- Anzeige -

VPN-Problem 6360 / keine Fehlermeldung

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

VPN-Problem 6360 / keine Fehlermeldung

Beitragvon JoergL » 26.04.2011, 20:07

Hallo Zusammen,
ich habe seit November 2010 die 6360 und bisher tat es eigentlich soweit alles ganz gut.
Keine Probleme, stabile Inetverbindung etc.

Nun wollte ich heute Abend eine VPN-LAN-zu-LAN-Verbinung konfigurieren und bin dabei auf ein kleines Problem gestossen.

Die Konfigurationsdatei wurde unter zu Hilfnahme von diesem AVM-Dokument entsprechend konfiguriert.

Leider bleibt der Status auf "nicht aufgebaut, Watchguard".
Jetzt hätte ich ja gerne wenigstens eine Fehlermeldung, aber Pustekuchen, keine Meldung.
Die Ereignisse zeigen nur:
Code: Alles auswählen
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 178.xxx.xxx.xxx, DNS-Server: 80.69.100.182 und 80.69.100.174, Gateway: 178.200.184.1
Internetverbindung wurde getrennt.


Der AVM-support sagt:
Das keine Fehlermeldung kommt, mag sein.
Es gibt aber kein Support von AVM da ich mich ja nicht gegen eine andere Fritzbox sondern eine Watchdog verbinden will.

Hat wer spontan eine Idee??
Gruß und Danke
Jörg
JoergL
Kabelneuling
 
Beiträge: 10
Registriert: 10.11.2010, 12:26
Wohnort: Mülheim an der Ruhr

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitragvon addicted » 26.04.2011, 21:54

Was auch immer eine "Watchdog" ist - hat es Logfiles?
Wer macht die ausgehende Verbindung? Klappt es andersherum? Was passiert, wenn Du die Verbindung interaktiv (telnet, etc.) aufbaust?
addicted
Glasfaserstrecke
 
Beiträge: 1984
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitragvon JoergL » 26.04.2011, 22:15

addicted hat geschrieben:Was auch immer eine "Watchdog" ist - hat es Logfiles?
sorry... meine natürlich Watchguard, nicht Watchdog... sicherlich hat die VPN-Hardware auch ne Logdatei..
Ob und was diese sagt, werde ich morgen in der Firma durch den VPN-Admin prüfen lassen.
addicted hat geschrieben:Wer macht die ausgehende Verbindung?
Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.
addicted hat geschrieben:Was passiert, wenn Du die Verbindung interaktiv (telnet, etc.) aufbaust?
wenn du mir Verrätst wie ich a) zugriff per telnet auf die Fritzbox ( 6360 )bekomme und b) die VPN.Verbindung von dort starte...
JoergL
Kabelneuling
 
Beiträge: 10
Registriert: 10.11.2010, 12:26
Wohnort: Mülheim an der Ruhr

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitragvon addicted » 26.04.2011, 22:54

JoergL hat geschrieben:sorry... meine natürlich Watchguard, nicht Watchdog... sicherlich hat die VPN-Hardware auch ne Logdatei..
Ob und was diese sagt, werde ich morgen in der Firma durch den VPN-Admin prüfen lassen.

Wir warten mit Spannung :)


JoergL hat geschrieben:Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.

Gerne. Sofern Du keine dedizierte Leitung von Dir ins Büro hast, baut eines der Endgeräte die Verbindung auf. Falls du eine dedizierte Leitung hast, kannst Du das mit der Fritzbox nicht konfigurieren, und überhaupt brauchst Du dann kein VPN :)


JoergL hat geschrieben:
addicted hat geschrieben:Was passiert, wenn Du die Verbindung interaktiv (telnet, etc.) aufbaust?
wenn du mir Verrätst wie ich a) zugriff per telnet auf die Fritzbox ( 6360 )bekomme und b) die VPN.Verbindung von dort starte...

Ich meinte natürlich, dass Du von Hand versuchst, zum VPN-Server zu verbinden, nicht die Fritzbox zu manipulieren. Ich gebe aber zu, dass das bei IPSEC etwas, äh, schwieriger ist, daher lassen wir das. Leider hab ich mit einer Fritzbox noch nie ein VPN aufgebaut, daher kann ich dazu nicht viel sagen. Du könntest uns aber mal erzählen, wie genau Deine Konfig aussieht, wie die Daten der Gegenstelle sind, und insbesondere welche Zertifikate verwendet werden sollen...
addicted
Glasfaserstrecke
 
Beiträge: 1984
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitragvon a.spengler » 26.04.2011, 23:01

JoergL hat geschrieben:Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.


Irgendeines der beiden VPN-Gateways muss die Verbindung herstellen, damit die "stetig da" sein kann.
Bild
a.spengler
Kabelexperte
 
Beiträge: 157
Registriert: 07.10.2006, 15:37
Wohnort: Hanau

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitragvon JoergL » 26.04.2011, 23:14

addicted hat geschrieben:
JoergL hat geschrieben:sorry... meine natürlich Watchguard, nicht Watchdog... sicherlich hat die VPN-Hardware auch ne Logdatei..
Ob und was diese sagt, werde ich morgen in der Firma durch den VPN-Admin prüfen lassen.

Wir warten mit Spannung :)
Naja ich werds ja morgen sehen, aber in Ermagelung von vernüftigen Infos im Ereignisprotokoll der Fritzbox gehe ich im Moment davon aus, das die Verbindung ja garnicht erst aufgebaut wird.
addicted hat geschrieben:
JoergL hat geschrieben:Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.

Gerne. Sofern Du keine dedizierte Leitung von Dir ins Büro hast, baut eines der Endgeräte die Verbindung auf. Falls du eine dedizierte Leitung hast, kannst Du das mit der Fritzbox nicht konfigurieren, und überhaupt brauchst Du dann kein VPN :)
a.spengler hat geschrieben:Irgendeines der beiden VPN-Gateways muss die Verbindung herstellen, damit die "stetig da" sein kann.

Naja aber genau den Aufbau der Verbindung soll ja die Fritzbox selber machen...
Andernfalls macht es ja gar kein Sinn den VPN-Tunnel in der Fritzbox zu konfigurieren, sondern ich könnte auch auf den Software-VPN-Client zurückgreifen.

Was die Konfiguration betrifft:
Die Konfigurationsdatei entsprihct dem PDF-Dokuemnt, welches im ersten Post verlinkt ist.
Natürlich mit geänderten Daten für die relevanten stellen
JoergL
Kabelneuling
 
Beiträge: 10
Registriert: 10.11.2010, 12:26
Wohnort: Mülheim an der Ruhr

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitragvon addicted » 27.04.2011, 01:22

JoergL hat geschrieben:Die Konfigurationsdatei entsprihct dem PDF-Dokuemnt, welches im ersten Post verlinkt ist.
Natürlich mit geänderten Daten für die relevanten stellen

Die häufigsten Probleme bei der Einrichtung von IPSEC bestehen mit Fehlern in der Konfiguration, insbesondere bei nicht identischen Produkten für die beiden Enden des "Tunnels". Da heißen die Begriffe ganz anders, teilweise werden andere Standards implementiert...
Am Besten klärst Du die Konfig mal mit dem VPN-Admin. Ohne die Daten (beider Enden!) kann Dir hier vermutlich niemand helfen.

Es wäre natürlich wünschenswert, dass die Fritzbox mehr Debugausgabe wirft.
addicted
Glasfaserstrecke
 
Beiträge: 1984
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitragvon JoergL » 27.04.2011, 09:03

Also bei uns an der Firewall/VPN-Box kommt nichts an...

Hier mal die config:
Code: Alles auswählen
vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Watchguard";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = die-externe-ip-der-firma;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "mein-dyndns-name-für-die-fritzbox";
                }
                remoteid {
                        ipaddr = die-externe-ip-der-firma;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "def/3des/sha";
                keytype = connkeytype_pre_shared;
                key = "der-ganz-geheime-psk-mit-16-stellen";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.55.0;
                                mask = 255.255.255.0;
                        }
            }
           phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";
            
                accesslist = "permit ip any 132.0.0.0 255.255.0.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


hier auch noch ein Screenshot aus der Oberfläche der Fritzbox.
Bild
Was dort etwas komisch ist, ist das lokales und entferntes Netz leer sind.

Auch wurde schon folgende Config-Anpassung ausprobiert:
Code: Alles auswählen
 phase2localid {
                        ipnet {
                                ipaddr = 192.168.55.0;
                                mask = 255.255.255.0;
                        }
            }
             phase2remoteid {
                  ipnet {
                                ipaddr = 132.0.0.0;
                                mask = 255.255.0.0;
                        }
                }
JoergL
Kabelneuling
 
Beiträge: 10
Registriert: 10.11.2010, 12:26
Wohnort: Mülheim an der Ruhr

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitragvon addicted » 27.04.2011, 10:05

JoergL hat geschrieben:Also bei uns an der Firewall/VPN-Box kommt nichts an...

Kommen dort keine UDP-Pakete an, oder habt ihr lediglich die etablierten Verbindung am VPN-Gateway überprüft?

Ist Deine IP korrekt bei DynDNS (mit dem Hostnamen aus der Config) registriert?

Kannst du Dich von einem Rechner/Laptop hinter der Fritzbox aus mit dem VPN verbinden?
addicted
Glasfaserstrecke
 
Beiträge: 1984
Registriert: 15.03.2010, 03:35
Wohnort: Paderborn

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitragvon JoergL » 27.04.2011, 10:32

addicted hat geschrieben:Kommen dort keine UDP-Pakete an, oder habt ihr lediglich die etablierten Verbindung am VPN-Gateway überprüft?
es kommt kein einziges Paket von meiner IP/dyndns-Name am Gateway an
addicted hat geschrieben:Ist Deine IP korrekt bei DynDNS (mit dem Hostnamen aus der Config) registriert?
ja ist sie, Namensauflösung funktioniert ebenfalls einwandfrei
addicted hat geschrieben:Kannst du Dich von einem Rechner/Laptop hinter der Fritzbox aus mit dem VPN verbinden?
das wird, wenn ich heute mein Firmenlaptop erhalte, heute Abend getestet
JoergL
Kabelneuling
 
Beiträge: 10
Registriert: 10.11.2010, 12:26
Wohnort: Mülheim an der Ruhr

Nächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 52 Gäste