Viele Freiberufler und RemoteWorker sind mit dem nervigen Problem vertraut: Sie sitzen im Café, freuen sich über ein WLAN und versuchen dann über dieses GastWLAN (der FRITZ!Box) auf ihr VPN in der Firma oder auf ihr NAS zuhause zuzugreifen und dann: keine Verbindung…!
Dieses Problem entsteht meist dadurch, das die Standardkonfigurationen in Routern wie der Fritzbox, die in vielen, vor allem kleineren öffentlichen Netzwerken, wie eben dem Gastnetz der FRITZ!Box, verwendet werden.
Standardmäßig erlauben diese Netzwerke nur grundlegende Internetdienste, was dazu führt, dass VPN-Verbindungen oft blockiert sind. Wie die trügerische Sicherheit für den Administrator der das Gastnetz einrichtet suggeriert ist alles in Ordnung. Der Zugriff führt auf „Mailen und Suefen“ beschränkt. Diese Einschränkungen machen einen „ normales VPN“ unmöglich, da die Standard Ports dadurch blockiert werden. Also wird dadurch der Zugriff auf Heim- oder Firmennetzwerke nicht mehr möglich.
Eine effektive sowie einfache Lösung, umgeht diese Beschränkungen durch die Nutzung des Ports 465. Dieser Port ist üblicherweise für SMTP-Dienste reserviert, wird daher von vielen Gastnetzwerken (und eben auch mit den restriktiven Einstellungen der FRITZ!Box) nicht blockiert.
Port 465 war ursprünglich für SMTPS (SMTP über SSL) vorgesehen, wurde jedoch inzwischen für diesen Zweck eingestellt und wird heute für andere Bereiche verwendet. Dennoch ist er eben aufgrund dieser Tatsache meist offen, so auch bei der FRITZ!Box in den Einstellungen für das restriktive Gastnetz.
Wie nun diese Tatsache ausnutzen? Die FRITZ!Box kann standardmäßig kein eigenen Port für das interne VPN ab Werk verwenden. Nur die Standardports. Für iPsec ist das 10000, 4500 und 500. Für WireGuard der Port 51820 und 1701. Also alles Ports, die nicht zu den „grundlegenden” gehören.
Indem ich den OpenVPN-Dienst auf einem gängigen Port wie besagtem 465 „zweckentfremdete”, klappte es dann. Mit dem OpenVPN-Server auf einem QNAP-NAS, konnte ich diese Restriktion dann erfolgreich umgehen.
Schritt | Beschreibung |
---|---|
Problemstellung | Schwierigkeiten beim Zugriff auf das VPN über das Gast-WLAN in einem Café. |
Gastnetzwerk-Router | FRITZ!Box (auch als ‚Fuzzbox‘ bezeichnet). |
Standardkonfiguration der FRITZ!Box | Erlaubt nur einfache Internetdienste; blockiert viele Ports, insbesondere für VPN-Verbindungen. |
Portwahl | Entscheidung für Port 465, da dieser normalerweise für SMTP verwendet wird und oft nicht blockiert ist. |
VPN-Server-Einrichtung auf QNAP | Einrichten von OpenVPN auf einem QNAP-Server mit Nutzung des TCP-Ports 465. |
VPN-Server-Konfiguration | Einsatz von OpenVPN auf einem Tuner-Gerät als Standardkonstellation. |
TCP vs. UDP | Anpassung auf TCP, da UDP (für WireGuard) in diesem Netzwerk blockiert wird. |
Portfreigabe in der FRITZ!Box | Öffnung des TCP-Ports 465 in den FRITZ!Box-Einstellungen für VPN-Verbindungen. |
DDNS-Einrichtung | Nutzung des DDNS-Dienstes von AVM für die ständige Erreichbarkeit des Netzwerks trotz dynamischer IP. |
Installation des VPN-Clients auf dem iPhone | Einrichtung der OpenVPN-App auf dem iPhone für die Verbindung über Port 465. |
„`
Neueste Kommentare