[Gelöst] VPN LAN-LAN zwischen 7490 und 7270 kommt nicht zustande

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

Master1

Aktives Mitglied
Mitglied seit
17 Mrz 2007
Beiträge
1,270
Punkte für Reaktionen
12
Punkte
38
Hi Leutz,
ich habe folgendes Problem und zwar möchte ich zwischen o.g. Boxen eine VPN Verbindung herstellen. Anbieter sind 1&1 und Telekom beide mit einer Bandbreite von 16/1 und 16/2 im Down und Up.
Tech. Daten
7490
aktuelle Lab FW
selfhost.eu Dyn DNS Anbieter

7270
aktuelle final FW
myfritz.net Dyn DNS Anbieter

Ich bin bei beiden Boxen nach der offiziellen Anleitung vorgegangen.
Schreibfehler und Leerzeichen habe ich schon kontrolliert, einen Fehlereintrag gibt es auf beiden Boxen nicht. Über myFritz.net kann ich problemlos auf die Box zugreifen. Eine Testverbindung zur 7270 per Android VPN oder Ubuntu VPN schlug ebenfalls ohne Fehlermeldung fehl auf die 7490 kommt es zu keinen Problemen.

Bin mit meinem laien Latein am ende und hoffe ihr könnt mir Helfen.
 
Zuletzt bearbeitet:
Master1 schrieb:
einen Fehlereintrag gibt es auf beiden Boxen nicht
Zum Vergrößern anklicken....

Funktioniert der Zugriff auf die FB7490 via https://xxx.selfhost.eu ?

könntest Du noch folgende Inputs bereitstellen:
1.) Netzwerk-Überblick
Wichtig: Public-IPv4 an FritzBox: Ja/Nein, DS-Lite oder vorgelagerter Router
2.) vpn.cfg beider Boxen
ggf. key, remotename, lokal fqhn, remote-fqhn anonymisieren
3.) Eventlog beider Boxen
4.) ike.log nach Reboot beider Boxen
folgende Abschnitte aus supportdata File http://fritz.box/?lp=support bzw. http://fritz.box/support.lua erforderlich:

Code: 
##### BEGIN SECTION vpn VPN
VPN avmike
...
VPN assocs
...
VPN connections
...
##### END SECTION vpn


##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
...
##### END SECTION vpn_cfg
das ike.log Protokoll sollte Zeile mit "avmike:< add(appl=dsld,cname=" enthalten.
 
Zuletzt bearbeitet:
Die Boxen sind direkt mit dem I-net Verbunden.
DS-light ist mir beim Telekom Anschluss nicht bekannt. Eine Vpn Verbindung zur 7490/selfhost dyn DNS ist möglich.
Supportdaten bekomme ich erstellt nur die anderen von dir geforderten kann ich nicht liefern könntest du mir einen kurzen Befehl dazu geben? Werde ich heute Abend nachliefern.
 
zu 1.)
Frage: Hast Du bei 1&1 eine public IPv4 ? oder evtl DS-Lite ?

zu 2.)
vpn.cfg ist in Sicherungsdatei (export-Datei) oder supportdaten.txt enthalten

zu 3.)
Ereignisanzeige bei FB7490 http://fritz.box/?lp=log
bei FB7270: http://fritz.box/system/syslog.lua
Druckansicht "Internetverbindung"

zu 4.)
ist gemäß #3 klar
 
1. bei 1&1 muss eine public IPv4 vergeben sein da es ja dort funktioniert.

Code: 
   FB 7490

##### BEGIN SECTION vpn VPN

VPN avmike
-------
ls: /var/tmp/ike.old: No such file or directory
-rw-r--r--    1 root     root          1067 Jan  1  1970 /var/tmp/ike.log
1970-01-01 01:01:44 avmike:< add(appl=dsld,cname=xxx,localip=92.78.181.xxx, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:44 avmike:new neighbour xxx:  dynamic  user  every-id  nat_t
1970-01-01 01:01:44 avmike:< add(appl=dsld,cname=xxx,localip=92.78.181.144, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:44 avmike:new neighbour xxx:  dynamic  user  every-id  nat_t
1970-01-01 01:01:44 avmike:< add(appl=dsld,cname=gxxxewa7yffmbziw.myfritz.net,localip=92.78.181.144, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:44 avmike:new neighbour gxxxewa7yffmbziw.myfritz.net:  nat_t

VPN assocs
----------
/proc/kdsld/dsliface/internet/ipsec/assocs:
xxx: 92.78.181.xxx:0.0.0.0 0.0.0.0:192.168.8.201 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any host 192.168.8.201
    Forbidden Clients: 192.168.179.0/24
xxx: 92.78.181.xxx:0.0.0.0 0.0.0.0:192.168.8.202 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any host 192.168.8.202
    Forbidden Clients: 192.168.179.0/24
gjbnewa7yffmbziw.myfritz.net: 92.78.181.xxx:0.0.0.0 255.255.255.255:0.0.0.0 0 SAs  valid enabled dynlocalip
    permit ip any 192.168.18.1 255.255.255.0
    Forbidden Clients: 192.168.179.0/24

VPN connections
----------
/proc/kdsld/dsliface/internet/ipsec/connections:
xxx: pmtu 0 mtu 1492 dont_filter_netbios
xxx: pmtu 0 mtu 1492 dont_filter_netbios
gjbnewa7yffmbziw.myfritz.net: pmtu 0 mtu 1492 dont_filter_netbios

##### END SECTION vpn

 [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_115.html"]24.10.16[/URL] [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_115.html"]22:03:43[/URL]
      [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_115.html"]Dynamic     DNS-Fehler: Die Dynamic DNS-Aktualisierung war erfolgreich,     anschließend trat jedoch ein Fehler bei der DNS-Auflösung auf.[/URL]
     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_24.html"]24.10.16[/URL]     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_24.html"]22:02:42[/URL]
     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_24.html"]Internetverbindung     wurde erfolgreich hergestellt. IP-Adresse: 92.78.181.[/URL]xxx[URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_24.html"],     DNS-Server: 195.50.140.xxx und 176.95.16.xxx, Gateway: 92.78.176.1,     Breitband-PoP: blncbr023[/URL]
     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_11.html"]24.10.16[/URL]     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_11.html"]22:02:35[/URL]
     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_11.html"]DSL     ist verfügbar (DSL-Synchronisierung besteht mit 12577/1149 kbit/s).[/URL]
     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_12.html"]24.10.16[/URL]     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_12.html"]22:02:20[/URL]
     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_12.html"]DSL-Synchronisierung     beginnt (Training).[/URL]
     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_12.html"]24.10.16[/URL]     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_12.html"]22:01:53[/URL]
     [URL="http://192.168.8.1/help/help.lua?sid=2e29ae6cc15752ca&helppage=hilfe_syslog_12.html"]DSL-Synchronisierung     beginnt (Training).[/URL]
 
 ##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
/*
 * /var/flash/vpn.cfg
 * Sun Oct 23 21:24:10 2016
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "xxx";
                boxuser_id = 11;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.8.201;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "SECRET";
                        passwd = "SECRET";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.8.201;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.8.201 255.255.255.255";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "xxx";
                boxuser_id = 12;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.8.202;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "SECRET";
                        passwd = "SECRET";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.8.202;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.8.202 255.255.255.255";
                app_id = 0;
        } {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "gjbnewa7yffmbziw.myfritz.net";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "gjbnewa7yffmbziw.myfritz.net";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.8.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.18.1;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.18.1 255.255.255.0";
                app_id = 0;
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
##### END SECTION vpn_cfg

FB 7270

VPN avmike
-------
ls: /var/tmp/ike.old: No such file or directory
-rw-r--r--    1 root     root          2994 Oct 24 16:56 /var/tmp/ike.log
1970-01-01 01:01:51 avmike:< add(appl=dsld,cname=xxx.selfhost.eu,localip=217.232.200.xxx, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:51 avmike:new neighbour xxx.selfhost.eu:  nat_t
1970-01-01 01:01:51 avmike:< add(appl=dsld,cname=xxx,localip=217.232.200.xxx, remoteip=0.0.0.0, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x801f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:51 avmike:new neighbour xxx:  dynamic  user  nat_t
2016-10-24 16:55:45 avmike:mainmode xxx: selected lifetime: 3600 sec(notify)
2016-10-24 16:55:45 avmike:xxx remote peer supported NAT-T RFC 3947
2016-10-24 16:55:45 avmike:xxx remote peer supported XAUTH
2016-10-24 16:55:45 avmike:xxx remote peer supported DPD
2016-10-24 16:55:45 avmike:mainmode xxx: add SA 1
2016-10-24 16:55:45 avmike:Phase1 Responder-Lifetime-Payload wird erstellt
2016-10-24 16:55:45 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:55:45 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:55:47 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:55:47 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:55:47 avmike:mainmode xxx: selected lifetime: 3600 sec(notify)
2016-10-24 16:55:47 avmike:xxx remote peer supported NAT-T RFC 3947
2016-10-24 16:55:47 avmike:xxx remote peer supported XAUTH
2016-10-24 16:55:47 avmike:xxx remote peer supported DPD
2016-10-24 16:55:47 avmike:mainmode xxx: add SA 2
2016-10-24 16:55:47 avmike:Phase1 Responder-Lifetime-Payload wird erstellt
2016-10-24 16:55:48 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:55:48 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:55:49 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:55:49 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:55:53 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:55:53 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:56:01 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:56:01 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:56:17 avmike:xxx: Phase 1 failed (responder): IKE-Error 0x2027
2016-10-24 16:56:17 avmike:mainmode xxx: del SA 2
2016-10-24 16:56:17 avmike:mainmode xxx: del SA 1


[TABLE="width: 643"]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             22:06:53
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_120.html"]VPN-Verbindung             zu xxx wurde erfolgreich hergestellt.[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             19:15:41
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_121.html"]VPN-Verbindung             zu xxx wurde getrennt. Ursache: 1 Lifetime expired[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             18:15:42
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_120.html"]VPN-Verbindung             zu xxx wurde erfolgreich hergestellt.[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             17:54:24
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_121.html"]VPN-Verbindung             zu xxx wurde getrennt. Ursache: 9 Dead Peer Detection[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             17:29:02
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_120.html"]VPN-Verbindung             zu xxx wurde erfolgreich hergestellt.[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             17:11:56
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_24.html"]Internetverbindung             wurde erfolgreich hergestellt. IP-Adresse: 217.232.212.xxx,             DNS-Server: 217.0.43.xx und 217.0.43.xx, Gateway: 217.0.117.xxx,             Breitband-PoP: LEIR26-se800-B226E1910E02QE[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             17:11:44
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_23.html"]Internetverbindung             wurde getrennt.[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             17:09:36
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_24.html"]Internetverbindung             wurde erfolgreich hergestellt. IP-Adresse: 79.210.91.xxx,             DNS-Server: 217.0.43.xx und 217.0.43.xx, Gateway: 217.0.117.xxx,             Breitband-PoP: LEIR26-se800-B226E1910E02QE[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             17:09:23
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_23.html"]Internetverbindung             wurde getrennt.[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             17:09:16
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_121.html"]VPN-Verbindung             zu xxx wurde getrennt. Ursache: 12 SA loss[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             17:07:26
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_120.html"]VPN-Verbindung             zu xxx wurde erfolgreich hergestellt.[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             17:06:44
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_121.html"]VPN-Verbindung             zu xxx wurde getrennt. Ursache: 12 SA loss[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             17:05:38
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_120.html"]VPN-Verbindung             zu xxx wurde erfolgreich hergestellt.[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             16:59:34
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_24.html"]Internetverbindung             wurde erfolgreich hergestellt. IP-Adresse: 79.210.72.xxx             DNS-Server: 217.0.43.xx und 217.0.43.xx, Gateway: 217.0.117.xxx,             Breitband-PoP: LEIR26-se800-B226E1910E02QE[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             16:59:23
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_23.html"]Internetverbindung             wurde getrennt.[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             16:50:02
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_117.html"]Filter-Liste             der von der BPjM indizierten Internetseiten erfolgreich             aktualisiert.[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             16:47:19
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_24.html"]Internetverbindung             wurde erfolgreich hergestellt. IP-Adresse: 217.232.200.xxx,             DNS-Server: 217.0.43.xx und 217.0.43.xx, Gateway: 217.0.117.xxx             Breitband-PoP: LEIR26-se800-B226E1910E02QE[/URL]
         [/TD]
[/TR]
[TR]
[TD="width: 60"]             24.10.16
         [/TD]
[TD="width: 60"]             16:47:16
         [/TD]
[TD="width: 511"]             [URL="https://gjbnewa7yffmbziw.myfritz.net/help/help.lua?sid=d501e79a7235ae7a&helppage=hilfe_syslog_11.html"]DSL             ist verfügbar (DSL-Synchronisierung besteht mit 16252/2625             kbit/s).[/URL]
         [/TD]
[/TR]
[/TABLE]
 ##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg konnte ich nicht in der 7270 finden.


Ich hoffe damit könnt ihr etwas anfangen die Files sind ein paar Stunden auseinander, die Reconects bei der 7270 rühren aus Änderungen in der Frizt Box 7270. Bezüglich des VPN zugriffs per Android,
kann ich erfolge vermelden hatte den Haken bei "VPN-Verbindungen zur FRITZ!Box können hergestellt werden" zu setzen.
Kann es auch an MyFritz.net als DynDNS Anbieter liegen?
 
Zuletzt bearbeitet:
Pokemon20021 schrieb:
4.) ike.log nach Reboot beider Boxen
Zum Vergrößern anklicken....
Ich habe mal die entscheidenden Worte markiert ... ein Protokoll, das am 21.10.2016 um 03:49 Uhr beginnt und bis heute reicht, ist zwar auch nach einem Reboot ausgelesen (zumindest nach dem zuletzt erfolgten) - aber hier ist wohl doch eher eine gewisse zeitliche Nähe zwischen Reboot und Auslesen der Datei gemeint.

Man kann zwar grobe Fehler bereits in der Protokoll-Datei einer Seite sehen, für einen Vergleich braucht man aber beide ... und die natürlich auch "zeitgleich", damit man die Aktionen der einen Seite im Protokoll der anderen auch finden kann. Hier sieht man zwar schon ein mögliches Problem ("new_neighbour_template failed"), es ist aber gegenüber dem Hilfewilligen auch höflicher, wenn der sich nur die relevanten Teile der Protokolle ansehen muß und nicht erst hingehen und sich die wichtigen Stellen aus einem größeren Protokoll selbst zusammensuchen soll. Die Chancen, daß sich dann jemand für das Problem interessiert, sind einfach größer ...

- - - Aktualisiert - - -

BTW ... abgesehen davon, daß die Konfigurationsdateien komplett fehlen, kann man auch in der Ausgabe von "cat /proc/kdsld/dsliface/internet/ipsec/assoc" sehen, daß da wohl etwas mit der "accesslist" bei der Verbindung zu dem MyFRITZ!-Host nicht stimmen kann. Ich weiß ja nicht, wie die konfiguriert wurde, aber ein Eintrag "permit ip any 192.168.18.1 255.255.255.0" sieht zumindest mal komisch aus, selbst wenn da nur der Zugriff auf die entfernte Adresse 192.168.18.1 gewünscht sein sollte - dann wäre eine /32-Maske logischer.
 
Master1 schrieb:
Eine Testverbindung zur 7270 per Android VPN oder Ubuntu VPN schlug ebenfalls ohne Fehlermeldung fehl
Zum Vergrößern anklicken....

Wichtig wären die Inputs auch von der FB7270,
sowie zu 2.) die vpn.cfg der LAN-to-LAN-VPN-Verbindung

Master1 schrieb:
reiche später mehr nach
Zum Vergrößern anklicken....

da kann man dann auch eine mögliche Fehlerquelle
accesslist = "permit ip any 192.168.18.0 255.255.255.0"; # Bitte prüfen
wie PeterPawn schreibt, identifizieren.

PeterPawn schrieb:
es ist aber gegenüber dem Hilfewilligen auch höflicher, wenn der sich nur die relevanten Teile der Protokolle ansehen muß und nicht erst hingehen und sich die wichtigen Stellen aus einem größeren Protokoll selbst zusammensuchen soll. Die Chancen, daß sich dann jemand für das Problem interessiert, sind einfach größer ...
Zum Vergrößern anklicken....

Idealerweise werden dann auch die 3 mit xxx markierten VPN-User-Verbindungen temporär für Test disabled, um etwaige Fehlerquellen auszuschließen und nicht unnötig Logfile-Einträge zu durchforsten zu müssen.
 
Zuletzt bearbeitet:
Sind die nachgereichten Daten die Richtigen?
 
Master1 schrieb:
Code: 
##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg [COLOR=#ff0000]konnte ich nicht in der 7270 finden.[/COLOR]
Zum Vergrößern anklicken....

die vpn.cfg ist dort im Abschnitt "Configuration" enthalten, enfach nach vpn.cfg suchen

Master1 schrieb:
Sind die nachgereichten Daten die Richtigen?
Zum Vergrößern anklicken....

wie gesagt fehlt von FB7270 fehlt noch die vpn.cfg;
alternativ kann man diese auch der Sicherung http://fritz.box/system/export.lua entnehmen
Bitte posten

bei FB7490 konnten schon 2 Fehler in LAN-to-LAN-Config identifiziert werden
Code: 
/*
 * /var/flash/vpn.cfg
 * Sun Oct 23 21:24:10 2016
 */
SNIP
        } {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "gxxxewa7yffmbziw.myfritz.net";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "gxxxewa7yffmbziw.myfritz.net";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.8.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = [COLOR=#ff0000]192.168.18.1[/COLOR];
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any [COLOR=#ff0000]192.168.18.1[/COLOR] 255.255.255.0";
                app_id = 0;
        }

die rot markierten Stellen sollten durch "192.168.18.0" ersetzt werden.

Code: 
FB7270:
ike.log
2016-10-24 16:55:45 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:55:47 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:55:47 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:55:47 avmike:mainmode xxx: selected lifetime: 3600 sec(notify)
2016-10-24 16:55:47 avmike:xxx remote peer supported NAT-T RFC 3947
2016-10-24 16:55:47 avmike:xxx remote peer supported XAUTH
2016-10-24 16:55:47 avmike:xxx remote peer supported DPD
2016-10-24 16:55:47 avmike:mainmode xxx: add SA 2
2016-10-24 16:55:47 avmike:Phase1 Responder-Lifetime-Payload wird erstellt
2016-10-24 16:55:48 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:55:48 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:55:49 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:55:49 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:55:53 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:55:53 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:56:01 avmike:xxx: Warning: source changed from 0.0.0.0:500 to 217.232.200.xxx:61001
2016-10-24 16:56:01 avmike:xxx: payloads.cpp:39: IKE-Error 0x1b
2016-10-24 16:56:17 avmike:xxx: Phase 1 failed (responder): IKE-Error 0x2027

Fehlerbild:
PeterPawn schrieb:
Die VPN-Fehlermeldungen besagen jedenfalls, daß es sich einerseits um falsch aufgebaute Pakete handelt (0x1B), das kann durchaus auch darauf hindeuten, daß beide Seiten unterschiedliche Verschlüsselung verwenden und sich damit gegenseitig nicht "verstehen" und daß im Anschluß eine Antwort vom Smartphone nicht ankommt (0x2027 - timeout), was sicherlich ein Folgefehler ist, weil das Handy vermutlich gar keine Antwort der FRITZ!Box registriert.
Zum Vergrößern anklicken....


Bitte auch mal PSK-String auf beiden Seiten verifizieren ?
PeterPawn schrieb:
Auf der einen Seite erkennt die FRITZ!Box ja offenbar noch, welcher Benutzeraccount für das VPN verwendet werden soll, auf der anderen Seite wird schon für P1 ein "payload malformed" moniert ... das kann eigentlich nur an irgendwelchen (der FRITZ!Box unbekannten) Zusatzoptionen in den IKE-Messages liegen oder an Problemen, die Daten nach dem ersten Kontakt sauber zu ver- und entschlüsseln. Da sind nicht zufällig im PSK îrgendwelche nicht klar erkennbaren Zeichen enthalten, wie z.B. ein kleines L vs. ein großes I oder auch ein Q anstelle eines O oder einer 0, wo man den Unterschied (ggf. sogar nur auf einem kleinen Smartphone-Monitor) nicht richtig erkennen kann? Unterschiedliche Auffassungen zur Verwendung von ESP und AH (die dann in unterschiedlich aufgebauten Paketen enden) sollten sich eigentlich erst in P2 manifestieren.
...
Gibt es event. irgendwelche Sonderzeichen im Kennwort des FRITZ!Box-Benutzers, die von der FRITZ!Box und dem Android-Gerät unterschiedlich kodiert werden könnten?
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Juppiiiii endlich geschafft, ein so banaler Fehler. Die zu erreichende IP einfach mit der 0 enden lassen anstelle der 1. Bin leider erst heute dazu gekommen mich weiter mit dem Thema zu beschäftigen.
Riesen Danke für eure Hilfe!!!
 
Ich hatte damals das gleiche Problem. Statt Gateway .1 eben das Netz .0
 
Ich stehe nach Jahren nun auch vor einem für mich im Moment unlösbaren Problem
Ich versuche es mal in "Kurzform"
Seit eh und jeh habe ich im Garten und zu Hause (Arcor-Anschluss) jeweils eine Fritzbox 7270
Damals musste man für VPN noch über ein Zusatztool die VPN-Datein erzeugen und in die Fritten einspielen...
Dieser VPN-Tunnel funktioniert bis heute noch top.

Nun habe ich zu hause seit kurzem einen zweiten Anschluss (Telekom Magenta zu Hause M (BNG) ) mit einer 7490-er Friite.
Nun wollte ich mal einfach den Tunnel von einer Fritte (die 7270 am Arcor-Anschluss) auf die andere (die 7490 am Telekom-Anschluss) "schwenken"
Da jetzt VPN direkt über die Oberfläche eingerichtet werden kann (muss), habe ich mich daran versucht:
Null Erfolg.
Entweder übersehe ich das Einfachste oder ich muss bei der Umkonfiguration etwas Spezielles beachten...
Kann mir da jemand weiterhelfen?

Zusatzinfo:
OS auf der 7270 im Garten: FRITZ!OS 06.05
OS auf der 7490 zu Hause: FRITZ!OS: 06.93
 
Zuletzt bearbeitet:
1. Bei de Fritzboxen müssen eine anderes Netz haben. Also nicht beide 192.168.178.0 sondern mindestens eine 192.168.1.0
2. Dyndns oder Myfritz einrichten. Wenn die 7270 nichts geändert wird müssen die Daten der anderen in die 7490 übernommen werden.
Es wird nach dem entfernten Netz gefragt oder so ähnlich. Dort nicht das Gateway eintragen (192.168.178.1) sondern das Netz (192.168.178.0)
 
Ich glaub ich hab es damals genauso gemacht. Genau erinnere ich mich nicht.
Aber das eingespielte VPN-Profil kann man nicht editieren oder?
 
1
chilango79 schrieb:
Aber das eingespielte VPN-Profil kann man nicht editieren oder?
Zum Vergrößern anklicken....
Nein... das ist der "springende Punkt" (bzw. das "hüpfende Komma")
Ich muss es nicht verstehen, weshalb es AVM auf der einen Seite erleichtern will (was nicht funktioniert) und über den alten Umweg mit dem Tool es dann doch funktioniert (was in den FAQ's und Hilfeseiten nicht mehr zu finden ist)
Die über das Tool eingespielten Config's lassen sich in der Fritte weder anschauen und noch weniger bearbeiten - muss ich auch nicht verstehen.

Ich habe nicht umsonst das Spiel des "VPN-Schwenkens" gescheut - Die Befürchtungen und Ängste waren nicht unbegründet...
Naja - Zum Glück habe ich es gelöst bekommen *freu*
 
dj-prophaganda schrieb:
Die über das Tool eingespielten Config's lassen sich in der Fritte weder anschauen und noch weniger bearbeiten - muss ich auch nicht verstehen.
Zum Vergrößern anklicken....
Dafür sollte man sehr dankbar sein ... nehmen wir mal spaßeshalber an, man hätte mühsam seine Konfiguration von Hand zusammengestellt (die wenigsten werden für so eine "handgemachte Konfiguration" das AVM-Programm unter Windows benutzen - ist unnötig kompliziert und kann eben auch nicht alle Fälle abdecken) und nun würde man diese mit dem GUI-"Editor" anzeigen oder gar ändern können.

Da fehlt dann schon mal die Hälfte der möglichen Einstellungen in so einer "vpn.cfg" (um das zu erkennen, braucht man bloß mal die Einstellmöglichkeiten in der GUI-Maske auszuzählen und mit der Anzahl der Optionen in einer "vpn.cfg" zu vergleichen) und dann drückt der Benutzer noch auf den "Übernehmen"-Button (oder "Speichern" oder wie das auch immer heißen mag), wenn er doch bloß diese "Anzeige" wieder verlassen will. Dabei wird dann die VPN-Verbindung wieder mit den Einschränkungen und den paar Optionen neu gespeichert, die das GUI kennt - "hier wendet sich der Gast mit Grausen" (denn irgendwo hat so eine stets wieder in die Ursprungsform versetzte VPN-Verbindung schon etwas von einem Ring, der unerwartet und gegen den Willen des Besitzers wieder aus den Fluten auftauch(e)t).

Das Erstellen einer "benutzerdefinierten VPN-Konfiguration" ist dann immer noch eine Aufgabe, vor der vermutlich 95% aller VPN-Benutzer niemals stehen ... die wichtigsten Fälle werden hier nämlich schon abgedeckt und warum das bei Dir nicht aus dem Stand geklappt hat, kann man ohne die Kenntnis der erstellten Konfigurationen (auch die automatisch erzeugten stehen dann in den Support-Daten und in der Export-Datei) nur raten.

Ich würde mal darauf tippen, daß sich die 06.05 (auch für die 7270 gäbe es eine 06.06, die dann wenigsten SSL-Verbindungen mit etwas anderem als RC4 verschlüsseln kann - als die ganzen Browser diesen Algorithmus verbannt hatten, mußte AVM noch einmal nachlegen und etwas nachrüsten, was zumindest Ähnlichkeiten mit Verschlüsselung (fürs GUI) hat) und die 06.93 einfach nicht verstanden haben, denn mit der 06.20 hat AVM bekanntermaßen das VPN und die verwendeten Verschlüsselungen kräftig überholt und damals waren solche Probleme auch hier desöfteren ein Thema ... heute eher weniger, weil vermutlich niemand eine 7270 als Edge-Router einsetzen würde und nur auf einem solchen (also generell im "Router-Modus") macht VPN ja auch Sinn.

Insofern funktioniert der (in seinen Möglichkeiten zweifellos extrem beschränkte) GUI-"Helfer" für die wichtigsten VPN-Szenarien durchaus ... wenn auch eben lange nicht für jedes. Das ist aber auch kaum zu erwarten (dafür sind die Einsatz- und Einstellmöglichkeiten auch zu vielfältig) ... und vermutlich hat AVM deshalb auch den Punkt mit dem Import einer eigenen Konfiguration vorgesehen - der würde ja sonst nicht so sehr viel Sinn ergeben. Schau Dir mal die VPN-Einstellungen in anderen Geräten an (z.B. bei bintec oder meinetwegen auch nur den Shrewsoft-Client) ... da kriegst Du dann eine Vorstellung, wieviele "Stellschrauben" bei so einer VPN-Konfiguration existieren und den größten Teil davon siehst Du bei AVM gar nicht, weil das in der "ipsec.cfg" irgendwie "versteckt" ist.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 451 (Mitglieder: 37, Gäste: 414)

Neueste Beiträge

Statistik des Forums

Themen
244,839
Beiträge
2,219,314
Mitglieder
371,543
Neuestes Mitglied
Gärtner49
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück