Portsperren bei UM

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Was haltet Ihr von den Sperren?

Voll in Ordnung. Sicherheit ist ein wichtiges Thema und beeinträchtigt mich ja auch nicht
17
19%
Voll in Ordnung. Aber warum weiss ich nichts davon? Sollte man schon *irgendwo* mitteilen
16
18%
Unverschämtheit. Ich brauche die Ports für xxx (bitte ein Beispiel posten bzw. erklären)
10
11%
Unverschämtheit. Brauche die Ports nicht, aber finde es aus Prinzip nicht in Ordnung.
41
46%
Kenne Ports und die Bedeutung nicht. Kann mich darum nicht äussern
1
1%
Kenne nur Port-Wein, also mir egal. *Prost*
3
3%
Ist mir egal / Keine Meinung zu
1
1%
 
Abstimmungen insgesamt: 89

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 29.08.2016, 22:40

Im Fehlerprotokoll der 6360 (DSLite)
taucht auch folgender Fehler auf:

IKE-Error 0x203D "phase 1 sa removed during negotiation"

Auf was deutet das genau hin?

Anscheinend werden wohl die VPN-Pakete durch den NAT-Router des Providers gedropped ?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 29.08.2016, 23:07

Probier mal diese Configs:

6360:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "6490";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "6490.myfritz.net";
                keepalive_ip = 192.168.2.1;
                localid {
                        ipaddr = 192.168.13.1;
                }
                remoteid {
                        ipaddr = 192.168.2.1;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "x2SO8SrcZP79gm1Xn8agqHuHGvaPrjz487zCPpdV18g";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.13.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

6490:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "6360";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "";
                localid {
                        ipaddr = 192.168.2.1;
                }
                remoteid {
                        ipaddr = 192.168.13.1;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "x2SO8SrcZP79gm1Xn8agqHuHGvaPrjz487zCPpdV18g";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.13.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.13.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
In beiden Configs wären anzupassen:
Der Name der Gegenseite

Code: Alles auswählen

                name = "6490";
bzw.

Code: Alles auswählen

                name = "6360";
und der PSK:

Einen eigenen PSK generieren, z.B. hier und diesen dann in beiden Configs bei

Code: Alles auswählen

                key = "x2SO8SrcZP79gm1Xn8agqHuHGvaPrjz487zCPpdV18g";
einfügen.
Je länger, desto besser, Custom Length 99 sollte funktionieren.

In der Config der 6360 / DS-lite-Seite ist noch anzupassen:

Code: Alles auswählen

                remotehostname = "6490.myfritz.net";
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

F-orced-customer
Glasfaserstrecke
Beiträge: 1000
Registriert: 11.09.2012, 12:54

Re: Portsperren bei UM

Beitrag von F-orced-customer » 29.08.2016, 23:26

SpaceRat hat geschrieben: Einen eigenen PSK generieren,
Je länger, desto besser, Custom Length 99 sollte funktionieren.
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 ? :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 29.08.2016, 23:30

F-orced-customer hat geschrieben:
SpaceRat hat geschrieben: Einen eigenen PSK generieren,
Je länger, desto besser, Custom Length 99 sollte funktionieren.
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 ? :D
"Zufallsgeneriert" versteht sich von selbst ...

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 29.08.2016, 23:42

Danke SpaceRat,

das werde ich testen.
Im Moment rollt ja Unitymedia auch die FW 6.50 für die 6360 aus. Bei mir ist die zwar noch nicht angekommen, aber dann hätte ich ja auf beiden Boxen den gleichen FW Stand. Vielleicht liegt die Wurzel des Übels ja auch da.
Momentan habe ich ja auf der 6360 noch die 6.33 und auf der 6490 die 6.50
Vorstellen kann ich mir das zwar nicht, aber immerhin auch ein kleines Licht am Horizont.

PS: Kann eigentlich die neue MyFritz!2 App eine VPN Verbindung über IPV6 zu einer DSLITE Box aufbauen?
Hat das schon mal jemand getestet?
Wenn nicht kann ich das machen, sobald die 6360 bei mir auf die 6.50 upgedatet wurde. Die neue App läuft nämlich erst ab FW 6.50
Da ich für mein Smartphone die Telekom als Provider habe und die mittlerweile echten Dual Stack liefern, kann ich das direkt testen, sobald die FW bei mir ausgerollt wurde.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 30.08.2016, 00:04

Andreas1969 hat geschrieben:Bei mir ist die zwar noch nicht angekommen, aber dann hätte ich ja auf beiden Boxen den gleichen FW Stand. Vielleicht liegt die Wurzel des Übels ja auch da.
Nein.
Auch bei meinen VPNs sind unterschiedlichste Firmware-Stände beteiligt, von einer Fritz!Box 7270v2 mit dem alten FRITZ!OS 06.06 über eine Fritz!Box 6360 mit dem fast ebenso alten FRITZ!OS 06.33 zur Fritz!Box 7390 mit dem beinahe schon aktuellen FRITZ!OS 06.51.

Am VPN hat AVM nur sehr, sehr wenig geändert, z.B. die keepalive_ip zugefügt und irgendwann mal irgendwelche obskuren - da nicht weiter benannten - Verbesserungen der Kompatibilität mit anderen VPN-Lösungen.
Andreas1969 hat geschrieben:PS: Kann eigentlich die neue MyFritz!2 App eine VPN Verbindung über IPV6 zu einer DSLITE Box aufbauen?
Nein, s.o.
AVM tut fast nix am VPN.
Das ist eigentlich ein Armutszeugnis für AVM, denn ansonsten sind die ja schon Pioniere bei der IPv6-Tauglichkeit, aber beim VPN haben sie es voll versaut.

strongSWAN dagegen ließ sich trotz aller Vergewaltigungsbemühungen nicht dazu überreden, die Verbindung nicht über IPv6 herstellen zu wollen, wenn sich der DynDNS-Name der Gegenseite auch auf eine IPv6 auflösen ließ (Und das ist ja bei myritz-Hosts der Fall).
Ich mußte also tricksen und statt der myfritz.net-Namen extra IPv4-only DynDNS-Hosts anlegen, um die Verbindung mittels strongSwan herstellen zu können ohne IPv6 in strongSWAN komplett abschalten zu müssen ...

... das ist schon peinlich für AVM.

AVM bräuchte ja für den Moment nicht einmal IPv6 durch das VPN zu transportieren (Obwohl das natürlich schon klasse wäre), es würde ja schon reichen, wenn die VPN-Verbindung an sich über IPv6 hergestellt werden könnte.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 10:09

SpaceRat hat geschrieben:AVM tut fast nix am VPN.
Das ist eigentlich ein Armutszeugnis für AVM, denn ansonsten sind die ja schon Pioniere bei der IPv6-Tauglichkeit, aber beim VPN haben sie es voll versaut.
Das ist aber noch harmlos, viel schlimmer finde ich die Unzulänglichkeiten bei Unitymedia.
Um das zu erklären muss ich jetzt aber ganz weit ausholen:

Mein Matyrium mit Unitymedia ging ca. vor 3-4 Jahren los, als der Drang nach mehr Bandbreite immer grösser wurde.
Ich wohne hier in einer kleineren Großstadt, wo in der Kernstadt selbst und in einem einzigen von mehreren Ortsteilen kein DSL Ausbau stattgefunden hat und vermutlich auch nicht mehr stattfinden wird, da durch diesen Umstand in diesen beiden Gebieten mittlerweile fast alle Kunden von der Telekom zu Unitymedia gewechselt bzw. geflüchtet sind und somit jetzt kein Anreiz für die Telekom mehr besteht.
In allen anderen Ortsteilen und sämtlichen umliegenden Dörfern ist VDSL und Vectoring ausgebaut worden, sogar bis zu den hintersten Käffern und Bauernhöfen. Das ist schon äußerst ärgerlich.

Vorher liefen beide Anschlüsse bei der Telekom (da, wo jetzt die 6360 ist, lief vorher eine 7390 mit DSL 1000 und echtem ISDN mit 6 Rufnummern,
und wo jetzt die 6490 ist, lief vorher erst eine 7390 und später eine 7490 mit DSL 2000 und echtem ISDN mit 7 Rufnummern)
VPN lief tadellos (aber der Tunnel war durch die sehr geringen Uploads extrem langsam).
Außerdem ging mir die geringe Bandbreite extrem auf den S…
Ich habe auch eine feste sofortige Rufumleitung von einer Nummer an der 7390 auf eine Nummer der 7490 gehabt, was auch tadellos lief, am Telefon der 7490 wurde die Rufnummer des Anrufers angezeigt und nicht die eigene Nummer des umleitenden Anschlusses.

Eigentlich wollte ich dann mit beiden Anschlüssen zeitgleich zu Unitymedia wechseln, was aber scheiterte, da man damals nur 3 Rufnummern mitnehmen konnte.
An dem Anschluss der 7490 konnte ich aber auf keine Rufnummer verzichten und bin dann erst einmal mit dem 1000er Anschluss zu Unitymedia gewechselt,
nachdem ich mich durchgerungen hatte, auf 3 der 6 Rufnummern zu verzichten. Das klappte eigentlich noch ganz gut, ich bekam dort die 6360 mit IPV4 only.

Zwei Sachen störten mich aber damals schon:
1. Bei der Rufumleitung wurde mir dann meine eigene Nummer angezeigt und nicht mehr die des Anrufers (Umleitung im Amt geht ja bei Unitymedia nicht)
2. Der Aufbau des VPN Tunnels von der 6360 zur 7490 klappte nicht (selbige Fehler, wie jetzt immer noch)
War erst mal nicht so dramatisch, da die 6360 ja IPV4 hatte und ich durch die entsprechenden Port-Weiterleitungen von Extern an alle Geräte hinter der 6360 kam.
Die Rufnummern der verpassten Anrufe des umgeleiteten Anschlusses konnte ich ja in der MyFrit! App sehen.

Dann kam irgendwann der Tag X, als es hieß, man könne im Privatkundenbereich jetzt mit 6 Rufnummern zu Unitymedia wechseln (das war Ende 2014 / Anfang 2015)
Nachdem ich mich dann auch durchgerungen hatte, auf eine der 7 Rufnummern an der 7490 zu verzichten, habe ich dann im Februar 2015 den Wechsel für den anderen Anschluss beauftragt.
Das war schon recht kompliziert, da man damals auf dem Portierungsantrag nur 3 Rufnummern angeben konnte und die restlichen 3 über das Kundencenter beauftragt werden mussten, ist aber trotzdem glatt gelaufen.
Dort wurde dann die 6490 geliefert, ich dachte noch fein, hast ja keine Einschränkungen zu der alten 7490.

Dann aber der Schock:
Nach der Inbetriebnahme stellte ich sofort fest, daß da irgendetwas nicht stimmt. Die DSLite Problematik hatte mich eiskalt erwischt.
Da wurde ich bei Vertragsabschluss nicht drauf hingewiesen. An diesem Anschluss konnte ich aber auf garkeinen Fall auf IPV4 Verzichten, da die VPN-Verbindung zur Firma auch nicht mehr lief.
Alle Bemühungen, eine Umstellung auf IPV4 zu wechseln, liefen bei Unitymedia ins Leere, die hatten zu diesem Zeitpunkt schon komplett geblockt.

Die waren nicht einmal bereit, die beiden Anschlussvarianten (IVP4 und DSLite) zwischen den beiden Anschlüssen zu tauschen, Argument: IPV4 bekommt man als Neukunde nicht.
Dann habe ich da richtig Alarm gemacht (Brief an den Vorstand und die Presseabteilung) mit der Bitte, die Varianten unter den beiden Anschlüssen zu wechseln, da ich ja Bestandskunde bin und auch beide Anschlüsse besitze und ich ja wohl als Kunde das Recht habe, mir auszusuchen, an welchem der beiden Anschlüsse ich IPV4 als Bestandskunde nutzen will.
Das hat dann wohl auch gezogen und die haben mir die Varianten getauscht.

Danach hatte ich an der 6360 DSLite und an der 6490 IPV4, so wie es heute noch ist.

Jetzt kam ich natürlich nicht mehr an die Geräte hinter der 6360 ran, misst!!!
Ich kam dann auch vom Anschluss der 6490 nicht auf die Oberfläche der 6360, da sich an der 6490 kein SIXXS Tunnel einrichten ließ, es gab ja das Problem mit dem MTU Wert, welches erst in der FW 6.50 korrigiert wurde.
Ich habe dann erst einmal alles in Richtung VPN usw. aufgegeben, da mir das mit der Fahrerei zwischen den Standorten zu viel wurde, um da was auszuprobieren.

Eine Sache habe ich aber damals schon Probiert, ich wollte einen sip account von einer der 3 Rufnummern der 6360 auf der 6490 einrichten, um das Problem der Rufnummernanzeige bei der umgeleiteten Nummer zu umgehen, musste aber feststellen, daß das nicht möglich ist und Unitymedia das unterbindet. Der sip account läuft nur auf dem zugeordneten Anschluss.
Der Tunnel lief ja auch nicht, sonst hätte ich ja die Rufnummer auf der 6360 einem Telefoniergerät der 6490 zuordnen können.

Dann rollte Unitymedia irgendwann dieses Jahr das OS 6.50 für die 6490 aus, parallel stellte die Telekom im Mobilfunknetz auf echten Dual Stack um.
Seit dem OS 6.50 ist das MTU Problem gelöst und der SIXXS Tunnel läuft wieder.
Nachdem ich dann vom Anschluss der 6490 und auch aus dem Mobilfunknetz wieder auf die Oberfläche der 6360 zugreifen konnte, bin ich das Thema VPN wieder angegangen und im Prinzip auch daran verzweifelt.
Wenn ich den Tunnel zum Laufen bekomme, ist die Welt für mich wieder in Ordnung.
Ich kann dann wieder auf die Geräte hinter der 6360 zugreifen und auch das Problem mit der Rufumleitung lösen, indem ich die umzuleitende Nummer aus der 6360 einfach einem Telefoniegerät der 6490 zuordne.

Das einfachste wäre wohl, wenn die Telekom die 2 fehlenden Gebiete doch noch ausbauen würde (was ich mittlerweile nicht mehr glaube) und ich mit den 2 Anschlüssen zurück zur Telekom wechsle.
Andererseits könnte ich auch an beiden Standorten auf einen 100/40 Hybridanschluss der Telekom wechseln (LTE ist an beiden Routerstandorten mit Vollausschlag vorhanden) und der genannte Hybridanschluss ist auch verfügbar.

Das stellt mich aber dann vor noch ganz andere Herausforderungen:
Ich würde dann an beiden Hybrid Routern eine nachgeschaltete FritzBox 7490 betreiben müssen.
Die Telefonie muss dann über die Fritzboxen laufen, da die Hybrid Router keine S0 Schnittstelle haben.
Ich betreibe an beiden Standorten jeweils 2 ISDN-Anlagen (1* Gigaset schnurlos und 1* Auerswald für schnurgebundene Telefone)
Die Hybrid Router lassen sich nicht im Bridge Modus betreiben, es gibt wohl auch massive Probleme, die Telefonie in den nachgeschalteten Fritz-Boxen stabil zum Laufen zu bekommen.
Und der Hybrid Router filtert auch Pakete und lässt nicht alles über LTE durch, wo ich auch die Befürchtung habe, daß dann genau die wichtigen VPN Pakete nur über die langsame Kupferleitung (2 Mbit und 1 Mbit) übertragen werden. Das birgt mir einfach zu viele Risiken.

Und dann hänge ich 2 Jahre lang in den Verträgen fest, wenn dann irgendwas nicht läuft.
Also konzentriere ich mich jetzt erst einmal weiter auf den VPN-Tunnel, wenn ich den zum Laufen bringe, bin ich erst einmal glücklich.

Eigentlich sollte das jetzt kein Roman werden, aber ich musste mich jetzt einmal so richtig auskotz…

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

hajodele
Kabelkopfstation
Beiträge: 4820
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Portsperren bei UM

Beitrag von hajodele » 30.08.2016, 10:45

Mit der "Unterschlagung" von DS-Lite gebe ich dir zu 100% recht.
UM müsste ja nicht mal die negativen Auswirkungen benennen, aber ich bin mir nicht mal sicher ob die Frage danach ("Welches IP wird genutzt?") von jedem Verkäufer beantwortet werden kann.

Mit der Telefonie über nachgeordnete Fritzboxen habe ich aber seit Jahren keine Probleme. In BaWü ist so was schon Pflicht, da man im Bereich "eigene Rufnummern" gar nichts tun kann.

p.s. Die Frage sei aber erlaubt, ob dich die Aussage "Wir verwenden bereits jetzt das Zukunftsprotokoll IPv6/DS-Lite" in irgendeiner Form alarmiert hätte.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 11:39

Nein, bis Dato nicht.
Ich hatte mich damit bis zu dem Zeitpunkt, als es mich traf, auch nicht auseinandergesetzt.
Ich hätte dann wohl vermutet, daß es sich um ein getunneltes IPV6 über IPV4 handelt und nicht andersherum.!

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 18:37

Hallo SpaceRat,

ich habe Deinen Vorschlag mal probiert, leider ohne Erfolg.
Mit der Einstellung idp in Deinem Vorschlag ist im log der 6490 überhaupt kein Aufbauversuch seitens der 6360 mehr erkennbar. Habe Deinen Vorschlag dann nochmals mit der Einstellung aggressive probiert, dann habe ich das gleiche Ergebnis, wie bei meinen Einstellungen.
Ich weiß jetzt nicht mehr weiter.
Ich bin mittlerweile auch überzeugt, daß Unitymedia hier in meinem Anschlussbereich den Aufbau eines VPN Tunnels unterbindet, da die Anschlussdichte hier extrem hoch ist und die Angst haben, dass deren Netz zusammenbricht, wenn das mehrere User machen.

Wie kann man das eventuell testen, ob das vom Gateway Unitymediaseitig irgendwie geblockt wird?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 18:53

Komisch finde ich allerdings, dass ich mit einem Smartphone von der 6360 ausgehend eine VPN Verbindung zur 6490 aufbauen kann und die läuft auch über Stunden stabil.
Aber das ist ja dann auch eine Client - Server Verbindung.
Und wenn ich 2 Boxen per VPN verbinde ist das im Prinzip ja eine Server - Server Verbindung, oder nicht?
Wie kann es sein, daß die eine Variante läuft und die Andere nicht?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 30.08.2016, 18:54

Andreas1969 hat geschrieben:ich habe Deinen Vorschlag mal probiert, leider ohne Erfolg.
Schade.
Andreas1969 hat geschrieben:Ich weiß jetzt nicht mehr weiter.
Wie gesagt, mir ist noch nie ein AVM-VPN zwischen zwei Boxen gelungen von denen eine DS-lite hat, aber mit den Infos aus dem ip-phone-forum war's einen Versuch wert.
Mir fällt auch nur noch ein, daß Du evtl. Port-Weiterleitungen für einen der beteiligten Ports (500 und 4500, jeweils UDP) in einer/beiden Fritz!Boxen eingerichtet haben könntest, die verhindern, daß die Fritz!Box bzw. ihr VPN den Traffic überhaupt empfängt. Halte ich jetzt aber für wenig wahrscheinlich ...

Das ändert aber nichts daran, daß es zwischen Deinem IPv4-Anschluß und dem Telekom-Anschluß tun muß.

Andreas1969 hat geschrieben:Ich bin mittlerweile auch überzeugt, daß Unitymedia hier in meinem Anschlussbereich den Aufbau eines VPN Tunnels unterbindet, da die Anschlussdichte hier extrem hoch ist und die Angst haben, dass deren Netz zusammenbricht, wenn das mehrere User machen.
Kann ich mir nicht vorstellen, daß wäre schon ein erheblicher Eingriff.

Andreas1969 hat geschrieben:Wie kann man das eventuell testen, ob das vom Gateway Unitymediaseitig irgendwie geblockt wird?
Man kann bei den Kabel-Fritten nicht wirklich viel machen, selbst wenn man sie für teuer Geld selbst gekauft hätte und es somit keine UM-Leihgeräte wären.

Deshalb rate ich ja auch so vehement vom Kauf einer 6490 ab: Wenn eigene Fritz!Box, dann ein 3xxx/5xxx/7xxx-Modell hinter einem reinen Kabel-Modem!
Solange man nicht per telnet/ssh auf seinen eigenen Router kommt (Z.B. zum Auslesen von /var/tmp/ike.log), ist das Ding kein Router sondern ein teures Spielzeug.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 30.08.2016, 19:02

Hast Du auf einer der Boxen irgendwelche statischen Routen (Heimnetz -> Netzwerkeinstellungen -> [IPv4-Routen]) eingetragen?

Ich hatte auch gerade den Fall, daß die eine Fritz!Box keinerlei Anstalten gemacht hat, eine Verbindung aufzubauen oder zuzulassen...

In meinem Fall fehlte nur die keepalive_ip und wenn dann auch sonst kein Traffic ins andere Netz geroutet werden soll, bleibt das VPN halt unten.
Wenn nun aber - aus was auch immer für Gründen - bei Dir statische Routen ausgerechnet für die keepalive_ip bzw. ein sie umfassendes Subnetz eingetragen wären, dann würde das erklären, wieso der Ping auf die keepalive_ip keinen VPN-Aufbau auslöst.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 19:15

Statische Routen habe ich überhaupt nicht eingetragen.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 30.08.2016, 19:18

Dann empfehle ich Dir einfach mal den Kauf von zwei Raspberry Pi's.
Da dann auf beide OpenVPN drauf und fertig ist der Lack.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 19:31

Werde ich wahrscheinlich auch machen.
An der 6490 habe ich eh schon einen am Laufen, als Kick Starter, um Erweiterungen auf einem Sat - Receiver zu starten. Müsste mir dann noch einen 2ten für die 6360 besorgen.
Ist nur schade, dass das mit AVM Bordmitteln nicht geht.
Freezen lassen sich die Mietboxen ja auch nicht.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 30.08.2016, 19:34

Andreas1969 hat geschrieben:Ist nur schade, dass das mit AVM Bordmitteln nicht geht.
Freezen lassen sich die Mietboxen ja auch nicht.
Du meinst freetzen ...

Ja, das geht in der Tat nicht.
Übrigens nicht nur bei den Leihgeräten, sondern auch bei den gekauften.
Daher halte ich vom Kauf einer 6xxx vor allem eines: Abstand.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 21:46

Noch eine Frage:

Können die Fritten eigentlich ipsec over TCP (Port 10000)?
Damit müsste nach meinem Verständnis doch eine VPN Verbindung zwischen 2 Boxen funktionieren.
Oder können das nur die Cisco Router?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 31.08.2016, 06:46

Andreas1969 hat geschrieben:Können die Fritten eigentlich ipsec over TCP (Port 10000)?
Das glaube ich eher nicht ...
Andreas1969 hat geschrieben:Damit müsste nach meinem Verständnis doch eine VPN Verbindung zwischen 2 Boxen funktionieren.
Prinzipiell muß es ja auch so funktionieren, nur eben mit der Einschränkung, daß die Box hinter DS-lite der Initiator und die Box mit IPv4 der Responder sein muß (Oder man verwendet einfach direkt IPv6, aber das hatten wir ja schon ...).
Leider kenne ich niemanden mit DS-lite und z.B. einem Raspberry Pi persönlich, sonst könnte ich mit dessen Zugang mal rumspielen.

Worauf ich Zugriff habe sind mehrere Glasfaser-Anschlüsse, die sind aber technisch ganz anders realisiert (CGN + 6rd).

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 31.08.2016, 10:19

Problem erkannt, aber noch nicht gebannt!!!

Ich habe mich ja darüber gewundert, daß mir auf der 6490 die IP Adresse des Unitymedia AFTR´s unter der VPN Verbindung angezeigt wurde.
Ich habe da heute Nacht noch mal drüber geschlafen und da ist es mir dann wie Schuppen von den Augen gefallen.

Eigentlich ist das ja auch logisch und muß auch so sein.
Ich hatte das Problem auch immer nur auf der 6360 (DSLite) gesucht, weil das VPN dort nicht grün wurde und hatte nicht erkannt,
daß das Problem eigentlich auf der 6490 (IPV4 only) entsteht, weil dort der VPN Status grün angezeigt wurde.

Ich versuche das jetzt mal relativ einfach zu erklären (ipsec ist ja sehr komplex):

Die 6360 initiiert den Tunnelaufbau zur 6490, dabei passiert dann folgendes:
Die 6360 haut die Anfrage per IPV4 getunnelt durch das IPV6 an das AFTR raus und öffnet die UDP Ports 500 und 4500. Das AFTR hat eine öffentliche IPV4 (irgendwas mit 37.xxx.yyy.zzz).
Die öffentliche IP des AFTR teilen sich aber viele Kunden.
Die beiden UDP Ports sind aber nicht für mich reserviert, sondern schon belegt (UDP 500 z.B durch Kunde X und UDP 4500 z.B durch Kunde Y).
Also biegt das AFTR die UDP Ports 500 und 4500 auf irgendwelche freien Ports um (z.B. 4711 und 4300) und öffnet diese.
Der Tunnel wird jetzt also nach außen hin über die 37.xxx.yyy.zzz mit den UDP Ports 4711 und 4300 zur 6490 initiiert, die 6490 erkennt die Anfrage von der 6360 und zeigt auch unter VPN die 37.xxx.yyy.zzz an.
Der VPN Status auf der 6490 wird dann grün.
Jetzt genau passiert der Fehler:
Die 6490 bestätigt den Tunnelaufbau an die 6360 über die 37.xxx.yyy.zzz mit den fix eingestellten UDP Ports 500 und 4500. Die laufen aber ins Leere, bzw. werden vom AFTR gedropped, da das AFTR
eine Antwort auf den geöffneten Ports 4711 und 4300 erwartet, um sie dann wider in Richtung 6360 auf die Ports 500 und 4500 zurückzubiegen, dann würde auch der VPN Status auf der 6360 grün und der Tunnel läuft.

Um das Problem zu lösen, müsste die 6490 jetzt flexibel reagieren.
Sie darf nicht starr den Tunnel auf den UDP Ports 500 und 4500 öffnen, sondern die beiden Ports verwenden, über die die Anfrage der 6360 reinkommt.

Jetzt meine 2 Fragen:
1. Erkennt die 6490 die beiden UDP Ports, über welche die Anfrage von der 6360 initiiert wird?
2. Wie muss ich die config auf der 6490 verändern, sodaß der Tunnel über die zuvor erkannten UDP Ports aufgebaut wird ?

Auf der 6360 braucht man definitiv nichts verändern, weil von dort ja die Kommunikation bis zum AFTR hin über die Standard Ports 500 und 4500 läuft.

Für Anregungen und Vorschläge wäre ich jetzt dankbar, also frisch ans Werk !!!
Es werden Euch sicherlich viele Leute dankbar sein, wenn es eine Lösung für dieses Problem gibt.

Ich bin auch enttäuscht von AVM, die hätten das doch wissen müssen.

Was läuft eigentlich bei einer VPN Verbindung vom Mobiltelefon (Client – Server) anders,
da wird der VPN Tunnel von der 6360 zur 6490 nämlich aufgebaut. Arbeitet diese Verbindung ohne UDP-Ports, oder wo ist da der Unterschied ?


Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 31.08.2016, 10:57

Oder können die Boxen das doch und ich muss in der 6490
unter Portfreigaben nur die PCP-Unterstützung aktivieren?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 31.08.2016, 11:08

Du kannst mal Folgendes ausprobieren:

Lösche doch mal in der Konfig der IPv4-Box die Zeile
remotehostname = "";

Dann neu versuchen.
Ein leerer String ist immer noch was anderes als eine ungesetzte Variable.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 31.08.2016, 11:13

Andreas1969 hat geschrieben:Oder können die Boxen das doch und ich muss in der 6490
unter Portfreigaben nur die PCP-Unterstützung aktivieren?
Unitymedia unterstützt meines Wissens kein PCP.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7988
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 31.08.2016, 12:02

Unitymedia muss das ja auch nicht unterstützen.
Die beiden Ports (4711 und 4300) sind ja auf dem AFTR schon geöffnet.
Die 6490 muss die beiden UDP Ports 4711 und 4300 ja nur auf sich selbst für eingehenden Verkehr öffnen anstelle der Ports 500 und 4500, die bei der Einrichtung von VPN standardmäßig geöffnet werden. Oder habe ich da jetzt was falsch verstanden?
Die Verbindung wird doch von der 6360 aus initiiert und nicht anders herum.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Portsperren bei UM

Beitrag von Leseratte10 » 31.08.2016, 12:25

Bist du sicher dass die Fritzbox ihre Antwort an diese falschen Ports schickt? Hast du das in einem Netzwerkdump o. ä. gesehen oder ist das nur deine Vermutung?

Eigentlich wird sowas natürlich an den Absender (inkl. Port) geschickt und nicht an irgend einen festgelegten Port ...

Und warum sollte die Box die öffnen müssen? Der AFTR muss die öffnen, sonst niemand. Die Box muss da höchstens was hinschicken.

Antworten

Wer ist online?

Mitglieder in diesem Forum: Fleischer und 3 Gäste