AVM macht seine Router mit FritzOS 6.0 firmentauglich

Christoph H. Hochstätter,
Netzwerk-ManagementNetzwerke
avm-fritz-0S 6.0

AVM hat für seine Router kürzlich mit FritzOS 6.0 eine neue Firmware herausgebracht. Aktuell gibt es die neue Version nur für die Fritzbox 7390. Für die Fritzbox 7490 ist eine Laborversion verfügbar. In den kommenden Wochen will AVM FritzOS 6.0 für zahlreiche weitere DSL- und LTE-Modelle bereitstellen.

avm-fritz-0S 6.0
Mit FritzOS 6.0 werden die Router von AVM auch für Firmen interessant (Bild: AVM).

Die größte Überraschung stellt die Unterstützung von VDSL-Vectoring dar. Diese Leistungssteigerung der VDSL-Geschwindigkeit hat AVM allen Fritzboxen mit VDSL-Modem spendiert. Vectoring hatte AVM zunächst nur für das neue Spitzenmodell 7490 beworben. Es wäre zu erwarten gewesen, dass der Hersteller DSL-Vectoring als Alleinstellungsmerkmal nutzt, um den Verkauf der neuen Box anzukurbeln. Doch AVM zeigt sich fair und bietet Altgerätebesitzern, sofern es technisch möglich ist, das neue Merkmal. FritzOS 6.0 unterstützt dabei die leistungsfähigste Variante “Full-Vectoring”. ZDNet konnte das Feature mangels geeignetem Anschluss allerdings nicht testen.

Von FritzOS 5.5x ist man gewohnt, dass es für die verschiedenen Funktionen komplett getrennte Benutzerverwaltungen gibt. Ein Szenario, das für den Geschäftseinsatz nicht hinnehmbar ist. In der Version 6.0 hat AVM diese Userverwaltung vereinheitlicht. Für jeden Anwender wird eingetragen, ob er die Fritzbox-Einstellungen bearbeiten darf (Administratorfunktion), Sprachnachrichten abhören kann, Zugang zu bestimmten NAS-Verzeichnissen erhält, die Smart-Home Steckdosen schalten darf oder einen VPN-Zugang bekommt.

VPN-Funktionen für Business-User

Dass eine Fritzbox nicht nur für Privatanwender, sondern auch für kleine Unternehmen bis 100 Mitarbeiter interessant ist, zeigt unter anderem die neue VPN-Funktion. Hier verwendet AVM IPSec-VPN, sodass die Box auch mit Routern zahlreicher anderer Hersteller, etwa Lancom, verbunden werden kann. Letzteres erfordert ein wenig technisches Verständnis, ist aber mit entsprechender Anleitung von einem erfahrenen Firmenadministrator zu bewältigen.

Bis einschließlich FritzOS 5.5x musste die VPN-Konfiguration dabei mit einem externen Programm realisiert werden. Dieses erzeugte Konfigurationsdateien, die anschließend auf die Fritzbox hochgeladen wurden. Besonders unpraktisch ist dieses Verfahren, wenn mehrere Standorte, zum Beispiel Niederlassungen miteinander vernetzt werden sollen. Ist kein Fernzugang installiert, muss jemand in der Niederlassung die Config-Datei zur Fritzbox hochladen. Außerdem kam es regelmäßig zu Problemen, wenn die erzeugten Dateien verloren gingen. Wurde eine weitere Niederlassung eingebunden, benötigte man wieder alle bisherigen Dateien, erzeugte neue und lud diese wieder auf die Boxen aller Niederlassungen.

AVM Fritz!Box 7490
Besitzer der Fritzbox 7490 können die neuen Funktionen bereits mit einer Laborversion von FritzOS 6.0 ausprobieren (Bild: AVM).

Mit FritzOS 6.0 kann die Konfiguration auch direkt im Webinterface der Fritzbox erfolgen, was eine wesentliche Erleichterung darstellt und darüber hinaus Nutzern von Android- und iOS-Geräten den VPN-Zugang ermöglicht. Diese Geräte akzeptieren bekanntlich keine Fritzbox-VPN-Dateien. Wichtig ist allerdings, dass ein starkes Kennwort verwendet wird. Die Sicherheit von IPSec-VPNs hängt wesentlich von der Komplexität des Kennwortes ab. Mit der alten Methode kümmerte sich das Konfigurationsprogramm um ein starkes Passwort, welches nun selbst gewählt wird.

Wie bisher werden die beiden VPN-Typen Site-to-Site-VPN und End-to-Site-VPN unterstützt. Bei einem Site-to-Site-VPN vernetzt man zwei Standorte, während das End-to-Site-VPN dazu dient, dass sich ein Benutzer von unterwegs in ein Intranet, etwa das Firmen-LAN einwählen kann.

Neu mit der Version 6.0 ist die Möglichkeit, ein End-to-Site-VPN zu “missbrauchen”, um eine Site-to-Site-Kopplung durchzuführen. Ein Mitarbeiter, der eine VPN-Einwahl zur Verfügung gestellt bekommen hat, kann diese von seiner heimischen Fritzbox nutzen, um so alle seine Rechner zu Hause ins Firmen-LAN zu bringen, ohne sich einzeln einwählen zu müssen.

Das wird von Mitarbeitern sehr geschätzt, da ihre Heimnetze ohne weiteres Zutun auf das Firmen-Intranet zugreifen können. Dies gilt insbesondere auch für Tablets und Smartphones, ohne dass dort ein VPN konfiguriert werden muss. Unternehmen sehen das allerdings nicht gerne, da auch Rechner und Geräte von Familienmitgliedern und Gästen automatisch Zugang zum Firmennetz erhalten.

Internet auch für Gäste

Ein Gastnetzwerk ist nicht nur etwas für Heimanwender, sondern auch für Firmen ein wichtiges Feature. Besucher oder externe Dienstleister erwarten heute, dass Ihnen ein Internetzugang bereitgestellt wird. Gleichzeitig soll den betriebsfremden Personen aber kein Zugang zum Intranet gewährt werden.

Das ist nicht grundsätzlich neu in FritzOS 6.0, allerdings wurden die Möglichkeiten erweitert. Neben dem Zugang über WLAN mittels zweiter SSID lässt sich nun auch ein LAN-Port auf das Gastnetzwerk legen. An- und Abmeldungen können nun in den Fritzbox-Push-Service aufgenommen werden. Dabei handelt es sich um eine tägliche E-Mail-Benachrichtigung, die sich ein Administrator zuschicken lassen kann. Allerdings ist der Nutzen dieser Funktion beschränkt. Man sieht lediglich die MAC- und IP-Adresse des Gastes.

Die IP-Adresse wird in der Regel ohnehin dynamisch zugeteilt und die MAC-Adresse kann ein Gast, der Böses im Schild führt, leicht verändern. Wer eine echte 802.1x Anmeldung benötigt, kommt mit der Fritzbox allein nicht weit. Entweder muss man auf eine andere Netzzugangslösung zurückgreifen oder das Fritzbox-Gastnetz mit einer 802.1x-Zugangslösung kombinieren.

Neu ist auch die Möglichkeit, Gäste auf “Surfen und Mailen” zu beschränken. Dahinter verbirgt sich eine TCP-Portbegrenzung auf HTTP, SMTP, POP3 und IMAP4 sowie die entsprechenden SSL-Ports. Somit kann man versuchen, bestimmte Aktionen, etwa Bittorrent-Sharing von urheberrechtsgeschützten Dateien, zu unterbinden.

Der Gast wird diese Beschränkungen jedoch nicht zu schätzen wissen. So kann er sich beispielsweise nicht per VPN in sein eigenes Firmen-LAN einwählen. Eine differenziertere Kontrolle gibt es im Dialog “Zugangsprofil Gast bearbeiten”, die jedoch unter dem Punkt “Kindersicherung” gut versteckt ist.

Als zusätzlichen Service zeigt die Fritzbox einen QR-Code an, der sich von einem mobilen Gerät nutzen lässt, um sofort ins WLAN zu kommen. Das ist praktisch, kann jedoch auch über einen der zahlreichen Internet-QR-Dienste erreicht werden. Vorsicht ist bei der integrierten Druckfunktion geboten. Diese druckt nicht nur den QR-Code für das Gastnetz, sondern auch den für das Firmennetz mit aus.

SIP-Telefonie für Profis

Auch die neuen Funktionen für SIP-Telefonie machen klar, dass AVM Unternehmen als Zielgruppe im Visier hat. Mit der Funktion SIP-Trunking lassen sich mehrere Telefonnummern in einem einzigen Konfigurations-Eintrag verwalten, sofern der VoIP-Anbieter das unterstützt.

FritzOS 6.0 unterstützt dabei sowohl SIP-Trunking mit mehreren Rufnummern, die nicht aufeinanderfolgend sind, als auch SIP-Anlagenanschlüsse mit Stammnummer und Durchwahl. Auch wenn FritzOS 6.0 bis zu 9-stelligen Durchwahlen (sehr große Firmen haben in der Regel maximal 4-stellige Durchwahlen) unterstützt, wird schnell klar, dass eine Fritzbox nur wenige Endgeräte unterstützen kann. Ein realistisches Maximum ist 10 bis 20 Nebenstellen. Dies zeigt sich darin, dass alle Nebenstellen, die man über die Fritzbox abwickeln möchte, einzeln eingetragen werden müssen.

Zudem muss man sich darüber im Klaren sein, dass die Anzahl der klassischen Telefoniegeräte auf einer Fritzbox beschränkt ist. Auch auf einer 7390 oder 7490 lassen sich nur sechs DECT-Telefonie, acht ISDN-Telefone sowie drei analoge Telefone oder Faxgeräte anschließen. Wer mehr benötigt, muss SIP-Endgeräte verwenden, die per LAN angeschlossen werden.

Ebenfalls für den Profi-Einsatz wenig geeignet ist die WLAN-Telefonie, bei denen Mitarbeiter ihr Smartphone als Endgerät verwenden. Dieses ist mittels Fritz!App oder der eingebauten SIP-Telefonie in Android zwar leicht zu konfigurieren, führt aber in der Praxis zu Problemen. Nur bei einer ausgezeichneten WLAN-Verbindung klappt das problemlos. Meist führt eine einzige Wand schon zu inakzeptabler Qualität. An die Reichweite von DECT kommt WLAN nicht heran. Während TCP-Verbindungen noch einwandfrei funktionieren, weil sie verlorengegangene Pakete neu anfordern, kommt es beim für IP-Telefonie notwendigen UDP-Protokoll zu Paketverlusten über WLAN. Die Gesprächsqualität sinkt auf das Niveau einer sehr schlechten Handyverbindung.

Verbesserungsbedürftig ist die neue Möglichkeit, Sprachnachrichten auf dem integrierten Anrufbeantworter per Web-Interface abzuhören. Dies kann man nur global erlauben. Das heißt, es lassen sich alle Anrufbeantworter, auch die eines Kollegen abhören. Es fehlt zudem die Möglichkeit, dass die Nachricht eines einzelnen Anrufbeantworters an eine bestimmte E-Mail-Adresse geschickt wird.

Für Unternehmen bis zehn Mitarbeitern bietet eine SIP-fähige Fritzbox mit FritzOS 6.0 jedoch eine preisgünstige Alternative zur teuren Telefonanlage. Zu beachten ist lediglich, dass man Internet und SIP-Telefonie aus einer Hand kauft, damit der Vorrang von Telefoniepaketen auch vom Internetprovider garantiert ist, oder alternativ eine eigene Internetverbindung nur für Telefonie verwendet, um SIP-Telefonie von einem unabhängigen Anbieter wie Sipgate oder dus.net zu nutzen.

Media-Funktionen nicht nur für Heimanwender

Sehr viele neue Möglichkeiten gibt es auch im Bereich Multimedia. Diese sind natürlich primär für Heimanwender ausgelegt, jedoch werden AV-Übertragung auch im Geschäftsalltag langsam selbstverständlich. Schulungsvideos und Firmenpräsentationen sind keine Seltenheit mehr.

Wer einen Internetzugang mit IPTV besitzt, etwa T-Home-Entertain, kann die Fritzbox nutzen, um das Live-Programm auch auf Tablets und Smartphones zu streamen. Alle Inhalte, gleich ob vom NAS oder aus dem Web können auf UPnP-fähigen Endgeräten abgespielt werden. Unter NAS versteht AVM dabei an den USB-Port angeschlossene USB-Sticks oder externe Festplatten. Mit einem professionellen NAS-System, etwa von QNAP oder Synology, ist das Fritzbox-NAS nicht vergleichbar.

Es ist nunmehr auch möglich, Internet-Streams auf Geräten aktiv abzuspielen. Das ist insbesondere für Audio-Streams auf Geräten nützlich, die nur über ein kleines Display verfügen und ein eingeschränktes User-Interface besitzen, beispielsweise wenn man die Stream-URL umständlich über eine Fernbedienung eingeben muss. Über jeden UPnP-fähigen Fernseher kann man sich die gewünschten Inhalte hingegen leicht selbst auswählen.

Ebenfalls neu ist die Möglichkeit, Online-Speicher zu verwenden. Unterstützt werden dabei Google Play Music, das Telekom Mediencenter und der 1&1 Onlinespeicher. Hier wären für Business-Nutzer weitere Dienste wie Strato HiDrive und Amazon S3 durchaus wünschenswert. Für Google Play Music ist es zudem notwendig, ein Speichermedium an einen USB-Port anzuschließen.

Kleine Ärgerlichkeiten bleiben

Einige kleine Ärgerlichkeiten bei der Fritzbox hat AVM auch mit FritzOS 6.0 nicht ausmerzen können. Wer etwa seine AVM-Schaltsteckdosen so programmiert hat, dass sie bei Sonnenuntergang eine Lampe einschalten, um potenzielle Einbrecher abzuschrecken, wird festellen, dass sich der Sonnenuntergang im Laufe der Zeit verschiebt, während die Fritzbox die Uhrzeit diesem naturgegebenen Umstand nicht anpasst.

Der eingebaute DNS-Server der Fritzbox wurde verbessert. So ist es endlich möglich, auch über TCP eine DNS-Anfrage zu stellen, was häufig notwendig ist, wenn DNSSEC-Einträge in der Domain vorhanden sind. Hier hatte sich AVM bisher konsequent auf den Standpunkt gestellt, dass es ausreichend ist, das übliche 512-Byte-Limit für UDP-Übertragungen anzuheben. Das hat jedoch nicht wirklich Abhilfe gebracht.

Es bleibt jedoch das Problem, dass der sogenannte DNS-Rebind-Schutz auch auf öffentliche IPv6-Adressen wirkt. Mit IPv6 haben im Heimnetz befindliche Geräte normalerweise öffentliche IP-Adressen, unter denen sie sowohl von außen als auch von innen erreichbar sind. Diese weigert sich der DNS-Server jedoch beharrlich aufzulösen, so dass die Geräte zwar von außen erreicht werden können, sofern die Firewall das erlaubt, aber von innen nicht. Dazu muss man erst den Rebind-Schutz für alle Domains aufheben, die auf öffentliche IPv6-Adressen im Intranet zeigen. Der Rebind-Schutz dürfte ohnehin für die meisten Nutzer eher hinderlich als förderlich sein. Er sollte generell standardmäßig abgeschaltet sein.

Bei der Reverse-Auflösung von öffentlichen IPv6-Adressen im Intranet wird zudem immer ein PTR-Record mit der Endung .fritz.box zurückgeliefert. Auch das ist im Business-Umfeld wenig sinnvoll. Dieses Feature lässt sich nicht einmal abschalten.

Bei den genannten “Features” im DNS-Server der Fritzbox hat AVM etwas über das Ziel hinausgeschossen. Sie sind für die meisten Geschäftsanwender und viele Privatanwender ärgerlich und führen zu nur schwer zu entdeckenden Problemen.

Fazit

Mit FritzOS 6.0 hat AVM seine Fritzbox-Reihe noch attraktiver für Unternehmen gemacht. Neben den genannten großen Verbesserungen und Neuerungen sei auf die zahlreichen Kleinigkeiten verwiesen, die FritzOS 6.0 bringt.

Zwar ist die Funktionsvielfalt für Unternehmen lange nicht so weit wie bei dedizierten Business-Routern, etwa von Lancom, jedoch reichen für viele Firmen bis 100 Mitarbeiter die angebotenen Funktionen völlig aus. Lediglich bei Kleinigkeiten erkennt man, das AVM mit der Fritzbox aus dem Consumerbereich kommt und die das gewünschte Verhalten ist nur umständlich zu erreichen. Bei der Telefonie muss man die Einschränkung machen, dass mehr als zehn Nebenstellen trotz SIP-Trunking nur sehr schwer zu verwalten sind.

Letztendlich geben zwei Faktoren den Ausschlag. Zum einen ist der Preis zu nennen. Selbst das Spitzenmodell 7490 wird in Preissuchmaschinen für etwa 280 Euro brutto gelistet. Die technisch nahezu gleichwertige 7390 (es fehlen WLAN 802.11ac und USB 3.0) schlägt mit zirka 190 Euro zu Buche. Für einen von der Hardware her vergleichbaren Lancom-Router müssen hingegen 500 Euro veranschlagt werden.

Zum anderen ist für einen Lancom-Router ein deutlich höheres Wissen erforderlich. Ein Administrator, der über überdurchschnittliches technisches Wissen im Bereich IP-Routing verfügt, wird die bei weitem besseren Konfigurationsmöglichkeiten zu schätzen wissen. Unternehmen, die nur über einen Administrator mit normalen Kenntnissen oder keinen dedizierten IT-Manager beschäftigen, sind unabhängig vom Preis mit einer Fritzbox möglicherweise besser bedient.

Lesen Sie auch :

AVM bietet FritzOS 7.10 für Fritzbox-Modelle 7590, 7580 und den Fritz-Repeater 1750E

AVM FritzOS 6.80 jetzt auch für die Fritzbox 7490 verfügbar

Problem mit falschen Zertifikaten bei Fritz-Boxen in Kabelnetzen