Fritzbox zu Fritzbox VPN geht nicht

Incubu$

Neuer User
Mitglied seit
27 Sep 2012
Beiträge
54
Punkte für Reaktionen
1
Punkte
8
Hallo,
ich habe ein VPN Verbindungsproblem zwischen zwei Fritzboxen.

Fritzbox #1 7590
Name: Buero
DynDNS bei goip.de - hier als "yyy.goip.de" bezeichnet
Netzwerk IP - 192.168.178.0 /24
Benutzer: user1 mit Zugriff auf VPN
Siehe screens

Fritzbox #2 7560
Name: Home
DynDNS bei goip.de - hier als "xxx.goip.de" bezeichnet
Netzwerk IP - 192.168.170.0 /24
Benutzer: user1 mit Zugriff auf VPN
Siehe screens

Bei der Verbindung der Fritzboxen kriege ich die Meldung (wird bei beiden gezeigt):
Code:
VPN-Fehler: Verbindung zur FritzBox Büro, IKE-Error 0x2020 [3 Meldungen seit
Die Verbindung an sich wird allerdings nicht hergestellt. Beide Fritzboxen sind in einer Stadt.

Habe die Verbindugen schon gelöscht und neu eingerichtet, habe die Fritzboxen neugestartet. Nix hilft. Beide sind über GoIP erreichbar.
 

Anhänge

Zuletzt bearbeitet:

eisbaerin

IPPF-Promi
Mitglied seit
29 Sep 2009
Beiträge
7,780
Punkte für Reaktionen
339
Punkte
83
Im Bild home2 fehlen zumindest die Anzeigen für "lokales Netz" und "entferntes Netz".
 
  • Like
Reaktionen: Incubu$

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
24,269
Punkte für Reaktionen
286
Punkte
83

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,010
Punkte für Reaktionen
981
Punkte
113
Und die haben auch beide keinen MyFRITZ!-Account, richtig?

0x2020 klingt wieder mal nach "ID mismatch" bzw. nach einen nicht gefundenen PSK für die Entschlüsselung empfangener Init-Pakete und das ist i.d.R. auf falsche IDs zurückzuführen. Am ehesten kann man seine Leser davon überzeugen, daß es daran nicht liegen wird, indem man in die Support-Datei der FRITZ!Box schaut und den Teil mit den VPN-Konfigurationen hier (mäßig "verschleiert", aber mit Maske) mal vorzeigt.
 

Incubu$

Neuer User
Mitglied seit
27 Sep 2012
Beiträge
54
Punkte für Reaktionen
1
Punkte
8
Nein, MyFRITZ!-Accounts gibt es keine. Wie komme ich an die Support Datei ran?
 

stoney

Moderator
Teammitglied
Mitglied seit
7 Okt 2015
Beiträge
5,545
Punkte für Reaktionen
434
Punkte
83

Incubu$

Neuer User
Mitglied seit
27 Sep 2012
Beiträge
54
Punkte für Reaktionen
1
Punkte
8
Es ist zu lang um es zu posten, also hänge ich es unten an. Aber später werde ich es löschen. Es ist die Datei von der 7590.
 

stoney

Moderator
Teammitglied
Mitglied seit
7 Okt 2015
Beiträge
5,545
Punkte für Reaktionen
434
Punkte
83
Du sollst nur den betreffenden Abschnitt zum Besten geben.

Ich habe die Datei entfernt, da diese sehr sensible Daten enthält.
 

Incubu$

Neuer User
Mitglied seit
27 Sep 2012
Beiträge
54
Punkte für Reaktionen
1
Punkte
8
Welchen Abschnitt genau denn?

Ich habe soviel anonymisiert wie ich konnte - telefonnumern, IP Adressen, DynDNS Adressen etc.
 

stoney

Moderator
Teammitglied
Mitglied seit
7 Okt 2015
Beiträge
5,545
Punkte für Reaktionen
434
Punkte
83
Such mal nach vpn.cfg
 

Incubu$

Neuer User
Mitglied seit
27 Sep 2012
Beiträge
54
Punkte für Reaktionen
1
Punkte
8
VPN support Datei der Fritzbox 7590:

Code:
// EOF
##### END SECTION userstat_cfg
##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
/*
 * /var/flash/vpn.cfg
 * Thu Jun 25 20:55:01 2020
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "Verbindung zur FritzBox Home";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "yyy.goip.de";
                keepalive_ip = 192.168.170.1;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.170.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.170.0 255.255.255.0";
                app_id = 0;
        }
}

// EOF
 
Zuletzt bearbeitet:

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,010
Punkte für Reaktionen
981
Punkte
113
OK, mein Fehler. AVM verschlüsselt ja auch den FQDN in der ID (selbst wenn‘s nicht mit SECRET maskiert wäre in der Supportdatei), da hilft nur der Export (oder Auslesen über Shell) mit anschliessendem Dekodieren der Infos, wenn man die IDs für P1 sehen will.

Bei den Fällen mit "handgemachter" Konfigurationsdatei ist das halt Klartext, da vergißt man die Probleme mit dem AVM-Weg glatt im Laufe der Jahre.

Der "Begleittext" von AVM für dieses Eingabefeld mit dem Namen der "gegnerischen" FRITZ!Box, spricht mittlerweile auch deutlich davon, daß man dort den MyFRITZ!-Namen angeben soll und nur dann, wenn die Box keinen hat, einen anderen DynDNS-Namen.

Der sollte dann auch noch in der (entfernten) Box als DynDNS-Name konfiguriert sein, damit er in den erzeugten Konfigurationsdateien (bzw. im erzeugten Abschnitt für die Verbindung) auch als " localid" verwendet wird.

Da würde ich jedenfalls mit der Fehlersuche beginnen.
 

Incubu$

Neuer User
Mitglied seit
27 Sep 2012
Beiträge
54
Punkte für Reaktionen
1
Punkte
8
Hi,
wie gesagt in der Fritzbox 7590 ist die DynDNS Adresse der Fritzbox 7560 eingetragen und umgekehrt. Und kein MyFritz! wird verwendet. Weder auf der einen noch auf der anderen Fritzbox.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
13,010
Punkte für Reaktionen
981
Punkte
113
Das glaube ich Dir ja auch, daß Du das so gemacht hast. Was aber nicht unbedingt heißt, daß es vom FRITZ!OS so auch korrekt umgesetzt wurde (EDIT: und selbst wenn es das nicht sein sollte, enthalten die "angefragten" Daten wichtige Infomationen - ja, man kann sogar behaupten, die einzigen wirklich relevanten).

Also bleibt es dabei ... ich würde als erstes einen Blick in die (entschlüsselten) VPN-Konfigurationen (und zwar auf beiden Seiten - wenn man keine VPN-Verbindung aufbauen kann, kann man immer noch über den WAN-Zugriff auf das GUI arbeiten) werfen und mir - parallel dazu - die Protokolle des VPN in der Support-Datei ansehen (Abschnitt VPN) - naturgemäß ebenso auf/von beiden Seiten und zwar auch für denselben Versuch eines Verbindungsaufbaus.

Mir fiele jetzt auch keine andere Option für eine (sinnvolle) Diagnose ein ... die Alternative wäre (meines Erachtens) kopfloses Herumprobieren mit zwei möglichen Ausgängen: Entweder es funktioniert irgendwann dann doch noch und keiner kann mehr nachvollziehen (schon wegen der Anzahl der bis dahin ausprobierten Tipps), was letztlich das Problem war oder es läßt sich auch auf diesem Weg des "Fuzzings" nicht lösen - das wäre die andere Alternative. Bei beiden Varianten wäre das Endergebnis für das Board hier eher unbefriedigend, bei der ersten hättest Du - zumindest vorübergehend, bis zur nächsten VPN-Verbindung, wo das dann ggf. von vorne beginnt - zumindest den persönlichen Erfolg.

Da sehe ich klare Vorteile bei meinem Vorschlag ... allerdings erfordert der von Dir tatsächlich einige Vorarbeiten, vom Einlesen in die Frage, wie man eine Export-Datei entschlüsselt, bis hin zum Einrichten des WAN-Zugriffs auf der (für Dich) entfernten FRITZ!Box, weil das (sofern da nicht jemand sitzt, der/die "Ahnung hat") die einzige Möglichkeit ist, die notwendigen Daten aus der entfernten Box zu erhalten - beim Export funkt da u.U. noch die 2FA dazwischen, wenn man die auf der entfernten Box nicht auch (aber nur für die Zeit der Konfiguration/Fehlersuche) deaktiviert.
 

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
356
Punkte für Reaktionen
26
Punkte
28
Dann schau mal bitte ob beim Aufruf von http://www.utrace.de/ die selbe ip Adresse angezeigt wird als wenn du den Hostname deines DynDNS eingibst.
 

Incubu$

Neuer User
Mitglied seit
27 Sep 2012
Beiträge
54
Punkte für Reaktionen
1
Punkte
8
Ja, habe ich überprüft. Auf jeden Fall ist es die selbe IP an beiden Enden. Habs in der Fritzbox geschaut und auch bei goip_de

Stimmt beides.

Bei den Fritzboxen im Online Monitor steht zu DynDNS
Code:
DynDNS aktiviert, xxx.goip.de, IPv4-Status: erfolgreich angemeldet, IPv6-Status: unbekannt
Kann das Fehlen der IPv6 Adresse das Problem sein?
 
Zuletzt bearbeitet:

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
356
Punkte für Reaktionen
26
Punkte
28

Incubu$

Neuer User
Mitglied seit
27 Sep 2012
Beiträge
54
Punkte für Reaktionen
1
Punkte
8
Muss mal gleich dann nochmal schauen.

Hier erstmal die VPN Passage aus der support Datei der Fritbox 7560:
Code:
vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "Verbindung zur FritzBox Buero";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxx.goip.de";
                keepalive_ip = 192.168.178.1;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.170.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
                app_id = 0;
        }
}

// EOF
 
Zuletzt bearbeitet:

Incubu$

Neuer User
Mitglied seit
27 Sep 2012
Beiträge
54
Punkte für Reaktionen
1
Punkte
8
Ja, die IPs auf den Fritzboxen und bei Utrace stimmen wenn ich bei Utrace nach den DynDNS Adressen suche.