[Problem] VPN LAN-LAN-Kopplung: IPv4 <-> DS Lite (nachgeschalteter Router) funktioniert unzuverlässig

[steve02]

Hallo zusammen!

Vorweg: Ich habe schon fleißig gelesen und rumprobiert, aber bisher leider ohne richtigen Erfolg.

Ausgangssituation:

• (A) FRITZ!Box 7590 (OS 07.01) an Telekom-Anschluss mit öffentlicher IPv4 und IPv6 Adresse.
• (B) FRITZ!Box 7590 (OS 07.01) als nachgeschalteter Router (nicht IP-Client) hinter Unitymedia ConnectBox (HW Version 5.01, SW Version CH7465LG-NCIP-6.12.18.24-5p8-NOSH) an DS-Lite Anschluss. Die FRITZ!Box bekommt eine private IPv4-Adresse und eine öffentliche IPv6 Adresse (sowie ein IPv6 Prefix).
  
• Beide Boxen sind bei MyFritz registriert.
  
• Zwischen den beiden FRITZ!Boxen soll ein LAN-LAN-VPN aufgebaut werden.

Versucht habe ich u.a.:

• Mit dem in der Weboberfläche eingebauten Assistenten eine LAN-LAN-VPN-Verbindung eingerichtet und nur in FRITZ!Box (B) (die am DS-Lite Anschluss) "VPN-Verbindung dauerhaft halten" ausgewählt.
• Mit dem Programm "FRITZ!Box-Fernzugang einrichten" Konfigurationen erstellt und folgendermaßen angepasst:
  • Konfiguration für FRITZ!Box (A) (mit öffentlicher IPv4-Adresse):
    • remotehostname gelöscht
  • Konfiguration für FRITZ!Box (B) (ohne öffentliche IPv4-Adresse):
    • keepalive_ip hinzugefügt
• Beide Boxen komplett zurückgesetzt inklusive Recovery-Tool und mit "Minimalkonfiguration"+VPN neu eingerichtet.

Das Ergebnis ist leider immer gleich: Der Verbindungsaufbau funktioniert nur in unregelmäßigen Abständen und die Verbindung bricht immer wieder für längere Zeit ab. Im Ereignislog der FRITZ!Box (B) Erscheinen die VPN-Fehler IKE-Error 0x2027, 0x0 und 0x202e.

Anbei die Konfigurationen und VPN-Logs der beiden FRITZ!Boxen (die MyFritz-Namen habe ich mit Suchen/Ersetzen ersetzt).

Hat jemand eine Idee woran es liegen könnte bzw. was ich probieren könnte damit es funktioniert?

Viele Grüße
Stefan

 

[PeterPawn]

Einfach die "Rollenverteilung" im VPN explizit festlegen (Initiator und Responder) ... wie das geht, steht hier im IPPF definitiv mehr als einmal und eine Suche nach VPN-Threads mit diesen beiden Stichworten sollte das auch problemlos finden können (notfalls über eine Suchmaschine mit Beschränkung der Ergebnisse auf diese Site).

 

[steve02]

Ich hatte das, was ich bisher im Forum gelesen habe, so verstanden, dass ich FRITZ!Box (A) durch Löschen der Zeile mit remotehostname zum Responder mache und FRITZ!Box (B) durch hinzufügen der Zeile mit keepalive_ip zum Initiator mache. Und damit habe ich ja leider keinen Erfolg gehabt. Habe ich das falsch verstanden?

 

[PeterPawn]

Die Protokolle sehen merkwürdig aus ... es hat fast den Anschein, als würden da trotzdem zwei parallele Verbindungsversuche laufen, auch wenn der Konfiguration nach tatsächlich nur Box B die Verbindung aufbauen sollte. Bist Du Dir sicher, daß da auch wirklich nur die gezeigten Konfigurationen aktiv sind? Durch das "Maskieren" (für meinen Geschmack deutlich zu "heavy", ein "B" und ein "A" hätte auch gereicht und man würde auf einen Blick erkennen, welche Adresse das sein soll, während man nun erst weiter hinten nach dem "a_mit" oder "b_ohne" suchen muß und dann noch endlos weiterlesen muß, bis man beim eigentlichen Inhalt der Protokollzeile angekommen ist) ist das ja nicht mehr eindeutig zu erkennen, auf welche Verbindung sich die Protokollzeilen jeweils beziehen.

Im Protokoll von Box A sieht man nämlich (nach meiner Interpretation) immer noch zwei ineinander geschachtelte Verbindungen (ersichtlich anhand der unterschiedlichen Portnummern am Provider-CGN - 1x 34814 und 1x 34632), die sich offenbar immer gegenseitig wieder die Beine weghauen. Im Normalfall sollte da nur ein einziger Endpoint beim Peer "Box B" existieren, der dann auch nur einem Port am Provider-CGN belegt.

Ich würde hier noch einmal das VPN in Box B anhalten, Box A neu starten und danach Box B ebenfalls neu starten, bevor man dort das VPN wieder aktiviert (Box A müßte ja in aller Ruhe auf die Verbindungsaufnahme von Box B warten). Danach sollte es im nächsten Protokoll auch nur einen "UDP channel" geben, auf dem die IPSec-Pakete hin und her gehen.

Zumindest hat man damit dann auch ein "frisches Protokoll", denn auch dessen Beginn legt ja hier eher den Verdacht nahe, daß da nach dem Einspielen einer neuen Konfiguration einfach weitergemacht wurde ... die "add"-Zeilen beim Start des "avmike" kann ich nirgendwo sehen. Oder gibt es die bei der 154.07.01 nicht mehr?

Ich weiß es tatsächlich nicht und könnte mir auch vorstellen, daß AVM beim massiven Ausbau der Protokollierung auch ein paar Messages gestrichen hat (selbst wenn ich das für weniger wahrscheinlich halte). Aber gleichzeitig sieht das mit der Existenz zweier Log-Files auf beiden Seiten (jeweils einmal "ike.log" und einmal "ike.old") auch wieder nicht nach einem kürzlich erfolgten Neustart (basierend auf dem Zeitpunkt, von dem das Protokoll stammt) aus und man muß wohl eher den Zeitpunkt (und den Grund) finden, an dem sich das so "aufschaukelt". Denn eigentlich wäre da (nach meinem Verständnis) schon ab und an mal eine IPSec-SA verfügbar und diese wird nur beim nächsten Fehler dann gleich wieder mit abgeräumt, wenn nach 15 Sekunden keine (verständliche und damit richtig verschlüsselte) Antwort kam (0x2027 ist ja ein Timeout).

 

[eisbaerin]

und dann noch endlos weiterlesen muß

Nein, das hätte jetzt überhaupt nicht von dir kommen dürfen, denn das geht uns bei fast jedem von deinen Beiträgen so.

Sorry, aber das konnte ich mir jetzt einfach nicht verkneifen.
Und ich ziehe meine Hose schon mit der Kneifzange an.

 

[PeterPawn]

Du hast den Inhalt dann eben doch nicht verstanden, wie Du ja eindrucksvoll unter Beweis stellst. Zeige mir einen einzigen Beitrag von mir, in dem jede Zeile (oder meinetwegen auch nur jede zweite) mit stets denselben 75 Zeichen beginnt.

Kostprobe? Gerne:

2019-02-18 20:46:50 avmike:Verbindung zu Box B (fritzbox_b_ohne_oeffentliche_ipv4_adresse.myfritz.net) receive VENDOR ID Payload: XAUTH
2019-02-18 20:46:50 avmike:Verbindung zu Box B (fritzbox_b_ohne_oeffentliche_ipv4_adresse.myfritz.net) receive VENDOR ID Payload: DPD
2019-02-18 20:46:50 avmike:Verbindung zu Box B (fritzbox_b_ohne_oeffentliche_ipv4_adresse.myfritz.net) receive VENDOR ID Payload: NAT-T RFC 3947
2019-02-18 20:46:50 avmike:Verbindung zu Box B (fritzbox_b_ohne_oeffentliche_ipv4_adresse.myfritz.net): add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:919

Verhältnis Information zum Overhead: praktisch 1:1 - 155 Zeichen gesamt in der längsten der oben stehenden Zeilen, davon 75 für die Kennzeichnung der Box - in den kürzeren Zeilen dann offenbar sogar ein Verhältnis (einfachstes Kopfrechnen) von unter 1:1.

Meinetwegen darf sich jeder auch an meinen Beiträgen weiter am Umfang oder an der Form stören (die ganzen Fragen zum Thema DTP sind ja noch gar nicht erschöpfend behandelt), wenn er sich nicht mit dem Inhalt befassen möchte.

Solange ich dort nicht in jedem Absatz dasselbe wiederhole, was im vorhergehenden bereits stand, kann ich mit solchen "Mißverständnissen", wie Du hier offenbar einem aufgesessen bist (ich wende mich nicht gegen die Menge an Informationen, sondern nur gegen viele leere Infos bzw. sinnlose Wiederholungen ... leg' die beiden Protokolle einfach mal in einem Editor nebeneinander zum zeitlichen Vergleich, dann weißt Du auch, was ich meine und hast vielleicht ja auch noch eine nützliche Idee zum Thema), durchaus leben.

Am Ende ist sogar das noch dasselbe wie meine Weigerung, eine Frage zum x-ten Male mit derselben Antwort zu versehen - das sind nämlich genauso nur leere Informationen. Wenn ich irgendwann mal so alt sein sollte, daß ich mich innerhalb eines Beitrags oder Threads tatsächlich nur noch wiederhole, höre ich freiwillig mit dem Schreiben auf. Bis dahin nehme ich für mich in Anspruch, daß ich zwar immer mal wieder dieselben Themen anpacke, aber es bei mir eigentlich kein Copy & Paste gibt.