Technische Frage zu DS-Lite und VPN

[AndreasNRW]

Ich hätte da mal eine Frage zu DS-Lite bei VF, bzw. wie das technisch realisiert wird.

Folgendes Problem:
Habe von einem DS-Lite Anschluss im Unitymedia Netz ein Fritzbox VPN (Lan-Lan) zu einem IPV4, bzw. DS Anschluss im Telekom Netz laufen. Bevor jetzt die Frage aufkommt "geht doch nicht", doch geht!
Seit Fritz OS 7.10 wurde der VPN MTU Bug seitens AVM behoben und es ist nun möglich, eine VPN Verbindung zwischen einem DS-Lite und einem IPV4 Anschluss aufzubauen.

An beiden Anschlüssen läuft eine 7590 mit OS 7.10 (bei UM an der Bridge, bei Telekom direkt am DSL)

Die VPN Verbindung tut auch.
Nur folgendes Problem: Exakt jede Stunde haut es mir den VPN Tunnel für 1 Sekunde weg, der Tunnel wird aber sofort wieder aufgebaut.
Nach Analyse des Problems musste ich leider feststellen, dass Unitymedia die DS-Lite Kunden auf dem AFTR exakt jede Stunde auf eine andere öffentliche IP aus dem Pool des AFTR switched.
Das haut mir natürlich jedes mal den Tunnel kurz weg.
Hier kann man es schön sehen, dass die öffentliche IP jede Stunde wechselt:

Code: Alles auswählen

05.05.19 01:59:49 VPN-Verbindung zu Test [95.222.29.18] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt 
05.05.19 02:58:50 VPN-Verbindung zu Test [95.222.29.22] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt. 
05.05.19 03:57:50 VPN-Verbindung zu Test [95.222.28.249] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt. 
05.05.19 04:56:50 VPN-Verbindung zu Test [95.222.29.6] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt. 
05.05.19 05:55:51 VPN-Verbindung zu Test [95.222.29.26] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
05.05.19 06:54:51 VPN-Verbindung zu Test [95.222.28.193] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt. 
05.05.19 07:53:52 VPN-Verbindung zu Test [95.222.28.229] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt. 
05.05.19 08:52:52 VPN-Verbindung zu Test [95.222.28.252] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt. 
05.05.19 09:51:52 VPN-Verbindung zu Test [95.222.29.54] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt. 
05.05.19 10:50:53 VPN-Verbindung zu Test [95.222.28.215] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt. 

Die 95.222.xxx.yyy Adressen sind die IP's aus dem Pool des AFTR


Wie wird das bei Vodafone realisiert?
Wechselt da auch stündlich die öffentliche IP, bzw. wird dem DS-Lite Kunden da auch 1× pro Stunde eine neue öffentliche IP auf dem AFTR zugeteilt?

So lässt sich jedenfalls kein 24/7 stabiles VPN zwischen den beiden Standorten realisieren.
Ein einmaliger IP Wechsel pro Tag irgendwann in der Nacht wäre für mich ja noch akzeptabel, aber jede Stunde ???
Technisch sehe ich da keine Notwendigkeit, die IP's stündlich auf dem AFTR neu zu würfeln.
Wie wird es denn bei VF gemacht, auch einmal stündlich, oder wechselt die da nicht?

[DarkStar]

Bei mir hat sich die IP die ganzen 2-3 Monate gar nicht geändert.

[AndreasNRW]

Bei mir hat sich die IP die ganzen 2-3 Monate gar nicht geändert.

Also ist das mit der stündlich wechselnden IP nur bei Unitymedia so.
Dann sollte es ja irgendwann nach der Übernahme im UM Netz auch sauber funktionieren. Ich hoffe doch, dass die Strukturen dann auf den VF Standard angepasst werden.

Jetzt geht mir auch langsam ein Licht auf, warum bei UM doch relativ viele Kunden unerklärliche Probleme mit dem DS-Lite haben, aber hier im VF Netz kaum was von solchen Problemen zu lesen ist.

Z.B. fliegt man aus dem Online Banking raus, wenn mitten in der Session die IP wechselt, oder Probleme beim Online Zocken, während die IP wechselt usw.
Einige Anwendungen reagieren da wohl sehr empfindlich drauf.
Ich hatte das selbst auch nicht auf dem Schirm und erst jetzt festgestellt, nachdem ich den VPN Tunnel eingerichtet habe.
Vorher war mir garnicht bewusst, dass die öffentliche IP stündlich wechselt, hatte mich halt nur gewundert, dass es sporadisch diese oben erwähnten Probleme gibt.

[reneromann]

Die eine Stunde hat nichts mit DS-Lite zu tun, sondern mit deinen Schlüsselaustauscheinstellungen.
Dein Tunnel verwendet für IPSec eine Schlüsselverwendungszeit von 3600 s (LT-3600 am Ende) - ergo wird der alte Schlüssel nach 3600 s, was so ziemlich genau einer Stunde entspricht, ungültig und die beiden Boxen müssen einen neuen Schlüssel aushandeln. Das kann dann 1..2 s dauern, bis der Tunnel erneut aufgebaut wird.

[AndreasNRW]

Die eine Stunde hat nichts mit DS-Lite zu tun, sondern mit deinen Schlüsselaustauscheinstellungen.
Dein Tunnel verwendet für IPSec eine Schlüsselverwendungszeit von 3600 s (LT-3600 am Ende) - ergo wird der alte Schlüssel nach 3600 s, was so ziemlich genau einer Stunde entspricht, ungültig und die beiden Boxen müssen einen neuen Schlüssel aushandeln. Das kann dann 1..2 s dauern, bis der Tunnel erneut aufgebaut wird.

Bist Du Dir da sicher???
Denn bei einer anderen VPN Verbindung zwischen 2 IPV4 Boxen (identisch konfiguriert) passiert das nicht, da läuft der Tunnel ohne Unterbrechung durch.

Auch, wenn ich bei "Wie ist meine IP" schaue, wird mir da jede Stunde eine andere Adresse angezeigt, und zwar genau die, die auch im VPN Protokoll angezeigt wird.

[DarkStar]

Das mit dem Season Renew ist zwar richtig, aber...

1. Wird die Verbindung nicht getrennt-
2. Bekommt der Client dabei schon mal gar keine neue IP.

[AndreasNRW]

Das mit dem Season Renew ist zwar richtig, aber...

1. Wird die Verbindung nicht getrennt-
2. Bekommt der Client dabei schon mal gar keine neue IP.

Genau, gerade weil der Client eine neue IP bekommt, wird die Verbindung ja getrennt.

[AndreasNRW]

Problem gelöst

Der VPN-Tunnel läuft jetzt unterbrechungsfrei und die vom AFTR zugewiesene IP ändert sich jetzt auch nicht mehr.

Das Problem an DS-Lite Anschlüssen ist folgendes, fließt IPV4 mäßig kein Traffic Richtung AFTR, wird dem Anschluss nach einer Stunde oder so die öffentliche IP vom AFTR entzogen.
Erst bei Anforderung neuen IPV4 Traffic´s vergibt das AFTR dem Anschluss eine neue (dann andere) IPV4 Adresse.
Da das komplette Netzwerk aber noch über die 6360 läuft und an der 7590, die am Bridge Port der 6360 hängt, nur 1 Rechner angeschlossen ist, der nur läuft, wenn ich vor Ort bin, wurde kein IPV4 Traffic erzeugt.
Es floss nur etwas IPV6 Traffic durch 2 registrierte Telefonnummern per V6 auf der Box.
Die IP4 vom AFTR wird dem Anschluß dann nach einer Stunde entzogen, der Tunnel bricht zusammen und durch den sofortigen Neuaufbau wird wieder eine IPV4 vom AFTR vergeben, da ja durch den erneuten Verbindungsaufbau des Tunnels IPV4 Traffic angefordert wird. Der Tunnel wird dann wieder aufgebaut.
Man muss also dafür sorgen, dass konstant IPV4 Traffic vom Anschluß Richtung AFTR fließt, damit es keine Probleme / Unterbrechungen mit der VPN Verbindung gibt.

Gelöst hab ich das jetzt so: Auf der 7590 am IPV4 Anschluß ein IP Telefon angelegt und auf der 7590 am DS-Lite Anschluß als SIP-Telefon eingerichtet.
Als Registrar dann die 192.168.2.1 der IPV4 Box eingetragen, damit die Telefonie durch den Tunnel läuft. So fließen ständig minimal Daten durch den Tunnel, bzw. dann auch als IPV4 Traffic Richtung AFTR, wodurch die Verbindung dann am Leben erhalten wird.

[AndreasNRW]

Abschließend kann man jetzt sagen, Fritzbox VPN zwischen 2 Boxen (eine DS-Lite und eine IPV4) läuft ab OS 7.10 stabil.
AVM hat den MTU Bug tatsächlich behoben.

[Skykeeper]

Man kann es auch einfach machen und alle 10 Minuten eine automatisierte Ping Anfrage versenden. Dann ensteht etwas Traffic und die IP bleibt bestehen.