VPN Probleme mit FRITZ!OS 7.25?

britannia

Neuer User
Mitglied seit
23 Feb 2013
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Hallo,

seit kurzem stelle ich Probleme mit der LAN-LAN VPN Verbindung zwischen zwei Fritz!Boxen 7590 fest.
Das ganze hat bisher problemlos funktioniert und es gibt auch keine Besonderheiten wie DS-Lite oder so.
Die einzige Veränderung die mir in den Sinn kommt ist ist das Update der Boxen auf 7.24 Labor Versionen bzw. aktuell auf 7.25.

Das Problem ist vielleicht nicht so leicht zu erkennen, es macht sich nur für jeweils wenige Sekunden bemerkbar, wenn eine Security Association gelöscht wird.
Nachstellen kann man es, indem man dauerhaft ein Gerät im anderen Netz anpingt. Pünktlich mit dem "delete_sa" kommt dann auch "Timeout der Anforderung".

Die Log-Dateien der Fritz!Boxen weisen dabei keine "echten Fehler" auf.
Allerdings sehe ich verschiedenste Szenarien.

1.) Völlig unauffällige Logs, bei denen zuverlässig eine neue Security Association jeweils rechtzeitig vor dem Löschen der vorherigen SA aufgebaut wird.
Trotz bereits neu erstellter SA mit id=x+1 wird der Ping unterbrochen wenn die SA mit id=x gelöscht wird (delete_sa).

2.) Oder auch wie folgt Logs (hier von Box A) bei denen für mich recht plausibel ist, warum es zur Unterbrechung der Verbindung kommt, denn die alte SA wird gelöscht (im Beispiel id=5), und erst 10s später wird dann eine neue aufgebaut (im Beispiel id=6):

Code:
2021-02-28 16:35:23 avmike:wolke_neighbour_renew_sa 1 SAs
2021-02-28 16:35:23 avmike:>>> aggressive mode [IPvonBoxB] Box2: V1.0 705 IC 6d45ece56186f38f RC 00000000 0000 SA flags=
2021-02-28 16:35:24 avmike:<<<  aggressive mode[IPvonBoxB] Box2: V1.0 609 IC 6d45ece56186f38f RC 2b28d3248be35259 0000 SA flags=
2021-02-28 16:35:24 avmike:aggressive mode Box2: selected lifetime: 3600 sec(no notify)
2021-02-28 16:35:24 avmike:Box2: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:6
2021-02-28 16:35:24 avmike:Box2 receive VENDOR ID Payload: XAUTH
2021-02-28 16:35:24 avmike:Box2 receive VENDOR ID Payload: DPD
2021-02-28 16:35:24 avmike:Box2 receive VENDOR ID Payload: NAT-T RFC 3947
2021-02-28 16:35:24 avmike:>>> aggressive mode [IPvonBoxB] Box2: V1.0 236 IC 6d45ece56186f38f RC 2b28d3248be35259 0000 HASH flags=e
2021-02-28 16:35:24 avmike:Box2: Phase 1 ready
2021-02-28 16:35:24 avmike:Box2: current=IPvonBoxB new=IPvonBoxB
2021-02-28 16:35:24 avmike:Box2: start waiting connections
2021-02-28 16:35:24 avmike:Box2: NO waiting connections
2021-02-28 16:41:23 avmike:Box2: del phase 1 SA 5
2021-02-28 17:00:19 avmike:< delete_sa(appl=vpnd,cname=Box2,id=5,what=7,reason=Lifetime expired)
2021-02-28 17:00:19 avmike:FreeIPsecSA: spi=A43FE2B5        protocol=3 iotype=1
2021-02-28 17:00:19 avmike:FreeIPsecSA: spi=DC92C6E7        protocol=3 iotype=2
2021-02-28 17:00:28 avmike:<<<  quickmode[IPvonBoxB] Box2: V1.0 764 IC 6d45ece56186f38f RC 2b28d3248be35259 7eab8e91 HASH flags=e
2021-02-28 17:00:29 avmike:>>> quickmode [IPvonBoxB] Box2: V1.0 348 IC 6d45ece56186f38f RC 2b28d3248be35259 7eab8e91 HASH flags=e
2021-02-28 17:00:29 avmike:<<<  quickmode[IPvonBoxB] Box2: V1.0 108 IC 6d45ece56186f38f RC 2b28d3248be35259 7eab8e91 HASH flags=e
2021-02-28 17:00:29 avmike:Box2: Phase 2 ready
2021-02-28 17:00:29 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: C2678F52 LT: 3600 I/O: IN
2021-02-28 17:00:29 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 144F49D3 LT: 3600 I/O: OUT
2021-02-28 17:00:29 avmike:< cb_sa_created(name=Box2,id=6,...,flags=0x00002001)
2021-02-28 17:00:29 avmike:Box2: start waiting connections
2021-02-28 17:00:29 avmike:Box2: NO waiting connections

Bei der VPN Konfiguration gibt es keine Besonderheiten:

Hier das Beispiel von Box A (Box B ist prinzipiell genau so konfiguriert):

Code:
vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = „Box2“;
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = „HostnameVonBoxB“;
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.200.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.100.0 255.255.255.0";
                app_id = 0;
        }
}

Ich hatte es auch schon mit mit "Verbindung dauerhaft halten" probiert. Ändert nichts.

Über Rückmeldungen, wenn jemand das Problem mit der aktuellen FRITZ!OS Version nachstellen oder auch nicht nachstellen kann würde ich mich freuen.

Grüße
britannia
 
Hast Du denn mal mit keepalive_ip = FB-IP-local gespielt? Und/oder mal die Zeile ganz weggelassen?
Nurmal als Idee.
LG
 
Ja, keepalive_ip=192.168.100.1 wäre ja quasi das Synonym zu "Verbindung dauerhaft halten" auf Box A.
Ich habe es auf keiner, einer, der anderen und beiden Boxen probiert. Spielt keine Rolle. Die Verbindung wird beim SA Wechsel kurz unterbrochen.

Auch mit "always_renew = yes" allein oder in Verbindung mit gesetzter keepalive_ip habe ich rumgespielt. Kein Einfluss :-(

Und die DS-Lite Empfehlung (obwohl nicht zutreffend) den remotehostname bei der Responder Box leer zu lassen habe ich auch schon getestet.
 
Zuletzt bearbeitet:
Egal, bei keepalive_ip=192.168.100.0 fühlt sich auch so kein Gerät auf der Gegenseite angesprochen.
 
  • Like
Reaktionen: HW1002
Aber man sollte doch wenigstens die Gegenseite ansprechen sonst wirkt das keepalive doch gar nicht.
 
War nur ein Typo hier im Forum. Hab es korrigiert. Und das da die jeweils andere Seite rein käme ist schon klar.
 
Kommt da nicht die remote IP rein?
Da ich die IP der Fritz!Box nicht kenne/sie in #1 nicht benannt wurde, nannte ich es local ... im entfernten Netz. ;) Es soll auch Leute geben, die ihrer FB 192.168.100.25x oder 192.168.100.2 usw. verpassen ggfs. auch mit strangen DHCP-Bereichen, was dann auch schon mal Probleme bereiten kann.
Btw. würde ich das 192.168.100.0/24 stets umschiffen, da es wohl u.a. bei DOCSIS-FBs zu Problemen führt und die ISPs den Bereich ggfs. für NTP-Server nutzen.

Da der TE ja Ideen sammeln wollte, ...
LG
 
Hier mal ein Beispiel einer Konfiguration bei der augenscheinlich rechtzeitig eine neue SA erstellt wird, es dennoch zu einer Unterbrechung der Verbindung kommt.

Code:
vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = „Box2“;
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = „HostnameVonBoxB“;
                keepalive_ip = 192.168.100.1;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.200.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.100.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.100.0 255.255.255.0";
                app_id = 0;
        }
}

Änderungen zur Konfiguration in #1 sind:
  • always_renew = yes;
  • keepalive_ip = 192.168.100.1;

Im folgenden sieht man schön, dass rechtzeitig eine neue SA erstellt wird:
2021-03-02 12:25:22 avmike:< cb_sa_created(name=Box2,id=3,...,flags=0x00002101)
Beim Wechsel, bzw. wenn die vorher gültige gelöscht wird kommt es zur Unterbrechung des Datenflusses:
2021-03-02 12:31:21 avmike:< delete_sa(appl=vpnd,cname=Box2,id=2,what=7,reason=Lifetime expired)

In Folge wird keine neue SA erstellt, die Datenverbindung kommt aber wieder zustande.
Irgendwie läuft der Wechsel nicht mehr smooth/unterbrechungsfrei.


Code:
2021-03-02 12:25:21 avmike:wolke_neighbour_renew_sa 1 SAs
2021-03-02 12:25:21 avmike:>>> aggressive mode [IPvonBoxB] Box2: V1.0 705 IC de9d671acef2f0a0 RC 00000000 0000 SA flags=
2021-03-02 12:25:21 avmike:<<<  aggressive mode[IPvonBoxB] Box2: V1.0 573 IC de9d671acef2f0a0 RC 342cd0463929d14 0000 SA flags=
2021-03-02 12:25:21 avmike:aggressive mode Box2: selected lifetime: 3600 sec(no notify)
2021-03-02 12:25:21 avmike:Box2: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:3
2021-03-02 12:25:21 avmike:Box2 receive VENDOR ID Payload: XAUTH
2021-03-02 12:25:21 avmike:Box2 receive VENDOR ID Payload: DPD
2021-03-02 12:25:21 avmike:Box2 receive VENDOR ID Payload: NAT-T RFC 3947
2021-03-02 12:25:21 avmike:>>> aggressive mode [IPvonBoxB] Box2: V1.0 236 IC de9d671acef2f0a0 RC 342cd0463929d14 0000 HASH flags=e
2021-03-02 12:25:21 avmike:Box2: Phase 1 ready
2021-03-02 12:25:21 avmike:Box2: current=IPvonBoxB new=IPvonBoxB
2021-03-02 12:25:21 avmike:Box2: start waiting connections
2021-03-02 12:25:21 avmike:Box2: NO waiting connections
2021-03-02 12:25:21 avmike:< create_sa(appl=vpnd,cname=Box2)
2021-03-02 12:25:21 avmike:Box2: Phase 2 starting
2021-03-02 12:25:22 avmike:>>> quickmode [IPvonBoxB] Box2: V1.0 764 IC de9d671acef2f0a0 RC 342cd0463929d14 5f002293 HASH flags=e
2021-03-02 12:25:22 avmike:<<<  infomode[IPvonBoxB] Box2: V1.0 124 IC 871787d9bca70d48 RC b009739a5fbf986e dee0b251 HASH flags=e
2021-03-02 12:25:22 avmike:<<<  quickmode[IPvonBoxB] Box2: V1.0 348 IC de9d671acef2f0a0 RC 342cd0463929d14 5f002293 HASH flags=e
2021-03-02 12:25:22 avmike:>>> quickmode [IPvonBoxB] Box2: V1.0 108 IC de9d671acef2f0a0 RC 342cd0463929d14 5f002293 HASH flags=e
2021-03-02 12:25:22 avmike:Box2: Phase 2 ready
2021-03-02 12:25:22 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 3D2209D6 LT: 3600 I/O: IN
2021-03-02 12:25:22 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 66A70FE LT: 3600 I/O: OUT
2021-03-02 12:25:22 avmike:< cb_sa_created(name=Box2,id=3,...,flags=0x00002101)
2021-03-02 12:25:22 avmike:Box2 stop_vpn_keepalive to 192.168.1.1
2021-03-02 12:25:22 avmike:Box2 restart keepalive_timer timer_id 2000531856
2021-03-02 12:25:22 avmike:Box2: start waiting connections
2021-03-02 12:25:22 avmike:Box2: NO waiting connections
2021-03-02 12:31:21 avmike:Box2: del phase 1 SA 2
2021-03-02 12:31:21 avmike:< delete_sa(appl=vpnd,cname=Box2,id=2,what=7,reason=Lifetime expired)
2021-03-02 12:31:21 avmike:FreeIPsecSA: spi=8E91C1E0        protocol=3 iotype=1
2021-03-02 12:31:21 avmike:FreeIPsecSA: spi=3C798A0F        protocol=3 iotype=2
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.