[Gelöst] VPN zw. DSL-Box in D und UMTS-Box in ES - ES-Verbindung hat 2 IPs (1 priv 1 öffentl)?

[Docmarten]

Vielen Dank Micha für Deine ausführliche Antwort!

Das ist natürlich doof zwecks Tests der 3G-Verfügbarkeit von VDF vorort.

Ich habe die Sim jetzt in ein uraltes 1752C gepackt (Movistar-gebrandet, aber ich habe es glaube ich mal irgendwann entsperrt), und nachdem ich nicht dank, sondern trotz des Vodafone-Supports (falscher APN sowohl in der Vorkonfiguration als auch dann per Hotline) endlich ins Internet kam, an die 7490. Bin nun mit ihr im 3G und Telefonie geht auch. Geschwindigkeit ist mit 6 mbps noch ausbaubar... Dürfte vermutlich mit einem moderneren Modem steigen (vielleicht traucht das 3131 ja wieder auf :/)

Im 4G/LTE funktioniert ausschliesslich "Data" und keine 2G/3G-Mobilfunktelefonie. Selbst Smartphones schalten imho während eines Telefonates den "data-stream im 4G" ab oder switchen um in 2/3G. Deshalb ist btw. imho während eines aktiven Telefonates keine andere APP, die "data" benötigt, anwendbar. (einige Dual-SIM u.U. aussenvor).

Das ist wie gewagt eine kpl.. neue Information für mich, ich war immer davon ausgegangen, dass auch damit beides gleichzeitig geht, wie es auch in #1 vonhttps://www.ip-phone-forum.de/threads/fritz-box-als-gsm-gateway-für-sprachtelefonie-über-umts-stick-u-a-736x-7390-7490.240840/ geschrieben steht - und auch in de. ios-Settings lässt sich wählen, ob man LTE nur für Daten oder für Daten + Sprache nutzen möchte. Da wird dann wirklich jedesmal z.B. Ein laufender Download unterbrochen, wenn ein Anruf reinkommt? Oder kommt der erst garnicht durch? Wie muss man sich das in der Praxis mit der FB vorstellen? Wird dann beim Rein- oder Raustelefonieren einfach die Internetverbindunggekappt und kommt wieder, wenn man fertig ist?

Bei einem LTE-Zugang via Tethering (Wurst ob Smartphone oder E3372 via USB ggfs. WLAN), arbeiten selbige nicht als reines Modem sondern eher als einfache Router. Dabei könnte eine FB maximal (mit Bordmitteln ohne Freetz und Konsorten -Stichwort Open-VPN-) ein Firmen-VPN realisieren.

Zu beachten gilt dabei, dass Du ggfs. auf das DE-FB-Netzwerk kommst, allerdings von DE aus wohl nicht auf das ES-FB-Netzwerk, was ja gerade das Ziel ist. .

Wenn ich auf keine vernünftige Weise von D aufs hiesige Netzwerk zugreifen kann, muss ich das neue Experiment schon jetzt als gescheitert erklären oder mich halt mit 3G begnügen.

Bzgl. reiner 4G-Nutzung ohne Mobilfunktelefonie würde ich Dir einen E3372-s empfehlen, da es für diesen einige FWs nebst Patches gibt (HiLink<->Non HiLink-FW) wo der Stick wohl auch als 4G-Modem im Bridge-Mode arbeiten kann, was LAN2LAN via PPP-Einwahl wie beim E3131 ermöglichen sollte.

habe mal eines geordert (konnte nicht herausfinden, ob s oder h), dauert halt mal wieder ewig, bis es hier ist.

U.U. ist ein Raspi+E3372 und OpenVpn für 4G-Netze einfacher -unter Zuhilfenahme eines kostenpflichtigen VPN-Services- zu realisieren?

Wie genau meinst Du das? Ich bräuchte doch wohl auch für einen kostenpflichtigen VPN eine öffentliche IP? Raspi läuft hier eh schon 24/7, mit fhem + Squeezebox-Server.
Viele Grüße
Martin

 

[Micha0815]

Ich habe die Sim jetzt in ein uraltes 1752C gepackt ... Bin nun mit ihr im 3G und Telefonie geht auch. Geschwindigkeit ist mit 6 mbps noch ausbaubar...

Der E3131 ist der m.W. schnellste 3G-Stick inkl. Voicefunktion, der schon -sofern verfügbar- mehr als die nominal-max 7,2Mbit/s des E1752 können sollte. Falls Du die *.config der LAN2LAN von beiden FBs noch präsent hast, kannst Du das ja gleich antesten, ob es auch mit vodafone.es funktioniert, wovon ich ausgehe Dunkel entsinne ich mich mit dem E3131 an Raten im DL von ~10-12MBit/s, wobei der UL -iirc- fast im theoretischen Maximum von 4,32MBit/s lag, was für VPN ja nicht ganz uninteressant ist, wenn Du von DE aus grössere Datenmengen von Malle "ziehen" möchtest (WEB-Cam z.B.) oder via VPN die ES-Mobilfunkflat nutzen möchtest. Wenn Du vorort bist, kannst Du ja ein LTE-Smartphone als Tethering-Device nutzen und Dich als VPN-User ins DE-Heimnetz verbinden.
LG

 

[Docmarten]

Der E3131 ist der m.W. schnellste 3G-Stick inkl. Voicefunktion, der schon -sofern verfügbar- mehr als die nominal-max 7,2Mbit/s des E1752 können sollte.

Das E3372 ist ja nun auf dem Weg, das E3131 bleibt, obwohl ich den halben Garten umgegraben habe, verschwunden (wahrscheinlich habe ich es mal mit anderem Kram hochnäsig verschenkt, nach dem Motto: Habe ja jetzt wieder ADSL...). Bevor ich es nun auch noch mal neu ordere die Frage, die mir https://consumer.huawei.com/en/routers/e3372/specs/ nicht wirklich beantwortet hat: ist es mit dem E3372 an der FB möglich, die Verbindung zu wählen, wenn es sowohl 4G als auch 3G gibt, oder nimmt das zwangsweise immer 4G?
Gracias y buenas noches
Martin

EDIT: Das geht wohl über die Huawei-Software am PC einzustellen (https://hilfe-center.1und1.de/wlan-...85512/netzmodus-netzwahl-aendern-a796765.html) - hoffentlich "merkt" sich der Stick das dann auch, wenn man ihn abzieht...

 

[Docmarten]

Der E3131 ist der m.W. schnellste 3G-Stick inkl. Voicefunktion, der schon -sofern verfügbar- mehr als die nominal-max 7,2Mbit/s des E1752 können sollte.

Du meinst, das wäre auch schneller als das E3372 im 3G-Modus?

Falls Du die *.config der LAN2LAN von beiden FBs noch präsent hast, kannst Du das ja gleich antesten, ob es auch mit vodafone.es funktioniert, wovon ich ausgehe

Ich war etwas beleidigt, weil sich der VPN-Tunnel bei abgeschaltetem ES-DSL auch mit der bestehenden DSL-DSL-Konfiguration sofort korrekt aufgebaut hat. Habe dann aber doch die alten Configs eingespielt, klappt tadellos.

Viele Grüße + 1 guten Rutsch
Martin

 

[Micha0815]

Du meinst, das wäre auch schneller als das E3372 im 3G-Modus

Guck doch in den selbst zitierten Specs nach im 3G-Bereich
Der 3372 soll biszu 42MBit/s im DL können vs 21MBit/s beim 3131. Nur meine ich, dass kaum ein Mobilfunkbetreiber dies im 3G anbietet. -Musst Du ggfs. in Deinem Tarif nachschauen-

Ich war etwas beleidigt, weil sich der VPN-Tunnel bei abgeschaltetem ES-DSL auch mit der bestehenden DSL-DSL-Konfiguration sofort korrekt aufgebaut hat.

Das ist imho auch nicht sehr verwunderlich, da das Initiator<->Responder-Prinzip auch mit dem "internen DSL-Modem" funktioniert, statt dem Mobilfunk-Modem in Form eines Sticks.

LG

 

[Docmarten]

Guck doch in den selbst zitierten Specs nach im 3G-Bereich

Wie jetzt - ich soll den Specs glauben, wo ich mit Dir doch den Allrounder in Sachen Mobilfunk-Connections nach realen Erfahrungen befragen kann? Da könnte ich ja gleich auch irgendwelchen Wahlversprechen glauben

Der 3372 soll biszu 42MBit/s im DL können vs 21MBit/s beim 3131. Nur meine ich, das kaum ein Mobilfunkbetreiber das im 3G anbietet. -Musst Du ggfs. in Deinem Tarif nachschauen-

Der Tarif beinhaltet "Datos ilimitados 5G - Navega a Velocidad Máxima". Hahaha, 5G in der Tramuntana...
Wie das mit 4G und 3G ist, wird nicht konkret gesagt:

En el caso de las tarifas Vodafone Mini, Extra e Ilimitada Total la navegación 5G es a una velocidad de bajada de hasta 1Gbps y con una velocidad de subida de hasta 150Mbps. La velocidad está condicionada al acceso a tecnología 5G para lo que será necesario disponer de una tarifa comercializable de contrato y prepago de Vodafone y de Vodafone bit con terminal móvil compatible con 5G dentro de las zonas de cobertura Vodafone 5G (actualmente en estas ciudades: Madrid, Barcelona, Valencia, Sevilla, Málaga, Bilbao, Zaragoza, Pamplona, Vitoria, San Sebastián, Santander, Logroño, A Coruña, Vigo, Gijón). En caso contrario, la velocidad máxima será la que permita la tecnología correspondiente

Werde berichten, wenn das Modem da ist - Viele Grüße
Martin

 

[Docmarten]

So, das E3272 ist heute angekommen. Ich fürchte, ein klassischer Fehlkauf:

(1) Die Vorauswahl/Beschränkung auf 3G klappt nicht wie erhofft. Wenn man - am PC eingesteckt - mit der Huawei-Software auf „Kein LTE“ einstellt, verbindet es sich an der FB dennoch mit 4G. Eine Möglichkeit, an der FB das Netz wählen zu können, wurde zwar wohl schon oft als Featurewunsch an AVM herangetragen, bislang aber ohne Erfolg. Man könnte das an der FB vermutlich mit den entsprechenden AT-Befehlen realisieren, aber mangels Telnet wohl nur mit einem alternativen OS - oder kennt jemand andere Tricks?

(2) Selbst eine Lösung von (1) würde mir wohl für mein Ziel, Daten und Telefonie zu verwenden, wenig nutzen, weil das E3272 offensichtlich nicht Voice-fähig ist (ist auch hier im Forum im GSM-Thread Post #1 nicht gelistet, was ich natürlich vorher nicht geprüft hatte :/ ).

(3) Was die Geschwindigkeit angeht: So lala. Direkt am PC gute Werte:

 15:36:17,4.Januar 2020: Ihre Pingzeit wird ermittelt...

15:36:22,4.Januar 2020: Durchschnittliche Pingzeit: 22,70 ms

15:36:22,4.Januar 2020: Jitter: 20,86 ms

15:36:52,4.Januar 2020: Download ca.926600 kBits gemessen in 30 s --> Downloadrate: 30887 kBit/s

15:37:33,4.Januar 2020: Upload ca.112047 kBits gemessen in 30 s --> Uploadrate: 16132 kBit/s

An der FB schlechter (12/7) und stark schwankend.

(4) Die gute Nachricht: VPN-Zugriff aus DE scheint, entgegen den Befürchtungen von Micha, Problemlos zu klappen. Zumindest in meinem „Versuchsaufbau“: Wlan am Handy aus, per VPN mit der DE-Box verbunden, die ohne weitere Modifikationen dort und hier den VPN-Tunnel-Aufbau der LTE-Box angenommen hatte, dann hiesige IPs aus dem lokalen Netzwerk erfolgreich aufgerufen, dito die Webcam-App. Sollte kein Denkfehler drin sein...

Mal sehen, was ich jetzt daraus mache. Vermutlich am Montag in Palma nach einem E3131 suchen - außer, Ihr habt noch DEN Geheimtipp für mich

Viele Grüße

Martin

 

[Micha0815]

So, das E3272 ist heute angekommen. Ich fürchte, ein klassischer Fehlkauf:

Ich gehe von einem Tippfehler aus bzgl. der Modell-Bezeichnung. Empfohlen hatte ich wenn E3372. Falls ja gib bitte Modell-Extension s oder h mit an nebst FW-Version.

*...21.*** ist None-HiLink und *...22.* ist HiLink.

Der Hinweis, dass VPN immernoch funktioniert, bestärkt mich in der Auffassung, dass der Stick als Mobilfunk-Modem über "Mobilfunk-Verbindung" gerade bei Dir arbeitet und NICHT im Tethering-Mode. Es kann sein, dass jüngere FB-FWs über den "project_mode" speziell diesen Stick/dieses Modell unbemerkt in den Modem-Mode umschalten können, auch wenn eine 22er FW auf dem Stick arbeitet. (es gab da div. Andeutungen und Hinweise im Forum)
Im Tethering-Mode kannst Du den Stick sehrwohl auf das 3G-Netz beschränken über das Stick-GUI. -Im Werkszustand 192.168.8.1 iirc.


Dass der 3372 nicht voicefähig ...

Für LTE/4G wäre ein E3372s oder -h geeignet, wobei Du dabei auf die Mobilfunktelefonie-/SMS-Flat verzichten müsstest, da jegliche Telefonie nur -wenn überhaupt- über VOIP/I-Net abläuft.

habe ich imho DEUTLICHST geschrieben!

Ergo schaue bitte erstmal etwas genauer hin, was Du eigentlich erworben hast und wo die richtigen Infos stehen? Ob mit jeder Provider-FW erkennbar weiss ich nicht ... mit einer generischen sollte sowas erkennbar sein, was doch recht umfangreich ist?

OT: Ich hatte gerade hier -vgl. oben- eine 1und1-100MB-D2-SIM getestet, ob sie sich schon wie angekündigt ... angeblich bis Ende 2/2020... auch ins D2-4G einbuchen kann. Nope leider

Btw. sollte ein 3372 -zumindest las ich etwas dazu im lteforum.at- im tethering-mode annähernd gleichschnell sein wie im modem-mode ... getestest wurde dort seinerzeit -iirc- im 3.at-LTE-Netz, wo tariflich bis 150MBit/s erlaubt waren und jeweils auch real um die 100 ankamen.

OT: Ich selbst besaß mal als "schnellste 4G-fähige" SIM eine Prepaid von drei.at, wobei der Tarif auchschon auf 50MBit/s gedrosselt war und den ich nur als dayflat bei einem Besuch in AT 1-2Tage testete.

Von daher erscheinen mir Deine Messwerte durchaus plausibel, da mutmasslich in Deinem Tarif mit Data-Flat nicht ganz "aufgedreht" wird, sei es 3 oder 4G

Btw. waren die Spanier iirc bei der Namensgebung 3,5G sehr kreativ, wobei das seinerzeit nur schnödes 3G bis 21MBit/s widerspiegelte
LG

 

[Docmarten]

Ich gehe von einem Tippfehler aus bzgl. der Modell-Bezeichnung. Empfohlen hatte ich wenn E3372. Falls ja gib bitte Modell-Extension s oder h mit an nebst FW-Version.

*...21.*** ist None-HiLink und *...22.* ist HiLink.

Ja, sorry, Tippfehler. Es ist h.

Der Hinweis, dass VPN immernoch funktioniert, bestärkt mich in der Auffassung, dass der Stick als Mobilfunk-Modem über "Mobilfunk-Verbindung" gerade bei Dir arbeitet und NICHT im Tethering-Mode. Es kann sein, dass jüngere FB-FWs über den "project_mode" speziell diesen Stick/dieses Modell unbemerkt in den Modem-Mode umschalten können, auch wenn eine 22er FW auf dem Stick arbeitet. (es gab da div. Andeutungen und Hinweise im Forum)

So ist es. Tethering war garnicht angeboten. Hätte Tethering im Vergleich zum Modem-Modus denn Vorteile (abgesehen vom Nachteil, dass dann VPN lt. Deiner Erfahrung nicht mehr möglich wäre)? Du schreibst ja, dass es bei der Geschwindigkeit wohl keinen Unterschied macht?

Im Tethering-Mode kannst Du den Stick sehrwohl auf das 3G-Netz beschränken über das Stick-GUI. -Im Werkszustand 192.168.8.1 iirc.
Anhang anzeigen 103633

Die MP-Version auf dem Stick sieht zwar anders aus (wesentlich weniger Optionen), aber die Option, LTE zu ignorieren, gibt es. Nur dass das anscheinend nur flüchtig auf dem Stick gespeichert wird, denn sobald man ihn vom PC abzieht und an der Fritte einsteckt, verbindet er sich direkt mit 4G (zumindest lt. Status Fritte). Ist aber eh egal, weil....

Dass der 3372 nicht voicefähig ...
habe ich imho DEUTLICHST geschrieben!
Ergo schaue bitte erstmal etwas genauer hin, was Du eigentlich erworben hast und wo die richtigen Infos stehen?

Ja, im Nachhinein kann ich das verstehen. Auf Anhieb hatte ich Dich so verstanden, dass mit dem Stick nur das GLEICHZEITIGE Nutzen von Daten und GSM-Telefonie nicht möglich sei, daher auch meine seinerzeitige Nachfrage, wie man sich das in der Praxis vorstelle muss.

Von daher erscheinen mir Deine Messwerte durchaus plausibel, da mutmasslich in Deinem Tarif mit Data-Flat nicht ganz "aufgedreht" wird, sei es 3 oder 4G

Btw. waren die Spanier iirc bei der Namensgebung 3,5G sehr kreativ, wobei das seinerzeit nur schnödes 3G bis 21MBit/s widerspiegelte
LG

N.B.: der Vodafone-Tarif sichert 5G mit maximaler Geschwindigkeit zu. Dann werden sie doch wohl kaum 4G oder 3G-Verbindungen mutwillig drosseln? Aber Du hast da erwiesenermaßen weitaus mehr Praxiserfahrung hier als ich (bin heute bei der Recherche wieder über viele Deiner Postings gestolpert, danke für Deinen Einsatz!
... und molts d'anys!
Martin

 

[Micha0815]

Auf Anhieb hatte ich Dich so verstanden, dass mit dem Stick nur das GLEICHZEITIGE Nutzen von Daten und GSM-Telefonie nicht möglich sei

Sorry, wenn ich mich so missverständlich ausgedrückt hatte ... nur wurde von anderen und mir zum E3372 vielfach angemerkt, dass es keine voicefähige FW dafür gibt. Eingedenk dessen, dass -iirc- Dein seinerzeitiger E3131 auch erst mit einer voicefähigen FW geflasht werden und/oder die gsm.cfg angepasst werden musste um ihn lauffähig zu machen, liess mich ob des Begriffs voicefeature=enabled (zeigt der DC-Unlocker an ) oder voicefähig von gewissen Vorkenntnissen ausgehen.

Hätte Tethering im Vergleich zum Modem-Modus denn Vorteile (abgesehen vom Nachteil, dass dann VPN lt. Deiner Erfahrung nicht mehr möglich wäre)? Du schreibst ja, dass es bei der Geschwindigkeit wohl keinen Unterschied macht?

Das kann ich nicht wirklich beurteilen hinsichtlich Speed. Auch VPN kann ich nur daraus ableiten, dass der Stick dann eher als Router mit eigenem IP-Kreis und DHCP arbeitet. Zur Not teste die SIM mit einem LTE-Phone als Tetheringdevice, was bis zu 150MBit/s kann

Dann werden sie doch wohl kaum 4G oder 3G-Verbindungen mutwillig drosseln?

Wie gesagt mag dies auf 5G zutreffen ... nur was in den Funkzellen tatsächlich in 3G und 4G maximal angeboten wird, musst Du selbst herausfinden ... wobei u.U. nichtmal absichtlich gedrosselt wird.
LG

 

[Docmarten]

Du hattest Dich nicht missverständlich ausgedrückt, aber ich hatte bis gestern die ganzen anderen Threads zum Thema „keine Voice mit LTE Sticks“ (und ja auch nicht mit der Fritz-LTE-Box) nicht gelesen. Ist halt auch so ein (Nicht-)Feature, wo ich als Normalsterblicher nie draufgekommen wäre, dass das wg. LTE trotz aktuellen Modems zum Problem werden könnte, wo es doch mit einem Steinzeitmodem und 3G funktioniert. Aber so ist halt Fortschritt

 

[Micha0815]

Als mutmasslicher Hinweis, falls Dein E3372 ein Telekom-Speedstick 5 alias E3372-h mit Telekom-FW ist/daherkommt ... scheint in neuerer Box-FW -vgl. https://telekomhilft.telekom.de/t5/...ternet-Verbindung-LTE-einrichten/ta-p/4129092
Quelle: hier der Forumsbeitrag
selbiger trotz HiLink-FW im Modem-Mode angemeldet zu werden bzw. zu arbeiten?

Ich hatte dies gestern selbst getestet mit FW 7.19-74542 und war überrascht, dass mein E3372-s als Modem angesprochen wurde. Eigentlich -so meine ich wird er bei einer 7390 eingebunden- sollte der Wechsel zum Tethering angeboten werden bei einer HiLink-FW.
LG

 

[Docmarten]

Danke. Ich habe das Modem hier bei einem Amazon Marketplace-Händler aus Murcia gekauft, "libre". Es ist mit "LMT" beschriftet, was mir nichts sagt.
Firmwareversion kann ich gerade nicht nennen, da die SIM an der FB werkelt. Ich muss nochmal fragen: Hätte es denn Vorteile, ein Modem im Tethered-Mode an der Fritzbox zu betreiben.
Und gleich noch eine Frage an die Experten: Warum ist die Geschwindigkeit (4G im E3372 im Modem-Modus) an der Fritzbox so dramatisch geringer als wenn ich dieselbe SIM im selben Netz in mein uraltes iPhone 6 stecke?

Als ich BTW vorgestern in Palma ein UMTS-Modem kaufen wollte, habe ich mich soooo alt gefühlt, wie mich die diversen Verkäufer in fnac und den zahlreichen asiatisch besetzten Handy-Shops, die in Sindicato aus dem Boden geschossen sind, angeschaut haben... Früher habe es so etwas gegeben, aber wer brauche denn schon heute so etwas Hätte wohl besser im Elektronikschrott-Behälter auf dem Recyclinghof gesucht...
Viele Grüße
Martin

 

[Micha0815]

Es ist mit "LMT" beschriftet, was mir nichts sagt.

Es ist ein lettischer Mobilfunkanbieter. (lmt.lv)
Mit diesem Label habe ich auch 2Stck. in der s-Version seinerzeit aus Riga erstanden.

Hätte es denn Vorteile, ein Modem im Tethered-Mode an der Fritzbox zu betreiben.

Für das Topic VPN eher nicht.

Und gleich noch eine Frage an die Experten: Warum ist die Geschwindigkeit (4G im E3372 im Modem-Modus) an der Fritzbox so dramatisch geringer als wenn ich dieselbe SIM im selben Netz in mein uraltes iPhone 6 stecke?

Es könnte sein, dass beide in unterschiedlichen Modi (3G/4G) arbeiten, wobei ich selbst schon die Erfahrung an einem Standort gemacht hatte, dass ein schwaches/überfülltes LTE-Netz langsamer performte, als ein starkes (und wohl weniger frequentiertes) UMTS-Netz. Die meistens neueren LTE-Smartphones schalten in den Standardeinstellungen immer auf das vermeintlich schnellste 4G, auch wenn der Empfang miserabel ist und dadurch ggfs. die Performance leidet. Erst wenn 4G längers keinen Empfang hat, wird "runtergeschaltet".

...Nur dass das anscheinend nur flüchtig auf dem Stick gespeichert wird

Dies kann ich nicht beurteilen, da ich noch warte, dass hiesige 1und1-D2-SIM ins 4G freigeschaltet werden.
Generell würde ich empfehlen, da es hier den Rahmen sprengt und zu OT wird, sich im lteforum.at zu Deinem Modell einzulesen.

OT: Dort las ich z.B. zu der Telekom-Version(DE) des HuaweiB618 (Speedbox-V), dass dessen FW im DREI.AT-Netz nur gebremst arbeitet, da 2 LTE-Bänder im Bonding nicht unterstützt werden und dies im DE-Telekom-Netz nicht vorgesehen ist. Von daher kann es durchaus sinnvoll sein, sich mit Umflashen des Sticks auf eine generische FW ggfs. mit Mods zu beschäftigen. Gerade das LTE-Watch-Progi kann für die Ausrichtung und Speedtests sehr sinnvoll sein.
Nachtrag: Zuguterletzt darf man nicht vergessen, dass die LTE-Technik auch weitergeht, wenn es um verbreitete Standards geht vgl. https://de.wikipedia.org/wiki/LTE-Advanced
was der E3372 als CAT4-Gerät nicht kann, sofern für Deinen Test mit dem I-Phone relevant.

LG

 

[Docmarten]

So, back in DE (wo übrigens auch das E3131 auf mich gewartet hatte, muss ich wohl mal versehentlich re-importiert haben :/) und erstmal eine Schrecksekunde, denn der Zugriff auf ES ging erst garnicht und dann nur sehr sporadisch bzw. instabil. Meine erfolgreichen Versuche von ES aus waren wohl Zufallstreffer. Konkret brach der Tunnel praktisch immer zusammen, sobald ich über die DE-Box auf ES zugreifen wollte. Interessanterweise scheint das die ES-Box überhaupt nicht mitbekommen zu haben, zumindest stand nichts in deren Logs. Ich vermute, die DE-Box hat entgegen ihrem Auftrag versucht, die ES-Box zu erreichen und dann hingeschmissen, da dies halt nicht klappt.

12.01.20 23:46:14    VPN-Fehler: ES.myfritz.net.2020, IKE-Error 0x2027 [4 Meldungen seit 12.01.20 23:44:59]
12.01.20 23:44:42    VPN-Verbindung zu ES.myfritz.net.2020 wurde getrennt. Ursache: 9 Dead Peer Detection
12.01.20 23:43:37    Anmeldung des Benutzers xyz an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 192.168.xxx.xxx.
12.01.20 23:28:46    VPN-Verbindung zu ES.myfritz.net.2020 [xx.xx.xx.xxx] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.

Ich habe dann mal alle anderen VPN-Configs aus der DE-Box gelöscht, dann lief es einen ganzen Tag stabil und (trotz 3G und 1752C) recht flott. Dann wieder das beschriebene Phänomen. Ich habe dann die Configs noch minimal gemäß #80 angepasst, jetzt läuft's wieder, und ich hoffe, es bleibt so.
Danke + Grüße
Martin

 

[Docmarten]

Guten Morgen,
DE <> ES-Tunnelausfälle beim Zugriff auf ES halten an, gefühlt vor allem dann, wenn ich direkt aus dem DE-Netzwerk zugreife (wenn ich auf ES aus einem Drittnetzwerk über User-VPN-Verbindung zum DE-Netzwerk zugreife, hatte ich bisher noch keine Ausfälle, aber das war noch nicht so oft der Fall, sodass ich keine Schlüsse ziehen mag).
Die Meldungen sind immer dieselben, s. auch vorherigen Post: 9 Dead Peer Connection und dann IKE-Error 0x2027 (= timeout).
Wie PeterPawn ja am Anfang des Threads richtig anmerkte:

bei Dir muß die UMTS-Box die Verbindung aufbauen und in der DSL-Box darfst Du gar keine IP-Adresse und auch keinen DNS-Namen für die UMTS-Box definieren (jedenfalls nicht bei "remotehostname/remoteip", an den anderen Stellen ist das ohnehin nur "ein Bezeichner" ohne irgendwelche Bedeutung in netzwerktechnischer Hinsicht), wenn Du eine stabile Verbindung haben willst. Die Box in ES muß einfach nur mit "keepalive_ip = <adresse im dsl-lan>;" so eingestellt werden, daß die nach jedem WAN-Verbindungsaufbau ihrerseits wieder die VPN-Verbindung neu aufbaut ... die DSL-Box darf das nicht selbst versuchen, sonst reißt der dabei unweigerlich auftretende Fehler eine von der UMTS-Seite erfolgreich aufgebaute Verbindung wieder mit in den Abgrund.-

Ich denke, ich habe alle vorgeschlagenen Bremsmechanismen umgesetzt. Kann man es der DE-Box dennoch irgendwie abgewöhnen, von sich aus tätig zu werden? PeterPawn schrieb seinerzeit auch von Änderungsprojekten in der Firmware (54 Minuten Problem...).
Das sind die aktuellen Configs:
DE-DSL:

vpncfg {
        connections
        {
                enabled = yes;
                conn_type = conntype_lan;
                name = "DE-DSL.myfritz.net.2020";
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                 remotehostname = "";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "ES_UMTS.myfritz.net";
                }
                remoteid {
                        fqdn = "DE-DSL.myfritz.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "bla";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.50.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0",
                             "permit ip any 192.168.50.0 255.255.255.0";
                ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                                    "udp 0.0.0.0:4500 0.0.0.0:4500";
                
        }

ES-UMTS:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "ES-UMTS.myfritz.net.2020";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "DE-DSL.myfritz.net";
                keepalive_ip = 192.168.50.237;
                localid {
                        fqdn = "ES-UMTS.myfritz.net";
                }
                remoteid {
                        fqdn = "DE-DSL.myfritz.net";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "bla";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.50.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.50.0 255.255.255.0";
        }

Danke + viele Grüße
Martin

 

[Micha0815]

keepalive_ip = 0.0.0.0

Macht imho wenig Sinn in der Responder-DE-FB.

keepalive_ip = 192.168.50.237

Ist dies die IP der DE-Box im Heimnetz? Ich würde mir da besser etw. kleineres unterhalb .20 (dem Beginn des standardmässig eingestellten DHCP-Bereiches) ausdenken, zumal gerade ab .200 die FB die VPN-Clients ansiedelt, wobei .37 eigentlich weitgenug entfernt scheint ... aber gelöschte/deaktivierte Accounts/Apps könnten u.U. noch in den Tiefen der FW als "Leichen herumgeistern".

accesslist = "permit ip any 192.168.0.0 255.255.255.0", "permit ip any 192.168.50.0 255.255.255.0"

Das macht imho auch keinen Sinn.
LG

 

[Docmarten]

Vielen Dank Micha,

keepalive_ip = 0.0.0.0
Macht imho wenig Sinn in der Responder-DE-FB.

Hatte ich aus Deinem Code aus #80 übernommen - schmeisse ich jetzt mal wieder raus

keepalive_ip = 192.168.50.237
Ist dies die IP der DE-Box im Heimnetz? Ich würde mir da besser etw. kleineres unterhalb .20 (dem Beginn des standardmässig eingestellten DHCP-Bereiches) ausdenken, zumal gerade ab .200 die FB die VPN-Clients ansiedelt, wobei .37 eigentlich weitgenug entfernt scheint ... aber gelöschte/deaktivierte Accounts/Apps könnten u.U. noch in den Tiefen der FW als "Leichen herumgeistern".

Nein, das ist nicht die IP der Box, die ist 192.168.50.1. Ich weiß heute auch nicht mehr, wie ich seinerzeit auf die 237 kam. Aber hatte ja früher funktioniert.
Ich möchte jetzt aus der Ferne nur im Notfall Änderungen an der ES-Box durchführen, denn wenn sie danach wegen irgendeines Fehlers "weg" ist", habe ich ein Problem Oder meinst Du, dass die 237 ursächlich sein könnte für den Versuch der DE-Box, selbst den Tunnel aufzubauen? Da fehlen mir ehrlich gesagt die Kenntnisse.

accesslist = "permit ip any 192.168.0.0 255.255.255.0", "permit ip any 192.168.50.0 255.255.255.0"

Das macht imho auch keinen Sinn.

Das war PeterPawns Vorschlag aus #34, um die Verbindung Büronetzwerk -> DE-Box -> ES-Box zu realisieren, so hatte ich es zumindest verstanden.
Viele Grüße
Martin

 

[PeterPawn]

so hatte ich es zumindest verstanden

Nur ist die Konfiguration, in der diese "accesslist" mit den zwei Einträgen verwendet wird, hier ja offensichtlich nicht die für das Büronetzwerk, sondern die für die "DE-Box" oder "DE-DSL" - so steht es jedenfalls weiter oben - und da macht das keinen wirklichen Sinn, zumal 192.168.50.0/24 ja auch noch das LAN dieser Box ist. Für eine weitere Box mit "Büronetzwerk" wäre das immer noch richtig, wenn diese über die VPN-Verbindung zu "DE-DSL" (also zur 192.168.50.0/24) ebenfalls das Netz 192.168.0.0/24 (also die Box in ES) erreichen soll.

Zur DPD: Bisher wird aus dem "keepalive_ip" auf der ES-Seite halt nur ein "ICMP echo request"-Paket in einer Richtung, weil auf der DE-Seite wohl niemand ist, der das "ICMP echo reply" dafür erzeugt.

Ausgehend davon, daß AVM ja behauptet, irgendetwas beim Zusammenspiel vom VPN mit nur einer öffentlichen IP-Adresse geändert zu haben, halte ich es für denkbar (wirklich getestet hat es wohl noch niemand oder der-/diejenige hat vergessen, die Ergebnisse solcher ausführlicher Tests zu dokumentieren - zumindest hier), daß die Gegenrichtung hier inzwischen ihre eigene Timeout-/DPD-Behandlung hat und es nicht mehr egal ist, ob in der Gegenrichtung eine Antwort zu verzeichnen ist, damit die SA-Behandlung so bleibt, wie sie bisher war. Das "Aber hatte ja früher funktioniert." ist alles mögliche, nur kein valides Argument, wenn das nicht dieselben FRITZ!OS-Versionen "wie früher" sind.

Ich würde hier also das "keepalive_ip" auf eine existierende Adresse setzen ... das erzeugt zwar etwas mehr Traffic (weil jetzt auf das "ICMP echo request"-Paket auch eine Antwort erfolgen sollte), aber eben auch in beide Richtungen regelmäßigen Traffic, der dann wieder Verbindungen am Leben und CGN-Connections (für den aufgebauten Tunnel) offen hält.

Ob es das aber am Ende schon ist, weiß ich auch nicht ... wie immer verweise ich in diesem Kontext auf die "ike.log" als Protokoll und notfalls sogar auf den Paketmitschnitt für den Tunnel, wenn man wissen will, warum der am Ende offenbar wg. Inaktivität abgebaut wurde.

 

[Micha0815]

Hatte ich aus Deinem Code aus #80 übernommen - schmeisse ich jetzt mal wieder raus

Kannst Du auch drin lassen ... schadet nicht Nur in der ES-Box solltest Du schon die korrekte IP der DE-FB 192.168.50.1 eintragen als keepalive. Wenn die ES-Box bei aufgebauten Tunnel vergebens zu einer u.U. nicht existenten 192.168.50.237 sucht, ist dies imho eher "ungesund" für die Stabilität.
Als Ergänzung zu #139
Interessanter wäre zusätzlich die Einrichtung eines IP-Telefons in der ES-Box zu der *13# (span. Mobilfunknummer des Sticks) und die Registrierung in der DE-Box. Die Aufrechterhaltung der Registrierung wird recht kontinuierlich ... iirc alle paar Sekunden oder waren es Minuten ... erneuert/kontrolliert, was bei einer FLAT-SIM bzgl. Traffic eher nebensächlich, jedoch für den Verbindungserhalt sinnvoll/förderlich erscheint.
LG