Hallo,
seit kurzem stelle ich Probleme mit der LAN-LAN VPN Verbindung zwischen zwei Fritz!Boxen 7590 fest.
Das ganze hat bisher problemlos funktioniert und es gibt auch keine Besonderheiten wie DS-Lite oder so.
Die einzige Veränderung die mir in den Sinn kommt ist ist das Update der Boxen auf 7.24 Labor Versionen bzw. aktuell auf 7.25.
Das Problem ist vielleicht nicht so leicht zu erkennen, es macht sich nur für jeweils wenige Sekunden bemerkbar, wenn eine Security Association gelöscht wird.
Nachstellen kann man es, indem man dauerhaft ein Gerät im anderen Netz anpingt. Pünktlich mit dem "delete_sa" kommt dann auch "Timeout der Anforderung".
Die Log-Dateien der Fritz!Boxen weisen dabei keine "echten Fehler" auf.
Allerdings sehe ich verschiedenste Szenarien.
1.) Völlig unauffällige Logs, bei denen zuverlässig eine neue Security Association jeweils rechtzeitig vor dem Löschen der vorherigen SA aufgebaut wird.
Trotz bereits neu erstellter SA mit id=x+1 wird der Ping unterbrochen wenn die SA mit id=x gelöscht wird (delete_sa).
2.) Oder auch wie folgt Logs (hier von Box A) bei denen für mich recht plausibel ist, warum es zur Unterbrechung der Verbindung kommt, denn die alte SA wird gelöscht (im Beispiel id=5), und erst 10s später wird dann eine neue aufgebaut (im Beispiel id=6):
Bei der VPN Konfiguration gibt es keine Besonderheiten:
Hier das Beispiel von Box A (Box B ist prinzipiell genau so konfiguriert):
Ich hatte es auch schon mit mit "Verbindung dauerhaft halten" probiert. Ändert nichts.
Über Rückmeldungen, wenn jemand das Problem mit der aktuellen FRITZ!OS Version nachstellen oder auch nicht nachstellen kann würde ich mich freuen.
Grüße
britannia
seit kurzem stelle ich Probleme mit der LAN-LAN VPN Verbindung zwischen zwei Fritz!Boxen 7590 fest.
Das ganze hat bisher problemlos funktioniert und es gibt auch keine Besonderheiten wie DS-Lite oder so.
Die einzige Veränderung die mir in den Sinn kommt ist ist das Update der Boxen auf 7.24 Labor Versionen bzw. aktuell auf 7.25.
Das Problem ist vielleicht nicht so leicht zu erkennen, es macht sich nur für jeweils wenige Sekunden bemerkbar, wenn eine Security Association gelöscht wird.
Nachstellen kann man es, indem man dauerhaft ein Gerät im anderen Netz anpingt. Pünktlich mit dem "delete_sa" kommt dann auch "Timeout der Anforderung".
Die Log-Dateien der Fritz!Boxen weisen dabei keine "echten Fehler" auf.
Allerdings sehe ich verschiedenste Szenarien.
1.) Völlig unauffällige Logs, bei denen zuverlässig eine neue Security Association jeweils rechtzeitig vor dem Löschen der vorherigen SA aufgebaut wird.
Trotz bereits neu erstellter SA mit id=x+1 wird der Ping unterbrochen wenn die SA mit id=x gelöscht wird (delete_sa).
2.) Oder auch wie folgt Logs (hier von Box A) bei denen für mich recht plausibel ist, warum es zur Unterbrechung der Verbindung kommt, denn die alte SA wird gelöscht (im Beispiel id=5), und erst 10s später wird dann eine neue aufgebaut (im Beispiel id=6):
Code:
2021-02-28 16:35:23 avmike:wolke_neighbour_renew_sa 1 SAs
2021-02-28 16:35:23 avmike:>>> aggressive mode [IPvonBoxB] Box2: V1.0 705 IC 6d45ece56186f38f RC 00000000 0000 SA flags=
2021-02-28 16:35:24 avmike:<<< aggressive mode[IPvonBoxB] Box2: V1.0 609 IC 6d45ece56186f38f RC 2b28d3248be35259 0000 SA flags=
2021-02-28 16:35:24 avmike:aggressive mode Box2: selected lifetime: 3600 sec(no notify)
2021-02-28 16:35:24 avmike:Box2: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:6
2021-02-28 16:35:24 avmike:Box2 receive VENDOR ID Payload: XAUTH
2021-02-28 16:35:24 avmike:Box2 receive VENDOR ID Payload: DPD
2021-02-28 16:35:24 avmike:Box2 receive VENDOR ID Payload: NAT-T RFC 3947
2021-02-28 16:35:24 avmike:>>> aggressive mode [IPvonBoxB] Box2: V1.0 236 IC 6d45ece56186f38f RC 2b28d3248be35259 0000 HASH flags=e
2021-02-28 16:35:24 avmike:Box2: Phase 1 ready
2021-02-28 16:35:24 avmike:Box2: current=IPvonBoxB new=IPvonBoxB
2021-02-28 16:35:24 avmike:Box2: start waiting connections
2021-02-28 16:35:24 avmike:Box2: NO waiting connections
2021-02-28 16:41:23 avmike:Box2: del phase 1 SA 5
2021-02-28 17:00:19 avmike:< delete_sa(appl=vpnd,cname=Box2,id=5,what=7,reason=Lifetime expired)
2021-02-28 17:00:19 avmike:FreeIPsecSA: spi=A43FE2B5 protocol=3 iotype=1
2021-02-28 17:00:19 avmike:FreeIPsecSA: spi=DC92C6E7 protocol=3 iotype=2
2021-02-28 17:00:28 avmike:<<< quickmode[IPvonBoxB] Box2: V1.0 764 IC 6d45ece56186f38f RC 2b28d3248be35259 7eab8e91 HASH flags=e
2021-02-28 17:00:29 avmike:>>> quickmode [IPvonBoxB] Box2: V1.0 348 IC 6d45ece56186f38f RC 2b28d3248be35259 7eab8e91 HASH flags=e
2021-02-28 17:00:29 avmike:<<< quickmode[IPvonBoxB] Box2: V1.0 108 IC 6d45ece56186f38f RC 2b28d3248be35259 7eab8e91 HASH flags=e
2021-02-28 17:00:29 avmike:Box2: Phase 2 ready
2021-02-28 17:00:29 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: C2678F52 LT: 3600 I/O: IN
2021-02-28 17:00:29 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 144F49D3 LT: 3600 I/O: OUT
2021-02-28 17:00:29 avmike:< cb_sa_created(name=Box2,id=6,...,flags=0x00002001)
2021-02-28 17:00:29 avmike:Box2: start waiting connections
2021-02-28 17:00:29 avmike:Box2: NO waiting connections
Bei der VPN Konfiguration gibt es keine Besonderheiten:
Hier das Beispiel von Box A (Box B ist prinzipiell genau so konfiguriert):
Code:
vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = „Box2“;
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = „HostnameVonBoxB“;
keepalive_ip = 0.0.0.0;
localid {
fqdn = "SECRET";
}
remoteid {
fqdn = "SECRET";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "SECRET";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.200.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.100.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.100.0 255.255.255.0";
app_id = 0;
}
}
Ich hatte es auch schon mit mit "Verbindung dauerhaft halten" probiert. Ändert nichts.
Über Rückmeldungen, wenn jemand das Problem mit der aktuellen FRITZ!OS Version nachstellen oder auch nicht nachstellen kann würde ich mich freuen.
Grüße
britannia