VPN-Problem 6360 / keine Fehlermeldung

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Antworten
JoergL
Kabelneuling
Beiträge: 10
Registriert: 10.11.2010, 11:26
Wohnort: Mülheim an der Ruhr
Kontaktdaten:

VPN-Problem 6360 / keine Fehlermeldung

Beitrag von JoergL » 26.04.2011, 20:07

Hallo Zusammen,
ich habe seit November 2010 die 6360 und bisher tat es eigentlich soweit alles ganz gut.
Keine Probleme, stabile Inetverbindung etc.

Nun wollte ich heute Abend eine VPN-LAN-zu-LAN-Verbinung konfigurieren und bin dabei auf ein kleines Problem gestossen.

Die Konfigurationsdatei wurde unter zu Hilfnahme von diesem AVM-Dokument entsprechend konfiguriert.

Leider bleibt der Status auf "nicht aufgebaut, Watchguard".
Jetzt hätte ich ja gerne wenigstens eine Fehlermeldung, aber Pustekuchen, keine Meldung.
Die Ereignisse zeigen nur:

Code: Alles auswählen

Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 178.xxx.xxx.xxx, DNS-Server: 80.69.100.182 und 80.69.100.174, Gateway: 178.200.184.1
Internetverbindung wurde getrennt.
Der AVM-support sagt:
Das keine Fehlermeldung kommt, mag sein.
Es gibt aber kein Support von AVM da ich mich ja nicht gegen eine andere Fritzbox sondern eine Watchdog verbinden will.

Hat wer spontan eine Idee??
Gruß und Danke
Jörg

addicted
Kabelkopfstation
Beiträge: 3823
Registriert: 15.03.2010, 02:35

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von addicted » 26.04.2011, 21:54

Was auch immer eine "Watchdog" ist - hat es Logfiles?
Wer macht die ausgehende Verbindung? Klappt es andersherum? Was passiert, wenn Du die Verbindung interaktiv (telnet, etc.) aufbaust?

JoergL
Kabelneuling
Beiträge: 10
Registriert: 10.11.2010, 11:26
Wohnort: Mülheim an der Ruhr
Kontaktdaten:

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von JoergL » 26.04.2011, 22:15

addicted hat geschrieben:Was auch immer eine "Watchdog" ist - hat es Logfiles?
sorry... meine natürlich Watchguard, nicht Watchdog... sicherlich hat die VPN-Hardware auch ne Logdatei..
Ob und was diese sagt, werde ich morgen in der Firma durch den VPN-Admin prüfen lassen.
addicted hat geschrieben:Wer macht die ausgehende Verbindung?
Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.
addicted hat geschrieben:Was passiert, wenn Du die Verbindung interaktiv (telnet, etc.) aufbaust?
wenn du mir Verrätst wie ich a) zugriff per telnet auf die Fritzbox ( 6360 )bekomme und b) die VPN.Verbindung von dort starte...

addicted
Kabelkopfstation
Beiträge: 3823
Registriert: 15.03.2010, 02:35

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von addicted » 26.04.2011, 22:54

JoergL hat geschrieben:sorry... meine natürlich Watchguard, nicht Watchdog... sicherlich hat die VPN-Hardware auch ne Logdatei..
Ob und was diese sagt, werde ich morgen in der Firma durch den VPN-Admin prüfen lassen.
Wir warten mit Spannung :)

JoergL hat geschrieben:Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.
Gerne. Sofern Du keine dedizierte Leitung von Dir ins Büro hast, baut eines der Endgeräte die Verbindung auf. Falls du eine dedizierte Leitung hast, kannst Du das mit der Fritzbox nicht konfigurieren, und überhaupt brauchst Du dann kein VPN :)

JoergL hat geschrieben:
addicted hat geschrieben:Was passiert, wenn Du die Verbindung interaktiv (telnet, etc.) aufbaust?
wenn du mir Verrätst wie ich a) zugriff per telnet auf die Fritzbox ( 6360 )bekomme und b) die VPN.Verbindung von dort starte...
Ich meinte natürlich, dass Du von Hand versuchst, zum VPN-Server zu verbinden, nicht die Fritzbox zu manipulieren. Ich gebe aber zu, dass das bei IPSEC etwas, äh, schwieriger ist, daher lassen wir das. Leider hab ich mit einer Fritzbox noch nie ein VPN aufgebaut, daher kann ich dazu nicht viel sagen. Du könntest uns aber mal erzählen, wie genau Deine Konfig aussieht, wie die Daten der Gegenstelle sind, und insbesondere welche Zertifikate verwendet werden sollen...

a.spengler
Kabelexperte
Beiträge: 154
Registriert: 07.10.2006, 15:37
Wohnort: Hanau

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von a.spengler » 26.04.2011, 23:01

JoergL hat geschrieben:Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.
Irgendeines der beiden VPN-Gateways muss die Verbindung herstellen, damit die "stetig da" sein kann.
Bild

JoergL
Kabelneuling
Beiträge: 10
Registriert: 10.11.2010, 11:26
Wohnort: Mülheim an der Ruhr
Kontaktdaten:

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von JoergL » 26.04.2011, 23:14

addicted hat geschrieben:
JoergL hat geschrieben:sorry... meine natürlich Watchguard, nicht Watchdog... sicherlich hat die VPN-Hardware auch ne Logdatei..
Ob und was diese sagt, werde ich morgen in der Firma durch den VPN-Admin prüfen lassen.
Wir warten mit Spannung :)
Naja ich werds ja morgen sehen, aber in Ermagelung von vernüftigen Infos im Ereignisprotokoll der Fritzbox gehe ich im Moment davon aus, das die Verbindung ja garnicht erst aufgebaut wird.
addicted hat geschrieben:
JoergL hat geschrieben:Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.
Gerne. Sofern Du keine dedizierte Leitung von Dir ins Büro hast, baut eines der Endgeräte die Verbindung auf. Falls du eine dedizierte Leitung hast, kannst Du das mit der Fritzbox nicht konfigurieren, und überhaupt brauchst Du dann kein VPN :)
a.spengler hat geschrieben:Irgendeines der beiden VPN-Gateways muss die Verbindung herstellen, damit die "stetig da" sein kann.
Naja aber genau den Aufbau der Verbindung soll ja die Fritzbox selber machen...
Andernfalls macht es ja gar kein Sinn den VPN-Tunnel in der Fritzbox zu konfigurieren, sondern ich könnte auch auf den Software-VPN-Client zurückgreifen.

Was die Konfiguration betrifft:
Die Konfigurationsdatei entsprihct dem PDF-Dokuemnt, welches im ersten Post verlinkt ist.
Natürlich mit geänderten Daten für die relevanten stellen

addicted
Kabelkopfstation
Beiträge: 3823
Registriert: 15.03.2010, 02:35

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von addicted » 27.04.2011, 01:22

JoergL hat geschrieben:Die Konfigurationsdatei entsprihct dem PDF-Dokuemnt, welches im ersten Post verlinkt ist.
Natürlich mit geänderten Daten für die relevanten stellen
Die häufigsten Probleme bei der Einrichtung von IPSEC bestehen mit Fehlern in der Konfiguration, insbesondere bei nicht identischen Produkten für die beiden Enden des "Tunnels". Da heißen die Begriffe ganz anders, teilweise werden andere Standards implementiert...
Am Besten klärst Du die Konfig mal mit dem VPN-Admin. Ohne die Daten (beider Enden!) kann Dir hier vermutlich niemand helfen.

Es wäre natürlich wünschenswert, dass die Fritzbox mehr Debugausgabe wirft.

JoergL
Kabelneuling
Beiträge: 10
Registriert: 10.11.2010, 11:26
Wohnort: Mülheim an der Ruhr
Kontaktdaten:

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von JoergL » 27.04.2011, 09:03

Also bei uns an der Firewall/VPN-Box kommt nichts an...

Hier mal die config:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "Watchguard";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = die-externe-ip-der-firma;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "mein-dyndns-name-für-die-fritzbox";
                }
                remoteid {
                        ipaddr = die-externe-ip-der-firma;
                }
                mode = phase1_mode_aggressive;
                phase1ss = "def/3des/sha";
                keytype = connkeytype_pre_shared;
                key = "der-ganz-geheime-psk-mit-16-stellen";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.55.0;
                                mask = 255.255.255.0;
                        }
				}
	        phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";
				
                accesslist = "permit ip any 132.0.0.0 255.255.0.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
hier auch noch ein Screenshot aus der Oberfläche der Fritzbox.
Bild
Was dort etwas komisch ist, ist das lokales und entferntes Netz leer sind.

Auch wurde schon folgende Config-Anpassung ausprobiert:

Code: Alles auswählen

 phase2localid {
                        ipnet {
                                ipaddr = 192.168.55.0;
                                mask = 255.255.255.0;
                        }
				}
			    phase2remoteid {
						ipnet {
                                ipaddr = 132.0.0.0;
                                mask = 255.255.0.0;
                        }
                }

addicted
Kabelkopfstation
Beiträge: 3823
Registriert: 15.03.2010, 02:35

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von addicted » 27.04.2011, 10:05

JoergL hat geschrieben:Also bei uns an der Firewall/VPN-Box kommt nichts an...
Kommen dort keine UDP-Pakete an, oder habt ihr lediglich die etablierten Verbindung am VPN-Gateway überprüft?

Ist Deine IP korrekt bei DynDNS (mit dem Hostnamen aus der Config) registriert?

Kannst du Dich von einem Rechner/Laptop hinter der Fritzbox aus mit dem VPN verbinden?

JoergL
Kabelneuling
Beiträge: 10
Registriert: 10.11.2010, 11:26
Wohnort: Mülheim an der Ruhr
Kontaktdaten:

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von JoergL » 27.04.2011, 10:32

addicted hat geschrieben:Kommen dort keine UDP-Pakete an, oder habt ihr lediglich die etablierten Verbindung am VPN-Gateway überprüft?
es kommt kein einziges Paket von meiner IP/dyndns-Name am Gateway an
addicted hat geschrieben:Ist Deine IP korrekt bei DynDNS (mit dem Hostnamen aus der Config) registriert?
ja ist sie, Namensauflösung funktioniert ebenfalls einwandfrei
addicted hat geschrieben:Kannst du Dich von einem Rechner/Laptop hinter der Fritzbox aus mit dem VPN verbinden?
das wird, wenn ich heute mein Firmenlaptop erhalte, heute Abend getestet

a.spengler
Kabelexperte
Beiträge: 154
Registriert: 07.10.2006, 15:37
Wohnort: Hanau

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von a.spengler » 27.04.2011, 11:20

Mal so ins Blaue: es macht m.W. konfigurationsmäßig einen Unterschied, ob ein einzelner Rechner auf das entfernte VPN-GW zugreifen möchte oder ein Gerät wie die Fritz!Box, um zwei ganze Netze zu verbinden.

Wäre es möglich, dass der Watchdog/guard gar nicht für Letzteres ausgelegt ist?
Bild

JoergL
Kabelneuling
Beiträge: 10
Registriert: 10.11.2010, 11:26
Wohnort: Mülheim an der Ruhr
Kontaktdaten:

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von JoergL » 27.04.2011, 11:54

grundsätzlich solltes es problemlos fumktionieren. Es gibt bereits nen kollegen, der es genau so macht.
Leider ist er gerade im urlaub und kann seine konfigurationsdatei nicht zur verfügung stellen.

Fakt scheint im moment zu sein, das die fritzbox garnicht erst versucht, warum auch immer, die verbindung aufzubauen

albatros
Glasfaserstrecke
Beiträge: 1034
Registriert: 21.01.2009, 17:49
Kontaktdaten:

Re: VPN-Problem 6360 / keine Fehlermeldung

Beitrag von albatros » 27.04.2011, 12:09

JoergL hat geschrieben:
hier auch noch ein Screenshot aus der Oberfläche der Fritzbox.
Bild
Was dort etwas komisch ist, ist das lokales und entferntes Netz leer sind.
Lokales und entferntes Netz sind leer, weil die Verbindung nicht aktiv ist. Unter "Adresse im Internet" steht bei mir die IP-Adresse, mit der die Verbindung zuletzt bestanden hat.


Hast Du Dich einmal im IP-Phone-Forum umgesehen? Die Suche nach "watchguard" bringt dort einige Ergebnisse. Vielleicht ist für Dich etwas dabei.
Unitymedia 3Play 100 - Telefon komfort
FritzBox 6360
Horizon Recorder + HD-Option

Antworten

Wer ist online?

Mitglieder in diesem Forum: SpookyMulder und 5 Gäste