Herausforderung angenommen: So können Sie eine Fritzbox 7530 und 7412 via VPN (IPSec) verbinden – auch bei Vodafone DS-Lite & 1&1 IP4!

Die Vorstellung ist verlockend: Von unterwegs auf das eigene Heimnetzwerk zugreifen, Daten vom NAS abrufen, Smart-Home-Geräte steuern oder einfach nur sicher surfen. Ein VPN (Virtual Private Network) macht dies möglich. Doch wenn Sie eine Fritzbox 7530 und eine Fritzbox 7412 verbinden möchten und dabei über Anbieter wie Vodafone mit DS-Lite oder 1&1 mit potenziell herausfordernden IPv4-Konfigurationen verfügen, kann die Sache schnell kompliziert werden. Aber keine Sorge: Diese Herausforderung ist lösbar! In diesem umfassenden Guide zeigen wir Ihnen Schritt für Schritt, wie Sie Ihre beiden Fritzboxen via IPSec-VPN koppeln, selbst unter schwierigen Bedingungen.

Was ist ein VPN und warum IPSec mit Fritzboxen?

Ein VPN schafft eine sichere, verschlüsselte Verbindung – einen „Tunnel“ – durch das öffentliche Internet zwischen zwei Netzwerken oder einem Gerät und einem Netzwerk. Es ist, als würden Sie ein Verlängerungskabel durch das Internet legen, um sicher auf Ihre entfernten Ressourcen zuzugreifen. Für die Verbindung zweier Fritzboxen ist IPSec (Internet Protocol Security) der Standardweg, den AVM integriert hat. Es bietet eine robuste Authentifizierung und Verschlüsselung, um Ihre Daten vor unbefugtem Zugriff zu schützen.

Die Vorteile einer solchen Fritzbox-Kopplung sind vielfältig:

• Sicherer Fernzugriff: Greifen Sie auf Ihr Heimnetzwerk zu, als wären Sie vor Ort.
• Ressourcen teilen: Nutzen Sie Geräte wie NAS-Systeme, Drucker oder Medien-Server von beiden Standorten aus.
• Datenaustausch: Einfacher und sicherer Datenaustausch zwischen den beiden Standorten.
• IP-Telefonie: Ermöglicht in manchen Konfigurationen auch die Nutzung von IP-Telefonie-Anschlüssen der jeweils anderen Fritzbox.

Die Kandidaten: Fritzbox 7530 und 7412 im Überblick

Bevor wir in die Tiefen der Konfiguration eintauchen, werfen wir einen Blick auf die beiden Hauptdarsteller:

• Fritzbox 7530: Dies ist ein modernes und weit verbreitetes Modell, das in der Regel über aktuelle Firmware-Versionen und eine gute Performance verfügt. Sie ist gut ausgestattet und bietet alle notwendigen Funktionen für ein stabiles VPN.
• Fritzbox 7412: Die 7412 ist ein älteres, oft von Internetanbietern als Leihgerät bereitgestelltes Modell. Sie ist weniger leistungsstark und erhält möglicherweise nicht mehr die neuesten Firmware-Updates so schnell oder umfangreich wie die 7530. Dies kann bei der VPN-Konfiguration oder der Stabilität eine Rolle spielen, insbesondere wenn es um die Unterstützung neuerer Protokolle oder die Performance geht. Stellen Sie unbedingt sicher, dass auch die 7412 die neueste verfügbare Firmware installiert hat.

Grundsätzlich unterstützen beide Modelle die AVM-eigene IPSec-VPN-Kopplung, aber die Leistungsfähigkeit und Aktualität der Firmware können Unterschiede in der Zuverlässigkeit und Geschwindigkeit verursachen.

Die Herausforderungen verstehen: DS-Lite & 1&1 IPv4 (CG-NAT)

Hier wird es spannend, denn genau diese Konstellationen sind der Grund, warum viele Nutzer bei der VPN-Einrichtung scheitern. Lassen Sie uns die Stolperfallen genauer betrachten:

Vodafone DS-Lite (Dual Stack Lite)

DS-Lite ist eine Technologie, die von vielen Internetanbietern (allen voran Vodafone Kabel) eingesetzt wird, um den Mangel an verfügbaren IPv4-Adressen zu umgehen. Das Prinzip ist einfach: Sie erhalten eine öffentliche IPv6-Adresse, aber nur eine private, geteilte IPv4-Adresse. Für den Zugriff auf reine IPv4-Dienste im Internet wird Ihr IPv4-Datenverkehr über einen sogenannten AFTR-Gateway beim Provider in IPv6 gekapselt und ins Internet geroutet.

Das Problem für VPN: Die Fritzbox-eigene IPSec-VPN-Verbindung benötigt für die Kopplung primär eine öffentliche, direkt erreichbare IPv4-Adresse an *mindestens einem der beiden Standorte*, um von außen eine Verbindung entgegennehmen zu können. Da Ihre Fritzbox bei DS-Lite keine eigene öffentliche IPv4-Adresse besitzt, können von außen keine direkten IPv4-Verbindungen (und damit auch kein IPSec-VPN-Tunnel) zu ihr aufgebaut werden. Sie ist quasi „hinter einer Wand” für IPv4-Anfragen aus dem Internet.

1&1 IPv4 (mit CG-NAT)

Auch bei 1&1 (und anderen Anbietern) können Sie auf ähnliche Herausforderungen stoßen, selbst wenn Ihr Anschluss als „IPv4” deklariert ist. Der Übeltäter heißt hier CG-NAT (Carrier-Grade Network Address Translation). Ähnlich wie bei DS-Lite teilen sich hier mehrere Kunden eine öffentliche IPv4-Adresse. Ihre Fritzbox erhält zwar eine IPv4-Adresse, diese ist aber ebenfalls privat und nicht direkt aus dem Internet erreichbar.

Das Problem für VPN: Genau wie bei DS-Lite können eingehende VPN-Verbindungen, die eine öffentliche IPv4-Adresse des Ziels voraussetzen, nicht hergestellt werden, da Ihre Fritzbox keine öffentlich routbare IPv4-Adresse besitzt.

Die Quintessenz der Herausforderung: Wenn *eine* Ihrer Fritzboxen hinter DS-Lite oder CG-NAT sitzt und die *andere* Fritzbox keine öffentliche IPv4-Adresse (oder eine stabile, von AVM unterstützte IPv6-Adresse) hat, um eine Verbindung anzunehmen, dann können Sie das AVM-eigene IPSec VPN nicht auf die herkömmliche Weise nutzen, bei der die DS-Lite-Box der „Server” für eingehende Verbindungen ist.

Die Lösung liegt darin: Die Fritzbox, die sich hinter DS-Lite/CG-NAT befindet, muss immer die Rolle des VPN-Clients übernehmen und die Verbindung zu einer Fritzbox mit öffentlicher IPv4-Adresse oder einer stabilen, über MyFRITZ! oder einen DynDNS-Dienst aktualisierten IPv6-Adresse aufbauen.

Vorbereitungen vor der Konfiguration

Bevor wir mit der eigentlichen Einrichtung beginnen, sind einige wichtige Schritte zu beachten:

1. Netzwerkplanung: Unbedingt unterschiedliche IP-Netze!

Dies ist ein absolut kritischer Punkt und der häufigste Fehler bei der VPN-Kopplung! Ihre beiden Fritzboxen müssen sich in unterschiedlichen IP-Adressbereichen befinden. Beispiel:

• Fritzbox 1 (z.B. 7530): 192.168.178.0/24 (Standard-Fritzbox-Netzwerk)
• Fritzbox 2 (z.B. 7412): 192.168.10.0/24 (oder 192.168.1.0/24 etc.)

Ist dies nicht der Fall, werden Sie nach dem VPN-Aufbau keine Geräte im jeweils anderen Netz erreichen können! Ändern Sie gegebenenfalls das IP-Netz einer Fritzbox unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4-Einstellungen.

2. MyFRITZ!-Konto einrichten und aktivieren

Da die öffentlichen IP-Adressen (sowohl IPv4 als auch IPv6) in der Regel dynamisch sind und sich ändern können, benötigen Sie einen Dienst, der die aktuelle Adresse Ihrer Fritzboxen registriert. AVM bietet hierfür den kostenlosen Dienst MyFRITZ! an.

• Registrieren Sie sich für ein MyFRITZ!-Konto (falls noch nicht geschehen).
• Aktivieren Sie MyFRITZ! auf beiden Fritzboxen unter Internet > MyFRITZ!-Konto.
• Notieren Sie sich die MyFRITZ!-Domainnamen (z.B. ihrebox123.myfritz.net und ihrebox456.myfritz.net). Diese werden später für die VPN-Konfiguration benötigt. MyFRITZ! aktualisiert sowohl IPv4- als auch IPv6-Adressen.

3. Firmware-Updates

Stellen Sie sicher, dass auf beiden Fritzboxen die neueste Firmware installiert ist. Gehen Sie dazu in der Fritzbox-Oberfläche auf System > Update. Aktuelle Firmware verbessert nicht nur die Sicherheit, sondern oft auch die VPN-Stabilität und -Funktionalität.

Lösungsweg A: VPN zwischen zwei Fritzboxen mit öffentlicher IPv4 (Der „einfache” Fall)

Dieser Weg ist der Standardfall und funktioniert, wenn mindestens eine der Fritzboxen eine öffentliche, direkt erreichbare IPv4-Adresse besitzt (oder beide über eine stabile, öffentliche IPv6-Adresse verfügen, die AVMs IPSec zuverlässig nutzen kann).

Beispiel: Fritzbox 1 (7530) hat öffentliche IPv4 (z.B. bei Telekom, O2) und Fritzbox 2 (7412) hat ebenfalls öffentliche IPv4 oder ist die „Client”-Seite, die sich zur 7530 verbindet.

Konfiguration der Fritzbox 1 (z.B. 7530 – VPN-Server/Gegenstelle)

Diese Fritzbox wird als die „zentrale” Box betrachtet, die die VPN-Verbindung entgegennimmt.

1. Melden Sie sich an der Benutzeroberfläche Ihrer Fritzbox 7530 an (fritz.box).
2. Navigieren Sie zu Internet > Freigaben > VPN.
3. Klicken Sie auf VPN-Verbindung hinzufügen.
4. Wählen Sie Eine VPN-Verbindung zu einem weiteren FRITZ!Box-Netzwerk und klicken Sie auf Weiter.
5. Geben Sie folgende Daten ein:
   • Name der VPN-Verbindung: Wählen Sie einen aussagekräftigen Namen (z.B. „VPN_zu_7412”).
   • VPN-Benutzer (falls angezeigt): Dies ist optional und relevant für Client-Verbindungen von Handys/PCs, nicht für Fritzbox-zu-Fritzbox.
   • IP-Adresse/MyFRITZ!-Adresse der Gegenstelle: Geben Sie hier den MyFRITZ!-Hostnamen der Fritzbox 7412 ein (z.B. ihrebox456.myfritz.net). MyFRITZ! wird die aktuelle IP-Adresse (IPv4 oder IPv6) bereitstellen.
   • Entferntes Netz (IP-Netzwerk): Tragen Sie das IP-Netzwerk der Fritzbox 7412 ein (z.B. 192.168.10.0).
   • Subnetzmaske: 255.255.255.0.
   • Vorinstallierter Schlüssel (Preshared Key): Denken Sie sich einen langen, sicheren Schlüssel aus (mindestens 16 Zeichen, Sonderzeichen, Zahlen, Groß-/Kleinbuchstaben). Notieren Sie ihn sich genau!
   • Aktivieren Sie die Option Alle Daten über den VPN-Tunnel senden (falls Sie möchten, dass der gesamte Traffic der 7412 über die 7530 geroutet wird) oder Nur das entfernte Netz ist über den VPN-Tunnel erreichbar (wenn nur der Zugriff auf das andere Netz gewünscht ist). Letzteres ist der Standard für Netzwerk-Kopplung.
6. Klicken Sie auf OK und dann auf Übernehmen.

Konfiguration der Fritzbox 2 (z.B. 7412 – VPN-Client/Gegenstelle)

Diese Fritzbox baut die VPN-Verbindung zur Fritzbox 7530 auf.

1. Melden Sie sich an der Benutzeroberfläche Ihrer Fritzbox 7412 an (fritz.box).
2. Navigieren Sie zu Internet > Freigaben > VPN.
3. Klicken Sie auf VPN-Verbindung hinzufügen.
4. Wählen Sie Eine VPN-Verbindung zu einem weiteren FRITZ!Box-Netzwerk und klicken Sie auf Weiter.
5. Geben Sie folgende Daten ein:
   • Name der VPN-Verbindung: Wählen Sie einen aussagekräftigen Namen (z.B. „VPN_zu_7530”).
   • IP-Adresse/MyFRITZ!-Adresse der Gegenstelle: Geben Sie hier den MyFRITZ!-Hostnamen der Fritzbox 7530 ein (z.B. ihrebox123.myfritz.net).
   • Entferntes Netz (IP-Netzwerk): Tragen Sie das IP-Netzwerk der Fritzbox 7530 ein (z.B. 192.168.178.0).
   • Subnetzmaske: 255.255.255.0.
   • Vorinstallierter Schlüssel (Preshared Key): Geben Sie genau den gleichen Schlüssel ein, den Sie auf der Fritzbox 7530 festgelegt haben.
   • Aktivieren Sie die Option Alle Daten über den VPN-Tunnel senden (falls gewünscht) oder Nur das entfernte Netz ist über den VPN-Tunnel erreichbar. Die Einstellung sollte der Gegenseite entsprechen.
6. Klicken Sie auf OK und dann auf Übernehmen.

Nachdem Sie die Einstellungen auf beiden Fritzboxen gespeichert haben, sollte die VPN-Verbindung innerhalb weniger Minuten automatisch aufgebaut werden. Sie können den Status unter Internet > Freigaben > VPN prüfen.

Lösungsweg B: VPN mit DS-Lite / CG-NAT Hürde überwinden (Der „komplexe” Fall)

Dieser Abschnitt ist entscheidend, wenn eine Ihrer Fritzboxen (z.B. die 7412) hinter DS-Lite oder CG-NAT sitzt. Wie oben erklärt, kann diese Box keine eingehenden IPv4-Verbindungen empfangen.

Die Strategie: Die Fritzbox hinter DS-Lite/CG-NAT muss die VPN-Verbindung *aktiv aufbauen*. Die andere Fritzbox muss eine stabil erreichbare Adresse haben (entweder öffentliche IPv4 oder MyFRITZ! mit zuverlässiger IPv6-Aktualisierung).

Szenario: Fritzbox 7412 hat DS-Lite/CG-NAT, Fritzbox 7530 hat öffentliche IPv4 (oder stabiles IPv6)

In diesem Fall wird die Fritzbox 7530 der VPN-Server und die Fritzbox 7412 der VPN-Client, der die Verbindung initiiert.

Konfiguration der Fritzbox 7530 (VPN-Server mit öffentlicher IPv4/IPv6)

Die Konfiguration ist identisch mit der des „einfachen Falls” unter „Konfiguration der Fritzbox 1” (siehe oben). Achten Sie darauf, den MyFRITZ!-Hostnamen der 7530 zu verwenden und das IP-Netzwerk der 7412 korrekt anzugeben.

Konfiguration der Fritzbox 7412 (VPN-Client mit DS-Lite/CG-NAT)

Die Konfiguration ist identisch mit der des „einfachen Falls” unter „Konfiguration der Fritzbox 2” (siehe oben). Der Schlüssel ist, dass die 7412 den MyFRITZ!-Hostnamen der 7530 als Gegenstelle verwendet und somit die Verbindung aktiv aufbaut. Da die 7412 ausgehende Verbindungen herstellen kann, ist die DS-Lite-Hürde hier kein Problem.

Wichtiger Hinweis zu IPv6: MyFRITZ! aktualisiert auch die IPv6-Adressen. Wenn beide Fritzboxen über öffentliche IPv6-Adressen verfügen und Ihr Provider IPv6 vollumfänglich unterstützt, kann die VPN-Verbindung auch ausschließlich über IPv6 aufgebaut werden. AVMs IPSec-Implementierung ist hier jedoch manchmal etwas wählerisch, und eine stabile IPv4-Verbindung auf der Server-Seite ist oft die robustere Wahl. Stellen Sie sicher, dass in den MyFRITZ!-Einstellungen unter Internet > MyFRITZ!-Konto die Option IPv6-Anbindung (falls vorhanden) aktiviert ist.

Sonderfall: Beide Fritzboxen hinter DS-Lite/CG-NAT

Dies ist die schwierigste Konstellation. Da keine der beiden Boxen direkt von außen per IPv4 erreichbar ist, kann AVMs Standard-IPSec-Fritzbox-Kopplung nicht direkt funktionieren. Hier gäbe es nur sehr eingeschränkte Lösungswege:

1. Reines IPv6-VPN: Wenn beide Provider eine stabile und öffentlich routbare IPv6-Anbindung bereitstellen und AVMs IPSec-Implementierung dies zwischen Ihren spezifischen Firmware-Versionen robust unterstützt, könnte es über die MyFRITZ!-Hostnamen rein über IPv6 funktionieren. Dies ist jedoch oft eine Glückssache und nicht so stabil wie eine IPv4-Verbindung.
2. VPN-Tunnel-Dienst/VPS: Sie könnten einen externen VPN-Tunnel-Dienst oder einen virtuellen Server (VPS) mit einer festen, öffentlichen IPv4-Adresse mieten. Beide Fritzboxen müssten sich dann als VPN-Client zu diesem externen Dienst verbinden. Dies sprengt jedoch den Rahmen der direkten „Fritzbox-zu-Fritzbox”-Kopplung mit AVMs IPSec und erfordert oft andere VPN-Protokolle (z.B. OpenVPN), die in der Fritzbox nicht nativ als Client für Netz-zu-Netz-Verbindungen verfügbar sind. Es wäre ein erheblicher Mehraufwand und erfordert zusätzliche Hardware oder Dienste.

Fazit für „beide DS-Lite”: Für eine reine, direkte Fritzbox-zu-Fritzbox IPSec-Kopplung ist dieses Szenario ohne externe Hilfsmittel oder reine IPv6-Verbindungen (deren Stabilität AVM-intern variieren kann) nicht praktikabel.

Testen und Troubleshooting

Nach der Konfiguration ist es Zeit für den Test. Prüfen Sie den Status und beheben Sie eventuelle Probleme:

1. VPN-Status prüfen: Gehen Sie auf beiden Fritzboxen zu Internet > Freigaben > VPN. Dort sollte die Verbindung als „verbunden” oder „aktiv” angezeigt werden.
2. Ping-Test: Versuchen Sie, von einem Netzwerk aus ein Gerät im anderen Netzwerk anzupingen (z.B. ping 192.168.10.100 von einem Gerät im 192.168.178.0-Netz).
3. Netzwerkfreigaben testen: Versuchen Sie, auf eine Netzwerkfreigabe (z.B. NAS) im entfernten Netz zuzugreifen.

Häufige Fehlerquellen und Lösungen:

• Gleiche IP-Netze: Überprüfen Sie unbedingt Schritt 1 der Vorbereitung! Wenn beide Netze 192.168.178.0/24 sind, kann das VPN nicht richtig routen. Ändern Sie das Netz einer Fritzbox.
• Falscher Preshared Key: Der eingegebene Schlüssel muss auf beiden Seiten exakt gleich sein (Groß-/Kleinschreibung, Sonderzeichen).
• MyFRITZ! nicht aktuell: Überprüfen Sie, ob MyFRITZ! auf beiden Boxen aktiviert ist und die Adressen korrekt aktualisiert werden. Manchmal hilft ein Neustart der MyFRITZ!-Dienste oder der Fritzbox.
• DNS-Probleme: Stellen Sie sicher, dass Ihre DNS-Einstellungen korrekt sind. Oft ist es hilfreich, die IP-Adresse des Geräts direkt anzugeben, anstatt den Hostnamen zu verwenden, um DNS-Probleme auszuschließen.
• Firewall-Probleme: Bei reiner Fritzbox-Kopplung sind Firewall-Probleme selten, da die Fritzbox dies intern regelt. Falls Sie jedoch Ports manuell freigegeben haben oder ein anderes Gerät als Router nutzen, prüfen Sie dessen Firewall-Regeln.
• DS-Lite/CG-NAT als Server: Denken Sie daran: Eine Fritzbox hinter DS-Lite/CG-NAT kann keine eingehenden IPv4-Verbindungen empfangen. Wenn Sie versuchen, die DS-Lite-Box als Server zu konfigurieren, wird die Verbindung fehlschlagen. Sie muss die Rolle des Clients übernehmen und die Verbindung aufbauen.
• Ungenügende IPv6-Unterstützung: Wenn Sie sich ausschließlich auf IPv6 verlassen, prüfen Sie, ob Ihr Provider und die AVM-Firmware eine stabile IPSec-Verbindung über IPv6 zulassen. Manche Konstellationen sind hier weniger robust.

Tipps für die Praxis und Sicherheit

• Sichere Schlüssel: Verwenden Sie immer lange und komplexe Preshared Keys für Ihre VPN-Verbindungen.
• Firmware-Updates: Halten Sie Ihre Fritzboxen stets auf dem neuesten Stand, um Sicherheitslücken zu schließen und die Stabilität zu gewährleisten.
• Performance: Bedenken Sie, dass die ältere Fritzbox 7412 möglicherweise eine geringere VPN-Durchsatzrate bietet als die 7530. Bei großen Datenmengen kann dies spürbar sein.
• Nur bei Bedarf aktivieren: Wenn Sie die VPN-Verbindung nicht ständig benötigen, können Sie diese bei AVM auch so konfigurieren, dass sie nur bei Bedarf aufgebaut wird.

Fazit: Herausforderung angenommen und gemeistert!

Die Verbindung zweier Fritzboxen 7530 und 7412 via IPSec-VPN ist eine äußerst nützliche Funktion, die Ihnen viele Möglichkeiten eröffnet. Auch wenn die Herausforderungen durch Vodafone DS-Lite oder 1&1 CG-NAT auf den ersten Blick entmutigend wirken mögen, so sind sie mit der richtigen Herangehensweise absolut lösbar. Der Schlüssel liegt in der korrekten Rollenverteilung von Client und Server und der Nutzung von Diensten wie MyFRITZ! für dynamische Adressen.

Mit diesem detaillierten Leitfaden haben Sie alle Informationen an der Hand, um Ihre Netzwerke sicher und stabil miteinander zu verbinden. Nehmen Sie die Herausforderung an und genießen Sie die Vorteile Ihres erweiterten und sicheren Heimnetzwerks!