.titleBar { margin-bottom: 5px!important; }

[Frage] LAN-LAN VPN zwischen 7490 (öffentliche IP) und 7530 (DS-LITE CGN)

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von balistox, 9 Feb. 2019.

Schlagworte:
  1. balistox

    balistox Neuer User

    Registriert seit:
    9 Feb. 2019
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo,
    ich versuche eine LAN-LAN VPN Verbindung zwischen zwei Fritz!Boxen einzurichten. Das Setup ist folgendes:

    A: Fritz!Box 7530
    keine öffentliche IP (100.64.x.x - DS-Lite CGN)
    Lokales Netz: 192.168.65.0
    FritzOS 7.01

    B: Fritz!Box 7490
    öffentliche, statische IP (213.x.x.x)
    Lokales Netz: 192.168.1.0
    FritzOS 7.01

    Ich habe das VPN gestern auf beiden Boxen eingerichtet. Gemäß der VPN Anleitung von Fritz!Box (siehe hier) habe ich für beide Boxen einen MyFritz Service eingerichtet. Für Box A habe ich dann noch den Punkt "VPN-Verbindung dauerhaft halten" angehakt, bei Box B entsprechend nicht.

    Dann habe ich das ganze vom Netz der Box A aus mal probiert. Dort hatte ich relativ wenig Probleme.

    Jetzt befinde ich mich im Netz von Box B und die Verbindung in das VPN funktioniert zu 95% der Zeit nicht. Wenn ich Box A pingen will (über 192.168.65.1) bekomme ich fast immer ein Request timeout (der Ping auf den MyFritz DNS Namen von Box A funktioniert logischerweise auch nicht, da dieser immer auf die 100.64.x.x IP auflöst). Nur ganz selten (ungefähr jede halbe Stunde mal?) bekomme ich für ungefähr eine Minute einen erfolgreichen Ping, bis die Verbindung daraufhin wieder fehlschlägt.

    Im Ereignislog von Box B sehe ich folgende Timeout Meldungen:
    VPN-Fehler: <box_a>.myfritz.net, IKE-Error 0x2027 [12 Meldungen seit 09.02.19 13:30:08]

    Im Ereignislog von Box A sehe ich hingegen keine Fehler, da ist die letzte Meldung lediglich:
    VPN-Verbindung zu <box_b>.myfritz.net [213.x.x.x] IKE SA: DH2/AES-256/SHA1 IPsec SA: ESP-AES-256/SHA1/LT-3600 wurde erfolgreich hergestellt.

    Ich habe bis auf die Konfiguration auf der Weboberfläche keine speziellen Änderungen vorgenommen. Habe im Forum einige ältere Themen gefunden die sich mit ähnlichen Problemen beschäftigen, dort war oft die Rede davon dass die VPN Config manuell über ein File angepasst werden muss. Ist das in meinem Falle auch so? Oder gäbe es eine einfachere Lösung für mein Problem?

    Liebe Grüße,
    balistox
     
  2. Micha0815

    Micha0815 Aktives Mitglied

    Registriert seit:
    25 Feb. 2008
    Beiträge:
    2,921
    Zustimmungen:
    106
    Punkte für Erfolge:
    63
    Beruf:
    Stauberater
    #2 Micha0815, 9 Feb. 2019
    Zuletzt bearbeitet: 9 Feb. 2019
    Um eine manuelle Anpassung der vpn.cfg-Files wirst Du wohl nicht herumkommen. Es gibt allerdings recht brauchbare Vorlagen, sodass sich der Aufwand in Grenzen hält. Generell sollten die Stichworte Responder<->Initiator, DS-Lite Dich auf die richtige Fährte führen, da dieses Problem sei es DS-Lite, CGN in Mobilfunknetzen ... recht häufig hier aufschlägt.
    LG
    Nachtrag für ein Template von vielen
     
  3. balistox

    balistox Neuer User

    Registriert seit:
    9 Feb. 2019
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Danke für die Antwort. Habe die manuelle Config mal so vorgenommen wie es in dem verlinkten Post beschrieben wird. Leider hat das mein Problem noch nicht gelöst. Bin in weitere Folge noch auf diesen Thread gestoßen wo zum Schluss die Rede war, dass eine wirklich stabile Verbindung trotz einiger Konfigurationskniffe nur dann möglich war, wenn vom DS Lite Netz permanent in das andere Netz kommuniziert wird. Der Threadersteller hat das dann mit dem IP-Telefon gelöst, was bei mir jedoch nicht zur Verfügung steht.

    Bräuchte ich also um mein Problem zu lösen z.B. ein Gerät welches vom DS Lite Netz periodisch (jede Minute?) auf die FritzBox im anderen Netz pingt?
     
  4. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,493
    Zustimmungen:
    58
    Punkte für Erfolge:
    48
    Es gibt leider keine Konfigurationstricks incl. keepalive_ip, die dem regelmäßigen und relativ frühzeitigen Schließen der VPN-Ports durch die meisten CGN-Anbieter wirksam vorbeugen können - das kann nur regelmäßiger und vor allem "rechtzeitiger" Traffic, wie du schon richtig erkannt hat.

    Das Boardmittel meiner Wahl sind dafür seit Jahren die "eingebauten" AVM-IP-Telefone. Dazu richtet man im einfachsten Fall in der Responder-Box unter "Telefoniegeräte" ein neues "LAN/WLAN (IP-Telefon)" als Dummy ein und auf der Initiator-Box unter "Eigene Rufnummern" das entsprechende Gegenstück.
     
  5. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,621
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Ich bin etwas verwirrt ... weil die FRITZ!Box für eine "Eigene Rufnummer" ja tatsächlich (wie in #4 angegeben) der SIP-UserAgent (UA) ist und damit der aktive Part bei einer Registrierung, während sie für ein - bei ihr angelegtes - "IP-Telefon" die Rolle des Registrars übernimmt und auf die Kontaktaufnahme des UA "wartet".

    In #5 gibt es also einen Widerspruch zwischen der korrekten Beschreibung der Rollen und der daraus abgeleiteten Konfigurationsempfehlung (der Initiator - der die VPN-Verbindung auch erst mal aufbauen muß - sollte auch den aktiven Part bei der SIP-Registrierung übernehmen, also den SIP-Dialog mit einer REGISTER-Message starten) und der Beschreibung der Umsetzung in der Box ... zumindest wenn das "entgegen #4" sein soll, wo ja genau das beschrieben wurde.
     
  6. andilao

    andilao IPPF-Promi

    Registriert seit:
    8 Juni 2006
    Beiträge:
    4,493
    Zustimmungen:
    58
    Punkte für Erfolge:
    48
    Da ließ sich wohl Micha0815 durch AVMs Bezeichnungen etwas verwirren, denn das "LAN/WLAN (IP-Telefon)" ist ja nur die Registrierungsmöglichkeit für ein selbiges und dagegen die neue "Telefonnummer" dann zusammen mit Analog-, ISDN- oder DECT-Basis/Mobilteil ein IP-Telefon. Für VoIP-Insider schwerer nachzuvollziehen als für Laien, ist aber so bei AVM. Mit dem Vertauschen von Responder und Intitiatior würde man dann ständig VPN "falsch herum" starten und gerät möglicherweise in eine Timeout-Spirale ohne Wiederkehr. Genau aus diesem Grunde würde ich auch definitiv die Finger von "kreuzweiser" Registrierung lassen, da man nie absolut sicherstellen kann, dass nicht doch mal der Responder dem Initiator zuvorkommt, außerdem verdoppelt das den Registrierungs-Traffic nur unnötig.
     
  7. Micha0815

    Micha0815 Aktives Mitglied

    Registriert seit:
    25 Feb. 2008
    Beiträge:
    2,921
    Zustimmungen:
    106
    Punkte für Erfolge:
    63
    Beruf:
    Stauberater
    #7 Micha0815, 10 Feb. 2019
    Zuletzt bearbeitet: 10 Feb. 2019
    Ich erkenne öfters auf meiner Initiator-FB7490 mit voicefähigem UMTS-Stick (E3133 mit span. Mobilfunknetz mit CGN), dass die dortige Mobilfunknummer deregistriert ist und der VPN-Tunnel trotzdem steht. Dies imho nur, weil ich intern hier in DE eine Rufnummer im Gegenzug nutze. Ein Responder kommt imho dem Initiator selten zuvor, da er weder Dyndns noch IPv4 der Gegenstelle kennt und von sichaus einen VPN aufbauen könnte.
    Ich mag mich nicht streiten ob der Begrifflichkeiten und habe deshalb #5 entsorgt.
    LG
     
  8. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    10,912
    Zustimmungen:
    160
    Punkte für Erfolge:
    63
    #8 koyaanisqatsi, 10 Feb. 2019
    Zuletzt bearbeitet: 10 Feb. 2019
    Das Registrierungsintervall ( Expiry ) beträgt 300 Sekunden ( 5 Minuten ).
    ...was der Sache des "am Leben bleiben" sehr entgegen kommt.
     
  9. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,621
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Hier wollte sich auch niemand streiten ... wenn da aber explizit "entgegen #4" steht (und Du hast ja auch nicht #4, sondern #5 entsorgt, denn #4 stammte ja von @andilao), dann geht es nicht mehr um "Begrifflichkeiten", sondern um die Frage, wie der TO das nun am Ende tatsächlich umsetzt ... wie in #4 beschrieben oder eben "entgegen #4".

    Das war also nicht nur der "Streit um des Kaisers Bart", sondern ein echter Widerspruch zwischen zwei Beiträgen.
     
  10. balistox

    balistox Neuer User

    Registriert seit:
    9 Feb. 2019
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Das scheitert bei mir leider schon an der Meldung "Es sind keine Rufnummern eingerichtet. Richten Sie jetzt Ihre Rufnummern ein, bevor Sie mit dem Einrichten Ihres Telefoniegerätes fortfahren." - Habe von meinem Provider leider auch keine Nummer zugeteilt bekommen die ich einrichten könnte.
     
  11. Micha0815

    Micha0815 Aktives Mitglied

    Registriert seit:
    25 Feb. 2008
    Beiträge:
    2,921
    Zustimmungen:
    106
    Punkte für Erfolge:
    63
    Beruf:
    Stauberater
    Versuche als Telefoniegerät eine Türsprechanlage ->IP-Phone->LAN/WLAN als Phantom?
    LG
     
  12. balistox

    balistox Neuer User

    Registriert seit:
    9 Feb. 2019
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    #12 balistox, 10 Feb. 2019
    Zuletzt bearbeitet: 10 Feb. 2019
    Sorry, als Laie finde ich dazu nirgends Informationen. Wo kann ich eine Türsprechanlage einrichten? Unter "Rufnummer eintragen" finde ich nur Telefonie-Anbieter wie einige lokale Provider, SIP-Trunking, SIP-Anlagenanschluss, FRITZ!Box im Heimnetz...
    Gibt es dafür zufällig eine Anleitung? Kenne mich mit der Telefonie auf der Box leider kein bisschen aus.
     
  13. Micha0815

    Micha0815 Aktives Mitglied

    Registriert seit:
    25 Feb. 2008
    Beiträge:
    2,921
    Zustimmungen:
    106
    Punkte für Erfolge:
    63
    Beruf:
    Stauberater
    So in etwa?
    LG
     

    Anhänge:

  14. balistox

    balistox Neuer User

    Registriert seit:
    9 Feb. 2019
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Mein problem ist ja, dass ich gar nie soweit komme. Wenn ich ein neues Gerät einrichten will erscheint bereits die Fehlermeldung "Es sind keine Rufnummern eingerichtet. Richten Sie jetzt Ihre Rufnummern ein, bevor Sie mit dem Einrichten Ihres Telefoniegerätes fortfahren." - Dann werde ich zur "Rufnummer eintragen" Maske umgeleitet. Und wie vorhin gesagt habe ich leider keine Rufnummer...
     
  15. Micha0815

    Micha0815 Aktives Mitglied

    Registriert seit:
    25 Feb. 2008
    Beiträge:
    2,921
    Zustimmungen:
    106
    Punkte für Erfolge:
    63
    Beruf:
    Stauberater
    Dann versuche mal eine Pseudorufnummer mit einer internen IP als Registrar über anderer Anbieter? Sorry, wenn ich das nicht "from scratch" nachtesten kann.
    LG
    Experten-Ansicht aktiviert ... falls das Auswirkung haben könnte?
     
  16. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,621
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Einfach mal (analoges) Festnetz konfigurieren und irgendeine Phantasienummer als "öffentlich" eintragen (in der 7490). Die 7530 sollte ja die Konfiguration problemlos akzeptieren, denn da ist das ja gerade eine solche "Eigene Rufnummer", wenn man sie dazu bewegen will, sich bei der 7490 zu registrieren.
     
  17. Micha0815

    Micha0815 Aktives Mitglied

    Registriert seit:
    25 Feb. 2008
    Beiträge:
    2,921
    Zustimmungen:
    106
    Punkte für Erfolge:
    63
    Beruf:
    Stauberater
    Der Schuss mit "analoges Festnetz" könnte auch nach hinten losgehen, da dazu ein Telefon-End-Geräte wie DECT/FON1/FON2 u.U. angefordert werden? ... Ist mir neulich bei Telnet einschalten via Wählhilfe aufgefallen?
    LG
     
  18. balistox

    balistox Neuer User

    Registriert seit:
    9 Feb. 2019
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Ich habe das ganze jetzt mal so eingerichtet:

    FB7490 (öffentliche IP)
    => Neue Rufnummer > Anderer Anbieter
    • Rufnummer: 1 | Interne Rufnummer: 1
    • Benutzername: vpndummy
    • Passwort: vpndummy
    • Registrar: <IP von FB7490>
    => Neues Gerät > Türsprechanlage > LAN / WLAN
    • Name: vpndummy
    • Benutzername: vpndummy
    • Passwort: vpndummy-pw
    • Rufnummer der Klingeltaste: 2

    FB7530 (private IP, CGN)
    => Neue Rufnummer > Anderer Anbieter
    • Rufnummer: 2 | Interne Rufnummer: 2
    • Benutzername: vpndummy
    • Passwort: vpndummy
    • Registrar: <IP von FB7490>

    Bin ich da irgendwie annährend auf dem richtigen Weg? Die Statusleuchte unter 'Eigene Rufnummern' ist jedenfalls auf beiden Webinterfaces grau.
     
  19. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,621
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Wäre mir neu ... da es sich hier um eine 7490 handelt, werden einfach die beiden analogen (internen) Ports entsprechend eingerichtet (automatisch!) und gut ist's. Solange dort (und am FXS-Anschluß) der Box nichts verbunden ist, interessiert das auch niemanden - außer daß die Box ggf. der Meinung ist, ein Endgerät dort würde "klingeln" (mangels Rückmeldemöglichkeit), was aber bei einer Box ohne Telefonie auch einigermaßen unwahrscheinlich ist, denn wo sollte ein solcher "eingehender Anruf" denn dann herkommen?
     
  20. Micha0815

    Micha0815 Aktives Mitglied

    Registriert seit:
    25 Feb. 2008
    Beiträge:
    2,921
    Zustimmungen:
    106
    Punkte für Erfolge:
    63
    Beruf:
    Stauberater
    #20 Micha0815, 10 Feb. 2019
    Zuletzt bearbeitet: 10 Feb. 2019
    Auf der 7490 muss es "grün" leuchten ;) (=registriert) unabhängig davon, ob es sich um eine analoge Türsprechstelle oder FON1/FON2 handelt.
    LG