Fritzbox zu Fritzbox VPN geht nicht

Incubu$

Neuer User
Mitglied seit
27 Sep 2012
Beiträge
61
Punkte für Reaktionen
1
Punkte
8
Hallo,
ich habe ein VPN Verbindungsproblem zwischen zwei Fritzboxen.

Fritzbox #1 7590
Name: Buero
DynDNS bei goip.de - hier als "yyy.goip.de" bezeichnet
Netzwerk IP - 192.168.178.0 /24
Benutzer: user1 mit Zugriff auf VPN
Siehe screens

Fritzbox #2 7560
Name: Home
DynDNS bei goip.de - hier als "xxx.goip.de" bezeichnet
Netzwerk IP - 192.168.170.0 /24
Benutzer: user1 mit Zugriff auf VPN
Siehe screens

Bei der Verbindung der Fritzboxen kriege ich die Meldung (wird bei beiden gezeigt):
Code:
VPN-Fehler: Verbindung zur FritzBox Büro, IKE-Error 0x2020 [3 Meldungen seit

Die Verbindung an sich wird allerdings nicht hergestellt. Beide Fritzboxen sind in einer Stadt.

Habe die Verbindugen schon gelöscht und neu eingerichtet, habe die Fritzboxen neugestartet. Nix hilft. Beide sind über GoIP erreichbar.
 

Anhänge

  • buero1.jpg
    buero1.jpg
    196.5 KB · Aufrufe: 26
  • buero2.jpg
    buero2.jpg
    135.7 KB · Aufrufe: 26
  • home1.jpg
    home1.jpg
    185.1 KB · Aufrufe: 26
  • home2.jpg
    home2.jpg
    47.5 KB · Aufrufe: 25
Zuletzt bearbeitet:
Im Bild home2 fehlen zumindest die Anzeigen für "lokales Netz" und "entferntes Netz".
 
  • Like
Reaktionen: Incubu$
Und die haben auch beide keinen MyFRITZ!-Account, richtig?

0x2020 klingt wieder mal nach "ID mismatch" bzw. nach einen nicht gefundenen PSK für die Entschlüsselung empfangener Init-Pakete und das ist i.d.R. auf falsche IDs zurückzuführen. Am ehesten kann man seine Leser davon überzeugen, daß es daran nicht liegen wird, indem man in die Support-Datei der FRITZ!Box schaut und den Teil mit den VPN-Konfigurationen hier (mäßig "verschleiert", aber mit Maske) mal vorzeigt.
 
Nein, MyFRITZ!-Accounts gibt es keine. Wie komme ich an die Support Datei ran?
 
Es ist zu lang um es zu posten, also hänge ich es unten an. Aber später werde ich es löschen. Es ist die Datei von der 7590.
 
Du sollst nur den betreffenden Abschnitt zum Besten geben.

Ich habe die Datei entfernt, da diese sehr sensible Daten enthält.
 
Welchen Abschnitt genau denn?

Ich habe soviel anonymisiert wie ich konnte - telefonnumern, IP Adressen, DynDNS Adressen etc.
 
Such mal nach vpn.cfg
 
VPN support Datei der Fritzbox 7590:

Code:
// EOF
##### END SECTION userstat_cfg
##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
/*
 * /var/flash/vpn.cfg
 * Thu Jun 25 20:55:01 2020
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "Verbindung zur FritzBox Home";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "yyy.goip.de";
                keepalive_ip = 192.168.170.1;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.170.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.170.0 255.255.255.0";
                app_id = 0;
        }
}

// EOF
 
Zuletzt bearbeitet:
OK, mein Fehler. AVM verschlüsselt ja auch den FQDN in der ID (selbst wenn‘s nicht mit SECRET maskiert wäre in der Supportdatei), da hilft nur der Export (oder Auslesen über Shell) mit anschliessendem Dekodieren der Infos, wenn man die IDs für P1 sehen will.

Bei den Fällen mit "handgemachter" Konfigurationsdatei ist das halt Klartext, da vergißt man die Probleme mit dem AVM-Weg glatt im Laufe der Jahre.

Der "Begleittext" von AVM für dieses Eingabefeld mit dem Namen der "gegnerischen" FRITZ!Box, spricht mittlerweile auch deutlich davon, daß man dort den MyFRITZ!-Namen angeben soll und nur dann, wenn die Box keinen hat, einen anderen DynDNS-Namen.

Der sollte dann auch noch in der (entfernten) Box als DynDNS-Name konfiguriert sein, damit er in den erzeugten Konfigurationsdateien (bzw. im erzeugten Abschnitt für die Verbindung) auch als " localid" verwendet wird.

Da würde ich jedenfalls mit der Fehlersuche beginnen.
 
Hi,
wie gesagt in der Fritzbox 7590 ist die DynDNS Adresse der Fritzbox 7560 eingetragen und umgekehrt. Und kein MyFritz! wird verwendet. Weder auf der einen noch auf der anderen Fritzbox.
 
Das glaube ich Dir ja auch, daß Du das so gemacht hast. Was aber nicht unbedingt heißt, daß es vom FRITZ!OS so auch korrekt umgesetzt wurde (EDIT: und selbst wenn es das nicht sein sollte, enthalten die "angefragten" Daten wichtige Infomationen - ja, man kann sogar behaupten, die einzigen wirklich relevanten).

Also bleibt es dabei ... ich würde als erstes einen Blick in die (entschlüsselten) VPN-Konfigurationen (und zwar auf beiden Seiten - wenn man keine VPN-Verbindung aufbauen kann, kann man immer noch über den WAN-Zugriff auf das GUI arbeiten) werfen und mir - parallel dazu - die Protokolle des VPN in der Support-Datei ansehen (Abschnitt VPN) - naturgemäß ebenso auf/von beiden Seiten und zwar auch für denselben Versuch eines Verbindungsaufbaus.

Mir fiele jetzt auch keine andere Option für eine (sinnvolle) Diagnose ein ... die Alternative wäre (meines Erachtens) kopfloses Herumprobieren mit zwei möglichen Ausgängen: Entweder es funktioniert irgendwann dann doch noch und keiner kann mehr nachvollziehen (schon wegen der Anzahl der bis dahin ausprobierten Tipps), was letztlich das Problem war oder es läßt sich auch auf diesem Weg des "Fuzzings" nicht lösen - das wäre die andere Alternative. Bei beiden Varianten wäre das Endergebnis für das Board hier eher unbefriedigend, bei der ersten hättest Du - zumindest vorübergehend, bis zur nächsten VPN-Verbindung, wo das dann ggf. von vorne beginnt - zumindest den persönlichen Erfolg.

Da sehe ich klare Vorteile bei meinem Vorschlag ... allerdings erfordert der von Dir tatsächlich einige Vorarbeiten, vom Einlesen in die Frage, wie man eine Export-Datei entschlüsselt, bis hin zum Einrichten des WAN-Zugriffs auf der (für Dich) entfernten FRITZ!Box, weil das (sofern da nicht jemand sitzt, der/die "Ahnung hat") die einzige Möglichkeit ist, die notwendigen Daten aus der entfernten Box zu erhalten - beim Export funkt da u.U. noch die 2FA dazwischen, wenn man die auf der entfernten Box nicht auch (aber nur für die Zeit der Konfiguration/Fehlersuche) deaktiviert.
 
Dann schau mal bitte ob beim Aufruf von http://www.utrace.de/ die selbe ip Adresse angezeigt wird als wenn du den Hostname deines DynDNS eingibst.
 
Ja, habe ich überprüft. Auf jeden Fall ist es die selbe IP an beiden Enden. Habs in der Fritzbox geschaut und auch bei goip_de

Stimmt beides.

Bei den Fritzboxen im Online Monitor steht zu DynDNS
Code:
DynDNS aktiviert, xxx.goip.de, IPv4-Status: erfolgreich angemeldet, IPv6-Status: unbekannt

Kann das Fehlen der IPv6 Adresse das Problem sein?
 
Zuletzt bearbeitet:
Muss mal gleich dann nochmal schauen.

Hier erstmal die VPN Passage aus der support Datei der Fritbox 7560:
Code:
vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "Verbindung zur FritzBox Buero";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "xxx.goip.de";
                keepalive_ip = 192.168.178.1;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.170.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.0 255.255.255.0";
                app_id = 0;
        }
}

// EOF
 
Zuletzt bearbeitet:
Ja, die IPs auf den Fritzboxen und bei Utrace stimmen wenn ich bei Utrace nach den DynDNS Adressen suche.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.