[Frage] VPN zwischen Bintec Hybrid / Telekom Digitalisierungsbox Premium und Fritzbox 7390

thalternate · 20 Apr 2015

Hallo Zusammen,

ich versuche gerade, eine LAN-to-LAN-VPN-Verbindung zwischen der Digitalisierungsbox Premium der Telekom (im Grunde ähnlich Bintec Hybird) und einer FritzBox 7390 hinzubekommen, beide mit aktuellen Firmwares. Leider scheitert es derzeit noch. Auf den AVM-Seiten und auch bei Bintec fand ich keine funktionierende Anleitung, wie jeder der beiden Geräte zu konfigurieren sind. Die Verbindungen zwischen zwei Fritzboxen funktionierten leicht und stabil - das würde ich gerne mit dem Bintec weiterführen.

Gibt es schon funktionierende Einrichtungen dieser Art, und kann mir dazu jemand vielleicht Tipps zur Einrichtung (cfg-Dateien) geben oder die Einstellungen durchgehen/abgleichen?

Herzlichen Dank vorab.
Thomas

Kalle2006 · 20 Apr 2015

Vielleicht hilft dir das hier weiter, in der Beschreibung sind einige Hinweise vorhanden: http://faq.bintec-elmeg.com/faq_bintec_293_ipsec_hinweise_01_de,10992,194.html

oder auch andere FAQ Einträge. http://faq.bintec-elmeg.com/faq_bintec_vpn_ipsec_kategory_de,10992,194.html

PeterPawn · 20 Apr 2015

Und wenn Du mit der Bintec-FAQ nicht weiter kommst, wäre es sicherlich hilfreich, wenn Du mal spezifizierst, wie die VPN-Verbindung am Ende aussehen soll bzw. was Du da auf beiden Seiten bisher konfiguriert hast.

Wenn ich die Bintec-Einstellungen richtig interpretiere - habe nur mal einen kurzen Blick in irgendwelche Screenshots da gewagt, ist schlecht zu lesen -, dann geht das da bis hinunter zur gezielten Einstellung eines einzelnen "Proposals" (was dann ja eigentlich keiner mehr ist

... friss oder stirb).

Das dann noch mit den bereits als Sackgasse erkannten (oder vermuteten) Versuchen garniert und man kann auch probieren, Dir begründete Tipps zu geben. Solange man nur raten muß, ist die Konfiguration einer IPSec-Verbindung einfach ein zu weites Feld ... nicht umsonst gilt IKEv1 im Allgemeinen als kompliziert zu konfigurieren.

thalternate · 20 Apr 2015

Gerne. Dann wird vieles vielleicht klarer.
Dies ist meine cfg-Datei, die ich in meine Fritzbox 7390 importiere:

Code:

/*
 * FB7390.cfg - Stand: 2015-04-15
 */
vpncfg {
        connections {
                     enabled = yes;
                     conn_type = conntype_lan;
                     name = "AVM_Bintec"; 
                     always_renew = no;
                     reject_not_encrypted = no;
                     dont_filter_netbios = yes;
                     localip = 0.0.0.0;
                     local_virtualip = 0.0.0.0;
                     remoteip = 0.0.0.0;
                     remote_virtualip = 0.0.0.0;
                     remotehostname = "meine.dyndns.net";
                     localid {
                              user_fqdn = "[email protected]";
                             }
                     mode = phase1_mode_aggressive;
                     phase1ss = "all/all/all";
                     keytype = connkeytype_pre_shared;
                     key = "sag-ich-nicht";
                     cert_do_server_auth = no;
                     use_nat_t = no;
                     use_xauth = no;
                     use_cfgmode = no;
                     phase2localid {
                                    ipnet {
                                           ipaddr = 10.21.1.0;
                                           mask = 255.255.255.0;
                                          }
                                   }
                     phase2remoteid {
                                     ipnet {
                                            ipaddr = 10.1.1.0;
                                            mask = 255.255.255.0;
                                           }
                                    }
                     phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                     accesslist = "permit ip any 10.1.1.0 255.255.255.0";
                    }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
       }

// EOF

Hier die Screenshots aus der Digitalisierungsbox (dem Bintec):

Überall, wo "[email protected]" steht, habe ich die identische Mailadresse eingetragen.
Ich habe aus den paar Beiträgen, die ich im Netz dazu gefunden habe, herausgelesen, dass es mehr Erfolg zu versprechen scheint, wenn man eine user_fqdn wählt, also mit Mailadresse.

Im Log der Digibox finde ich aktuell nur diese Info dazu:

Code:

3	2015-04-20	15:05:33	Information	IPSec	P1: peer 3 (Mainz - SBK neutest) sa 15528 (I): failed id usr@fqdn(any:0,[0..17][email protected]) -> ip <<IP meiner Fritzbox>> (Invalid ID information)

Ich freue mich auf Fingerzeige und Tipps, was noch zu probieren sich lohnen könnte.
Thomas

thalternate · 20 Apr 2015

HAAAAAAAAAAAAALT:

Es geht.
Ich hatte es 3x versucht, ging nicht, dann habe ich den Beitrag verfasst und abgeschickt.
Nun schaute ich noch mal ins Log und sah eine Erfolgsmeldung.

Ich sehe mich also gerade erst mal um und melde mich später wieder dazu, ob das verlässlich steht so.
Ich bin baff.

EDIT:
Dann ist das in meinem vorigen Beitrag nun keine Frage mehr, sondern eher die Lösung und eine Anleitung. Herrlich.

thalternate · 20 Apr 2015

Jetzt gehen keine Daten mehr durch. Daher habe ich die Verbindung gekappt und wollte sie neu aufbauen, was sie aber nicht mitmachen will.

Im Log steht wieder:

4 2015-04-20 15:49:41 Information IPSec P1: peer 3 (Mainz - SBK neutest) sa 15673 (I): failed id usr@fqdn(any:0,[0..17][email protected]) -> ip Fritz.Box.IP.Adresse (Invalid ID information)

(ich habe hier natürlich meine IP-Adresse beim Kopieren auf "Fritz.Box.IP.Adresse" geändert, da stand vorher eine normale IPv4)

Ich meine, dass in der Digibox anfangs unter Monitoring/IPSec bei dieser Verbindung unter "IKE (Phase-1) SAs (10)" etwas stand mit einer Restlebensdauer. Allerdings bevor die Verbindung stockte. Als sie dann nicht mehr ging, war diese Zeile leer, nur unter Phase-2 stand noch etwas.
Vielleicht hilft das ja bei der Fehlereingrenzung.

Ich bräuchte also doch bitte Hilfe bei der Fehlersuche. Kann gerne noch was versuchen, wenn ich weiß, was.

Nach einiger Zeit bestand die Leitung dann wieder von selbst und konnte benutzt werden, und dann bestand sie zwar noch und konnte nicht mehr benutzt werden.

Beim Monitoring/IPSec unter der Verbindung sehe ich dann dieses Bild:

Hier habe ich die IP-Adresse mal geschwärzt. Die Fehler "Lokale ID", "Entfernte ID", "Aushandlungsmodus" und "Authentifizierungsmethode" sind zu Zeitpunkten, wo die Verbindung steht und benutzt werden kann, ausgefüllt, hier sind sie jetzt leer. Ebenso ist die Phase-1 gefüllt (und jetzt leer, wenn es nicht geht).

PeterPawn · 20 Apr 2015

Ich bin erst einmal schon extrem verblüfft, daß in der FRITZ!Box für Phase1 keine "remoteid" erforderlich ist, denn wir reden hier ja über "conntype_lan". (Auch bei conntype_user fällt in der FRITZ!Box ja eher die localid weg, während die remoteid als "keyid" benutzt wird.)

Ich hätte eher erwartet, daß damit schon die richtige Verbindung in Phase1 nicht identifiziert werden kann in der FRITZ!Box, denn nach meiner (bisherigen) Überzeugung wird die Kombination aus "localid" und "remoteid" (die ja im "aggressive mode" benötigt werden, um den korrekten PSK zu finden) gebraucht.

Es kann ja sein, daß es einer der beiden Kommunikationspartner nicht so genau damit nimmt ... oder hast Du da eventuell zuviel in der Konfigurationsdatei der FRITZ!Box gelöscht?

Andererseits fällt mir noch auf, daß nach meinem Verständnis (ohne genaue Kenntnisse des Bintec-Gerätes) die Verbindung im Moment eigentlich nur von der FRITZ!Box-Seite aufgebaut werden kann, da das Bintec-Gerät die Adresse der Gegenstelle nicht kennt (ich vermute mal, bei "Peer-Adresse" kann entweder eine Adresse oder ein Name eingetragen werden?). Wenn das Bintec-Gerät dann den richtigen Schlüssel tatsächlich nur anhand der von der FRITZ!Box übermittelten "localid" bei sich sucht, dann wäre zumindest erklärt, wieso das schon einmal funktioniert haben soll. Wenn Du jemals die FRITZ!Box als Responder verwenden willst (im Moment ist ja immer die FRITZ!Box Initiator und das Bintec-Gerät Responder), dann wirst Du jedenfalls (meiner Meinung/Erfahrung nach) in der FRITZ!Box auch eine passende remoteid brauchen.

Die jeweiligen "IDs" für Phase1 haben auch nichts mit tatsächlichen E-Mail-Adressen o.ä. zu tun ... ich weiß nicht, aus welcher Quelle der Tipp mit der Mail-Adresse stammt, aber ich persönlich würde da auf "fqdn" und den (Dyn-)DNS-Namen der Gegenstelle und des eigenen Standorts gehen (auch der muß weder stimmen noch existieren, wichtig ist die "vertauschte" identische Einstellung auf beiden Seiten).

Welche Proposals sich bei einer FRITZ!Box tatsächlich hinter den Angaben in "phase1ss" und "phase2ss" verbergen, findest Du auf der FRITZ!Box in der Datei /etc/default.$CONFIG_PRODUKT/$OEM/ipsec.cfg. Ein Blick lohnt auf alle Fälle, ggf. auch die Auswahl eines "weniger ausführlichen" Sets. Seit 06.20 unterstützt die FRITZ!Box bei passender "phase1ss" auch "bessere" DH-Gruppen, den richtigen Selektor findest Du wieder in der ipsec.cfg. Auch kennt die Box meines Wissens für Phase2 nur Proposals mit einer oder acht Stunden "Lebensdauer" eines Schlüsselsets, wenn Du das Bintec-Gerät in Phase2 entsprechend anpaßt, ist eine weitere mögliche Fehlerquelle (theoretisch sollte zwar der kleinere Wert ausgehandelt werden, das klappt aber nicht immer reibungslos) aus dem Weg.

Mich (persönlich) würde noch interessieren, was sich auf dem Bintec-Gerät hinter "AES" für eine Schlüssellänge verbirgt, wenn das üblicherweise/meist beim AES ohne Schlüssellängenangabe assoziierte "Blocklänge == Schlüssellänge" extra als "AES-128" aufgeführt ist. Die Bedeutung des fehlenden "aktiviert" beim jeweils ersten Proposal erschließt sich mir auch nicht so richtig. Ist das ein Fehler (off by one) im Bintec-GUI oder ist das erste Proposal automatisch immer aktiviert und nur die weiteren können deaktiviert werden? Kann man diese Liste dann auch umsortieren oder legt schon die Reihenfolge beim Erstellen des Profils den ersten Eintrag für immer fest?

Du mußt halt mit den im Bintec-Gerät eingestellten Verfahren (das AES128/MD5 für Phase1 würde ich gleich verwerfen) in der ipsec.cfg von AVM auf die Suche gehen, ob die im ausgewählten Set für die jeweilige Phase auch enthalten sind.

Gibt es einen Grund, warum Du (wenn meine Interpretation der Bintec-Einstellungen stimmt) dort DPD ausgeschaltet hast? Auch bei der Kompression würde ich mich an den möglichen Proposals der FRITZ!Box orientieren ... wenn Du da ein Set ohne Kompression findest, ist es - zumindest anfangs - sicherlich hilfreich, die zusätzliche Paket-Transformation erst einmal wegzulassen. Das klappt aber am besten, wenn es beide Seiten auch tatsächlich so wollen, ansonsten würde ich auch auf der Bintec-Seite eine Kompression aktivieren (der Paketaufbau ändert sich dadurch, deshalb müssen das beide Seiten wirklich gleich interpretieren).

Letztendlich ist - bei der FRITZ!Box - der Inhalt der Datei /var/tmp/ike.log noch hilfreich bei der Suche. Dort werden zumindest irgendwelche Erfolge in Phase1 vermeldet, ebenso wie die verwendeten Ports (NAT-T oder nicht) und sonstige vom Peer angebotenen Optionen. Das Bintec-Protokoll kenne ich nicht, aber eine zeitgleiche Gegenüberstellung beider Protokolle sollte zumindest Anhaltspunkte liefern können, wo es klemmt.

Daß das ohne Angabe einer "keepalive_ip" in der FRITZ!Box-Konfiguration auch seitens der FRITZ!Box nur eine "on demand"-Verbindung ist, die also nur "bei Bedarf" (so im Bintec-Interface) aufgebaut wird, sei nur am Rande bemerkt. Damit schlägt aber ein Zugriff von der Bintec-Seite bei nicht aufgebauter VPN-Verbindung zuverlässig fehl (sie kann auch selbst keine Verbindung aufbauen) und auch auf der FRITZ!Box-Seite geht in aller Regel "der erste Kontakt" in die Hose, weil erst einmal der Tunnel aufgebaut werden muß, wenn keine Verbindung besteht. Zwar werden die Pakete seitens der FRITZ!Box erst einmal "eingefroren", wenn der Absender aber ungeduldiger ist als die FRITZ!Box, stellt der schon früher fest, daß er keine Antwort erhält. Ob das am Ende tatsächlich Deine Absicht ist, kann ich natürlich nicht einschätzen, aber eine solche Information (also ein einseitiger Verbindungsaufbau und dann auch noch "on demand") gehört schon zu den "Grundentscheidungen" bei einer VPN-Verbindung, die ich in #3 meinte. Das kann man zwar auch mit entsprechenden Einstellungen dokumentieren, da weiß Dein Leser aber am Ende nicht, ob das Absicht oder nur "stand schon so da" ist. Andererseits ist es bei der FRITZ!Box nach bisherigen Erfahrungen nicht unbedingt eine schlechte Idee, wenn man tatsächlich nur einen einseitigen Verbindungsaufbau zuläßt, da es ansonsten (wenn beide Peers gleichzeitig einen Verbindungsaufbau versuchen) wohl immer wieder zu Kollisionen kommt, bei denen dann eine vom Peer schon erfolgreich aufgebaute Verbindung wieder in den Abgrund gerissen wird, wenn der eigene Verbindungsversuch anschließend noch ein Timeout erzeugt.

thalternate · 20 Apr 2015

PeterPawn schrieb:
Ich bin erst einmal schon extrem verblüfft, daß in der FRITZ!Box für Phase1 keine "remoteid" erforderlich ist, denn wir reden hier ja über "conntype_lan". (Auch bei conntype_user fällt in der FRITZ!Box ja eher die localid weg, während die remoteid als "keyid" benutzt wird.)

Ich hätte eher erwartet, daß damit schon die richtige Verbindung in Phase1 nicht identifiziert werden kann in der FRITZ!Box, denn nach meiner (bisherigen) Überzeugung wird die Kombination aus "localid" und "remoteid" (die ja im "aggressive mode" benötigt werden, um den korrekten PSK zu finden) gebraucht.

Es kann ja sein, daß es einer der beiden Kommunikationspartner nicht so genau damit nimmt ... oder hast Du da eventuell zuviel in der Konfigurationsdatei der FRITZ!Box gelöscht?

Erwischt. Danke für das Bemerken.
Das habe ich jetzt behoben.

PeterPawn schrieb:
Andererseits fällt mir noch auf, daß nach meinem Verständnis (ohne genaue Kenntnisse des Bintec-Gerätes) die Verbindung im Moment eigentlich nur von der FRITZ!Box-Seite aufgebaut werden kann, da das Bintec-Gerät die Adresse der Gegenstelle nicht kennt (ich vermute mal, bei "Peer-Adresse" kann entweder eine Adresse oder ein Name eingetragen werden?).

Auch erwischt. Das hatte ich später dann geändert, ohne dran zu denken, das hier nochmal zu posten.

PeterPawn schrieb:
Welche Proposals sich bei einer FRITZ!Box tatsächlich hinter den Angaben in "phase1ss" und "phase2ss" verbergen, findest Du auf der FRITZ!Box in der Datei /etc/default.$CONFIG_PRODUKT/$OEM/ipsec.cfg. Ein Blick lohnt auf alle Fälle, ggf. auch die Auswahl eines "weniger ausführlichen" Sets. Seit 06.20 unterstützt die FRITZ!Box bei passender "phase1ss" auch "bessere" DH-Gruppen, den richtigen Selektor findest Du wieder in der ipsec.cfg. Auch kennt die Box meines Wissens für Phase2 nur Proposals mit einer oder acht Stunden "Lebensdauer" eines Schlüsselsets, wenn Du das Bintec-Gerät in Phase2 entsprechend anpaßt, ist eine weitere mögliche Fehlerquelle (theoretisch sollte zwar der kleinere Wert ausgehandelt werden, das klappt aber nicht immer reibungslos) aus dem Weg.

So, und da verlierst du mich jetzt erst einmal. Ich habe keine Ahnung, wie ich auf der Fritzbox in das Verzeichnis komme und da nachsehe. Hier hatte ich gehofft, dass jemand das schonmal richtig eingestellt hat und es nennen kann. Ich habe auch kein Problem, da beim Herausfinden mitzuwirken, nur scheitere ich im Moment daran, in das Verzeichnis zu kommen. Ob ich dann in den Dateien etwas erkenne/verstehe, steht auf einem anderen Blatt.

PeterPawn schrieb:
Mich (persönlich) würde noch interessieren, was sich auf dem Bintec-Gerät hinter "AES" für eine Schlüssellänge verbirgt, wenn das üblicherweise/meist beim AES ohne Schlüssellängenangabe assoziierte "Blocklänge == Schlüssellänge" extra als "AES-128" aufgeführt ist. Die Bedeutung des fehlenden "aktiviert" beim jeweils ersten Proposal erschließt sich mir auch nicht so richtig. Ist das ein Fehler (off by one) im Bintec-GUI oder ist das erste Proposal automatisch immer aktiviert und nur die weiteren können deaktiviert werden? Kann man diese Liste dann auch umsortieren oder legt schon die Reihenfolge beim Erstellen des Profils den ersten Eintrag für immer fest?

Umsortieren kann ich es nicht. Zumindest nicht intuitiv "schieben", sondern könnte sie so umsortieren, indem ich in der Auswahlliste oben hinsetze, was ich oben haben will. Alle Zeilen haben die gleichen Auswahlmöglichkeiten. Ob darin allerdings eine Priorisierung enthalten ist, weiß ic nicht.

PeterPawn schrieb:
Du mußt halt mit den im Bintec-Gerät eingestellten Verfahren (das AES128/MD5 für Phase1 würde ich gleich verwerfen) in der ipsec.cfg von AVM auf die Suche gehen, ob die im ausgewählten Set für die jeweilige Phase auch enthalten sind.

Warum verwerfen? Im Moment scheint mir AES/SHA1 genau der Treffer zu sein, mit dem es geht. Ist in Phase 1 und 2 angezeigt im Bintec.

PeterPawn schrieb:
Gibt es einen Grund, warum Du (wenn meine Interpretation der Bintec-Einstellungen stimmt) dort DPD ausgeschaltet hast? Auch bei der Kompression würde ich mich an den möglichen Proposals der FRITZ!Box orientieren ... wenn Du da ein Set ohne Kompression findest, ist es - zumindest anfangs - sicherlich hilfreich, die zusätzliche Paket-Transformation erst einmal wegzulassen. Das klappt aber am besten, wenn es beide Seiten auch tatsächlich so wollen, ansonsten würde ich auch auf der Bintec-Seite eine Kompression aktivieren (der Paketaufbau ändert sich dadurch, deshalb müssen das beide Seiten wirklich gleich interpretieren).

Ich habe diese Empfehlung hierher. Ausgeschaltet ist es nur in Phase 2, denn hier habe ich nur "Heartbeats" als Auswahlmöglichkeit, was wenn ich das richtig verstehe, ein Proprietäres Bintec-Ding ist.

PeterPawn schrieb:
Letztendlich ist - bei der FRITZ!Box - der Inhalt der Datei /var/tmp/ike.log noch hilfreich bei der Suche. Dort werden zumindest irgendwelche Erfolge in Phase1 vermeldet, ebenso wie die verwendeten Ports (NAT-T oder nicht) und sonstige vom Peer angebotenen Optionen. Das Bintec-Protokoll kenne ich nicht, aber eine zeitgleiche Gegenüberstellung beider Protokolle sollte zumindest Anhaltspunkte liefern können, wo es klemmt.

Auch hier weiß ich nicht, wie ich zu dieser Datei komme, daher kann ich das noch nicht ansehen.

PeterPawn schrieb:
Daß das ohne Angabe einer "keepalive_ip" in der FRITZ!Box-Konfiguration auch seitens der FRITZ!Box nur eine "on demand"-Verbindung ist, die also nur "bei Bedarf" (so im Bintec-Interface) aufgebaut wird, sei nur am Rande bemerkt. Damit schlägt aber ein Zugriff von der Bintec-Seite bei nicht aufgebauter VPN-Verbindung zuverlässig fehl (sie kann auch selbst keine Verbindung aufbauen) und auch auf der FRITZ!Box-Seite geht in aller Regel "der erste Kontakt" in die Hose, weil erst einmal der Tunnel aufgebaut werden muß, wenn keine Verbindung besteht. Zwar werden die Pakete seitens der FRITZ!Box erst einmal "eingefroren", wenn der Absender aber ungeduldiger ist als die FRITZ!Box, stellt der schon früher fest, daß er keine Antwort erhält. Ob das am Ende tatsächlich Deine Absicht ist, kann ich natürlich nicht einschätzen, aber eine solche Information (also ein einseitiger Verbindungsaufbau und dann auch noch "on demand") gehört schon zu den "Grundentscheidungen" bei einer VPN-Verbindung, die ich in #3 meinte. Das kann man zwar auch mit entsprechenden Einstellungen dokumentieren, da weiß Dein Leser aber am Ende nicht, ob das Absicht oder nur "stand schon so da" ist. Andererseits ist es bei der FRITZ!Box nach bisherigen Erfahrungen nicht unbedingt eine schlechte Idee, wenn man tatsächlich nur einen einseitigen Verbindungsaufbau zuläßt, da es ansonsten (wenn beide Peers gleichzeitig einen Verbindungsaufbau versuchen) wohl immer wieder zu Kollisionen kommt, bei denen dann eine vom Peer schon erfolgreich aufgebaute Verbindung wieder in den Abgrund gerissen wird, wenn der eigene Verbindungsversuch anschließend noch ein Timeout erzeugt.

Okay, das sollte sich durch das Eintragen der Gegenstelle nun ja so geändert haben, dass beide Seiten die Verbindung aufbauen kann. Sie soll eigentlich immer bestehen bleiben, wobei sie auch weg sein dürfte, sofern sie sofort wieder da sein kann.

Ich bin nun an dem Punkt, dass ich die Fritzbox nun nicht mehr mit user_fqdn, sondern nur noch mit fqdn füttere, und hier auch reine remoteid eingetragen habe. Und jetzt steht die Verbindung schon mal länger als vorhin.

Somit also ein herzliches Danke bis hierher für die vielen Tipps und Gedanken und das Finger-in-die-Wunde-Legen.
Ich muss noch eine weitere Fritzbox reinhängen, da kann ich das erlernte ja gleich noch verifizieren.

Am liebsten wäre mir, wenn die Verschlüsselung in der Fritzbox einigermaßen ressourcenschonend vonstatten geht. Ich habe nämlich das Problem, dass bei 1,2 MB/s über den VPN-Tunnel der Prozessor auf 100% glüht und noch nicht mal Telefonie noch funktioniert, geschweige denn das Interface der Fritzbox erscheint. Würde es bei der Aushandlung eine Möglichkeit geben, das so zu wählen, dass entweder mehr Durchsatz möglich ist oder bei gleichem Durchsatz noch Platz für VoIP wäre, wäre das schön. Dafür kenne ich aber die Feinheiten der Fritzbox nicht genug. Es scheint auf jeden Fall ein Problem der FritzBox-Software zu sein, dass dann das Interface und Telefonie nicht mehr geht, ich habe es gemeldet und man sagte mir, es würde in der nächsten Fassung vermutlich schon behoben sein.

Viele Grüße
Thomas

PeterPawn · 20 Apr 2015

thalternate schrieb:
Ich habe keine Ahnung, wie ich auf der Fritzbox in das Verzeichnis komme und da nachsehe. Hier hatte ich gehofft, dass jemand das schonmal richtig eingestellt hat und es nennen kann. Ich habe auch kein Problem, da beim Herausfinden mitzuwirken, nur scheitere ich im Moment daran, in das Verzeichnis zu kommen. Ob ich dann in den Dateien etwas erkenne/verstehe, steht auf einem anderen Blatt.

Auf einer 7390 kann man problemlos einen Telnet-Zugang einrichten, der einzige Unterschied ist am Ende eine zusätzliche Anzeige "vom Hersteller nicht ... blabla" im GUI, die man notfalls auch wieder wegbekommt, wenn man den Telnet-Zugang später wieder deaktiviert, weil man ihn nicht wirklich benötigt. Mit dem kommst Du dann in eine Shell auf der FRITZ!Box und da kannst Du Dir alle von mir benannten Files ansehen.

Warum verwerfen? Im Moment scheint mir AES/SHA1 genau der Treffer zu sein, mit dem es geht. Ist in Phase 1 und 2 angezeigt im Bintec.

Also bei dem, was ich gesehen und mit meiner Bemerkung adressiert hatte, ging es nicht um SHA1 als MAC, sondern um MD5. AES128/SHA1 scheint mir tatsächlich auch der Kompromiß zwischen Sicherheit und Geschwindigkeit zu sein, wenn Deine FRITZ!Box 7390 schon bei 1,2 MB/s "in die Knie" geht, ist das - korrigiere mich, wenn ich MB falsch interpretiere - schon mal ein 100% ausgelasteter 10 MBit/s-Upload. Da wirst Du nur wenig mehr herausholen, wobei da wieder die Frage nach dem Unterschied "AES" und "AES-128" auf dem Bintec-Gerät akut wird. Bei AES (wenn das am Ende AES256 heißt) kämen ein paar mehr Runden bei der Schlüsselgenerierung zum Einsatz, das kostet auch Prozessorzeit und die MIPS-Prozessorkerne in den Infineon-Chips sind nun nicht gerade auf Kryptographie spezialisiert. Notfalls ginge sicherlich auch 3DES/SHA1, wie genau sich das auswirkt (und was Du da an der 7390 für einen Upload-Channel hast, wenn 10 MBit/s nicht reichen), kann ich nicht exakt einschätzen, daher bleibt das Deinem Test überlassen. Ich würde aber annehmen, daß der Overhead durch SHA1 ggü. MD5 nicht so gewaltig ist, daß man beim MAC-Verfahren auf MD5 setzen sollte.

Ausgeschaltet ist es nur in Phase 2, denn hier habe ich nur "Heartbeats" als Auswahlmöglichkeit, was wenn ich das richtig verstehe, ein Proprietäres Bintec-Ding ist.

Dann wäre es ja auch nicht DPD (dead peer detection), die läuft auf der "Phase1"-Ebene zwischen den externen Interfaces. Da habe ich dann die Bintec-Einstellung (mangels Kenntnis und dank Faulheit) falsch interpretiert.

dass beide Seiten die Verbindung aufbauen kann. Sie soll eigentlich immer bestehen bleiben, wobei sie auch weg sein dürfte, sofern sie sofort wieder da sein kann.

Wenn Du eine dauerhaft aktive Verbindung haben willst, würde ich (wieder persönlich) einen einseitigen Verbindungsaufbau bevorzugen. Das Thema "Kolllisionen" beim FRITZ!Box-VPN habe ich ja schon beschrieben, andere haben das Problem meines Wissens auch. Man kann es ja ganz einfach testen, indem man mal zwei FRITZ!Boxen mit einer aktivierten VPN-Verbindung untereinander relativ zeitnah gleichzeitig neu startet. In der Regel schlagen dann die ersten VPN-Verbindungsversuche fehl, bis die Boxen soweit asynchron beim Aufbau einer VPN-Verbindung sind, daß diese Kollisionen nicht mehr auftreten.

Ich bin nun an dem Punkt, dass ich die Fritzbox nun nicht mehr mit user_fqdn, sondern nur noch mit fqdn füttere, und hier auch reine remoteid eingetragen habe. Und jetzt steht die Verbindung schon mal länger als vorhin.

Ich verstehe allerdings immer noch nicht, was Dich von einer Konfiguration von "localid" und "remoteid" in der FRITZ!Box-Konfiguration abhält. Wenn Du vorher eine Netzwerk aus FRITZ!Boxen hattest, solltest Du genug Beispiele/Templates für eine "vollständige" Konfigurationsdatei haben.

Das Problem mit dem "Überfahren" des Uploads durch die FRITZ!Box bei VPN-Nutzung ist altbekannt. Ob die Spekulation/These zutrifft, daß die für VoIP reservierte Bandbreite am Ende durch den Overhead der IPSec-Kapselung wieder "gefressen" wird, weil auf Basis der unverschlüsselten Daten das QoS gemacht wird, ist meines Wissens bisher noch ungeklärt.

Eine Option zur Begrenzung des VPN-Durchsatzes auf der FRITZ!Box-Seite kenne ich nicht ... so vermessen zu sagen: "Es gibt sie nicht.", bin ich aber nicht.

Aber bei 1,2 MByte/s ist eine 7390 vielleicht tatsächlich überfordert und auch eine Lösung durch AVM würde ja eher den Durchsatz drosseln durch korrekt arbeitende Bandbreiten-Reservierung als den Prozessor effektiver nutzen (wenn die nicht den avmike - oder wo auch immer die Transformationen am Ende umgesetzt werden - mit handoptimiertem Assembler-Code adeln wollen). Dann bliebe (bei gelöstem QoS-Problem) vielleicht noch eines der neueren Modelle mit VR9 (und damit Dualcore) als Alternative übrig, aber auch das sind keine Renner und wenn da nur ein Kern die Verschlüsselung für das VPN macht, kann der zweite vielleicht noch die Bedienbarkeit der Box und andere Funktionen abdecken, aber den Durchsatz des VPN eher nicht erhöhen, da dort (für eine einzelne Verbindung) der zweite Prozessor vermutlich eher wenig bringt, denn eine parallele Verschlüsselung funktioniert nicht, weil der Status nach einem Paket beim nächsten Paket benötigt wird.

Wenn dann nicht von vorneherein ein Core des VR9 schneller ist als der Core des Vx180 in der 7390, wirst Du wohl nur wenig Erfolg mit einem Upload > 1,2 MByte haben. Allerdings sollte bei einer VPN-Verbindung die Prozessorlast für das Ver- und Entschlüsseln des Verkehr eigentlich nahezu identisch sein, damit dürfte auch bei 10 MBit/s VPN-Traffic im Downstream eher das Ende der Fahnenstange erreicht sein (nur daß dann halt der Downstream-Channel nicht dicht ist, was bei fehlender Prozessor-Power aber letztlich auch egal wäre).

thalternate · 21 Apr 2015

PeterPawn schrieb:
... wenn Deine FRITZ!Box 7390 schon bei 1,2 MB/s "in die Knie" geht, ist das - korrigiere mich, wenn ich MB falsch interpretiere - schon mal ein 100% ausgelasteter 10 MBit/s-Upload. Da wirst Du nur wenig mehr herausholen, wobei da wieder die Frage nach dem Unterschied "AES" und "AES-128" auf dem Bintec-Gerät akut wird. Bei AES (wenn das am Ende AES256 heißt) kämen ein paar mehr Runden bei der Schlüsselgenerierung zum Einsatz, das kostet auch Prozessorzeit und die MIPS-Prozessorkerne in den Infineon-Chips sind nun nicht gerade auf Kryptographie spezialisiert. Notfalls ginge sicherlich auch 3DES/SHA1, wie genau sich das auswirkt (und was Du da an der 7390 für einen Upload-Channel hast, wenn 10 MBit/s nicht reichen), kann ich nicht exakt einschätzen, daher bleibt das Deinem Test überlassen. Ich würde aber annehmen, daß der Overhead durch SHA1 ggü. MD5 nicht so gewaltig ist, daß man beim MAC-Verfahren auf MD5 setzen sollte.

Ja, es waren MByte/s gemeint. Bisher waren immer die Leitungen der Flaschenhals. Nun liegt hier eine Leitung mit 40 Mbit/s und ich kann nur ein Viertel ausfahren wegen der Hardware. Daher wollte ich mal schauen, ob es da ggf. bei der Wahl der Verschlüsselung noch Spielraum gibt, mehr durch zu bekommen.

Wobei ich gerade - mal abgesehen von der Unlust, neue Hardware zu kaufen - am grübeln bin, ob ich nicht statt der Fritzbox hier auch eine Digibox holen sollte, und nur meine DECT-Telefone weiter über die Fritzbox betreibe...

PeterPawn schrieb:
Wenn Du eine dauerhaft aktive Verbindung haben willst, würde ich (wieder persönlich) einen einseitigen Verbindungsaufbau bevorzugen. Das Thema "Kolllisionen" beim FRITZ!Box-VPN habe ich ja schon beschrieben, andere haben das Problem meines Wissens auch. Man kann es ja ganz einfach testen, indem man mal zwei FRITZ!Boxen mit einer aktivierten VPN-Verbindung untereinander relativ zeitnah gleichzeitig neu startet. In der Regel schlagen dann die ersten VPN-Verbindungsversuche fehl, bis die Boxen soweit asynchron beim Aufbau einer VPN-Verbindung sind, daß diese Kollisionen nicht mehr auftreten.

Ich wäre bei einem einseitigen Aufbau allerdings nervös, dass wenn - warum auch immer - die Verbindung mal abbricht, ich mich auf der Seite befinde, von der aus ich die Verbindung nicht initiieren kann. Da sind mir ein paar Fehlversüchchen das scheinbar kleinere Übel.

PeterPawn schrieb:
Ich verstehe allerdings immer noch nicht, was Dich von einer Konfiguration von "localid" und "remoteid" in der FRITZ!Box-Konfiguration abhält. Wenn Du vorher eine Netzwerk aus FRITZ!Boxen hattest, solltest Du genug Beispiele/Templates für eine "vollständige" Konfigurationsdatei haben.

Ich habe bisher noch keine cfg-Dateien verwendet, weil das Einrichten von VPNs zwischen Fritzboxen beschränkt sich dank Enduserfreundlichem Interface auf die Eingabe der Gegenstellen-DynDNS-Adresse und einem Secret. Der Rest geht einfach. Seit dem Bindet arbeite ich erst mit diesen CFG-Dateien, weil es ohne gar nicht ging. Ich habe mich im letzten Beitrag vielleicht nicht deutlich ausgedrückt, ich habe nun localid und remoteid drin, auf deine Anregung hin.

PeterPawn schrieb:
Eine Option zur Begrenzung des VPN-Durchsatzes auf der FRITZ!Box-Seite kenne ich nicht ... so vermessen zu sagen: "Es gibt sie nicht.", bin ich aber nicht.

Auch wenn es natürlich ein Unterschied ist, ob es "sie nicht gibt", oder "niemand sie kennt", ich habe dazu auch noch nichts gefunden. Ich hoffe einfach stark auf die nächste Updateversion, so dass da VPN-seitig einfach Vollgas gegeben werden kann, ohne den Rest auszuknipsen damit.

Nachdem ich gestern nun dachte, dass alles OK ist, weil die Verbindung bestehen blieb und auch die Anzeigen normal blieben, stelle ich jetzt am Standort der Fritzbox fest, dass ich nicht auf das Netz der Digitalisierungsbox zugreifen kann. Andersherum komme ich rein, kann Screensharen, Server mounten. Vom Fritzboxnetz zur Bintec kriege ich noch nicht mal einen Ping auf den Bintec durch, obwohl sich die VPN-Verbindung frisch aufbaut und steht.

Ich werde hier also nochmal nachsehen müssen, wo da nun der Hase im Pfeffer liegt.
Ich bin auf jeden Fall schon sehr glücklich, dass ich es so weit geschafft habe (mit tatkräftiger Unterstützung).

PeterPawn · 21 Apr 2015

thalternate schrieb:
ob ich nicht statt der Fritzbox hier auch eine Digibox holen sollte, und nur meine DECT-Telefone weiter über die Fritzbox betreibe...

Ist das Bintec-Device tatsächlich so viel leistungsfähiger? Was ist denn da für ein SoC drin?

Ich wäre bei einem einseitigen Aufbau allerdings nervös, dass wenn - warum auch immer - die Verbindung mal abbricht, ich mich auf der Seite befinde, von der aus ich die Verbindung nicht initiieren kann. Da sind mir ein paar Fehlversüchchen das scheinbar kleinere Übel.

Bei Verwendung von "keepalive_ip = <adresse im lan der gegenseite>;" in der FRITZ!Box-Konfiguration baut die FRITZ!Box die Verbindung von sich aus automatisch auf. Auf dem Bintec würde ich die entsprechende Einstellung (immer aktiv) irgendwo bei den Peers suchen. Wenn das Gerät auf der Initiator-Seite nicht von sich aus die Verbindung startet (wenn die "immer aktiv" ist), warum erwartest Du dann, daß die Gegenseite ihrerseits Erfolg hätte? Wenn so etwas auftritt, dann ist das in aller Regel auf den Abbruch der Internetverbindung auf mind. einer Seite zurückzuführen. Solange die weg ist, sind alle Bemühungen vergeblich ... ist sie wieder da, startet der Initiator entweder (wenn seine Verbindung betroffen war) oder die - zwischenzeitlich ja immer wieder gestarteten - Verbindungsversuche zum Responder sind endlich von Erfolg gekrönt, weil die Gegenseite wieder erreichbar ist. Wenn Du am Ende Pech hast, liegt sich die FRITZ!Box mit dem Bintec so in den Haaren (bei diesen "Kollisionen"), daß erst recht nichts mehr funktioniert. Bei "on demand"-Verbindungen verstehe ich das, wenn beide Seiten die Verbindung starten müssen ... bei "always on" ist das in meinen Augen zwar auch noch kein Problem (mit racoon oder StrongSwan), aber wenn dann der avmike dabei ist, nehme ich persönlich eigentlich immer lieber die einseitige Variante mit "keepalive_ip" auf der Initiator-Seite (wenn dort eine FRITZ!Box ist, ansonsten natürlich den dort verwendeten "Heartbeat"-Mechanismus, denn das ist in aller Regel ohnehin nur ein "ping" (bzw. ein ICMP-Paket), das in regelmäßigem Abstand gesendet wird). Bisher habe ich damit noch keine Probleme gehabt. Alles andere, was so eine Verbindung beeinträchtigen kann (z.B. Hängenbleiben einer Seite, so daß nur noch PowerOff/-On hilft), braucht ohnehin zusätzliche Vorkehrungen, wenn man immer die Möglichkeit des Zugriffs sicherstellen will.

Zum Problem der "Nichterreichbarkeit" in einer Richtung:
Die "accesslist" in der cfg-Datei der FRITZ!Box stimmt? Aus Sicht des Bintec sind ja von der FRITZ!Box-Seite kommende Verbindungen ja vielleicht externe Zugriffe, gibt es da vielleicht noch eine gesonderte Firewall für VPN-Peers, event. sogar pro Peer einzustellen? Bei der FRITZ!Box gibt es keine, es geht von "dev dsl" nach der Decapsulation direkt nach "dev lan" weiter.

thalternate · 21 Apr 2015

PeterPawn schrieb:
Ist das Bintec-Device tatsächlich so viel leistungsfähiger? Was ist denn da für ein SoC drin?

Das weiß ich nicht, ich hoffe doch aber schon, dass da mehr Bumms drin ist.

PeterPawn schrieb:
Bei Verwendung von "keepalive_ip = <adresse im lan der gegenseite>;" in der FRITZ!Box-Konfiguration baut die FRITZ!Box die Verbindung von sich aus automatisch auf. Auf dem Bintec würde ich die entsprechende Einstellung (immer aktiv) irgendwo bei den Peers suchen. Wenn das Gerät auf der Initiator-Seite nicht von sich aus die Verbindung startet (wenn die "immer aktiv" ist), warum erwartest Du dann, daß die Gegenseite ihrerseits Erfolg hätte? Wenn so etwas auftritt, dann ist das in aller Regel auf den Abbruch der Internetverbindung auf mind. einer Seite zurückzuführen. Solange die weg ist, sind alle Bemühungen vergeblich ... ist sie wieder da, startet der Initiator entweder (wenn seine Verbindung betroffen war) oder die - zwischenzeitlich ja immer wieder gestarteten - Verbindungsversuche zum Responder sind endlich von Erfolg gekrönt, weil die Gegenseite wieder erreichbar ist. Wenn Du am Ende Pech hast, liegt sich die FRITZ!Box mit dem Bintec so in den Haaren (bei diesen "Kollisionen"), daß erst recht nichts mehr funktioniert. Bei "on demand"-Verbindungen verstehe ich das, wenn beide Seiten die Verbindung starten müssen ... bei "always on" ist das in meinen Augen zwar auch noch kein Problem (mit racoon oder StrongSwan), aber wenn dann der avmike dabei ist, nehme ich persönlich eigentlich immer lieber die einseitige Variante mit "keepalive_ip" auf der Initiator-Seite (wenn dort eine FRITZ!Box ist, ansonsten natürlich den dort verwendeten "Heartbeat"-Mechanismus, denn das ist in aller Regel ohnehin nur ein "ping" (bzw. ein ICMP-Paket), das in regelmäßigem Abstand gesendet wird). Bisher habe ich damit noch keine Probleme gehabt. Alles andere, was so eine Verbindung beeinträchtigen kann (z.B. Hängenbleiben einer Seite, so daß nur noch PowerOff/-On hilft), braucht ohnehin zusätzliche Vorkehrungen, wenn man immer die Möglichkeit des Zugriffs sicherstellen will.

Also würde ich (der Einfachheit halber) im Bintec auf (immer aktiv) stellen, dann ist der der Initiator? Oder auf jeden Fall auch in der Fritzbox "keepalive" einfügen?

PeterPawn schrieb:
Zum Problem der "Nichterreichbarkeit" in einer Richtung:
Die "accesslist" in der cfg-Datei der FRITZ!Box stimmt? Aus Sicht des Bintec sind ja von der FRITZ!Box-Seite kommende Verbindungen ja vielleicht externe Zugriffe, gibt es da vielleicht noch eine gesonderte Firewall für VPN-Peers, event. sogar pro Peer einzustellen? Bei der FRITZ!Box gibt es keine, es geht von "dev dsl" nach der Decapsulation direkt nach "dev lan" weiter.

Ich muss hinzufügen, dass ich "dachte", die Erreichbarkeit ist nur in einer Richtung, es stellte sich aber heute heraus, sie ist in beiden Richtungen nicht funktionierend. Erst ein händisches Abbauen des Tunnels und neu initiieren ließ sie wieder für einige Zeit laufen.

Derzeit scheint die Zeit etwa 55 Minuten zu betragen, nach der der Tunnel weiter besteht, aber keine Dinge mehr durchlässt.

Ich hatte zwischenzeitlich alle SHA1-Einstellungen auf MD5 gestellt, was aber in einer sofortigen Nichtbenutzbarkeit des Tunnels endete.

So sieht meine derzeitige cfg-Datei aus:

/*
* FB7390.cfg - Stand: 2015-04-15
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "SBK_Bintec";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = „fremd.dyndns.net";
localid {
fqdn = „heim.dyndns.net";
}
remoteid {
fqdn = "fremd.dyndns.net";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = „geheimerkey“;
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 10.1.1.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 10.50.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 10.50.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

PeterPawn · 21 Apr 2015

thalternate schrieb:
Oder auf jeden Fall auch in der Fritzbox "keepalive" einfügen?

Nein. Bringt außer zusätzlichem Traffic nichts ... was fängt die FRITZ!Box mit der Information an, daß der Tunnel nicht mehr funktioniert, wenn sie ohnehin keine Verbindung aufbauen kann (bzw. soll)?

Derzeit scheint die Zeit etwa 55 Minuten zu betragen, nach der der Tunnel weiter besteht, aber keine Dinge mehr durchlässt.

Wenn man anderen Beiträgen hier folgt, scheint bei AVM derzeit im VPN eine Stunde immer 54 Minuten lang zu sein. Selbst die LT8h-Sets (mit theoretisch einer Key-Lifetime von 8 h) sollen nach 8x 54' nicht mehr wollen. AVM hat Probleme mit dem VPN und Android-Geräten, wer daran die Schuld trägt ist auch egal ... Fakt ist mal, daß da seit einem knappen Jahr (im Prinzip seit 06.10-Labor) dran gebastelt wird.

Wenn bei Dir der Tunnel auch nach ca. 55 Minuten nicht mehr funktionieren will, klappt wahrscheinlich auch da das Rekeying nach dem Ablauf der Lifetime nicht. Das würde zwar wieder auf AVM-Probleme hindeuten, aber entweder Du schaust tatsächlich mal in die bereits angesprochene /var/tmp/ike.log (eine Telnet-Session ist ja sicherlich nicht zuviel verlangt) oder Du puhlst Dir diese Informationen aus den Support-Daten der FRITZ!Box, dann aber zeitnah zum Rekeying, sonst werden die wichtigen und interessanten Log-Einträge ggf. von irgendwelchen Fehlversuchen überschrieben. Nur zu raten bringt nichts ...

thalternate · 23 Apr 2015

Aktueller Zwischenstand: Ich habe, da die Verbindung jetzt über 24 Stunden stabil lief, mal Keepalive im Bintec angehakt, und das geht jetzt auch schon 20 Stunden gut soweit. Die Telnetsession konnte ich noch nicht veranstalten, möchte und werde das aber auf jeden Fall noch machen und melde mich danach wieder.

Und bzgl. der Prozessor-Art bzw. -last: Es lief mal wieder eine VPN-Übertragung, die meine Fritzbox in die Knie zwang für etliche Zeit - der Prozessor des Bintec lag dabei bei ca 40%. Da scheint also zumindest noch Luft zu sein.

locom001 · 14 Okt 2016

Hallo zusammen,

gibt es für diese Problem Lösung ein Howto - bzw fertige Konfigurations Hilfen ??

Ne Fertige CFG für die Fritzbox würde mir schon erstmal weiter helfen.

Gruß Gerard

- - - Aktualisiert - - -

Nochmal Hallo zusammen,

irgendwie ist mein Post weg - ich stehe wie oben vor dem Selben Problem.
Gibt es irgendwie ein Howto oder fertige Dateien die Ich umschreiben kann damit ich eine Lan - Lan Kopplung mit der Fritz.box hinbekomme ??

Gruß Gerard

CapFloor4711 · 14 Okt 2016

Hi,

eine funktionierende Konfiguration für eine VPN-Verbindung zwischen FB und bintec Router findest du http://www.router-forum.de/board-bi...hen-bintec-und-avm-fritzbox-64371-page-1.html.

VG

locom001 · 14 Okt 2016

Danke für die schnelle Antwort - wird dann wohl meine Beschäftigung heute Abend sein.

gruß Gerard

[Frage] VPN zwischen Bintec Hybrid / Telekom Digitalisierungsbox Premium und Fritzbox 7390

Neuer User

IPPF-Promi

IPPF-Urgestein

Neuer User

Neuer User

Neuer User

IPPF-Urgestein

Neuer User

IPPF-Urgestein

Neuer User

IPPF-Urgestein

Neuer User

IPPF-Urgestein

Neuer User

Neuer User

Neuer User

Neuer User

Statistik des Forums