→ H a f t u n g s a u s s c h l u s s ←
Diese Anleitung wurde nach bestem Wissen erstellt und auf einer FritzBox 6490 Cable und 6590 Cable getestet.
Es gibt jedoch keine Garantie auf Funktion, Sicherheit oder Vollständigkeit.
Die Umsetzung erfolgt auf eigene Gefahr und Verantwortung.
Der Autor übernimmt keine Haftung für Schäden, Datenverluste, Sicherheitsrisiken oder sonstige negative Folgen.
Die Anleitung richtet sich ausschließlich an erfahrene Administratoren.
¶ Willst du mich Unterstützen?
Wenn dir diese Anleitung geholfen hat oder meine Dokus Untestützen möchtest, freue ich mich auf eine kleine Spende via PayPal.
Würde mich mega freuen, denn solche Dokus sind aufwändig und das Rumprobieren kostet Viel Zeit.
Anschluss Voraussetzungen
Für die Umsetzung dieser Anleitung benötigt ihr auf beiden Seiten einen Internetanschluss mit einer echten öffentlichen IP-Adresse.
DS-Lite-Anschlüsse werden von dieser Anleitung nicht unterstützt.
Zusätzlich werden DynDNS- sowie MyFritz-Dienste benötigt.
Die meisten DynDNS-Dienste (mit Ausnahme von MyFritz-Adressen) sind kostenlos, erfordern jedoch in der Regel eine manuelle Reaktivierung, da sie nach etwa 30–90 Tagen ablaufen.
¶ Changelog
09.09.2025
- Config Text angepasst für Zeile 7, 14 und 19 für besseres Verständnis
09.08.2025
- Getestet mit einer FritzBox 6590 Cable | Schnellerer Aufbau und schnellerer Upload der Config
23.08.2024
- Getestet und Optimiert mit einer FritzBox 6490 Cable
¶ Basiseinstellung
VPN-Typ: IPSec
Name: Hier ein Beliebiger Name
Pre-Shared-Key: Gemeinsamer Schlüssel für die FritzBox und die UDM
Lokale IP: Hier steht die Öffentliche IP Adresse deines Internet Providers
Remote IP / Host: Die Feste IP, FQDN oder die MyFritz Adresse der Gegenstelle/FritzBox
¶ Netzwerkkonfiguration
VPN Typ: Routenbasiert
Remote Netzwerk(e): Lokales IP Netz der Fritzbox (Default: 192.168.178.0/24)
¶
Erweiterte Einstellung
Erweitert: Manuell
Schlüsselaustausch Version: IKEv1
IKE:
Verschlüsselung: AES-256
Hash: SHA512
DH-Gruppe: 15
Lebenszeit: 28800
ESP:
Verschlüsselung: AES-256
Hash: SHA512
DH-Gruppe: 15
Lebenszeit: 28800
Perfect Forward Secrecy (SPF): Angehakt
Verschlüsselung Hinweis
Die hier in dem Artikel gezeigten Verschlüsselungsmethoden sind bereits die höchsten von der FritzBox unterstützten Technologien.
Lokale Authentifizierungs-ID - (Manuell: Haken Weg): <FQDN/DynDNS der UniFi UDM>
Remote-Authentifizierungs-ID- (Manuell: Haken Weg): <FQDN/MyFritz-Adresse der FritzBox>
Route Entfernung: 30
¶ Voraussetzungen / Einschränkungen durch die FirtzBox
.png)
¶ Vorbereitung für der FritzBox:
- Erstelle eine neue Textdatei auf deinem Computer.
- Füge den Inhalt meiner bereitgestellten Vorlage in diese Datei ein.
- Lade die Datei in der FritzBox hoch:
Menü: Internet → Freigaben → VPN (IPSec) → Konfiguration importieren.
Anpassungen in der Vorlage:
Zeile 5:name = "<Name der VPN-Verbindung>" → Der Name, der in der FritzBox angezeigt wird.
Zeile 7:keepalive_ip = "<FQDN/DynDNS der UniFi UDM>" (in Anführungszeichen)
oderkeepalive_ip = <Feste-IP-Adresse der UDM> (ohne Anführungszeichen).
Zeile 14:remotehostname = "<FQDN/DynDNS der UniFi UDM>" (in Anführungszeichen)
oderremotehostname = <Feste-IP-Adresse der UDM> (ohne Anführungszeichen).
Zeile 16:fqdn = "<FQDN/MyFritz-Adresse der FritzBox>"
Zeile 19:fqdn = "<FQDN/DynDNS der UniFi UDM>" (in Anführungszeichen)
oderfqdn = <Feste-IP-Adresse der UDM> (ohne Anführungszeichen).
Zeile 24:key = "<Gemeinsamer Schlüssel zwischen FritzBox und UniFi UDM>"
Zeilen 31–32:
IP-Netz inkl. Subnetz der FritzBox eintragen.
Zeilen 37–38:
IP-Netz inkl. Subnetz der UniFi UDM eintragen.
Zeile 42:accesslist = "permit ip any <IP-Netz der UDM> <Subnetz, z. B. 255.255.255.0>"
VPN Config FritzBox
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "<Verbindungsname>";
always_renew = yes;
keepalive_ip = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
localid {
fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";
}
remoteid {
fqdn = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
}
mode = phase1_mode_idp;
phase1ss = "dh15/aes/sha";
keytype = connkeytype_pre_shared;
key = "<Gemeinsamer Schluessel>";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = <IP Netz der FritzBox>;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = <IP Netz der UDM>;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any <IP Netz der UDM> 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
Config für das gleichzeitige Verbinden von 2 Netzwerken (Beispiel: LAN und vLAN gleichzeitig)
Hinweis: Wird nicht unbedingt von allen FritzBoxen unterstützt! Config UNGETESTET
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "<Verbindungsname>";
always_renew = yes;
keepalive_ip = "<Feste IP Adresse der UDM ohne "" oder FQDN/DynDNS der UniFi UDM mit "">";
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "<FQDN/DynDNS der UniFi UDM>";
localid {
fqdn = "<FQDN/MyFritz-Adresse der FritzBox>";
}
remoteid {
fqdn = "<FQDN/DynDNS der UniFi UDM>";
}
mode = phase1_mode_idp;
phase1ss = "dh15/aes/sha";
keytype = connkeytype_pre_shared;
key = "<Gemeinsamer Schluessel>";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = <IP Netz der UDM>;
mask = 255.255.255.0;
}{
ipaddr = <2tes IP Netz der UDM>;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any <IP Netz der UDM> 255.255.255.0", "permit ip any <2tes IP Netz der UDM> 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
¶ Willst du mich Unterstützen?
Wenn du meine Arbeit unterstützen möchtest, freue ich mich über eine kleine Spende via PayPal.
Solche Dokus zu erstellen ist zeitintensiv; vom Ausprobieren bis zum ausführlichen Aufschreiben.
Dein Beitrag hilft mir, auch in Zukunft praxisnahe Anleitungen kostenlos bereitzustellen.
Vielen Dank für deine Unterstützung!
¶
Bekannte Probleme | FAQ:
¶
| Problem | Lösung |
|---|---|
| Verbindung wird nicht aufgebaut | 1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Prüfe die Parameter in der Konfiguration für die FritzBox. 3.) Der Verbindungsaufbau dauert in der Regel zwischen 5 und 10 Minuten je nach alter der FritzBox |
| Ich hab kein PING zur gegenstele | 1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Der Verbindungsaufbau dauert in der Regel zwischen 5 und 10 Minuten je nach alter der FritzBox 3.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig |
| Das Gegenüber stehende Netz war kurz erreichbar und jetzt nicht mehr | 1.) Für diese Lösung reicht ein Neustart der FritzBox. 2.) Deaktiviere und Aktiviere die IPSec VPN Konfiguration in der UDM 3.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig |
| Ich hab die FritzBox und die UDM neu gestartet, aber es geht trotzdem nicht, was kann ich tun? |
1.) Bitte achte da drauf ob du ein DS-Lite Anschluss hast, das erfährst du bei deinem Internet Anbieter. 2.) Prüfe auf mögliche Firewall Fehlkonfigurationen 3.) Ist die Konfiguration auf der FritzBox oder UDM Aktiviert? 4.) Prüfe den "keepalive_ip" Parameter in dem VPN Konfiguration File und entferne diesen ggf. aus der Konfig |
| Die Konfig lässt sich nicht in die FritzBox Importieren | 1.) Entferne die komplette Zeile mit keepalive_ip = aus der Konfig und Probiere es erneut 2.) Überprüfe ob du dich nicht ggf. Vertippt hast. 3.) Wechsle mit Notepad++ unter “Bearbeiten” → “Format Zeilenende” → von “Windows (CR+LF)” zu “Unix (LF)” und speichere dies erneut ab. |