Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

In diesem Forum dreht sich alles um die bei Vodafone Kabel Deutschland bzw. Vodafone West oder im Rahmen der O2-Tarife über Kabel verwendeten AVM-Produkte, insbesondere der WLAN-Router mit integriertem Kabelmodem, der als FRITZ!Box vertrieben wird. Speedprobleme bitten wir im entsprechenden Forum zu behandeln, wenn ihr Ursprung nicht auf AVM-Produkte zurückzuführen ist!
Forumsregeln
Forenregeln


Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“) oder von O2 über Kabel („[O2]“) bist.
Außerdem gib bitte an, ob es sich bei deiner FRITZ!Box um eine Leihbox von Vodafone („[Leihbox]“) oder eine Kaufbox („[Kaufbox]“) handelt.
MagicMight
Newbie
Beiträge: 96
Registriert: 07.01.2011, 17:45

Re: Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

Beitrag von MagicMight »

Hi,

das "always_renew = yes" bewirkt nur dass die VPN Verbindung immer aufgebaut wird, auch wenn kein Traffic in die Richtung des Zielnetzes stattfindet. Wie soll Ihm das helfen?

Zu den Fehlermeldung noch kurz:
IKE-Error 0x2027 = "timeout"
IKE-Error 0x203d = "phase 1 sa removed during negotiation"

Jetzt kannst Du natürlich noch versuchen mit den phase1 Parametern zu experimentieren, wobei er die gültigen Werte sind:

Code: Alles auswählen

IKE Strategies for phase1ss:
"def/3des/sha";
  "Access to the WatchGuard Firebox";

"alt/aes/sha";
  "Optimized for access to the AVM Access Server";

"def/all/all";
  "All algorithms, DH group default";

"alt/all/all";
  "All algorithms, DH group alternate";

"def/all-no-aes/all";
  "All algorithms, DH group default";

"alt/all-no-aes/all";
  "All algorithms without AES, DH group alternate";

"alt/aes-3des/sha";
  "AES 256 Bit or 3DES, DH group alternate";

"all/all/all";
  "All algorithms, DH group alternate (outgoing)";
Du kannst auch noch versuchen den Modus umzustellen, so dass nicht phase1 und 2 in einem Schritt stattfinden, indem Du
mode = phase1_mode_idp;
setzt.
Damit wird das Ganze zwar kompatibel zu einem Windows IPSEC VPN, allerdings hatte ich da mit meiner Fritzbox alle paar Tage mal Reboots.
Bei mir ging das übrigens auch immer mit "use_nat_t = no;" solange man eine Verbindung zwischen 2 Fritzboxen macht und sich nicht als User einwählt.

Schönes WE,
MagicMight
Tarif: Internet & Telefon Business 100
amax
Kabelfreak
Beiträge: 1855
Registriert: 19.01.2008, 01:42
Wohnort: Region 2 / Heidekreis

Re: Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

Beitrag von amax »

1.Weil dies eine Einstellung für zwei Fritzen ist , die bei net to net ( dauerhaft) benutzt werden sollte. War ein Tip.

Zur Wan IP: Meine Box bekommt immer eine neue Wan IP sobald ich VPN aktiviere. Ob der Endpunkt nun aktiv ist oder nicht..... :wink:


2. Die Phasen1 habe ich auch so gesetzt.
"mode = phase1_mode_idp;
phase1ss = "alt/aes-3des/sha";

Die Phase2 sieht dann bei mir so aus.
phase2ss = "esp-des|3des-all/ah-all/comp-no/pfs";

3. nat_t ist deaktiviert bei net to net.
Nun RED 250 / 50 .. http://www.dslreports.com/speedtest/69118186 ... :kaffee
frgum
Newbie
Beiträge: 5
Registriert: 19.04.2012, 13:04

Re: Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

Beitrag von frgum »

Danke an alle für die Info's.

Leider hat keine der Lösungsvorschläge funkioniert.

Werde daher auf die neue Firmware (85.07.20) warten müssen und
hoffe, daß diese bald ausgeliefert wird.


Gruß

frgum
Abraxxas
Insider
Beiträge: 2353
Registriert: 24.08.2010, 21:10
Wohnort: 67117

Re: Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

Beitrag von Abraxxas »

Du bist nicht allein. Ich habe zwar keine FB aber den Gockel bemüht, da mich das Thema interessiert. (Gesucht nach "3 IKE server") Schau mal hier: http://www.ip-phone-forum.de/showthread.php?t=218674
Besonders auch den letzten Post auf Seite 2
petertxt
Fortgeschrittener
Beiträge: 400
Registriert: 25.01.2009, 01:30

Re: Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

Beitrag von petertxt »

frgum hat geschrieben:Kann es ein Problem sein, daß sich beide Fritzboxen im gleichen Ort (IP-Adresse identisch bis auf die letzte Stelle) befinden und es daher zu Problemen bei Kabel Deutschland kommt?
Sind wirklich alle 4 Stellen der öffentlichen IPs der beiden Fritzboxen gleich? Das wäre u.U. bei DS-Lite so und würde vermutlich VPN verhindern. Sieht man vielleicht im Web Interface, dass die Fritzbox eine IPV6 Adresse bekommen hat?

Sollten die beiden Fritzboxen eine IPV6 haben, versuche doch VPN über IPV6 aufzubauen.
Kunterbunter
Insider
Beiträge: 5729
Registriert: 12.05.2009, 18:14
Wohnort: Region 9

Re: Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

Beitrag von Kunterbunter »

frgum hat geschrieben:IP-Adresse identisch bis auf die letzte Stelle
Sind die IP-Adressen nun identisch bis auf die letzte Stelle, oder sind sie identisch, bis auf die letzte Stelle? :confused:
jetzt bei: M-net ISDN Maxi komplett Aktuelle Datenrate 21997/1277 kBit/s
VoIP-Provider: dus.net Router: [KD Homebox] AVM Fritz!Box Fon WLAN 7270 54.06.05
Telefone: Siemens OpenStage 40 SIP, Siemens optipoint 400/600 SIP, FON1 Siemens Gigaset A2
frgum
Newbie
Beiträge: 5
Registriert: 19.04.2012, 13:04

Re: Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

Beitrag von frgum »

frgum hat geschrieben:IP-Adresse identisch bis auf die letzte Stelle

Sind die IP-Adressen nun identisch bis auf die letzte Stelle, oder sind sie identisch, bis auf die letzte Stelle? :confused:
Die ersten 3 Stellen der IP-Adresse sind identisch. Unterschiedlich ist nur die 4. Stelle der IP.
Siegel

Re: Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

Beitrag von Siegel »

schlechte Firmware ... warte ein paar Monate bis eventuell ein FW Update kommt *bricht in schallendes Gelächter aus*

Eine funktionierende Config die mit FritzBox 7930 (FW x.20) absolut sauber funktioniert:


/*
* /MacBook/vpnbox6.cfg
* Mo Mar 19 17:00:00 2012
*/

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "vpnremote.domain.tld";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "vpnremote.domain.tld";
localid {
fqdn = "vpnlocal.domain.tld";
}
remoteid {
fqdn = "vpnremote.domain.tld";
}
mode = phase1_mode_idp;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "geheim";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.xxx.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.0.0.xxx;
mask = 255.0.0.0;
}
}
phase2ss = "esp-all-all/ah-all/comp-all/pfs";
accesslist = "permit ip any 10.0.0.xxx 255.0.0.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Was use_nat_t = yes; angeht:

Wenn NAT aktiviert ist: werden alle IPSec Pakete in UDP 4500 eingewickelt und versendet.
Somit kann z.b auch die FritzBox hinter einem Router IPSec Verbindungen aufbauen/zur Verfügung stellen.

Wenn NAT Support deaktiviert ist, werden alle Pakete per UDP 500 und ESP Prokoll ausgetauscht.

Mein Zentraler IPSec Knoten ist eine Linux Firewall mit IPSec VPN (IPCop). Exposed Host hinter FritzBox 6360.

Bis vor paar Tagen lief auch die VPN Verbindung direkt von einem FritzBox 6360 (FW 85.05.07) Anschluss zum IPSec Knoten durch.

Fazit:
Jetzt spackt die ganze Scheiße wieder herum und ich habe wirklich keine Lust mehr, mich weiter mit dieser mangelhaften Firmware auseinander zu setzen, wenn gleich der ganze Käse von den 7 anderen FritzBox 7930 Anschlüssen stabil über Monate hinweg läuft (5x KD/3x Telekom Business).

Mischform von: mit use_nat_t und ohne ist problemlos möglich

Wer von der 6360 FritzBox zu einer Fritte mit dynamischer IP verbinden sollte:

statt:

Code: Alles auswählen

mode = phase1_mode_idp;
dann:

Code: Alles auswählen

mode = phase1_mode_aggressive;
verwenden.

Entsprechend sollte ein "langes" Passwort verwendet werden, da die HASH-Werte im Klartext übertragen werden.

Etliche IPSec Implementierungen weisen auch direkt darauf hin (IPCop & Co)

Und nicht vergessen ... sucht ein DynDNS Provider mit kurzer / bzw. einstellbarer DNS Time to Live/Expire Zeit!
Benutzeravatar
Thyrael
Ehrenmitglied
Beiträge: 9750
Registriert: 03.02.2009, 12:46

Re: Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

Beitrag von Thyrael »

Leute benutzt bitte den "Ändern" Button wenn ihr euren Posts noch etwas hinzufügen wollt.
Siegel

Re: Problem mit der VPN-Verbindung mit zwei 6360 Fritzboxen

Beitrag von Siegel »

Eh ... Thyrael schnippelst du an meinen Postings/Ausagen herum???

... Gehts noch???

Das erstellen eines Eintrages beinhaltet ein abgeschlossenen Gedankengang. Wenn ich also etwas erneut Anhänge, ist dies auch eine neue Formulierung.

Forenmoderation bedeutet NICHT nach willkühr und belieben Einträge von anderen Leuten zu ändern.
Schließlich kannst du auch nicht im Gespräch mit einer anderen Person, "Stop" schreien und vorschreiben ... "deine Pause in zweit Aussagen war überflüssig, wiederhole es in einem Satz" soufflieren.

Was soll das ?