpenVPN - OpenVPN(UDP, TCP) 1194

View media item 56
Somit müsste ich ja alle Ports abgedeckt haben die man blockieren kann ohne Verlust der Funktion.
Wenn jemand Tipps hat wie ich noch mehr das ganze eingrenzen kann wäre ich auch dankbar.

MfG. ;)
 
Last edited:
Top