6490 und instabile eingehende VPN

[graefe]

Hallo,
habe einen neuen Unitymedia-Business-Anschluss und versuche seit Tagen, meine 6490 (FW 6.52) mit den (bereits untereinander per VPN verbundenen) Fritzboxen per VPN zu verbinden. Das gelingt der 6490 ausgehend ohne Probleme, aber eingehend eben instabil und mit sehr vielen Fehlern (3er Fehler = IKE-Server hat Verbindung beendet und 0x2027-Fehler).

DSLite-Problem? Ich glaube nicht, weil ich doch einen Business-Anschluss habe, die Fritzbox-Oberfläche immer die gleiche IP anzeigt und dort auch nichts von wegen DSLite steht. Und manchmal funktioniert es ja sogar für ein paar Minuten.

Da die Fehler nur in eingehender Richtung zur 6490 auftreten, mutmaße ich ja doch irgendwelche IPv4-Probleme. Kann es sein, dass die Box von Unitymedia noch nicht das richtige Profil gekriegt hat? Oder ist die Box einfach defekt??

Zum Verzweifeln...!

 

[wiedumir]

gleiche IP

Hast Du mal versucht auf diese IP von außen zuzugreifen?

 

[graefe]

Jupp, komme mit der IP per HTTPS auf die Oberfläche der Fritzbox.

 

[Shirocco88]

DSLite-Problem? Ich glaube nicht, weil ich doch einen Business-Anschluss habe, die Fritzbox-Oberfläche immer die gleiche IP anzeigt und dort auch nichts von wegen DSLite steht. Und manchmal funktioniert es ja sogar für ein paar Minuten.

Hast Du IPv6 Dualstack ?
welche MTU (1500 oder 1460) steht bei der IPv4-Verbindung in der FritzBox Übersichts-Seite (Web-IF) ?

geht es um LAN-to-LAN-VPN (conntype_lan) oder Client-to-LAN-VPN (conntype_user) ?

Business-Anschluß:
mit oder ohne Zusatz-IP ?
wenn Zusatz-IPs vorhanden sind: wird Bridge-Mode oder Router-Mode verwendet ?

Kann es sein, dass die Box von Unitymedia noch nicht das richtige Profil gekriegt hat?

Welches Profil wurde Dir seitens UM zugewiesen ?
siehe "Web-GUI: Übersichtsseite >> Internet >> Kabel-Informationen >> weitere Informationen Konfigurationsdatei des Anbieters: xxxxxxxxxxx.bin"
Bitte xxxxxxxxxxx posten, z.B. b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

 

[graefe]

Hast Du IPv6 Dualstack ?
welche MTU (1500 oder 1460) steht bei der IPv4-Verbindung in der FritzBox Übersichts-Seite (Web-IF) ?

Tja, auf jeden Fall kann ich IPv6 aktivieren und mit wird eine IPv6-Nr. zugewiesen.
MTU? Finde ich nirgends in der Fritzbox.

geht es um LAN-to-LAN-VPN (conntype_lan) oder Client-to-LAN-VPN (conntype_user) ?

Nur LAN-LAN.

Business-Anschluß:
mit oder ohne Zusatz-IP ?
wenn Zusatz-IPs vorhanden sind: wird Bridge-Mode oder Router-Mode verwendet ?

Keine Zusatz-IPs.

Welches Profil wurde Dir seitens UM zugewiesen ?
siehe "Web-GUI: Übersichtsseite >> Internet >> Kabel-Informationen >> weitere Informationen Konfigurationsdatei des Anbieters: xxxxxxxxxxx.bin"
Bitte xxxxxxxxxxx posten, z.B. b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

Ich komme mir ja dumm vor, aber das steht bei mir da garantiert nicht. Nur ein Log mit so etwas wie „MIMO-Events“ usw.

Graefe

 

[wiedumir]

Das gelingt der 6490 ausgehend ohne Probleme, aber eingehend eben instabil und mit sehr vielen Fehlern (3er Fehler = IKE-Server hat Verbindung beendet und 0x2027-Fehler).

Ich lese daraus, dass eine eingehende Verbindung kurzzeitig zustandekommt, aber nach einer Weile abbricht. Richtig?

• Wie lange dauert diese Zeitspanne (in Sek/Min)?
  
• Ist das Verhalten reproduzierbar, also identisch wiederholbar von Ablauf und Zeitspanne her?
• Hast Du die anderen VPN-Boxen erstmal abgeschaltet oder sind die durchgehend angeschlossen während Deiner Versuche?

Kannst Du das VPN-Netz mal kurz skizzieren/beschreiben?

habe einen neuen Unitymedia-Business-Anschluss

• Stammt die 6490 von Unitymedia oder ist es Deine eigene?
• Hängt sie direkt an der Kabeldose oder an einem anderen Gerät (Modem)?
  
• Hast Du alleinigen Zugriff darauf oder macht das Unitymedia?
  
• Was ist der genaue Unterschied zum alten Anschluss (Box/Vertrag/Features)?
• Hast Du eine/n/s anderen Router/Modem im Rahmen der Änderung erhalten?
• Hast Du selbst die VPN-Skripte entwicklelt?

 

[graefe]

Ich lese daraus, dass eine eingehende Verbindung kurzzeitig zustandekommt, aber nach einer Weile abbricht. Richtig?

• Wie lange dauert diese Zeitspanne (in Sek/Min)?
  
• Ist das Verhalten reproduzierbar, also identisch wiederholbar von Ablauf und Zeitspanne her?
• Hast Du die anderen VPN-Boxen erstmal abgeschaltet oder sind die durchgehend angeschlossen während Deiner Versuche?

Die beiden VPN-Verbindungen zur Fritzbox nach ca. 2 Minuten mit dem "Ursache: 3 IKE-Server" abgebrochen. Ich habe jetzt mal die 7390er aus der Lan-Kopplung herausgenommen. Seitdem hält die Verbindung bereits mehrere Minuten. Nicht schlecht. Aber wieso??

Kannst Du das VPN-Netz mal kurz skizzieren/beschreiben?

7390 und 7490 sind seit Jahren problemlos per LAN-LAN-Kopplung (myfritz-Dyndns) über DSL verbunden.

Die 6490 kommt von Unitymedia (Business) als Mietgerät zum Neuanschluss dazu. Die VPN-Verbindung erfolgte zunächst (in der Erwartung einer static IP) ohne myfritz jeweils von der 7490 und der 7390 auf die 6490 sowie von der 6490 auf die 7490 und die 7390 (mit myfritz-DynDNS). (Nach den Problemen habe ich auch mal den Zugriff auf die 6490 per myfritz erfolglos probiert.) VPN immer aufrechthalten ist aktiviert.

Die VPN-Skripte habe ich mit dem Web-Interface der Fritzbox selber gemacht (so wie ich das schon immer mache, ob für LAN-LAN oder Client-LAN).

Modem? Hm, muss ich in den nächsten Tagen mal gucken (steht im Büro). Die Kabelnetzbetreiber haben ja bekanntlich Zugriff für Firmware- oder Profilaufspielung, aber ansonsten ist mir nichts bekannt und ich habe auch nichts besonderes gebucht.

Graefe

### Zusammenfassung Doppelpost ###

Was mir gerade merkwürdiges aufgefallen ist: Die 6490 zeigt unter dem Ereignis-Log beim Aufbau der Internetverbindung eine ganz andere IP an, als auf der Übersichtsseite steht. Wie kann das denn sein??

//edit by stoney
5.10 Keine Aneinanderreihung eigener Beiträge innerhalb von 24 Stunden; hier ist die "Bearbeiten"-Funktion zu verwenden.
IP Phone Forum Regeln - Neu im IP-Phone-Forum? - Was kannst Du für die Community (das Forum) als User tun?

 

[Shirocco88]

Nur um sicher zu sein und das "UnityMedia MTU-Problem" https://www.unitymediaforum.de/viewtopic.php?p=379556#p379556 auszuschließen:
was liefert der MTU-Test http://www.speedguide.net/analyzer.php ?
hier solte

MTU = 1500
MTU is fully optimized for broadband.
MSS = 1460
Maximum useful data in each packet = 1460, which equals MSS.

angezeigt werden; einfach per Win7 oder höher per Browser ermitteln.

komme mit der IP per HTTPS auf die Oberfläche der Fritzbox.

Welche MTU-Werte stehen im Ereignislog:
http://192.168.1.49/?lp=log
z.B.

26.12.17 15:22:14 Internetverbindung wurde erfolgreich hergestellt.
IPv4 wird über DS-Lite genutzt.
AFTR-Gateway: (de-xxxxxx-yyyyy.aftr.umkbw.net), IPv4-MTU: (1460)

Die 6490 zeigt unter dem Ereignis-Log beim Aufbau der Internetverbindung eine ganz andere IP an, als auf der Übersichtsseite steht. Wie kann das denn sein??

Daher meine Frage (siehe #4), ob hier zusätzlich eine IP-Adresse per Bridging-Mode oder Router-Mode (RIP) bei UM gebucht wurde ?
Könntest Du "copy&paste" die genauen Zeilen hier posten, die letzten beiden Zahlen der IP-Adresse vorher noch anonymisieren.

Welches Profil wurde Dir seitens UM zugewiesen ?
siehe "Web-GUI: Übersichtsseite >> Internet >> Kabel-Informationen >> weitere Informationen Konfigurationsdatei des Anbieters: xxxxxxxxxxx.bin"
Bitte xxxxxxxxxxx posten, z.B. b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

das (Konfigurationsdatei des Anbieters: xxxxxxxxxxx.bin) ist in der untersten Zeile in dieser genannten Ansicht zu entnehmen.

 

[wiedumir]

Wenn ich Dir helfen soll, bin ich auf eine punktgenaue Beantwortung meiner Fragen angewiesen. Bitte keine langen Stories stattdessen!

 

[graefe]

Nur um sicher zu sein und das "UnityMedia MTU-Problem" auszuschließen:
was liefert der MTU-Test http://www.speedguide.net/analyzer.php ?

Speedguide:
MTU = 1500
MTU is fully optimized for broadband.
Welche MTU-Werte stehen im Ereignislog:

Fritzbox-Log:
26.12.17
16:55:15 Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 176.198.x.y, DNS-Server: 80.69.96.12 und 81.210.129.4, Gateway: 176.198.x.y
26.12.17
16:55:04 Internetverbindung wurde getrennt.

In der Übersicht steht dagegen:
IPv4, verbunden seit 26.12.2017, 16:54 Uhr
IP-Adresse: 78.94.x.y

Könntest Du "copy&paste" die genauen Zeilen hier posten, die letzten beiden Zahlen der IP-Adresse vorher noch anonymisieren.


das (Konfigurationsdatei des Anbieters: xxxxxxxxxxx.bin) ist in der untersten Zeile in dieser genannten Ansicht zu entnehmen.

Ich habe alles oben gepostet, was im Ereignislog steht. Ich finde nirgendwo etwas bez. Konfigurationsdatei.

 

[Shirocco88]

auf jeden Fall kann ich IPv6 aktivieren und mit wird eine IPv6-Nr. zugewiesen.

nach Möglichkeit OHNE IPv6 arbeiten, d.h. deaktivieren;
Hintergrund: AVM-VPN nutzt nur IPv4, daher bringt uns IPv6 hier keinen Mehrwert und erschwert ggf. das Troubleshooting.

Speedguide:
MTU = 1500
MTU is fully optimized for broadband.

d.h. bei diesem UM-Anschluß liegt kein MTU-1460-Problem vor.

Die 6490 kommt von Unitymedia (Business) als Mietgerät zum Neuanschluss dazu. Die VPN-Verbindung erfolgte zunächst (in der Erwartung einer static IP) ohne myfritz jeweils von der 7490 und der 7390 auf die 6490 sowie von der 6490 auf die 7490 und die 7390 (mit myfritz-DynDNS). (Nach den Problemen habe ich auch mal den Zugriff auf die 6490 per myfritz erfolglos probiert.) VPN immer aufrechthalten ist aktiviert.

IKE-Error 0x2027 bedeutet "timeout";
Quelle: http://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7390/010/hilfe_syslog_122

Tritt das VPN-Problem auch bei einer Punkt-zu-Punkt-Verbindung (Einzel-VPN-Verbindung) statt Punkt-zu-Mehrpunkt-Verbindung auf ?
Bitte nur eine VPN-Verbindung aktivieren, d.h. nur VPN-Tunnel zwischen FB6490 und FB7490 testen und die Verbindung zur FB7390 deaktivieren.

Bitte auch mal die Hinweise aus AVM-Knowledgebase prüfen:
https://avm.de/service/fritzbox/fri...Box-Netzwerken-kann-nicht-hergestellt-werden/

Welches Profil wurde Dir seitens UM zugewiesen ?

Ich finde nirgendwo etwas bez. Konfigurationsdatei.

Bitte mal in der supportdaten.txt http://fritz.box/?lp=support erstellen;
mit Notepad++ oder Wordpad öffnen und nach Zeile "ls -la /var/tmp" suchen, darunter befindet sich die Profile.bin Datei;
z.B.:
ls -la /var/tmp
SNIP
-rw-r--r-- 1 root root 6456 Dec 18 01:48
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

einfach Profilename (blau markiert) oder Verzeichnis-Listing /var/tmp posten.

folgende Abschnitte in supportdata.txt sind für Troubleshooting auch interessant:

##### BEGIN SECTION vpn VPN
VPN avmike
SNIP
VPN assocs
SNIP
VPN connections
SNIP
##### END SECTION vpn

Bitte ike.log (Abschnitt "VPN avmike") posten;

##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
SNIP
##### END SECTION vpn_cfg

 

[PeterPawn]

Die ausführlichen DOCSIS-Informationen gibt es in der Provider-Version der Firmware nicht - siehe "menu_data.lua" bzgl. der Konditionen, wann dieser Tab vorhanden ist und wann nicht (und hier ist das auch noch die schon ältere 06.52 in der Provider-Version, wo die 6490 noch zum großen Teil auf dem ARM-Core schindert).

Es ist bekannt, daß ein beidseitiger Verbindungsaufbau beim AVM-VPN zu Kollisionen führen kann, wo dann eine bereits funktionierende VPN-Verbindung mit in den Orkus gerissen wird, wenn es beim versuchten Verbindungsaufbau in der Gegenrichtung zu Problemen kommt. Ein prominentes Beispiel dafür ist eine DS-Lite-Konfiguration, wo eine fehlschlagende, eingehende Verbindung (vom "nicht DS-Lite-Peer" gestartet) dann dazu führt, daß auch die Gegenrichtung des Tunnels bei einem Fehler (das "timeout" ist hier ja zwangsläufig, weil ein DS-Lite-Anschluß eben eingehend nicht über IPv4 erreicht werden kann) mit abgebaut wird.

Hat man eine Topologie, wo es tatsächlich eine Art "zentralen Knoten" im VPN gibt (weil darüber z.B. zwei Filialen ohne direkte VPN-Verbindung miteinander kommunizieren können), bietet es sich an, in Handarbeit bei dieser Zentrale dafür zu sorgen, daß der Verbindungsaufbau immer nur in einer Richtung (nämlich "hin" zu dieser Zentrale) erfolgt - dafür entfernt man einfach nur "remoteip" und "remotehostname" aus den Konfigurationen auf der FIRTZ!Box in der "Zentrale", wo die Box nicht selbst eine ausgehende Verbindung aufbauen soll. Das reicht bereits aus, daß ein Start der Verbindung nur aus einer Richtung erfolgt und damit kann es in der anderen Richtung gar nicht erst zu dieser "Kollision" kommen. Wenn die Box keine Idee mehr hat, wo sie den Peer finden kann, baut sie ihrerseits auch keine Verbindung auf - wohin sollte die auch gehen.

 

[Shirocco88]

Ein prominentes Beispiel dafür ist eine DS-Lite-Konfiguration, wo eine fehlschlagende, eingehende Verbindung (vom "nicht DS-Lite-Peer" gestartet) dann dazu führt, daß auch die Gegenrichtung des Tunnels bei einem Fehler (das "timeout" ist hier ja zwangsläufig, weil ein DS-Lite-Anschluß eben eingehend nicht über IPv4 erreicht werden kann) mit abgebaut wird.

bei FB6490 (UM) und FB7490 (Telekom) sind in diesem Thread keine Indizien bzgl. Vorhandensein von DS-Lite bekannt; die VPN-Verbindung zu FB7390 (O2) wurde empfohlen zu deaktivieren; somit ist diese Ursache bzgl. "timeout" eliminiert; ergänzend kann, wie PeterPawn beschreibt, remotehostname = ""; und remoteip = 0.0.0.0; auf der Fritzbox in der "Zentrale" gesetzt werden.

folgende Abschnitte in supportdata.txt sind für Troubleshooting auch interessant:

##### BEGIN SECTION vpn VPN
VPN avmike
SNIP
VPN assocs
SNIP
VPN connections
SNIP
##### END SECTION vpn

Wichtig für VPN-Troubleshooting wären auch die ike.log Files der beiden beteiligten Fritzboxen (FB6490, FB7490) am besten nach Reboot der Boxen;
zuerst die Box in der Zentrale booten und dann zeitnah die Box in der Außenstelle, anschließend die Supportdaten.txt Datei mit dem ike.log erstellen, dann hat man die vollständige VPN-Session (beginnend mit Beginn "avmike:< add (appl=dsld,cname=<vpn-definition>...") enthalten; diese ggf. noch zu anonymisieren (MyFritz-/DynDNS-Hostnames in fb6490.domain, bzw. fb7490.domain umformen) und hier in CODE-Tags posten.

Fritzbox-Log:
26.12.17 16:55:15 Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 176.198.x.y

In der Übersicht steht dagegen:
IPv4, verbunden seit 26.12.2017, 16:54 Uhr
IP-Adresse: 78.94.x.y

Auch das Thema "Management-IP (FritzBox Web-Interface)" 78.94.xxx.yyy oder Zusatz-IP "Bridgemode-IP" 176.198.xxx.yyy sollte abgeklärt werden;
IMHO ist für VPN die IP-Adresse des Web-Interfaces der Fritzbox zu verwenden;

Welche der beiden IP-Adressen wird via DynDNS-/MyFritz-Service registriert ? DNS-Auflösung mittels "nslookup xxx.myfritz.de" testen.
welcher Hostname ist in der FritzBox-VPN-Config FB6490/FB7490 eingetragen ?

sollte es hier ein Hostname-Mismatch vorliegen, so könnte ich mir den Verbindungsabbruch erklären.

Weiteres sobald Inputs seitens TE vorliegen.

 

[graefe]

Zunächst Danke für die Unterstützung hier!

Ich habe heute bei UM angerufen: Ich habe eine Static-IP, aber zusammen mit mehreren dynamischen IPs zugewiesen bekommen. Keine Ahnung, was ich mit dieser Info anfangen soll. Jedenfalls habe ich kein DSLite.

Jetzt zu meiner Hausaufgabe: Nachdem alle sonstigen VPN-Verbindungen deaktiviert worden sind, läßt sich eine stabile VPN-Verbindung aufbauen, die aber nicht funktionstüchtig ist, d.h. die lokale IP der Fritzbox läßt sich durch den Tunnel nicht anpingen.

Hier der ike.log der 7490 (die 6490 wird nicht mit myfritz.dyndns kontaktiert, sondern mit der von UM zugewiesenen static IP, mit der sich auch die Web-Oberfläche erreichen läßt.

1970-01-01 01:01:24 avmike:< add(appl=dsld,cname=6490.domain,localip=7490.domain, remoteip=6490.domain, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.4.1 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:24 avmike:new neighbour 6490.domain:  nat_t
1970-01-01 01:01:24 avmike:6490.domain start_vpn_keepalive 192.168.4.1
2017-12-27 14:25:24 avmike:mainmode 6490.domain: selected lifetime: 3600 sec(no notify)
2017-12-27 14:25:24 avmike:mainmode 6490.domain: add SA 1
2017-12-27 14:25:24 avmike:6490.domain remote peer supported XAUTH
2017-12-27 14:25:24 avmike:6490.domain remote peer supported DPD
2017-12-27 14:25:24 avmike:6490.domain remote peer supported NAT-T RFC 3947
2017-12-27 14:25:24 avmike:6490.domain: sending embedded inital contact message (0,6490.domain,6490.domain)
2017-12-27 14:25:24 avmike:6490.domain: switching to NAT-T (Initiator)
2017-12-27 14:25:24 avmike:6490.domain: Phase 1 ready
2017-12-27 14:25:24 avmike:6490.domain: remote is behind a nat
2017-12-27 14:25:24 avmike:6490.domain: start waiting connections
2017-12-27 14:25:24 avmike:6490.domain: Phase 2 starting (start waiting)
2017-12-27 14:25:25 avmike:6490.domain: Phase 2 ready
2017-12-27 14:25:25 avmike:< cb_sa_created(name=6490.domain,id=1,...,flags=0x00022101)
2017-12-27 14:25:25 avmike:6490.domain stop_vpn_keepalive to 192.168.4.1
2017-12-27 14:25:25 avmike:6490.domain start_keepalive_timer 3540 sec
2017-12-27 14:25:25 avmike:6490.domain: start waiting connections
2017-12-27 14:25:25 avmike:6490.domain: NO waiting connections
2017-12-27 14:25:28 avmike:unknown remote peer supported XAUTH
2017-12-27 14:25:28 avmike:unknown remote peer supported DPD
2017-12-27 14:25:28 avmike:unknown remote peer supported NAT-T RFC 3947
2017-12-27 14:26:03 avmike:unknown remote peer supported XAUTH
2017-12-27 14:26:03 avmike:unknown remote peer supported DPD
2017-12-27 14:26:03 avmike:unknown remote peer supported NAT-T RFC 3947
2017-12-27 14:26:38 avmike:unknown remote peer supported XAUTH
2017-12-27 14:26:38 avmike:unknown remote peer supported DPD
2017-12-27 14:26:38 avmike:unknown remote peer supported NAT-T RFC 3947
2017-12-27 14:27:13 avmike:unknown remote peer supported XAUTH
2017-12-27 14:27:13 avmike:unknown remote peer supported DPD
2017-12-27 14:27:13 avmike:unknown remote peer supported NAT-T RFC 3947

VPN assocs
----------
/proc/kdsld/dsliface/internet/ipsec/assocs:
6490.domain: 7490.domain:0.0.0.0 6490.domain:0.0.0.0 1 SAs  valid enabled dynlocalip
    permit ip any 192.168.4.0 255.255.255.0
    Forbidden Clients: 192.168.179.0/24

VPN connections
----------
/proc/kdsld/dsliface/internet/ipsec/connections:
6490.domain: pmtu 0 mtu 1492 dpd_supported dont_filter_netbios remote_nat

##### END SECTION vpn
##### BEGIN SECTION l2tpv3d Suppotdata l2tpv3d
##### BEGIN SECTION l2tpv3d_log log

Hier der 6490 log. Bemerkenswert ist, dass die local ip NICHT die static IP von UM ist, sondern irgendeine andere IP, mit der sich aber z.B. die Weboberfläche nicht erreich läßt.:

VPN avmike
-------
ls: /var/tmp/ike.old: No such file or directory
-rw-r--r--    1 root     root          2692 Dec 27 14:25 /var/tmp/ike.log
2017-12-27 14:25:22 avmike:< add(appl=dsld,cname=7490.myfritz.net,localip=nicht die von um statisch zugewiesene ip4-adresse, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.5.1 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2017-12-27 14:25:22 avmike:new neighbour 7490.myfritz.net:  nat_t
2017-12-27 14:25:22 avmike:7490.myfritz.net start_vpn_keepalive 192.168.5.1
2017-12-27 14:25:22 avmike:mainmode 7490.myfritz.net: selected lifetime: 3600 sec(no notify)
2017-12-27 14:25:22 avmike:7490.myfritz.net remote peer supported XAUTH
2017-12-27 14:25:22 avmike:7490.myfritz.net remote peer supported DPD
2017-12-27 14:25:22 avmike:7490.myfritz.net remote peer supported NAT-T RFC 3947
2017-12-27 14:25:23 avmike:mainmode 7490.myfritz.net: add SA 1
2017-12-27 14:25:23 avmike:7490.myfritz.net: Warning: source changed from 0.0.0.0:500 to 87.178.37.248:4500
2017-12-27 14:25:23 avmike:7490.myfritz.net: switching to NAT-T (Responder)
2017-12-27 14:25:23 avmike:7490.myfritz.net: embedded inital contact message received
2017-12-27 14:25:23 avmike:7490.myfritz.net start_vpn_keepalive already running
2017-12-27 14:25:23 avmike:7490.myfritz.net: Phase 1 ready
2017-12-27 14:25:23 avmike:7490.myfritz.net: current=0.0.0.0 new=87.178.37.248:4500
2017-12-27 14:25:23 avmike:7490.myfritz.net start_vpn_keepalive already running
2017-12-27 14:25:23 avmike:7490.myfritz.net: no valid sa, reseting initialcontactdone flag
2017-12-27 14:25:23 avmike:7490.myfritz.net: Phase 1 failed (initiator): IKE-Error 0x203e
2017-12-27 14:25:23 avmike:< cb_sa_create_failed(name=7490.myfritz.net,reason=IKE-Error 0x203e)
2017-12-27 14:25:23 avmike:7490.myfritz.net: local is behind a nat
2017-12-27 14:25:23 avmike:7490.myfritz.net: start waiting connections
2017-12-27 14:25:23 avmike:7490.myfritz.net: NO waiting connections
2017-12-27 14:25:24 avmike:7490.myfritz.net: Phase 2 ready
2017-12-27 14:25:24 avmike:< cb_sa_created(name=7490.myfritz.net,id=1,...,flags=0x00012001)
2017-12-27 14:25:24 avmike:7490.myfritz.net stop_vpn_keepalive to 192.168.5.1
2017-12-27 14:25:24 avmike:7490.myfritz.net start_keepalive_timer 3540 sec
2017-12-27 14:25:24 avmike:7490.myfritz.net: start waiting connections
2017-12-27 14:25:24 avmike:7490.myfritz.net: NO waiting connections
2017-12-27 14:25:34 avmike:>>>4500 nat-t-keepalive[87.178.37.248:4500]

VPN assocs
----------
/proc/kdsld/dsliface/internet/ipsec/assocs:
7490.myfritz.net: nicht die von um statisch zugewiesene ip4-adresse:0.0.0.0 87.178.37.248:0.0.0.0 1 SAs  valid enabled dynlocalip
    permit ip any 192.168.5.0 255.255.255.0
    Forbidden Clients: 192.168.179.0/24

VPN connections
----------
/proc/kdsld/dsliface/internet/ipsec/connections:
7490.myfritz.net: pmtu 0 mtu 1500 dpd_supported dont_filter_netbios local_nat

##### END SECTION vpn
##### BEGIN SECTION l2tpv3d Suppotdata l2tpv3d
##### BEGIN SECTION l2tpv3d_log log

Ich habe auch versucht, die 6490 statt über die static IP über myfritz.dyndns zu erreichen. Die myfritz.dyndns-Adresse wird von der Fritzbox richtig aufgelöst (von DNSWatch allerdings mit der ominösen fremden IP, mit der auch die Internet-Verbindung aufgebaut wird), aber die VPN-Verbindung ist wieder extrem instabil und funktionslos.

Oh man, so etwas kompliziertes habe ich ja selten erlebt...

Graefe

 

[Shirocco88]

Auch das Thema "Management-IP (FritzBox Web-Interface)" 78.94.xxx.yyy oder Zusatz-IP "Bridgemode-IP" 176.198.xxx.yyy sollte abgeklärt werden;
IMHO ist für VPN die IP-Adresse des Web-Interfaces der Fritzbox zu verwenden;

Welche der beiden IP-Adressen wird via DynDNS-/MyFritz-Service registriert ? DNS-Auflösung mittels "nslookup xxx.myfritz.de" testen.
welcher Hostname ist in der FritzBox-VPN-Config FB6490/FB7490 eingetragen ?

sollte es hier ein Hostname-Mismatch vorliegen, so könnte ich mir den Verbindungsabbruch erklären.

FB6490:
VPN assocs
----------
/proc/kdsld/dsliface/internet/ipsec/assocs:
7490.myfritz.net: nicht die von um statisch zugewiesene ip4-adresse:0.0.0.0 87.178.xxx.yyy:0.0.0.0 1 SAs valid enabled dynlocalip

es sieht nach DNS-Error aus
==> IKE-Error 0x202E "dns: unspecified error"
siehe http://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7390/010/hilfe_syslog_122

dadurch findet die FB7490 die FB6490 nicht und die VPN remote/local SA passen nicht.

Bitte DynDNS auf FB6490 richtigstellen,
die IP aus VPN-Assoc "nicht die von um statisch zugewiesene ip4-adresse" ist IMHO als VPN-Endpunkt zu verwenden;
Kontrolle: temp Fritzbox web-interface freigeben "Übersichtsseite >> Internet >> Freigaben >> Internet-Dienste >> Internetzugriff auf die FRITZ!Box über HTTPS aktiviert"
anschließend muß Webseite https://fb6490.domain:443 von Smartphone aus funktionieren

Idealerweise die entsprechenden Configurationen der vpn-verbindungen FB6490 <<<==>> FB7490 in den Fritzboxen löschen
und mit richtigem DynDns-Hostname neu anlegen.

UPDATE: Korrektur-Hinweis von PeterPawn #16
IKE-Error 0x203E "xauth failed"
siehe http://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7390/010/hilfe_syslog_122

 

[PeterPawn]

Sorry, da kann einfach etwas nicht stimmen.

Die Angabe von "255.255.255.255" für "remoteip" im "add"-Eintrag der "ike.log" zeigt normalerweise an, daß da gerade nicht die passive Rolle als "responder" konfiguriert wurde.

Das ist - bei allen mir zugänglichen Boxen jedenfalls - ganz im Gegenteil ein Zeichen dafür, daß dort die IP-Adresse nicht bekannt ist und erst über DNS-Abfragen der "remotehostname" zu einer Adresse führt.

Wenn da am Ende im DNS eine andere Angabe steht, als die vom Gegenüber (man könnte es auch "peer" nennen) derzeit verwendete IPv4-Adresse und die FRITZ!Box dann bei der nächsten Abfrage feststellt, daß diese Adressen nicht übereinstimmen (und solche Abfragen finden regelmäßig statt, damit ein Wechsel der IP-Adresse auch in einem Szenario mit zwei dynamischen Adressen bemerkt wird), dann kann man (bzw. ich) am Ende nur noch "selbst schuld" konstatieren.

Eine Wiederholung der "Empfehlung", dann auf der "responder"-Seite die Angaben zu "remoteip" und "remotehostname" zu entfernen, wäre die einzige "Lösung", die mir hier einfiele ... allerdings wüßte ich auch keine Begründung, warum das bei einer solchen Wiederholung dann eher wahrgenommen werden sollte.

Es würde zumindest die DNS-Abfrage verhindern und damit wohl auch die Feststellung, daß da im DNS eine ganz andere Adresse steht als diejenige, von der dieser Request kommt. Wenn man schon eine VPN-Verbindung auf diese Art konfiguriert, muß man eben parallel auch dafür sorgen, daß der DNS-Name auf die aktuelle IP-Adresse (des Telekom-Anschlusses) zeigt - ansonsten läßt man diesen Namen als "remotehostname" einfach weg. Punkt. Damit ist man zumindest mal den Fehler 0x203E los ... was dann an weiteren Problemen auftaucht, kann man logischerweise erst feststellen, wenn man das erste aus dem Weg geräumt hat.

Wenn es sich in der Gegenrichtung bei dem "unknown remote peer" um die 6490 handeln sollte, die da ihrerseits bei der 7490 "anklopft" (durch das Maskieren einer IPv4-Adresse mit "6490.domain" blickt da vermutlich nur noch der Verfasser wirklich durch), würde das zumindest wieder nahelegen, daß der DynDNS-Eintrag für "7490.myfritz.net" stimmt ... dann sollte das aber auch genau der DNS-Name sein, der bei "remotehostname" in der Konfiguration der 6490 steht und dann wird der Fehler 0x203E vollends unverständlich. Daher tippe ich eher darauf, daß da andere Peers (oder wenigstens einer) nicht auch deaktiviert wurden und nun fleißig ihrerseits versuchen, eine Verbindung zur 7490 aufzubauen.

Wie wäre es denn mal mit den verwendeten Konfigurationsdateien und die dann vielleicht auch noch so "maskiert", daß wenigstens noch der Unterschied zwischen einem DNS-Namen (aka FQDN) und einer IPv4-Adresse erkennbar ist. Das eine läßt sich zwar in das andere überführen, aber bei dynamisch vergebenen Adressen ist auch das eine Einbahnstraße. Auch wäre es hilfreich, wenn Du Dich bei der Beschreibung einmal darauf festlegst, daß Host A eine 7490 ist und Host B eine 6490 und dann danach nur noch von Host A oder B die Rede ist ... bei derart nahe beieinanderliegenden Bezeichnern ist schnell auch mal ein simpler Tippfehler eingebaut, der das dann komplett durcheinanderwürfelt. Nicht ganz umsonst verwendet man bei der Beschreibung von kryptographischen Szenarien einfach zwei verschiedene Namen (üblich sind "Alice" und "Bob") für die Peers, deren Eigenschaften man dann einmal beschreibt und gut ist's ... dann ist auch klar, was eine Nachricht von Alice an Bob bedeutet für die Richtung der Kommunikation und daß eine Antwort von Bob an Alice in der Gegenrichtung erfolgt. Es macht am Ende solche "Beschreibungen" sehr viel verständlicher ...

@Shirocco88:
Ich lese im (hoffentlich en bloc kopierten) Protokoll einen Fehler 0x203E und der steht für etwas anderes: http://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/017p1/hilfe_syslog_122

 

[Shirocco88]

@graefe: Bitte die DynDNS-Probleme wie in #15, #16 beschrieben fixen.

UPDATE:
das VPN-Sessionlog zeigt, dass sich der VPN-Verbindungsaufbau von der FB7490 initiert wurde:

FB7490.log:

2017-12-27 14:25:24 avmike:6490.domain: sending embedded inital contact message (0,6490.domain,6490.domain)
2017-12-27 14:25:24 avmike:6490.domain: switching to NAT-T (Initiator)

bei der FB6490 im "NAT-T (Responder), Port udp/4500" Modus ankommt, (eigentlich hätte ich da ESP-Traffic erwartet, ggf. ist dies ursächlich in dem DynDNS-/IP-Mismatch begründet)
und anschließend VPN-Traffic von "unknown remote peer" bei FB7490 ankommt:

FB7490.log:

2017-12-27 14:25:28 avmike:unknown remote peer supported XAUTH
2017-12-27 14:25:28 avmike:unknown remote peer supported DPD
2017-12-27 14:25:28 avmike:unknown remote peer supported NAT-T RFC 3947
2017-12-27 14:26:03 avmike:unknown remote peer supported XAUTH
2017-12-27 14:26:03 avmike:unknown remote peer supported DPD
2017-12-27 14:26:03 avmike:unknown remote peer supported NAT-T RFC 3947
2017-12-27 14:26:38 avmike:unknown remote peer supported XAUTH
2017-12-27 14:26:38 avmike:unknown remote peer supported DPD
2017-12-27 14:26:38 avmike:unknown remote peer supported NAT-T RFC 3947
2017-12-27 14:27:13 avmike:unknown remote peer supported XAUTH
2017-12-27 14:27:13 avmike:unknown remote peer supported DPD
2017-12-27 14:27:13 avmike:unknown remote peer supported NAT-T 3947

d.h. IMHO sieht die FB7490 VPN-Traffic von der FB6490 von der für die FB7490 nicht bekannten IP-Adresse der FB6490,
d.h. nach Behebung des "DynDNS-/IP-Mismatch" sollte es funktionieren;-)

 

[graefe]

es sieht nach DNS-Error aus

dadurch findet die FB7490 die FB6490 nicht und die VPN remote/local SA passen nicht.

Bitte DynDNS auf FB6490 richtigstellen,
die IP aus VPN-Assoc "nicht die von um statisch zugewiesene ip4-adresse" ist IMHO als VPN-Endpunkt zu verwenden;
...
anschließend muß Webseite https://fb6490.domain:443 von Smartphone aus funktionieren

Mir wurde von UM eine Static IP mitgeteilt, die auch auf der Fritzbox-Übersichtsseite angezeigt wird.

Mit dieser IP komme ich per HTTPS wunderbar auf die Fritzbox.
Allerdings taucht genau diese IP weder bei dem VPN-Log, noch beim Internet-Aufbau auf:

Zu dieser zweiten IP-Nummer löst MyFRITZ!.dyndns auf. Aber genau mit dieser IP komme ich nicht auf die Box.

Bitte DynDNS auf FB6490 richtigstellen,
die IP aus VPN-Assoc "nicht die von um statisch zugewiesene ip4-adresse" ist IMHO als VPN-Endpunkt zu verwenden;

Naja, eine VPN-Verbindung mit dieser IP-Nummer schlägt fehl...

Kontrolle: temp Fritzbox web-interface freigeben "Übersichtsseite >> Internet >> Freigaben >> Internet-Dienste >> Internetzugriff auf die FRITZ!Box über HTTPS aktiviert"
anschließend muß Webseite https://fb6490.domain:443 von Smartphone aus funktionieren

...und genau das funktioniert nur mit dieser IP auch nicht.

Lange Rede kurzer Sinn: Der Unitymedia-Support hat mir geraten, die 6490 zum Modem zu machen und dahinter einen Router zu hängen. Da ich so schnell keinen zweiten Router bekomme und mir das ziemlich unelegant erscheint, habe ich jetzt die Reißleine gezogen und Static-IP herausgenommen und auf Dual Stack (NICHT DSLight) gewechselt. Auch wenn es um die Static-IP schade ist - jetzt habe ich wieder ein stabiles VPN, und darum geht es mir vor allem.

Herzlichen Dank an alle für Eure Super-Hilfsbereitschaft!!!

Graefe

//edit stoney: Bildgröße auf Miniaturansicht geändert

 

[Shirocco88]

jetzt habe ich wieder ein stabiles VPN, und darum geht es mir vor allem.

schön, dass das VPN-S2S-Problem gefixt ist;
unklar, warum UM dieses Setting nicht mit "static IPv4", d.h. ohne "DualStack-Full mit non-static IPv4" hin bekommen ; es lebe die "Servicewüste Deutschland";

Hat man als Business-Kunde da Support für FritzBox Site-to-Site VPN bei UM ?
oder begrenzt sich dies darauf: UM provisioniert die FritzBox auf die Kundenanforderung ?

Hinweis: die FB6490-cable wird im Business-Tarif immer ohne feste IPv4-Adresse als Router verwendet (LAN1: NAT-Port); die zusätzliche statische, nicht per DHCP zugewiesen IPv4-Adresse ist üblicherweise an den dann als Bridgeports konfigurierten Ports LAN2 - LAN4 abgreifbar.

BTW: für die FB6490 gibt bei UM im Business-Tarif eigentlich schon die FW 06.75, dann ist man diesen Bridge-Modus (zumindest im "Kabel-BW Land") los und kann den Router-Modus für die zusätzlich statische IP an LAN2-LAN4 nutzen; auch hat die FW 06.75 div. Bugfixes und Feature-Enhancements gegenüber FW 06.52; beim nächsten Telefonat mit UM-Support einfach nachfragen.