Portfreigaben, ReverseProxy und die Sicherheit…

[Hagen2000]

Ich weiß jetzt nicht, ob die 7490 schon Wireguard kann

Doch, kann sie (die Aussage bezieht sich auf FRITZ!OS 7.60).
Nachtrag: Allerdings wird erst ab FRITZ!OS 8.0 IPv6 innerhalb des VPN-Tunnels unterstützt, man kann also nur mit IPv4-Adressen im Tunnel arbeiten.

 

[Hagen2000]

Hierzu würde ich mir auch eine eindeutigere Antwort wünschen, vor allem wenn die FBox nur IKEv1 kann.

Ich möchte hier gerne meinen Kenntnisstand mit Euch teilen.

IKEv1 ist mittlerweile abgekündigt und soll - sofern möglich - durch IKEv2 ersetzt werden. IKEv1 bietet angeblich sehr viele Konfigurationsmöglichkeiten und daher auch Möglichkeiten, es unsicher zu konfigurieren. Um es möglichst sicher zu betreiben, muss einerseits ein komplexes, schwer zu erratendes Passwort (=PSK/Pre Shared Key) verwendet werden. Andererseits darf der "Aggressive Mode" nicht verwendet werden, denn der PSK kann durch einen "Brute Force Angriff" offline erraten werden. Die Alternative ist der "Main Mode", der diese Schwachstelle nicht besitzt.

Hier stellt sich nun die Frage, welcher "Mode" verwendet wird.
Dazu kann man die FRITZ!Box-Einstellungen sichern und die entstandene .export-Datei mit einem Texteditor öffnen. Am Ende sollte sich die VPN-Konfiguration befinden. Bei mir schaut das für ein Site-2-Site-VPN so aus:

**** CFGFILE:vpn.cfg
/*
 * /var/tmp.cfg
 * Fri Mar 15 09:55:51 2024
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 3;
        global {
                wg_listen_port = 0;
        }
        connections {
                enabled = yes;
                editable = no;
                use_ikev2 = no;
                conn_type = conntype_lan;
                name = "XXXXXXXX";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                remoteip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxxxxxxx";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "XXXXXXXX";
                }
                remoteid {
                        fqdn = "XXXXXXXX";
                }
                mode = phase1_mode_idp;
                phase1ss = "dh15/aes/sha";
                keytype = connkeytype_pre_shared;
                ...
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                ...

Entscheidend ist hier die Angabe von mode = phase1_mode_idp; , dies ist der "Main Mode". Würde hier mode = phase1_mode_aggressive; stehen, würde es sich um den "Aggressive Mode" handeln. In diesem Fall wäre ein Wechsel auf Wireguard vermutlich empfehlenswert.
Seit FRITZ!OS 6.20 wird bereits die Diffie-Hellmann-Gruppe 15 (dh15) unterstützt, bei der ein 3072-Bit langer Schlüssel verwendet wird.

Meine Konfiguration wurde übrigens manuell extern mit dem Tool FRITZ!Box-Fernzugang einrichten von AVM erstellt und dann in die FRITZ!Box importiert. Vielleicht kann jemand die Parameter einer direkt über die FRITZ!Box angelegten Verbindung hier zum Vergleich teilen.

 

[stevenfreiburg]

Allerdings habe ich dann keine Internetverbindung nach draußen mehr.

.
Vielleicht ist es für dich einfacher das mittels verschiedener Profile auf dem Smartphone zu regeln?
So mache ich es und bin damit sehr zufrieden.
In einem Profil bin ich mit VPN unterwegs, im anderen weiterhin die Internetverbindung meiner Location.

Ein Arbeitsprofil auf Android kann man mit der app "Island" (fdroid) installieren. Wenn darin eine VPN Verbindung zur Fritzbox aktiv ist, hat man im Hauptprofil (gleichzeitig!) immer noch die ganz normale Internetverbindung seines Standorts.
Dasselbe sollte unter Android 15 mit der neuen Funktion "privater Bereich" ebenfalls funktionieren. Mit dem "sicheren Ordner" von Samsung geht das auch.


(P.S. "Profile"//"Bereiche" nicht mit User accounts verwechseln bei denen man sich ab- und anmelden muss und die nicht gleichzeitig nutzbar sind)

 

[Benie]

App Island, F-Prot, - Wollte mir die App mal anschauen.

Welches Repository braucht man dafür.
Im Standard Repository ist die App nicht enthalten

 

[stevenfreiburg]

Sorry, "Island" ist der Ursprung, aber auf f-droid heißt das Insular und hat Vorteile hinsichtlich privacy.

 

[Benie]

Insular, das habe ich zwar gesehen, aber nicht angeschaut.
Ich brauche es ja nicht, aber es ist schon immer interessant das was jemand anderes empfiehlt sich zumindest mal anzuschauen, oft kommt der Bedarf später.