Dynamisches DNS
Auf der bestehenden Fritz!Box haben wir den dynamischen DNS Dienst von AVM genutzt, welcher dem Router unter myfritz.net eine Domain zuweist und somit trotz wechselnder IP-Adresse, einen dauerhaften Zugriff von außen ermöglicht. Auch DrayTek bietet einen solchen Service für die Endgeräte des Anbieters an. Dazu muss unter "Applications" das Menü "Dynamic DNS" geöffnet werden und ein Index ausgewählt werden.
Da wir bisher keinen anderen Dienst für dynamisches DNS eingebunden haben, nutzen wir den Index 1. Im darauffolgenden Fenster lassen sich verschiedene Service-Anbieter auswählen, darunter beispielsweise DynDNS.org, no-ip.com oder eben der DrayTek eigene Dienst "DrayDDNS". Wird dieser ausgewählt, springt der Status auf "Inactivated" über den Button "Wizard" lässt sich der Dienst jedoch aktivieren.
Vorher sollte man jedoch unter myvigor.draytek.com oder über den Menüpunkt "Product Registration" einen Account bei DrayTek erstellen. Im Wizard wählt man im Anschluss den gewünschten Dienst aus. Neben dynamischen DNS "DT-DDNS" wird weiterhin die App-Enforcement Richtlinie "DT-APPE" und die Filterliste der Bundesprüfstelle für jugendgefährdende Medien (BPjM) zum Abonnieren angeboten.
Interessant beim Abonnieren des DT-DDNS Dienstes ist der Fakt, dass man den Domain-Namen frei wählen kann. Bei AVM wird hier hingegen immer ein kryptischer und kaum zu merkender Name vergeben - definitiv ein Pluspunkt für den Dienst aus dem Hause DrayTek.
VPN: LAN-zu-LAN
Zur Administration des Heimnetzes eines Familienmitglieds wird eine LAN-zu-LAN VPN Verbindung benötigt, was bisher über die lokale Fritz!Box 7590 und die am anderen Standort befindliche Fritz!Box 7490 ermöglicht wurde. Auch der DrayTek Router lässt sich per IPSec und IKEv1 mit der Fritz!Box verbinden. Dazu muss zuerst die Fritz!Box umkonfiguriert werden - unter "Internet" -> "Freigaben" -> "VPN" muss eine neue Verbindung mit der Auswahl "Ihr Heimnetz mit einem anderen Fritz!Box-Netzwerk verbinden (LAN-LAN-Kopplung)" hinzugefügt werden.
Als pre-shared Key vergibt man dabei einen zufällig gewählten Schlüssel, der beispielsweise mit einem Online-Dienst (eine kurze Google-Suche mit "Key Generator" reicht aus) erstellt wurde. In das Feld Internet-Adresse muss die eben gewählte Dynamische DNS-Adresse des DrayTek Routers eingegeben werden. Zudem muss auch das Subnetz des entfernen Routers angegeben werden. Dies muss sich hierbei vom Subnetz an der zweiten Lokation unterschieden. In unserem Fall befindet sich das entfernte Netz im Subnetz 192.168.179.0 während unseres im Netzwerk 192.168.178.0 liegt - hier findet durch die Subnetzmaske von 255.255.255.0 keine Überschneidung der Netze statt.
Nachdem so die Fritz!Box konfiguriert wurde, kann auch mit der Konfiguration unseres DrayTek Routers fortgefahren werden. Das dafür notwenige Menü ist unter "VPN and Remote Access" -> "LAN to LAN" zu finden. Wie üblich wählen wir hier den Index 1 zur Konfiguration aus. Im Bereich Common Settings lässt sich ein Name für die Verbindung vergeben und die Option "Call Direction" muss auf Dial-Out gestellt werden. Unser Router baut also später eine ausgehende Verbindung zur Fritz!Box auf. Mit der Option "Always on" lässt sich zudem definieren, dass die VPN-Verbindung dauerhaft aufgebaut werden soll.
Im zweiten Bereich "Dial-Out Settings" wählt man die Option "IPsec Tunnel" in Verbindung mit IKEv1. Der DrayTek Router ermöglicht auch die Nutzung von anderen Protokollen und IKEv2, dies wird jedoch leider nicht von der Fritz!Box unterstützt. AVM hinkt hier etwas der Zeit hinterher. Im Feld "Server IP/Host Name for VPN" muss die myfritz.net Adresse der entfernten Fritz!Box eingetragen werden. Auch das Feld "Pre-Shared Key" muss mit dem vorher erstellten Schlüssel befüllt werden. Letztlich muss bei "IPSec Security Method" noch High(ESP)" in Verbindung mit "AES with Authentication" aktiviert und der Button "Advanced" betätigt werden.
Es sollte sich ein Menü mit "IKE advanced settings" öffnen - hier muss der "Aggressive mode", "DES_[MD5,SHA1,SHA256]_G2/3DES_[MD5,SHA1,SHA256]_G", "AES128_[SHA1,MD5,SHA256]" gewählt und die lokale ID mit dem dynamischen DNS Eintrag des DrayTek Routers befüllt werden. Im Anschluss kann das Menü wieder geschlossen werden.
Im Teil 3 "Dial-In Settings" können alle Optionen deaktiviert bzw. auf Standardwerten belassen werden. Erst im Teil 4 "TCP/IP Network Settings" muss das entfernet Subnetz inkl. Subnetzmaske und das lokale Netzwerk eingegeben werden. Durch einen Klick auf "OK" werden die Einstellungen gespeichert und es sollte unmittelbar darauf ein VPN-Tunnel zur entfernten Fritz!Box etabliert sein. Zu beachten ist hierbei, dass ohne weitere Firewall-Konfiguration alle Hosts des entfernten Netzes eine Verbindung zum lokalen Netz, sowie andersherum auch alle Clients des lokalen Netzes eine Verbindung zum entfernten Netz aufbauen können.
Da DrayTek auch unverschlüsselte VPN-Konfigurationen ermöglicht ist die farbliche Unterscheidung (grün = verschlüsselt, schwarz = unverschlüsselt) im Menü "Connection Management" sehr praktisch und erlaubt einen schnellen Überblick über die derzeit aktiven Verbindungen.