[Gelöst] VPN Tunel zwischen Fritzbox 7490 und iPhone (iOS9) funktioniert nicht mehr

Zur ersten Frage würde ich sagen UM macht da etwas sehr ungewöhnliches indem im eigenen Netz ein Datenstau vorgetäuscht wird, den es IMHO nicht gibt. Es ist nichts verbotenes aber sehr fragwürdig. Apple kommt in einem IPSec Tunnel mit den so gekennzeichneten Datenpaketen nicht klar, was IMHO ein Bug ist.

Zur zweiten Frage: die Leute von der GeniusBar, wo ich am Montag war, diskutieren bereits untereinander die Problematik und wissen auch nur, dass man in Cupertino das Problem kennt. Ok, da unsere Bugreports mit dem Verweis auf einen weit älteren Report schließt, konnten wir uns das auch denken. Laut Auskunft arbeitet man daran, aber kann keine Aussage über einen Zeitpunkt treffen. Priorität eher gering!

bugreport.apple.com und/oder GeniusBar uns/oder Apple-Support, damit es an Gewicht gewinnt.

Edit: Achtung nur der IPSec im UM-Netz geht nicht mehr. PPTP-VPN geht. Es ist etwas spekulativ, aber ich würde mal vereinfacht behaupten, dass bei UDP basierten VPN Verbindungen der Datentransfer bei gesetztem ECN-Flag (UM-Netz) nicht funktioniert, wohingegen ein TCP basiertes VPN keine Probleme hat.
 
Zuletzt bearbeitet:
Ja PPTP-VPN klappt.
Bisher ist es mir leider noch nicht geglückt eine openVPN Verbindung Synology <-> ios hinzubekommen. OpenVPN kann ja prinzipiell auf über TCP laufen.
Wenn jemand eine gute Anleitung kennt würde ich mich über die Info sehr freuen.
 
Leider habe ich mich nie intensiver mit OpenVPN beschäftigt. Ich kann aber mit "OpenVPN Connect" eine Verbindung aufbauen. Laut Konfiguration der *.ovpn Datei handelt es sich dabei um eine TCP-basierte Verbindung. Über "OpenVPN Connect" wird auch ein Eintrag in den iOS VPN Einstellungen eingetragen, aber von dort lässt sich die Verbindung nicht aufbauen, nur über den "OpenVPN Connect" Client. Daher weiß ich nicht, ob das Problem der Apple-Implementierung hier zum Tragen kommen würde. Eine UDP-basierte OpenVPN Verbindung zum Vergleich habe ich leider nicht zur Verfügung!

getestet mit iOS 9.0.2 (JB mit ipsec.ecn=0) und iOS 9.1b5.
 
Zuletzt bearbeitet:
Homebresolaire, einfach im App Store OpenVPN laden, in der DS im VPN Server die Konfig laden, zip entpacken.

Dann über iTunes bei Apps für ganze unten openvpn App wählen und dann opvn und ca-bundle reinziehen.

Dann hat die App die Daten und kannst dich Verbindung.

Achja Konfig vorher im Texteditor öffnen und Serveradresse eintragen.
 
Hallo HabNeFritzbox,
genau das habe ich soweit auch probiert. Einmal mit TCP über Port 443 und anschliessend über UDP Port 1194. Weiterhin habe ich die Portweiterleitung in der Fritzbox entsprechend erstellt.
Das Ergebnis ist die Info aus dem Log der OpenVPN app:


--snip /jede Menge Zeug/
"Server poll timeout, trying next remote entry"

nun ist guter Rat teuer.
 
Steht da auch dein Hostname drinnen als Serveradresse?

Ist Port 443 evt. von FB für Fernwartung belegt oder vom Webserver der DS? In der DS Firewall aktiv?

Schon komisch wenn Server garnicht erst erreichst.
 
Steht da auch dein Hostname drinnen als Serveradresse?
Du meinst die dyndns adresse? Die habe ich in der Konfig Datei welche von Synology erzeugt wurde eingetragen.

Ist Port 443 evt. von FB für Fernwartung belegt oder vom Webserver der DS? In der DS Firewall aktiv?
Ich habe anschliessend ja auch Port 1194 versucht, auch ohne Erfolg

Ich müsste irgendwie nachschauen können, ob Anfragen über Port UDO 1194 oder TCP 443 überhaupt bei Synology ankommen.
Wie gesagt, die Portweiterleitung habe ich in der Fritzbox eingerichtet. Genau so für TCP Port 1723 welcher für PPTP VPN benötigt wird und damit klappt ja die Verbindung.
 
Hallo Friedelxt,
danke für den Hinweis. Nach meiner Recherche wird dieser Port für SSL genutzt (also jede https:// Anfrage) die dürften dann ja alle nicht mehr laufen im UM Netz
 
wenn Du per ssh als Root auf dem JB Gerät bist, erkennbar am # prompt, kannst Du eingeben:

/usr/sbin/sysctl -w net.inet.ipsec.ecn=2

Als Antwort bekommst Du den Namen, den alten Wert und den neuen Wert angezeigt. Nach meinem Test oben, sollte der VPN-Tunnel dann trotz der ECN=0x03 von UM bis zum nächsten Reboot funktionieren. Wenn Du eh eine SSH Verbindung schon hinbekommen hattest kannst Du da ausprobieren. Und meinen Test bestätigen!

Hallo, ich Lese schon seit einigen Tagen mit und habe endlich was gefunden um in mein UM netz Reinzukommen.
Also mit diesem Befehl klappt es wunderbar! Danke für den Tip. Ich habe mich über Putty mit dem JB gerät verbunden.
Kennt jemand noch einen Tipp das die Einstellung bestehen bleibt nach einem Neutstart?
 
Hallo, ich Lese schon seit einigen Tagen mit und habe endlich was gefunden um in mein UM netz Reinzukommen.
Also mit diesem Befehl klappt es wunderbar! Danke für den Tip. Ich habe mich über Putty mit dem JB gerät verbunden.
Kennt jemand noch einen Tipp das die Einstellung bestehen bleibt nach einem Neutstart?
Danke für die Bestätigung!

iOS wertet die /etc/sysctl.conf nicht aus. Aber man könnte ein Boot-Script basteln, was den Befehl ausführt oder über die cron mit einem @reboot Eintrag oder ... Habe noch nichts entsprechendes gebastelt, wenn ich was habe kommt es hier her.

Logge Dich mit "root" über sftp mit einem FTP Client an. Lege eine Datei mit dem Namen "com.ipsec.ecn.plist" im Verzeichnis "/Library/LaunchDaemons/" mit folgendem Inhalt an. Stelle die Rechte der Datei auf 644 (-rw-r--r--) ein.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.ipsec.ecn</string>
<key>ProgramArguments</key>
<array>
<string>/usr/sbin/sysctl</string>
<string>-w</string>
<string>net.inet.ipsec.ecn=2</string>
</array>
<key>RunAtLoad</key>
<true/>
</dict>
</plist>
Achtung: Die erste Zeile wird hier mehrfach umgebrochen und geht bis dtd"> ohne Zeilenumbrüche.
 
Zuletzt bearbeitet:
Hallo, ich kann auch über PPTP auf der Synology zugreifen. Die Fritz Fon App geht da auch, aber ich höre beim Telefonieren nichts.

Kann mir da jemand helfen ?

Was für Ports soll ich weiterleiten oder muss dei der Synology noch was einstellen ?
 
Weder noch, einfach in der FB ne Route einstellen zur DS.

Hast in der DS ja 3 Subnetze für jeden VPN Typ einen.

Also am besten für alle 3 eine Route.

192.168.[Subnetz vom VPN].0
255.255.255.0
192.168.178.33 oder ähnlich, halt die IP im Netz der FB.
 
Danke für die Bestätigung!

iOS wertet die /etc/sysctl.conf nicht aus. Aber man könnte ein Boot-Script basteln, was den Befehl ausführt oder über die cron mit einem @reboot Eintrag oder ... Habe noch nichts entsprechendes gebastelt, wenn ich was habe kommt es hier her.

Logge Dich mit "root" über sftp mit einem FTP Client an. Lege eine Datei mit dem Namen "com.ipsec.ecn.plist" im Verzeichnis "/Library/LaunchDaemons/" mit folgendem Inhalt an. Stelle die Rechte der Datei auf 644 (-rw-r--r--) ein.
Achtung: Die erste Zeile wird hier mehrfach umgebrochen und geht bis dtd"> ohne Zeilenumbrüche.

Klappt wunderbar
 
Hallo zusammen,

ich habe die gleichen Probleme. Nutze nun vorübergehend openVPN über meine Dickstation und habe in der FritzBox die Postweiterleitung eingerichtet.
Trotzdem hoffe ich, dass es schnell wieder nur mit der Fritzbox geht. openVPN musste ich auf TCP umstellen.

Grüße
 
Wenn du ne DS hast, wieso dann VPN in der FB?

In der DS hast 3 VPN Typen, kannst dich auch von Windows aus verbinden ect.

Zudem wenn VPN der FB ausgelastet ist, geht fast nix anderes mehr ohne Probleme.
 
Ich habe auch eine DS 412+ was muss ich denn tun damit es geht?
 
Einfach VPN Server auf der DS verwenden, kannst da PPTP oder openVPN verwenden als alternative.

In der FB musst nur die Ports weiterleiten, und wenn da auch IPsec verwenden möchtest, alle VPN Nutzer in der FB löschen, da die sonst Ports selbst belegt.
 
Danke! Welche Ports muss ich in der FB öffnen?
 
Standard wäre es
L2TP/IPSec UDP 1701
L2TP/IPSec UDP 500
L2TP/IPSec UDP 4500
openVPN UDP 1194
PPTP TCP 1723

Wenn Fon App von AVM verwendet wird, die Route nicht vergessen wie in paar Beiträgen zuvor erwähnt.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.