Tipps & Tricks: FRITZ!Box - nur OpenVPN-Verkehr durchlassen

Discussion in 'Router' started by Inkognito, Feb 10, 2015.

  1. Inkognito

    Inkognito Junior Member

    Hallo,

    in dieser Anleitung zeige ich euch eine Methode, mit der ihr euer Fritzbox Heimnetzwerk dahingegend absichern könnt, dass Clients ausschließlich WAN-OpenVPN-Traffic in Richtung der Perfect-Privacy Servcr und zu den DNS-Servern schicken können. Damit verhindert ihr, dass eure vom ISP zugewiesene öffentliche IP-Adresse unbeabsichtigt leakt, wenn der VPN-Tunnel zusammenbricht und keine Desktop-Firewall den Traffic blockt. Natürlich kann man die Fritzbox auch für andere Protokolle wie SSH, IPSec oder PPTP konfigurieren, in dieser Anleitung zeige ich euch aber die Konfiguration für OpenVPN über UDP.

    In der Fritzbox 7580 sieht die Konfiguration in der erweiterten Ansicht wie folgt aus:

    1. Liste erstellen

    Geht dazu in der FB unter "Internet" -> "Filter" auf "Listen". Hier sind schon einige andere Listen vorkonfiguriert. Mit diesen Listen kann man sich große Profile zusammenbauen, die man dann einzelnen Netzwerkgeräten zuweisen kann und genau das ist der Plan. Um alles außer OpenVPN und DNS Traffic zu blockieren muss man alle anderen Ports und Protokolle blockieren. PP nutzt für OpenVPN über UDP acht verschiedene Ports und DNS benötigt Port 53. DNS wird benötigt, damit die Serverhostnamen wie steinsel1.perfect-privacy.com in IP-Adressen aufgelöst werden können.

    Die fertige Liste "alles außer PP OpenVPN" sieht dann wie folgt aus:

    Filter.jpg


    2. Zugangsprofil erstellen

    Unter dem Reiter "Zugangsprofile" erstellt ihr ein neues Profil, dieses nennt ihr zum Beispiel "PP OpenVPN" und stellt dort bei "Gesperrte Netzwerkanwendungen" eure kürzlich eingerichtete Liste ein.

    3. Netzwerkgeräte einschränken

    Jetzt müsst ihr nur noch unter "Kindersicherung" einstellen, welche Rechner im Netzwerk nur für OpenVPN zugelassen werden sollen, dazu einfach im rechten Dropdown-Menü euer erstelltes Profil auswählen und übernehmen. Wenn ihr neuen Netzwerkgeräten ausschließlich OVPN-Traffic erlauben wollt, ohne jedes Mal auf die Fritzbox zugreifen zu müssen, könnt ihr im Zugangsprofil "Standard" die erstellte Liste einrichten.

    4. Testen

    Probiert im Browser ohne VPN-Tunnel eine beliebige Webseite aufzurufen, sollte das scheitern stellt einen VPN-Tunnel her und probiert erneut. Wenn ihr jetzt ins Netz kommt funktioniert die Hardwarefirewall und ihr seid relativ sicher. Leider lässt die FB bis dato die Sperrung von ICMP-Traffic in der Kindersicherung nicht zu, was bedeutet, dass Netzwerkgeräte trotz aktivierter Kindersicherung und ohne VPN-Tunnel ICMP-Pakete versenden können, welche zum Anpingen von Servern genutzt werden. Zuverlässig geblockt werden also nur TCP und UDP-Pakete, die allerdings 99,999% des Traffics ausmachen, was bei Abbrüchen der VPN-Verbindung alle Leaks verhindern sollte, es sei denn natürlich eine Anwendung nutzt ein anderes Protokoll als TCP/UDP (nahezu ausgeschlossen) oder verschickt eine Ping-Anfrage über ICMP, was auch sehr selten vorkommt. In der Theorie ist es auch möglich, dass UDP Traffic auf einem der PP oder DNS-Ports an einen fremden Server durchgeht, das ist aber noch unwahrscheinlicher als das vorherige Szenario.

    Gerade Browsertraffic, den ich persönlich primär vor einem Leak schützen möchte, ist mit dieser Hardware-Firewalllösung für Arme aber gut geschirmt.

    Für mehr Sicherheit und ganz Paranoide empfiehlt es sich zusätzlich noch eine Desktopfirewall wie die Windows Firewall einzurichten oder einfach die Firewalloption im PP VPN-Manager zu aktivieren, dann könnt ihr euch noch einmal zusätzlich absichern und zudem weitere Protokolle blockieren.

    Viel Spaß damit!
     
    Last edited: Sep 25, 2017
  2. Inkognito

    Inkognito Junior Member

    Mann, was ein geiles Tutorial! Also ICH finde diese Anleitung sollte oben angepinnt werden! Na, was meinen die Anderen?
     
    R. Lacht likes this.
  3. Inkognito

    Inkognito Junior Member

    Fänd ich auch super! Inkgonito hätte sich das auch redlich verdient, er sorgt hier im Forum für Recht und Ordnung und dann gibt er sich auch noch Mühe mit Tutorials? Das sollte redlich belohnt werden!
     
  4. S

    Salat Junior Member

    Ok, bevor du weiter mit deinem anderen Ich schreiben musst hänge ich mich hier mal rein. Danke für das Tutorial!
     
    Inkognito likes this.
  5. Inkognito

    Inkognito Junior Member

    Schön, dass du das auch so siehst! Man scheint hier ja geteilter Meinung zu sein. Zudem gibt es Gerüchte, dass Inkognito besonders gut bestückt sein soll.
     
  6. Dexter

    Dexter Junior Member

    Ey vielen Dank für die Anleitung. Werde ich gleich mal die Tage in meiner Fritz!Box umsetzen. So etwas habe ich schon gesucht :)
     
    Inkognito likes this.
  7. Ghost

    Ghost Junior Member

    @Inkognito

    DANKE für die Anleitung.
    Super. :)

    Werde ich zeitnah umsetzen.


    Nachtrag: Habe meine Fritz!Box nun nach Anleitung konfiguriert. Funktioniert perfect!:)


    Warum nur relativ sicher?
    Müsste doch safe sein.
     
  8. Black

    Black Member

    Naja, in der Theorie kann ein Programm ja einfach UDP Traffic auf den PP Ports senden, das geht dann durch die Firewall! Um es bulletproof zu machen, müsste man also nur die PP Hostnamen oder IP-Adressen freigeben. Die Wahrscheinlichkeit ist aber sehr gering, der Browser surft mit TCP und andere Software mit UDP auf den PP Ports ist schon sehr unwahrscheinlich...
     
  9. R. Lacht

    R. Lacht New Member

    Hi, ich hab ein Problem mit der oben beschriebenen Config. Wenn ich bereits eine Verbindung zu PP aufgebaut habe, funktioniert der Filter wunderbar. Will ich mit aktivierten Filter eine Verbindung zu PP, kommt diese nicht zustande. Zumindest nicht auf meiner Linux TV Box.

    Sat Feb 6 16:39:10 2016 us=258851 Attempting to establish TCP connection with [AF_INET]89.xxx.xxx.29:152 [nonblock]
    Sat Feb 6 16:39:11 2016 us=259229 TCP: connect to [AF_INET]89.xxx.xxx.29:152 failed, will try again in 5 seconds: Connection refused

    Warum will er bei Verbindung TCP?
     
  10. Black

    Black Member

    Hast du die TCP-Konfigurationsdateien geladen?
     
    R. Lacht likes this.
  11. R. Lacht

    R. Lacht New Member

    Ja, das wars wohl.. Sorry
     
  12. a

    ankerbrot Member

    Tolle Sache! Danke für die Idee!

    Ich hab's auf meinem Asus-Router nachgebaut - müßte doch eigentlich auf jedem Router mit Netzwerkdienstfilter funktionieren, oder?
     
    Inkognito likes this.
  13. E

    EthanHunt New Member

    Funktioniert das auch mit dem aktuellen Fri!tz OS 06.51?
    Ist doch ein bisschen anders.
     
  14. Ghost

    Ghost Junior Member

    Info: Es ist nur eine Spielerrei, es ersetzt nicht den IP-Leak Schutz durch die Konfiguration der Windows/Linux/Apple... Firewall

    AVM Support zum Thema: Fritz!Box Firewall
    Das ganze lässt sich auch überprüfen mit z. B. ping 8.8.8.8
    Der Ping geht durch, wenn VPN offline ist
     
  15. Inkognito

    Inkognito Junior Member

    Ich habe meine Anleitung komplett überarbeitet und auf die Einschränkungen der FB Firewall hingewiesen.

    Könntest du bitte deine Fragestellung und die komplette Antwort des Support-Chats veröffentlichen? Die Firewall funktioniert natürlich auch für ausgehende Verbindungen, das allerdings nur für TCP und UDP, Ping, was über ICMP läuft, lässt sich leider nicht blockieren, obwohl man "ICMP" unter "Liste" auswählen kann.

    "Nur für aus dem Internet ankommende Verbindungen lässt sich mit Portfreigaben in der Firewall konfigurieren, ob diese diese passieren dürfen oder nicht." ist dementsprechend nicht korrekt, zumindest in dem mir ersichtlichen Kontext.

    Schön wäre auch, wenn du den Support um die Aufwertung der Kindersicherung bitten würdest, damit man nicht nur TCP und UDP blocken kann sondern auch alle anderen Protokolle bzw. man über eine Protokoll-Whitelist einzelne TCP oder UDP Ports erlauben kann.
     
  16. Ghost

    Ghost Junior Member

    @PP Frank Bitte prüfen, ob das Posting in Ordnung geht (Frage an AVM Support + Antwort)


    Meine Frage an AVM:

    Antwort von AVM:
     
    Last edited: Dec 19, 2016
  17. PP Frank

    PP Frank Staff Member

    @Ghost

    So ganz verstehe ich das Anliegen an mich jetzt nicht. Womit könnte es denn ein Problem geben? Meinst du weil du Aussagen von irgendeinem externen Anbieter hier postest? Also das geht völlig in Ordnung
     
  18. Ghost

    Ghost Junior Member

    Ja genau, dachte ich frage dich lieber.....


    DANKE, echt TOP!
     
  19. Inkognito

    Inkognito Junior Member

    @Ghost: Nun ja, dann hat der AVM Mitarbeiter wohl keine Ahnung von der Software. Mit der FB kann man problemlos ausgehenden TCP/UDP-Traffic blockieren, wie mit einer richtigen Firewall. Das Wort "Kindersicherung" sollte man dann vielleicht nicht in Szeneboards verwenden, wenn man mit seiner elitären Hardwarefirewall prahlen möchte.
     
  20. L

    Logan Zufall New Member

    Hallo,

    ich hätte eine kleine Ergängzung zu dem Ganzen da sich für meine Anwendung das UDP Protokoll nicht eignet habe ich das TCP Protokoll gewählt und eine Liste selbst zusammen gebaut.
    Die Schritte bleiben alle die gleichen nur die Liste wird etwas anders aussehen. FritzBox unter "Internet" -> "Filter" auf "Listen". Leider sind die Einträge etwas durcheinander.

    EDIT: Was mich verwundert beim Schreiben des Beitrags wie die DNS Auflösung klappt ohne den Port 53 ?

    Ports die offen bleiben müssen meiner Meinung nach: (Quelle - Grund)

    PP Website / conf Datei - OpenVPN(TCP) 1152, 152
    Wiki OpenVPN - OpenVPN(UDP, TCP) 1194


    Somit müsste ich ja alle Ports abgedeckt haben die man blockieren kann ohne Verlust der Funktion.
    Wenn jemand Tipps hat wie ich noch mehr das ganze eingrenzen kann wäre ich auch dankbar.

    MfG. ;)
     
    Last edited: Dec 29, 2016
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice