Mit dem Smartphone sicher ins eigene Netz

Verschlüsselte Verbindungen zu Fritzbox-Routern per VPN (Virtual Private Network) ließen sich bislang nur mit gerooteten Android-Geräten nutzen. Erst das Aushebeln der vom Hersteller vorgesehenen Benutzer- und Berechtigungskonzepte — das Rooten — erlaubte früher die Installation zusätzlicher VPN-Software für den Verbindungsaufbau zur Fritzbox.

Mit Android 4.0.3 hat sich das endlich geändert. VPN-Verbindungen zu Fritzbox-Routern sind nun auch ohne Root-Rechte möglich, da die VPN-Funktionen des mobilen Betriebssystems stark verbessert wurden.

Dieser Artikel zeigt, wie Sie Ihr Smartphone oder Tablet über einen sicheren VPN-Tunnel in Ihr Heimnetz einbinden. Über den verschlüsselten Zugang surfen Sie dann in öffentlichen WLANs ebenso sicher wie zu Hause, greifen von unterwegs auf die Daten Ihres NAS zu oder führen deutschlandweite Telefonate zum Nulltarif.

Für den VPN-Fernzugriff richten Sie mit einem DynDNS-Dienst eine feste Internetadresse für Ihre Fritzbox ein.

Starten Sie zunächst Ihren Webbrow-ser und geben Sie fritz.box in die Adresszeile ein, um zur Konfiguration des Routers zu gelangen. Aktivieren Sie anschließend unter „System, Ansicht“ die Option „Erweiterte Ansicht“. Diese Ansicht mit zusätzlichen Konfigurationsmöglichkeiten ist für alle weiteren Einstellungen in diesem Artikel erforderlich.

Alle neueren Modelle der Fritzbox-Serie sind für den Fernzugang per VPN bereits vorbereitet. Trotzdem sollten Sie erst einmal sicherstellen, dass auf Ihrem Fritzbox-Router die neueste Firmware installiert ist. Der Grund: Ältere Firmware-Versionen unterstützen Verbindungen per VPN in vielen Fällen noch nicht.

Für ein Firmware-Update wechseln Sie zu „System, Firmware-Update“ und klicken auf „Neue Firmware suchen“. Sollten Aktualisierungen für Ihren Router verfügbar sein, dann führen Sie zunächst ein Firmware-Update durch. Folgen Sie dazu den Anweisungen des Konfigurationsdialogs.

Um aus dem Internet heraus über eine VPN-Verbindung auf Ihr Heimnetz zuzugreifen, benötigt Ihre Fritzbox eine feste Internetadresse. Der AVM-eigene Dienst Myfritz stellt Fritzbox-Nutzern zwar eine feste Internetadresse bereit, ist für VPN-Verbindungen allerdings nicht geeignet. Stattdessen müssen Sie einen Dynamic Domain Name Service, kurz DynDNS oder DDNS, verwenden. Solch ein Dienst ist VPN-tauglich und macht Ihren Router bei wechselnder öffentlicher IP-Adresse stets über eine feste Internetadresse erreichbar.

Dazu übergibt Ihr Router nach der Einwahl ins Internet einem DynDNS-Server die eigene, öffentliche IP-Adresse. Diese Adresse wird dem Router vom DSL-Provider bei jeder Einwahl neu zugewiesen. Sobald der DynDNS-Server die IP-Adresse des Routers kennt, ist dieser über eine feste Internetadresse erreichbar.

Bei diesen Internetadressen handelt es sich meist um Subdomains des DynDNS-Anbieters, also beispielsweise meinesubdomain.dyndns.org.

Um DynDNS zu nutzen, müssen Sie sich einmalig bei einem DynDNS-Anbieter registrieren. Eine Liste kostenloser Anbieter finden Sie unter http://dnslookup.me/dynamic-dns. Wenn Sie sich bei einem der DynDNS-Anbieter registrieren, dann erhalten Sie eine kostenlose Subdomain sowie einen Benutzernamen und ein Kennwort für die Konfiguration Ihres Routers.

Diese Daten tragen Sie in der Konfiguration Ihrer Fritzbox ein. Dazu wechseln Sie zu den DynDNS-Optionen, die Sie unter „Internet, Freigaben“ im Reiter „Dynamic DNS“ finden . Aktivieren Sie die Option „Dynamic DNS benutzen“ und wählen Sie den „Dynamic DNS-Anbieter“ aus, bei dem Sie sich registriert haben. Danach tragen Sie bei „Domainname“ Ihre DynDNS-Adresse ein, also zum Beispiel meinesubdomain.dyndns.org.

Anschließend geben Sie den Benutzernamen und das Passwort ein, mit denen Sie sich bei Ihrem DynDNS-Anbieter registriert haben. Klicken Sie auf „Übernehmen“, um DynDNS in der Fritzbox zu aktivieren. Prüfen Sie unter „Internet, Online-Monitor“, ob sich die Fritzbox erfolgreich bei Ihrem DynDNS-Anbieter anmelden konnte. Ist dies der Fall, dann erscheint hinter „Dynamic DNS“ die Angabe „Status: erfolgreich angemeldet“.

Zunächst erstellen Sie eine VPN-Konfigurationsdatei. Diese Datei importieren Sie in die Fritzbox. Im Anschluss daran konfigurieren Sie Ihr Android-Smartphone.

Die Konfiguration des VPN-Zugangs in der Fritzbox erfolgt über eine separate Windows-Software, das kostenlose Programm Fritzbox-Fernzugang einrichten. Dieses Tool erstellt eine Konfigurationsdatei für die Fritzbox.

Installieren Sie das Programm auf einem Windows-PC Ihres Heimnetzes. Öffnen Sie dazu den Windows-Explorer und starten Sie die Datei „FRITZ!Box-Fernzugang einrichten.exe“. Bestätigen Sie die Meldung der Windows-Benutzerkontensteuerung mit „Ja“ und folgen Sie den weiteren Anweisungen des Setup-Assistenten.

Nach Abschluss der Installation starten Sie das Konfigurations-Tool mit „Start, Alle Programme, FRITZ!Fernzugang, FRITZ!Fernzugang einrichten“. Klicken Sie auf „Neu“ und dann auf „Fernzugang für einen Benutzer einrichten“. Im Folgedialog aktivieren Sie „iPhone / iPod touch / iPad“ und bestätigen mit „Weiter“.

Nun fordert Sie der Assistent auf, die E-Mail-Adresse des Fernzugang-Benutzers einzugeben. Hier dürfen Sie allerdings keine echte E-Mail-Adresse eintragen, da Android diese nicht korrekt verarbeitet. Verwenden Sie stattdessen einfach die Zeichenfolge android oder eine beliebige andere Buchstabenkombination ohne Sonderzeichen. Nach einem Klick auf „Weiter“ geben Sie im Folgedialog die feste Internetadresse der Fritzbox ein, in unserem Beispiel also meinesubdomain.dyndns.org.

Wenn Ihre Fritzbox im Heimnetz unter der Standardadresse 192.168.178.1 erreichbar ist, dann verwenden Sie im Folgedialog die Vorgabe „Werkseinstellungen der FRITZ!Box für das IP-Netzwerk übernehmen“.

Wenn Sie nicht wissen, welche Adresse Ihre Fritzbox verwendet, dann sehen Sie in der Fritzbox-Konfiguration nach. Dazu öffnen Sie mit „Heimnetz, Netzwerk“ die „Netzwerkeinstellungen“. Klicken Sie dann bei „IP-Adressen“ auf „IPv4-Adressen“. Im Folgedialog sehen Sie bei „IPv4-Adresse“ die Adresse Ihrer Fritzbox.

Sollte diese Adresse nicht der Standardadresse 192.168.178.1 entsprechen, dann wählen Sie in Fritzbox-Fernzugang einrichten die Option „Anderes IP-Netzwerk verwenden“ und konfigurieren das IP-Netzwerk anschließend manuell.

Ganz gleich, ob Sie das IP-Netzwerk automatisch oder manuell konfiguriert haben: Bevor Sie auf „Weiter“ klicken, sollten Sie auf jeden Fall noch die Option „Alle Daten über den VPN-Tunnel senden“ aktivieren. So können Sie die VPN-Verbindung später auch in offenen WLAN-Hotspots verwenden, um verschlüsselt im Internet zu surfen.

Im Folgedialog finden Sie dann einen vorgegebenen „Schlüssel (Shared Secret)“. Notieren Sie sich diese Angabe. Sie benötigen sie später bei der Konfiguration Ihres Android-Geräts. Unterhalb des Schlüssels tragen Sie noch ein Kennwort für den VPN-Verbindungsaufbau ein, etwa mysecret.

Nach einem erneuten Klick auf „Weiter“ schließen Sie die Konfiguration mit „Fertig stellen“ ab. Nun öffnet sich der Windows-Explorer mit einem Ordner, der die Konfigurationsdateien für Ihren VPN-Zugang enthält. Die Datei für die Konfiguration des DSL-Routers erkennen Sie an ihrem Namen. Dieser beginnt mit der Zeichenfolge „fritzbox“ und endet mit „cfg“, etwa fritzbox_meinesubdomain_dyndns_org.cfg. 

Wechseln Sie nun zum Webbrowser und öffnen Sie die Fritzbox-Konfiguration, um die soeben erstellte Konfigurationsdatei zu importieren. Dazu wählen Sie „Internet, Freigaben“ und den Reiter „VPN“. Klicken Sie bei „Geben Sie eine Datei mit FRITZ!Box VPN-Einstellungen an“ auf „Durchsuchen…“ und wählen Sie die zuvor angelegte Konfigurationdatei aus. Anschließend übernehmen Sie die VPN-Konfiguration mit einem Klick auf „VPN-Einstellungen importieren“.

Die Fritzbox liest nun die Konfigurationsdatei ein und aktiviert den VPN-Zugang. Sobald dieser Vorgang abgeschlossen ist, erscheint der neu eingerichtete Zugang in der Liste „VPN-Verbindungen“.

Die Fritzbox ist nun einsatzbereit für VPN-Fernzugriffe auf Ihr Heimnetz. Sie sollten jetzt die mit Fritzbox-Fernzugang einrichten angelegten Konfigurationsdateien löschen und das Programm schließen.

Aufgrund eines Fehlers im VPN-Client des Betriebssystems benötigen Sie unter Android 4.0.3 die App VpnCilla (4 Euro). Diese App ist auch als Trial-Version mit einer Laufzeit von zehn Tagen verfügbar.

Starten Sie die App und geben Sie Heimnetz als Namen für die neue Verbindung ein. Sie gelangen dann zu den Einstellungen des neuen VPN-Profils. Tragen Sie bei „VPN Serveradresse“ die feste Internetadresse Ihrer Fritzbox ein, in unserem Beispiel also meinesubdomain.dyndns.org.

Als „Group Id“ und „Benutzername“ verwenden Sie die Buchstabenkombination, die Sie während der Konfiguration anstelle der E-Mail-Adresse angegeben haben, in unserem Fall also android. Bei „Group Passwort“ tragen Sie den während der Fritzbox-Konfiguration angezeigten „Schlüssel (Shared Secret)“ ein. Schließlich verwenden Sie als „Benutzer Passwort“ das während der Konfiguration gewählte Kennwort für den Verbindungsaufbau, in unserem Beispiel also mysecret.

Die restlichen Angaben übernehmen Sie unverändert, indem Sie die Zurück-Taste drücken. Nach einem Fingertipp auf den Profileintrag „Heimnetz“ bestätigen Sie den Folgedialog mit „Ich vertraue dieser App“ und „OK“. Danach startet die App den VPN-Verbindungsaufbau.

Ab Android 4.0.4 klappt der VPN-Verbindungsaufbau zur Fritzbox ohne zusätzliche Apps. Die entsprechenden Optionen finden Sie in den „Einstellungen“ des Betriebssystems. Tippen Sie bei „Drahtlos & Netzwerke“ auf „Mehr…“ und wählen Sie „VPN“.

Tippen Sie nun auf „VPN-Profil hinzufügen“. Gegebenenfalls ist dies erst möglich, nachdem Sie Ihr Android-Gerät mit einer Bildschirmsperre gesichert haben. Beim Erstellen des VPN-Profils vergeben Sie zunächst einen Namen für den neuen Eintrag, etwa Heimnetz, und wählen anschließend bei „Typ“ die Option „IPSec Xauth PSK“.

Bei „Serveradresse“ tragen Sie die feste Internetadresse Ihrer Fritzbox ein, in unserem Beispiel meinesubdomain.dyndns.org. Darunter geben Sie bei „IPSec-ID“ die Buchstabenkombination an, die Sie während der Konfiguration statt der E-Mail-Adresse verwendet haben, im unserem Fall also android.

Die Angabe „Vorinstallierter IPSec-Schlüssel“ entspricht dem während der Fritzbox-Konfiguration angezeigten „Schlüssel (Shared Secret)“. Schließlich aktivieren Sie „Erweiterte Optionen einblenden“ und geben bei „DNS-Server“ die interne IP-Adresse Ihrer Fritzbox an, in unserem Beispiel also 192.168.178.1. Wenn Sie nun auf „Speichern“ tippen, ist der VPN-Client fertig eingerichtet.

Bei bestehender VPN-Verbindung verhält sich Ihr Smartphone so, als wären Sie damit zu Hause in Ihrem Heimnetz. Sie haben Zugriff auf die Daten Ihres NAS-Servers, surfen ebenso sicher wie daheim und können oft sogar kostenlos telefonieren.

Den VPN-Verbindungsaufbau zu Ihrer Fritzbox starten Sie am Smartphone entweder über die App VpnCilla oder — ab Android 4.0.4 — über die „Einstellungen“. In den „Einstellungen“ tippen Sie bei „Drahtlos & Netzwerke“ auf „Mehr…“ und wählen „VPN“. Tippen Sie Ihr VPN-Profil „Heimnetz“ an und geben Sie „Nutzername“ und „Passwort“ an.

Als „Nutzername“ verwenden Sie dabei die Buchstabenkombination, die Sie während der Konfiguration anstelle der E-Mail-Adresse verwendet haben, in unserem Fall also android. Das „Passwort“ entspricht dem während der Konfiguration gewählten Kennwort für den Verbindungsaufbau, in unserem Beispiel also mysecret.

Nachdem beide Eingaben erledigt sind, tippen Sie auf „Verbinden“. Wenig später erscheint dann, ebenso wie beim Verbindungsaufbau mit Vpn Cilla, ein Schlüssel-Symbol in der Statusleiste des Android-Geräts.

Wenn Sie nun Ihren Android-Webbrowser öffnen und eine Webseite aufrufen, dann werden Ihre Internetanfragen durch den VPN-Tunnel verschlüsselt an Ihre Fritzbox gesendet und erst von dort aus ins Internet weitergeleitet. Dadurch lassen sich Ihre Websitzungen auch bei Nutzung eines offenen WLANs nicht belauschen.

Ob Sie wirklich über den verschlüsselten VPN-Tunnel surfen, prüfen Sie mit einem Dienst wie www.meineip.de. Rufen Sie den Dienst einmal ohne VPN-Verbindung und einmal bei bestehender VPN-Verbindung auf. Die angezeigten IP-Adressen dürfen nicht identisch sein. Bei Verwendung des VPN-Tunnels müsste der Dienst die öffentliche IP-Adresse Ihrer Fritzbox anzeigen.

Sobald die VPN-Verbindung zu Ihrer Fritzbox aufgebaut ist, haben Sie selbstverständlich vollen Zugriff auf Ihr Heimnetz. Geben Sie im Webbrowser einfach die interne IP-Adresse Ihrer Fritzbox ein, in unserem Beispiel also 192.168.178.1, um zur Konfiguration des DSL-Routers zu gelangen. Auf die gleiche Weise greifen Sie über die internen IP-Adressen der jeweiligen Geräte auch auf die Verwaltungsoberflächen von NAS-Servern, vernetzten Videorekordern oder Internetradios zu.

Dateifreigaben innerhalb Ihres Heimnetzes lassen sich per VPN ebenfalls nutzen. Dadurch können Sie beispielsweise auf einen an die Fritzbox angeschlossenen USB-Speicher oder auf freigegebene Ordner Ihres NAS-Servers zugreifen. Sie benötigen dazu lediglich einen Dateimanager wie den kostenlosen ES Datei Explorer.

Nach der Installation und dem Start der App wischen Sie von rechts nach links, um zum Bereich „LAN“ zu wechseln. Tippen Sie dann auf die Menütaste und wählen Sie die Option „Neu, Server“. Tragen Sie bei „Netzwerkpfad“ die interne IP-Adresse der Netzwerkfreigabe ein, also beispielsweise 192.168.178.1 für einen als NAS bereitgestellten USB-Speicher, der an der Fritzbox angeschlossen ist.

Direkt darunter tragen Sie den Benutzernamen und das Passwort für die Dateifreigabe ein und speichern Ihre Angaben mit „OK“. Der neu eingetragene Server erscheint dann in der LAN-Übersicht von ES Datei Explorer. Ein Fingertipp auf den Eintrag öffnet die freigegebenen Ordner und Dateien des Servers.

Oft lassen sich über eine VPN-Verbindung auch kostenlose Telefonate führen. Das funktioniert beispielsweise dann, wenn Sie sich mit dem Android-Gerät in ein kostenloses WLAN einloggen und zu Hause mit der Fritzbox eine Telefon-Flatrate nutzen. Dann lässt sich Ihr Android-Gerät mit dem kostenlosen Programm Fritz App Fon über die VPN-Verbindung als Softwaretelefon in der Fritzbox anmelden.

Dazu starten Sie auf dem Android-Gerät bei bestehender VPN-Verbindung zu Ihrer Fritzbox die Anwendung Fritz App Fon. Die App sucht nun nach Ihrer Fritzbox, um sich dort als Softwaretelefon anzumelden. Sobald diese Suche abgeschlossen ist, erscheint eine Liste aller verfügbaren Fritzboxen. Tippen Sie nun auf den Eintrag Ihrer Fritzbox, in unserem Beispiel also auf „192.168.178.1“.

Wenig später müssen Sie einmalig die Registrierung des Softwaretelefons gegebenenfalls mit Ihrem Fritzbox-Kennwort bestätigen. Wenn dann rechts oben die Angaben „Telefonie“ und „FRITZ!Box“ grün hinterlegt sind, ist die App bereit für Telefonate über Ihre Fritzbox.