[Problem] VPN Datei wird nicht angenommen

geohei

Mitglied
Mitglied seit
8 Apr 2005
Beiträge
416
Punkte für Reaktionen
1
Punkte
18
Hallo.

FB7490
Upgrade von FW 6.83 auf 7.01.

Die FB akzeptiert mein VPN File.
Der Import zeigt an, dass es beim Import keine Fehler gab.
In der Liste der Connections stehen meine Peers aber nicht.

SuFu und Google konnten nicht helfen.
Refresh und Restart brachten natürlich auch nichts.

Ich rede nicht von einem fehlgeschlagenen Verbindungsaufbau.
Der Peer erscheint erst gar nicht in der Liste der Peers!

Was mache ich falsch?

Gruß,
 
Zuletzt bearbeitet:

Micha0815

IPPF-Promi
Mitglied seit
25 Feb 2008
Beiträge
3,343
Punkte für Reaktionen
152
Punkte
63
Mal mit eingeschalteter 2FA probiert? Sonst müsstest Du mal die *.cfg posten, unter xx-en der Credentials.
LG
 

geohei

Mitglied
Mitglied seit
8 Apr 2005
Beiträge
416
Punkte für Reaktionen
1
Punkte
18
Hallo.

Ich bekomme sie ja in die Kiste importiert.
Also dürfte die 2FA keine Rolle spielen.
Sie ist sowieso ausgeschaltet.
Nach etwa einer Minute steht da, dass die Settings jetzt erfolgreich geladen wurden.
Alles sieht sauber aus ... nur dass sie nicht in der Liste Peers erscheinen.

Hier eine gestutzte *.cfg.

Code:
vpncfg {
    connections   {
        enabled = no;
        conn_type = conntype_lan;
        name = "tom (lan-lan)";
        always_renew = no;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;
        remote_virtualip = 0.0.0.0;
        remotehostname = "tom.ddns.com";
        localid {
                fqdn = "paul_xxxxxxxx";
        }
        remoteid {
                fqdn = "tom_xxxxxxxx;
        }
        mode = phase1_mode_aggressive;
        phase1ss = "all/all/all";
        keytype = connkeytype_pre_shared;
        key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
        cert_do_server_auth = no;
        use_nat_t = yes;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
                ipnet {
                        ipaddr = 192.168.1.0;
                        mask = 255.255.255.0;
                }
        }
        phase2remoteid {
                ipnet {
                        ipaddr = 192.168.178.0;
                        mask = 255.255.255.0;
                }
        }
        phase2ss = "esp-all-all/ah-none/comp-all/pfs";
        accesslist = "permit ip any 192.168.178.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                       "udp 0.0.0.0:4500 0.0.0.0:4500";
}
 
Zuletzt bearbeitet:

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,153
Punkte für Reaktionen
749
Punkte
113
Also dürfte die 2FA keine Rolle spielen.
Sie ist sowieso ausgeschaltet.
Deshalb lautete der Vorschlag ja auch, es mit eingeschalteter 2FA zu versuchen ... immerhin handelt es sich dabei um ein bekanntes Problem, das von AVM auch in später erschienenen Versionen behoben wurde:

https://ftp.avm.de/fritzbox/fritzbox-7590/deutschland/fritz.os/info_de.txt

- Behoben Import einer VPN-Einstellungsdatei funktionierte nicht bei deaktivierter Bestätigung
 

geohei

Mitglied
Mitglied seit
8 Apr 2005
Beiträge
416
Punkte für Reaktionen
1
Punkte
18
Sorry ... zu schnell gelesen.
Habe das jetzt so gemacht.
Immer noch kein Import!

... später ...

Ich habe jetzt eine ältere FW 6.83 *.export (nicht die Firmware) auf meine FW 7.01 aufgespielt.
Die VPN Peers sind jetzt wieder da.
Ist aber ein Workaround, keine Solution.
Kann so keine VPNs mehr hinzufügen oder wegnehmen.
Bin jetzt auf diese Konfig eingeschossen bis AVM das hier wieder fixt!

Bin gespannt was im nächsten Update wieder an Bugs hinzukommt ... :(
 
Zuletzt bearbeitet:

Micha0815

IPPF-Promi
Mitglied seit
25 Feb 2008
Beiträge
3,343
Punkte für Reaktionen
152
Punkte
63
Ich habe jetzt eine ältere FW 6.83 *.cfg aufgespielt
Könntest Du dies etwas konkretisieren? Bist Du mit der FB7490 auf eine ältere FW6.83 zurück und hast in diese eine VPN.cfg importiert bzw. eine komplette *.export und bist dann via GUI auf FW7.01.

Oder hast Du mittels einer 6.83.export daraus sequentiell die VPN-Verbindungen "übernommen" in eine FW7.01.

Ich wundere mich nur, falls wir von der DE-FW-Reihe sprechen und nicht von der Internationalen (deren Abfolge ich nicht ganz auf dem Schirm habe), weshalb nicht etwas aus FW6.93.
LG
 

geohei

Mitglied
Mitglied seit
8 Apr 2005
Beiträge
416
Punkte für Reaktionen
1
Punkte
18
Vollzitat entfernt by stoney
Na toll.
Bestätige!
Hatte schon vor dem Update so ein Gefühl dass da wieder etwas schief laufen wird (wie fast immer).

Vollzitat entfernt by stoney
Stimmt. War nicht klar formuliert meinerseits. Sorry.

Ich habe ein mit FW 6.83 erstelltes Backup (*.export, nicht die *.cfg VPN Konfig) auf die FB7490 FW 7.01 gespielt. Jetzt sind die VPN Peers wieder da, aber einen neuen VPN Peer kann ich so natürlich nicht hinzufügen. Ich kann nur VPNs Peers entfernen. Ich habe eine internationale FW, keine Deutsche.

Der Fehler scheint ja schon Monate bekannt zu sein. Schön dass AVM die Fehler zeitnah fixt :-([/QUOTE]
 
Zuletzt bearbeitet von einem Moderator:

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
4,787
Punkte für Reaktionen
35
Punkte
48
Den Workaround, die Import-cfg mit aktivierter 2-Faktor-Authorisierung einzuspielen hast Du auch probiert?

Da der bekannte Bug ja lautet dass der Import bei deaktivierter Bestätigung fehlschlägt ist es ja kein Problem diese Bestätigung kurz einzuschalten. Der Bug ist also weder ein Sicherheitsproblem noch schränkt er irgendwie ein, die Behebung ist also nicht vordringlich.
 
A

andilao

Guest
Ich habe mal versucht, das mit einer deutschen 7560 nachzustellen und konnte das nicht reproduzieren.
Eine mit der 2008er VPNAdmin.exe erzeugte fritzbox_sub_domain_de.cfg wurde ohne aktivierte 2FA beim 1. Anlauf erforgreich und hinterher sichtbar übernommen.
BTW: Die Anzeige der erfolgreichen Übernahme durch Box besagt wohl nur die korrekte Syntax der cfg-Datei, denn als ich versehentlich eine User-cfg "erfolgreich" übernahm, war (korrekterweise) danach weder in der GUI noch in der export-Datei diese VPN-Verbindung zu finden.
 

sulihari

Neuer User
Mitglied seit
16 Sep 2010
Beiträge
114
Punkte für Reaktionen
1
Punkte
18
Ich habe das Verhalten auf mehreren 7490 und 7590. Eine Anfrage bei AVM wurde mit o.g. Hinweis (gefixt in 7.01) geschlossen. Anfangs dachte ich an eigene Syntaxfehler. Es tritt auch nicht immer auf, was besonders seltsam ist. Mittlerweile wechsel ich temporaer zuruck auf 6.93 (linux_fs_start), importiere die Datei und wechsel zurueck auf 7.01. Es gibt hier m.E. ziemlich sicher ein Problem mit dem Import, wenn auch nur sporadisch.
 
A

andilao

Guest
Bei mir glaube ich jetzt auch an ein generelles Problem mit bzw. nach dem VPN-cfg-Import, denn nach den Tests funktionierte mein ganzes, mühsam aufgebautes VPN-Gestrüpp nicht mehr. Ansonsten benutze ich seit Jahren nur noch die per GUI erstellten VPN-Verbindungen (mit XAUTH).
 

geohei

Mitglied
Mitglied seit
8 Apr 2005
Beiträge
416
Punkte für Reaktionen
1
Punkte
18
Lösung!

Wenn ich alle noch bestehenden VPN Verbindungen lösche und danach das VPN *.cfg importiere, klappt es.
Und das sogar bei ausgeschalteter 2FA.
Alle Verbindungen werden importiert, erscheinen auch in der Liste, sind aktivierbar und funktionieren!
Der Fehler lag da dran, dass beim Import noch VPN Verbindungen in der Liste standen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: andilao

StAugustin

Neuer User
Mitglied seit
20 Feb 2017
Beiträge
60
Punkte für Reaktionen
7
Punkte
8
Klappt damit auch "IKE SA: DH14/AES-256/SHA1 IPsec SA: ESP-AES-256/SHA1/LT-3600" im Main Mode?
 

geohei

Mitglied
Mitglied seit
8 Apr 2005
Beiträge
416
Punkte für Reaktionen
1
Punkte
18
@didgeridon't

Da musst du mir jetzt auf die Sprünge helfen.
Mein *.cfg steht oben in #3.
Ich kann aber gerne testen wenn du mir erklärst wie ...
 

StAugustin

Neuer User
Mitglied seit
20 Feb 2017
Beiträge
60
Punkte für Reaktionen
7
Punkte
8
mode = phase1_mode_idp;

phase1ss = „dh14/aes/sha“;

phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";

auf beiden Seiten bitte anpassen.
 

Micha0815

IPPF-Promi
Mitglied seit
25 Feb 2008
Beiträge
3,343
Punkte für Reaktionen
152
Punkte
63
Ob dieses Doku aus 2007 noch allein gültig? K.A. Nur wenn dies ein weiterer Stolperstein für den Import ist ...
LG
 

Shirocco88

Aktives Mitglied
Mitglied seit
4 Jan 2016
Beiträge
870
Punkte für Reaktionen
67
Punkte
28
mode = phase1_mode_idp;
...
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
warum die Umstellung von "aggressive" Mode auf "Main" Mode ?

was spricht gegen die Einstellungen aus #3 ???
mode = phase1_mode_aggressive;
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
 
  • Like
Reaktionen: geohei

geohei

Mitglied
Mitglied seit
8 Apr 2005
Beiträge
416
Punkte für Reaktionen
1
Punkte
18

StAugustin

Neuer User
Mitglied seit
20 Feb 2017
Beiträge
60
Punkte für Reaktionen
7
Punkte
8

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,844
Beiträge
2,027,345
Mitglieder
350,935
Neuestes Mitglied
elko1979