VPN zwischen FB6490 und FB7xxx geht nicht

Diskutiere VPN zwischen FB6490 und FB7xxx geht nicht im FRITZ!Box für Kabel Internet Forum im Bereich Internet und Telefon bei Unitymedia; Ich administrieren 5 Fritzboxen (7390, 2x7490, 7580 alle bei Telekom und eine 6490 von und bei Unitymedia in BW). Ich haben zwischen allen...

pl61

Beiträge
15
Reaktionen
0
Ich administrieren 5 Fritzboxen (7390, 2x7490, 7580 alle bei Telekom und eine 6490 von und bei Unitymedia in BW). Ich haben zwischen allen Fritzboxen eine VPN-Verbindung (LAN zu LAN) erstellt (bzw. es versucht).

Diese VPN-Verbindungen funktionieren auch alle untereinander, außer von und zur 6490. Dabei erhalte ich einen IKE-Error 0x2027. VPN-Verbindungen von Usern mit einem Client (Smartphone, MacBook) zur 6490 laufen hingegen problemlos. Warum bloss läuft die LAN-LAN-Kopplung zur 6490 nicht?

Da ich die notwendigen Parameter in die Fritzboxen per Copy&Paste eintrage, ist ein Eingabefehler eigentlich ausgeschlossen. Jede Fritzbox hat auch einen eigenen privaten IP-Bereich. Bei Unitymedia habe ich sowohl IPv4 als auch IPv6. Reset auf Werkszustand hat auch nicht geholfen.

Alle Hinweise, die ich mir ergooglen konnte, haben nicht geholfen. Der Support von AVM hat auch keine wirksame Hilfe gebracht. Fazit AVM: an der Fritzbox könne es nicht liegen.

Was könnte die Ursache sein?
 

hajodele

Beiträge
5.388
Reaktionen
48
Die Ursache nennt sich DS-Lite.
Damit kannst du das vergessen.
 
Andreas1969

Andreas1969

Beiträge
17.093
Reaktionen
303
VPN Verbindungen vom Telekom Netz zum Unitymedia Netz (beides IPV4) zwischen 2 Ftitzboxen funktionieren nicht.
Ich habe das leider auch feststellen müssen.

Muss man wohl so hinnehmen.

Gruß Andreas
 
Andreas1969

Andreas1969

Beiträge
17.093
Reaktionen
303
Alles was ich bisher rausgefunden habe, hängt das mit dem MTU Wert zusammen.
VPN Lan-Lan Kopplung zwischen den FritzBoxen scheint nur zu funktionieren, wenn auf beiden Seiten die gleiche MTU Größe vorliegt.
Beim UM Anschluss (6490) steht die MTU auf 1500
Beim Telekom Anschluss (7390) hast Du eine MTU von 1492, da 8 Byte für den PPPoE-Frame erforderlich sind, was ja bei UM aufgrund der anderen Technologie ja nicht so ist.
Probiere doch mal bei der 6490 die MTU auf 1492 zu stellen.
Ich kann das nicht mehr testen, da ich mittlerweile über keinen Telekom Anschluss mehr verfüge.
Den letzten von meinen 4 Anschlüssen habe ich vor 2 Wochen auf Unitymedia umgestellt.

Gruß Andreas
 
Andreas1969

Andreas1969

Beiträge
17.093
Reaktionen
303
Eine Anmerkung habe ich da noch:
Komischerweise laufen reine Client VPN Verbindungen z.B. vom Smartphone oder vom Rechner mit AVM VPN Client zur 6490 (IPV4) tadellos. :confused:

Gruß Andreas
 

johnripper

Beiträge
1.298
Reaktionen
0
VPN Verbindungen vom Telekom Netz zum Unitymedia Netz (beides IPV4) zwischen 2 Ftitzboxen funktionieren nicht.
Ich habe das leider auch feststellen müssen.
Quatsch, stimmt nicht.

Ich habe hier seit Jahre eine stabile VPN Verbindungen zwischen einer 6490 Cable (im KBW Netz), einer 7490 (Telekom) sowie einer weiteren 7360 hinter einem Modem (KBW).
Die Verbindungen werden jeweils immer sauber aufgebaut und problemlos über Wochen gehalten. Selbst 80GB Backup Images von VMs kann ich darüber jagen.

Man muss nur den Speed drosseln, weil die 6490 im Upload nicht mit 10Mbit klarkommt. Max sind 8 Mbit drin, da kann man dann aber auch nicht mehr telefonieren oder surfen. Außerdem ist das Telefonbuch etc sehr langsam.
 

addicted

Beiträge
4.745
Reaktionen
98
CPU Auslastung zu hoch wegen crypto?
 

johnripper

Beiträge
1.298
Reaktionen
0
Yepp. Sieht man sehr deutlich in der Anzeige, wenn ich bspw. nachts von 3 - 5 Backups mache, dass dort die CPU Auslastung auf max geht.

Bspw sieht das dann so aus:


Ich wollte schon wenig mal experimentieren, ob es vielleicht an einer ungünstigen Situation der Parameter liegt:

phase1ss = "all/all/all"
phase2ss = "esp-all-all/ah-none/comp-all/pfs"
 
Andreas1969

Andreas1969

Beiträge
17.093
Reaktionen
303
VPN Verbindungen vom Telekom Netz zum Unitymedia Netz (beides IPV4) zwischen 2 Ftitzboxen funktionieren nicht.
Ich habe das leider auch feststellen müssen.
Quatsch, stimmt nicht.

Ich habe hier seit Jahre eine stabile VPN Verbindungen zwischen einer 6490 Cable (im KBW Netz), einer 7490 (Telekom) sowie einer weiteren 7360 hinter einem Modem (KBW).
Die Verbindungen werden jeweils immer sauber aufgebaut und problemlos über Wochen gehalten. Selbst 80GB Backup Images von VMs kann ich darüber jagen.

Man muss nur den Speed drosseln, weil die 6490 im Upload nicht mit 10Mbit klarkommt. Max sind 8 Mbit drin, da kann man dann aber auch nicht mehr telefonieren oder surfen. Außerdem ist das Telefonbuch etc sehr langsam.

Dann bin ich anscheinend zu blöd :D

Ausgangssituation:
4 Fritzboxen liefen bei mir im VPN Verbund (alle im Telekomnetz) immer einwandfrei, ausser, daß die VPN-Verbindung quälend langsam war.
Das lag aber an den langsamen DSL-Leitungen und dem geringen Upload von nur 128 oder 256 und 512 kBit.

Dann bin ich mit dem ersten Anschluss zu UM gewechselt (Fritzbox 6360 IPV4 only), die habe ich schon nicht mehr in den Verbund der verbliebenen
3 Fritzboxen (Telekom) bekommen, obwohl alles korrekt eingerichtet war.
2 Jahre später dann bin ich mit dem 2ten Anschluss zu UM gewechselt (Fritzbox 6490 DSLITE)
Daraufhin habe ich die Anschlussvarianten unter den beiden Boxen 6360 und 6490 von UM tauschen lassen, da ich IPV4
an dem Standort der 6490 dringender benötige.
Dann habe ich versucht, eine VPN Verbindung von der 6490 (mit dann IPV4 only) zu den restlichen 2 verbliebenen Fritzboxen (Telekomnetz)
aufzubauen, was auch scheiterte, es war nicht möglich, die Verbindung zum Laufen zu bekommen, alles mögliche probiert.
Auch eine VPN Verbindung zwischen der neuen 6490 UM (IPV4) und der alten 6360 UM (jetzt dann DSLITE) geht überhaupt nicht, da die Boxen
in dieser Konstellation (1 BOX DSLITE und die andere BOX IPV4) einen Bug haben.
Jetzt habe ich dann endlich die verbliebenen 2 Telekom Anschlüsse auch noch zu UM gewechselt, da mir die geringe Telekom Bandbreite
tierisch auf den Keks ging.
Da jetzt alle Anschlüsse bei UM laufen, habe ich dieses Vorhaben nun endgültig aufgegeben.
Alle Rechner habe ich letztens auf WIN10 upgedatet und mir den Microsoft Cloud Speicher mit 50 GB für 2€/Monat gebucht.
Das läuft tadellos, alle Dateien sind sofort auf allen Rechnern verfügbar, es gibt keinerlei Datenverluste beim Übertragen im Hintergrund.

Das war eigentlich nicht die Lösung, die ich mir vorgestellt hatte, ich mag es nicht, wenn sensible Daten in der Cloud liegen,
aber durch die Unwägbarkeiten die ich mir durch das Unitymedia Netz eingefangen habe, musste ich wohl diese Lösung akzeptieren.

Ich weiß nicht, ob diese Einschränkung der Nichtmachbarkeit einer VPN Verbindung zwischen UM und Telekom Netz
örtlich auf meinen Bereich beschränkt ist, andere bekommen es ja hin, andersherum ist es jetzt auch egal, da ja jetzt
alle Anschlüsse bei UM laufen und sich die VPN Geschichte damit jetzt ein für alle mal erledigt hat.
Ich glaube nicht, daß man da in Zukunft als Privatkunde wieder auf IPV4 umgestellt wird.

Da die Telekom den mal geplanten Ausbau hier jetzt zu guter Letzt auch noch gecancelt hat und auch
in Zukunft nicht mehr durchführen wird musste ich mich zwischen Cholera und Pest entscheiden und
habe die letzten 2 der ursprünglich 4 Telekom Anschlüsse auch noch zu UM umgezogen.
Glücklich bin ich damit ehrlich gesagt nicht, aber mangels Alternative habe ich mich jetzt
auf Dauer in eine totale Abhängigkeit von UM gegeben.
Im Prinzip haben die mich jetzt voll in der Hand, könnten bei mir lustig die Preise erhöhen, oder
mir die eine verbliebene IPV4 noch klauen, ich müsste zwangsweise alles schlucken. :heul:

Gruß Andreas
 

omodebach

Beiträge
96
Reaktionen
5
Meine Erfahrung zeigt auch, dass VPNs unter Beteiligung von Fitzboxen im Unitymedia-Netz völlig klaglos funktionieren. Aber: sie tun das nur, wenn man die VPNs nicht(!) in der GUI einrichtet. Und die geschilderten Probleme sind unabhängig vom Netzbetreiber. Sie treten zwischen Boxen in unterschiedlichen Netzen auf. Auch zwischen zwei Boxen im Telekom-Netz.

Man muss mit der Windows-Software eine entsprechende Konfigurationsdatei erzeugen und in dieser dann die Proposals für die IPsec Phase 2 anpassen. Standardmäßig wird hier phase2ss = "esp-all-all/ah-none/comp-all/pfs" gesetzt. Damit habe ich auch die hier geschilderten Probleme. Setzt man für die Proposals beispielsweise "phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"" rennt die Geschichte völlig klaglos.

Wenn man ein bisschen Ursachenforschung und Recherche betreibt, scheint es sich darauf reduzieren zu lassen, dass es durch die standardmäßig seit einigen Firmwareversionen (ich habe hier irgendwas von 6.20 im Kopf) von AVM verwendeten Kompressionsalgorithmen zu Komplikationen kommt. Alternativ kommt auch in Betracht, dass AVM zur selben Zeit Diffie-Hellman Group 14 für PFS eingeführt hat. Auch das scheint problematisch zu sein. Bei mir funktioniert es auch, ohne PFS zu deaktivieren, also kommt aus meiner Sicht eher die Kompression in Betracht.

Dass es bei Andreas lange Zeit funktioniert hat, führe ich darauf zurück, dass AVM erst vor einiger Zeit die Änderungen an den verwendeten Kompressionsverfahren durchgeführt hat und seine Boxen wohl noch andere Proposals verwendet haben.

Gruß,
Oliver
 
Andreas1969

Andreas1969

Beiträge
17.093
Reaktionen
303
Man muss mit der Windows-Software eine entsprechende Konfigurationsdatei erzeugen und in dieser dann die Proposals für die IPsec Phase 2 anpassen. Standardmäßig wird hier phase2ss = "esp-all-all/ah-none/comp-all/pfs" gesetzt. Damit habe ich auch die hier geschilderten Probleme. Setzt man für die Proposals beispielsweise "phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"" rennt die Geschichte völlig klaglos.
Meinst Du dann würde eventuell auch die Verbindung zwischen einer IPV4 und einer DSLITE Box laufen?
Dann könnte ich das ja nochmal probieren.

Gruß Andreas
 
Andreas1969

Andreas1969

Beiträge
17.093
Reaktionen
303
Dann werde ich da wohl nochmal ansetzen.
Dann wäre der Support von AVM ja für die Tonne. :zerstör:

Hatte denen alle Fehlerprotokolle und Configs zur Verfügung gestellt. Die haben aber nichts gefunden.
Configs waren auch OK.

Gruß Andreas
 

johnripper

Beiträge
1.298
Reaktionen
0
Man muss mit der Windows-Software eine entsprechende Konfigurationsdatei erzeugen und in dieser dann die Proposals für die IPsec Phase 2 anpassen. Standardmäßig wird hier phase2ss = "esp-all-all/ah-none/comp-all/pfs" gesetzt. Damit habe ich auch die hier geschilderten Probleme. Setzt man für die Proposals beispielsweise "phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs"" rennt die Geschichte völlig klaglos.
Bezieht sich die Aussage auf die hohe CPU Auslastung oder die grundsätzliche Möglichkeit zur LAN-to-LAN Kopplung zweier Fritzboxen. Mit phase2ss = "esp-all-all/ah-none/comp-all/pfs" bekomme ich ja eine grundsätzliche Verbindung.
 
Andreas1969

Andreas1969

Beiträge
17.093
Reaktionen
303
Auch wenn es theoretisch funktionieren sollte, dass eine FB mit IPv6 zu einer FB mit IPv4 verbindet, so geht es praktisch aus irgendeinem Grund nicht:
http://www.unitymediaforum.de/viewtopic.php?f=90&t=27239&p=349611#p349611

Also kann ich mir den Versuch auch sparen :kratz:
Aufgegeben hatte ich das ja sowieso schon.

Gruß Andreas
 

johnripper

Beiträge
1.298
Reaktionen
0
Auch wenn es theoretisch funktionieren sollte, dass eine FB mit IPv6 zu einer FB mit IPv4 verbindet, so geht es praktisch aus irgendeinem Grund nicht:
http://www.unitymediaforum.de/viewtopic.php?f=90&t=27239&p=349611#p349611

Also kann ich mir den Versuch auch sparen :kratz:
Aufgegeben hatte ich das ja sowieso schon.

Gruß Andreas
Kannst es ja trotzdem nochmal versuchen, aber dort hat es auch nicht funktioniert und ich habe nicht verstanden wieso. Vielleicht sind es ja die "Geister in der Maschine".
 
Andreas1969

Andreas1969

Beiträge
17.093
Reaktionen
303
Ja gut,

ich werd's nochmal probieren.

Gruß Andreas
 
Thema:

VPN zwischen FB6490 und FB7xxx geht nicht

VPN zwischen FB6490 und FB7xxx geht nicht - Ähnliche Themen

  • Kein VPN zur FB6490 / BW / statische IP Verfahren: RIP

    Kein VPN zur FB6490 / BW / statische IP Verfahren: RIP: Hallo! Unitymedia hat die Bereisstellung meiner statischen IP umgestellt zu RIP. Damit kann ich jetzt einer NIC, die an einem der Ports 2-4 der...
  • Umsetzung des Vorhabens mit Fritz!Box moeglich?

    Umsetzung des Vorhabens mit Fritz!Box moeglich?: Schoenen guten Tag, ich lese hier eine Weile bereits mit, habe aber noch einige Unklarheiten. Bin ein IT affiner Mensch, habe aber keine Ahnung...
  • dualstack

    dualstack: Guten Tag, ich möchte gerne eine VPN Verbindung erstellen:vpn "unitymedia" "dual stack" fritzbox 6490. Hat jemand eine Anleitung für mich. Habe...
  • Nach 6490 Firmware Update funktioniert VPN nicht mehr

    Nach 6490 Firmware Update funktioniert VPN nicht mehr: Hallo, wir haben ein VPN Netz mit 2 Kabel Fritz Boxen und einen Lancom 883 aufgebaut. Das hat auch bisher tadellos funktioniert. Nun wurde auf...
  • VPN-CFG aus 7390 verwenden

    VPN-CFG aus 7390 verwenden: Guten Abend, ich habe heute die 6590 in Betrieb genommen, weil mir die VPN-Verbindungen in unsere Firma wichtig sind (nach einem Tarif-Upgrade)...
  • Ähnliche Themen
  • Kein VPN zur FB6490 / BW / statische IP Verfahren: RIP

    Kein VPN zur FB6490 / BW / statische IP Verfahren: RIP: Hallo! Unitymedia hat die Bereisstellung meiner statischen IP umgestellt zu RIP. Damit kann ich jetzt einer NIC, die an einem der Ports 2-4 der...
  • Umsetzung des Vorhabens mit Fritz!Box moeglich?

    Umsetzung des Vorhabens mit Fritz!Box moeglich?: Schoenen guten Tag, ich lese hier eine Weile bereits mit, habe aber noch einige Unklarheiten. Bin ein IT affiner Mensch, habe aber keine Ahnung...
  • dualstack

    dualstack: Guten Tag, ich möchte gerne eine VPN Verbindung erstellen:vpn "unitymedia" "dual stack" fritzbox 6490. Hat jemand eine Anleitung für mich. Habe...
  • Nach 6490 Firmware Update funktioniert VPN nicht mehr

    Nach 6490 Firmware Update funktioniert VPN nicht mehr: Hallo, wir haben ein VPN Netz mit 2 Kabel Fritz Boxen und einen Lancom 883 aufgebaut. Das hat auch bisher tadellos funktioniert. Nun wurde auf...
  • VPN-CFG aus 7390 verwenden

    VPN-CFG aus 7390 verwenden: Guten Abend, ich habe heute die 6590 in Betrieb genommen, weil mir die VPN-Verbindungen in unsere Firma wichtig sind (nach einem Tarif-Upgrade)...