Portsperren bei UM

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Was haltet Ihr von den Sperren?

Voll in Ordnung. Sicherheit ist ein wichtiges Thema und beeinträchtigt mich ja auch nicht
17
19%
Voll in Ordnung. Aber warum weiss ich nichts davon? Sollte man schon *irgendwo* mitteilen
16
18%
Unverschämtheit. Ich brauche die Ports für xxx (bitte ein Beispiel posten bzw. erklären)
10
11%
Unverschämtheit. Brauche die Ports nicht, aber finde es aus Prinzip nicht in Ordnung.
41
46%
Kenne Ports und die Bedeutung nicht. Kann mich darum nicht äussern
1
1%
Kenne nur Port-Wein, also mir egal. *Prost*
3
3%
Ist mir egal / Keine Meinung zu
1
1%
 
Abstimmungen insgesamt: 89

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 18:53

Komisch finde ich allerdings, dass ich mit einem Smartphone von der 6360 ausgehend eine VPN Verbindung zur 6490 aufbauen kann und die läuft auch über Stunden stabil.
Aber das ist ja dann auch eine Client - Server Verbindung.
Und wenn ich 2 Boxen per VPN verbinde ist das im Prinzip ja eine Server - Server Verbindung, oder nicht?
Wie kann es sein, daß die eine Variante läuft und die Andere nicht?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 30.08.2016, 18:54

Andreas1969 hat geschrieben:ich habe Deinen Vorschlag mal probiert, leider ohne Erfolg.
Schade.
Andreas1969 hat geschrieben:Ich weiß jetzt nicht mehr weiter.
Wie gesagt, mir ist noch nie ein AVM-VPN zwischen zwei Boxen gelungen von denen eine DS-lite hat, aber mit den Infos aus dem ip-phone-forum war's einen Versuch wert.
Mir fällt auch nur noch ein, daß Du evtl. Port-Weiterleitungen für einen der beteiligten Ports (500 und 4500, jeweils UDP) in einer/beiden Fritz!Boxen eingerichtet haben könntest, die verhindern, daß die Fritz!Box bzw. ihr VPN den Traffic überhaupt empfängt. Halte ich jetzt aber für wenig wahrscheinlich ...

Das ändert aber nichts daran, daß es zwischen Deinem IPv4-Anschluß und dem Telekom-Anschluß tun muß.

Andreas1969 hat geschrieben:Ich bin mittlerweile auch überzeugt, daß Unitymedia hier in meinem Anschlussbereich den Aufbau eines VPN Tunnels unterbindet, da die Anschlussdichte hier extrem hoch ist und die Angst haben, dass deren Netz zusammenbricht, wenn das mehrere User machen.
Kann ich mir nicht vorstellen, daß wäre schon ein erheblicher Eingriff.

Andreas1969 hat geschrieben:Wie kann man das eventuell testen, ob das vom Gateway Unitymediaseitig irgendwie geblockt wird?
Man kann bei den Kabel-Fritten nicht wirklich viel machen, selbst wenn man sie für teuer Geld selbst gekauft hätte und es somit keine UM-Leihgeräte wären.

Deshalb rate ich ja auch so vehement vom Kauf einer 6490 ab: Wenn eigene Fritz!Box, dann ein 3xxx/5xxx/7xxx-Modell hinter einem reinen Kabel-Modem!
Solange man nicht per telnet/ssh auf seinen eigenen Router kommt (Z.B. zum Auslesen von /var/tmp/ike.log), ist das Ding kein Router sondern ein teures Spielzeug.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 30.08.2016, 19:02

Hast Du auf einer der Boxen irgendwelche statischen Routen (Heimnetz -> Netzwerkeinstellungen -> [IPv4-Routen]) eingetragen?

Ich hatte auch gerade den Fall, daß die eine Fritz!Box keinerlei Anstalten gemacht hat, eine Verbindung aufzubauen oder zuzulassen...

In meinem Fall fehlte nur die keepalive_ip und wenn dann auch sonst kein Traffic ins andere Netz geroutet werden soll, bleibt das VPN halt unten.
Wenn nun aber - aus was auch immer für Gründen - bei Dir statische Routen ausgerechnet für die keepalive_ip bzw. ein sie umfassendes Subnetz eingetragen wären, dann würde das erklären, wieso der Ping auf die keepalive_ip keinen VPN-Aufbau auslöst.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 19:15

Statische Routen habe ich überhaupt nicht eingetragen.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 30.08.2016, 19:18

Dann empfehle ich Dir einfach mal den Kauf von zwei Raspberry Pi's.
Da dann auf beide OpenVPN drauf und fertig ist der Lack.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 19:31

Werde ich wahrscheinlich auch machen.
An der 6490 habe ich eh schon einen am Laufen, als Kick Starter, um Erweiterungen auf einem Sat - Receiver zu starten. Müsste mir dann noch einen 2ten für die 6360 besorgen.
Ist nur schade, dass das mit AVM Bordmitteln nicht geht.
Freezen lassen sich die Mietboxen ja auch nicht.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 30.08.2016, 19:34

Andreas1969 hat geschrieben:Ist nur schade, dass das mit AVM Bordmitteln nicht geht.
Freezen lassen sich die Mietboxen ja auch nicht.
Du meinst freetzen ...

Ja, das geht in der Tat nicht.
Übrigens nicht nur bei den Leihgeräten, sondern auch bei den gekauften.
Daher halte ich vom Kauf einer 6xxx vor allem eines: Abstand.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 30.08.2016, 21:46

Noch eine Frage:

Können die Fritten eigentlich ipsec over TCP (Port 10000)?
Damit müsste nach meinem Verständnis doch eine VPN Verbindung zwischen 2 Boxen funktionieren.
Oder können das nur die Cisco Router?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 31.08.2016, 06:46

Andreas1969 hat geschrieben:Können die Fritten eigentlich ipsec over TCP (Port 10000)?
Das glaube ich eher nicht ...
Andreas1969 hat geschrieben:Damit müsste nach meinem Verständnis doch eine VPN Verbindung zwischen 2 Boxen funktionieren.
Prinzipiell muß es ja auch so funktionieren, nur eben mit der Einschränkung, daß die Box hinter DS-lite der Initiator und die Box mit IPv4 der Responder sein muß (Oder man verwendet einfach direkt IPv6, aber das hatten wir ja schon ...).
Leider kenne ich niemanden mit DS-lite und z.B. einem Raspberry Pi persönlich, sonst könnte ich mit dessen Zugang mal rumspielen.

Worauf ich Zugriff habe sind mehrere Glasfaser-Anschlüsse, die sind aber technisch ganz anders realisiert (CGN + 6rd).

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 31.08.2016, 10:19

Problem erkannt, aber noch nicht gebannt!!!

Ich habe mich ja darüber gewundert, daß mir auf der 6490 die IP Adresse des Unitymedia AFTR´s unter der VPN Verbindung angezeigt wurde.
Ich habe da heute Nacht noch mal drüber geschlafen und da ist es mir dann wie Schuppen von den Augen gefallen.

Eigentlich ist das ja auch logisch und muß auch so sein.
Ich hatte das Problem auch immer nur auf der 6360 (DSLite) gesucht, weil das VPN dort nicht grün wurde und hatte nicht erkannt,
daß das Problem eigentlich auf der 6490 (IPV4 only) entsteht, weil dort der VPN Status grün angezeigt wurde.

Ich versuche das jetzt mal relativ einfach zu erklären (ipsec ist ja sehr komplex):

Die 6360 initiiert den Tunnelaufbau zur 6490, dabei passiert dann folgendes:
Die 6360 haut die Anfrage per IPV4 getunnelt durch das IPV6 an das AFTR raus und öffnet die UDP Ports 500 und 4500. Das AFTR hat eine öffentliche IPV4 (irgendwas mit 37.xxx.yyy.zzz).
Die öffentliche IP des AFTR teilen sich aber viele Kunden.
Die beiden UDP Ports sind aber nicht für mich reserviert, sondern schon belegt (UDP 500 z.B durch Kunde X und UDP 4500 z.B durch Kunde Y).
Also biegt das AFTR die UDP Ports 500 und 4500 auf irgendwelche freien Ports um (z.B. 4711 und 4300) und öffnet diese.
Der Tunnel wird jetzt also nach außen hin über die 37.xxx.yyy.zzz mit den UDP Ports 4711 und 4300 zur 6490 initiiert, die 6490 erkennt die Anfrage von der 6360 und zeigt auch unter VPN die 37.xxx.yyy.zzz an.
Der VPN Status auf der 6490 wird dann grün.
Jetzt genau passiert der Fehler:
Die 6490 bestätigt den Tunnelaufbau an die 6360 über die 37.xxx.yyy.zzz mit den fix eingestellten UDP Ports 500 und 4500. Die laufen aber ins Leere, bzw. werden vom AFTR gedropped, da das AFTR
eine Antwort auf den geöffneten Ports 4711 und 4300 erwartet, um sie dann wider in Richtung 6360 auf die Ports 500 und 4500 zurückzubiegen, dann würde auch der VPN Status auf der 6360 grün und der Tunnel läuft.

Um das Problem zu lösen, müsste die 6490 jetzt flexibel reagieren.
Sie darf nicht starr den Tunnel auf den UDP Ports 500 und 4500 öffnen, sondern die beiden Ports verwenden, über die die Anfrage der 6360 reinkommt.

Jetzt meine 2 Fragen:
1. Erkennt die 6490 die beiden UDP Ports, über welche die Anfrage von der 6360 initiiert wird?
2. Wie muss ich die config auf der 6490 verändern, sodaß der Tunnel über die zuvor erkannten UDP Ports aufgebaut wird ?

Auf der 6360 braucht man definitiv nichts verändern, weil von dort ja die Kommunikation bis zum AFTR hin über die Standard Ports 500 und 4500 läuft.

Für Anregungen und Vorschläge wäre ich jetzt dankbar, also frisch ans Werk !!!
Es werden Euch sicherlich viele Leute dankbar sein, wenn es eine Lösung für dieses Problem gibt.

Ich bin auch enttäuscht von AVM, die hätten das doch wissen müssen.

Was läuft eigentlich bei einer VPN Verbindung vom Mobiltelefon (Client – Server) anders,
da wird der VPN Tunnel von der 6360 zur 6490 nämlich aufgebaut. Arbeitet diese Verbindung ohne UDP-Ports, oder wo ist da der Unterschied ?


Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 31.08.2016, 10:57

Oder können die Boxen das doch und ich muss in der 6490
unter Portfreigaben nur die PCP-Unterstützung aktivieren?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 31.08.2016, 11:08

Du kannst mal Folgendes ausprobieren:

Lösche doch mal in der Konfig der IPv4-Box die Zeile
remotehostname = "";

Dann neu versuchen.
Ein leerer String ist immer noch was anderes als eine ungesetzte Variable.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 31.08.2016, 11:13

Andreas1969 hat geschrieben:Oder können die Boxen das doch und ich muss in der 6490
unter Portfreigaben nur die PCP-Unterstützung aktivieren?
Unitymedia unterstützt meines Wissens kein PCP.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 31.08.2016, 12:02

Unitymedia muss das ja auch nicht unterstützen.
Die beiden Ports (4711 und 4300) sind ja auf dem AFTR schon geöffnet.
Die 6490 muss die beiden UDP Ports 4711 und 4300 ja nur auf sich selbst für eingehenden Verkehr öffnen anstelle der Ports 500 und 4500, die bei der Einrichtung von VPN standardmäßig geöffnet werden. Oder habe ich da jetzt was falsch verstanden?
Die Verbindung wird doch von der 6360 aus initiiert und nicht anders herum.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Leseratte10
Glasfaserstrecke
Beiträge: 1423
Registriert: 07.03.2013, 15:56

Re: Portsperren bei UM

Beitrag von Leseratte10 » 31.08.2016, 12:25

Bist du sicher dass die Fritzbox ihre Antwort an diese falschen Ports schickt? Hast du das in einem Netzwerkdump o. ä. gesehen oder ist das nur deine Vermutung?

Eigentlich wird sowas natürlich an den Absender (inkl. Port) geschickt und nicht an irgend einen festgelegten Port ...

Und warum sollte die Box die öffnen müssen? Der AFTR muss die öffnen, sonst niemand. Die Box muss da höchstens was hinschicken.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 31.08.2016, 12:51

Wie wäre es denn, wenn ich auf der 6490 folgende´n Bereich in der config:

phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.13.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";


folgendermaßen abändern würde:

phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.13.0 255.255.255.0";
"reject udp any any eq 500",
"reject udp any any eq 4500",
}


könnte das eventuell funktionieren?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Portsperren bei UM

Beitrag von tq1199 » 31.08.2016, 12:53

Andreas1969 hat geschrieben:Unitymedia muss das ja auch nicht unterstützen.
Die beiden Ports (4711 und 4300) sind ja auf dem AFTR schon geöffnet.
Die 6490 muss die beiden UDP Ports 4711 und 4300 ja nur auf sich selbst für eingehenden Verkehr öffnen anstelle der Ports 500 und 4500, die bei der Einrichtung von VPN standardmäßig geöffnet werden. Oder habe ich da jetzt was falsch verstanden?
Die Verbindung wird doch von der 6360 aus initiiert und nicht anders herum.
I. d. R. "überleben" auch UDP-source-Ports, ein NAT oder diverse gateways/routings, etc.

Aber auch wenn das AFTR-gateway andere UDP-source-Ports an die 6490 mitteilt, dann sind das noch keine (lauschende) destination-Ports auf der bzw. für die 6490 und somit muss m. E. die 6490 auch diese UDP-Ports nicht für ihren eingehenden Verkehr öffnen.

Wenn Du je einen PI an deinen FBen-cable hättest, dann könntest Du ja mal testen, ob bzw. was das AFTR-gateway, so an UDP-Datenpaketen ändert oder nicht ändert (z. B. ToS, etc.) .

Evtl. auch im IPPF mal btr. deiner Problematik nachfragen. Vielleicht hat ja schon mal jemand, die Konstellation mit "Initiator"- und "Responder"-FritzBox, auf gefreetzten Nichtcable-FritzBox getestet und sich angeschaut wie dann das Zustandekommen der VPN-Verbindung bzw. wie der VPN-Datenverkehr mit so einer Konfiguration ist.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 31.08.2016, 16:43

Ich habe bei AVM nochmal angefragt, ab wann den die Fritz Boxen VPN über IPV6 unterstützen werden?

Darauf habe ich folgende verwirrende Antwort erhalten :

XXX (AVM Support)

31. Aug., 16:00 CEST

Guten Tag Herr XXX ,

die FRITZ!Box 6490 Cable unterstützt vollumfänglich IPv4 und Ipv6. Ebenso ist am Unitymedia-Kabelanschluss IPv6 möglich und im Einsatz.

Retail-Geräte werden durch die Provider zum Teil anders provisioniert als Mietgeräte. In diesem konkreten Fall wird ein relevanter Parameter hier nicht gesetzt und es wird lediglich IPv4 angeboten. Die Optionen in der Benutzeroberfläche bieten somit die entsprechenden Tunnel-Protokolle an.

Wir arbeiten auf Basis der nun bekannten Schnittstellenbeschreibungen gemeinsam mit dem Provider an Optimierungen, um hier die optimalen Einstellungen zu finden und in Zukunft auch echten Dual Stack zu ermöglichen. Dies wird voraussichtlich im Herbst der Fall sein.

Freundliche Grüße aus Berlin
XXX (AVM Support)


Da komme ich jetzt nicht mit klar.
Wird VPN über IPV6 von den Fritten jetzt doch schon unterstützt?

Oder ist das jetzt verar...
Ab Herbst gibt es Echtes Dual Stack?
Was soll man davon halten?


Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

F-orced-customer
Glasfaserstrecke
Beiträge: 1000
Registriert: 11.09.2012, 12:54

Re: Portsperren bei UM

Beitrag von F-orced-customer » 31.08.2016, 16:50

FAQ-Antwort, Konserve aus Textbausteinen.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 31.08.2016, 16:59

Apropo:

Morgen ist Herbstanfang
Und heute ist nicht der 1. April

Also ab Morgen echten Dual Stack
Dann werde ich das mal ordern.


Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 31.08.2016, 21:53

SpaceRat hat geschrieben:Probier mal diese Configs:

6360:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "6490";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "6490.myfritz.net";
                keepalive_ip = 192.168.2.1;
                localid {
                        ipaddr = 192.168.13.1;
                }
                remoteid {
                        ipaddr = 192.168.2.1;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "x2SO8SrcZP79gm1Xn8agqHuHGvaPrjz487zCPpdV18g";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.13.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

6490:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "6360";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "";
                localid {
                        ipaddr = 192.168.2.1;
                }
                remoteid {
                        ipaddr = 192.168.13.1;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "x2SO8SrcZP79gm1Xn8agqHuHGvaPrjz487zCPpdV18g";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.13.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.13.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
In beiden Configs wären anzupassen:
Der Name der Gegenseite

Code: Alles auswählen

                name = "6490";
bzw.

Code: Alles auswählen

                name = "6360";
und der PSK:

Einen eigenen PSK generieren, z.B. hier und diesen dann in beiden Configs bei

Code: Alles auswählen

                key = "x2SO8SrcZP79gm1Xn8agqHuHGvaPrjz487zCPpdV18g";
einfügen.
Je länger, desto besser, Custom Length 99 sollte funktionieren.

In der Config der 6360 / DS-lite-Seite ist noch anzupassen:

Code: Alles auswählen

                remotehostname = "6490.myfritz.net";

Mit dieser Einstellung und folgender Änderung lief es bisher am besten:
statt mode = phase1_mode_idp; hatte ich mode = phase1_mode_aggressive; eingestellt.
Damit habe ich einmal sogar den Status des VPN Tunnels auf beiden Boxen für ein paar Sekunden grün gehabt.
Dabei wurde auch auf beiden Boxen lokales Netz und entferntes Netz korrekt angezeigt.
Leider ist der Tunnel nach ein paar Sekunden wieder zusammengebrochen.
Das habe ich bisher mit keiner anderen config hinbekommen.

Als die Verbindung stand, wurde auf der Oberfläche der 6360 (DSLite) unter den Intenetdaten hinter dem AFTR-Gateway
folgendes angezeigt: "IP4 MTU = 1280" Das habe ich bisher in der Oberfläche noch nie gesehen.
Nach dem Zusammenbruch des Tunnels wurde diese Info auch nicht mehr angezeigt.

Kann es wohl sein, daß mein Problem mit dem MTU-Wert zu tun hat?
Die 6360 hat ja noch die FW 6.33 drauf.
Bei der 6490 ist die FW 6.50 drauf.
In den vorherigen FW-Ständen bei der 6490 gabs vorher auch Probleme mit dem MTU-Wert beim SIXXS Tunnel, das lief nicht.
Der SIXXS Tunnel läuft erst seit der FW 6.50 sauber, wo der Bug behoben wurde.
Vielleicht ist das VPN Problem ja ähnlich gelagert und nach dem Update der 6360 ab dem 09.09.2016 auf FW 6.50 ist Problem behoben
und der VPN Tunnel läuft auf einmal???

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 01.09.2016, 07:54

Bei VF/KD scheint das VPN bei DSLite wohl schon zu funktionieren.

Laut Beschreibung war es nicht möglich, eine VPN-Verbindung zu einer DSLite Box aufzubauen, da der
Tunnelaufbau bei IPSEC in Phase 2 hängengeblieben ist. So stellt sich das bei mir ja auch dar.
Bei Kunden, die sich in Bezug auf dieses Problem gemeldet haben (die letzten 3-4 Wochen) wurde
Anscheinend von einem Mitarbeiter von VF/KD auf der Fritte ein Paramater gesetzt, wobei nach einem
anschließenden Neustart der Box zusätzlich zum DSLite noch eine IPV4 Adresse in der Oberfläche
der Box sichtbar war. Über diese IPV4 Adresse ließ sich dann der VPN Tunnel aufbauen.

Jetzt würde mich mal interessieren, wie die das umsetzten?
Wurde bei VF/KD schon PCP implementiert (bloß noch nicht für alle)?
Was wird da in der Box für eine IPV4 angezeigt, handelt es sich dabei um eine virtuelle Adresse, die per PCP auf dem AFTR erzeugt wird?
Das würde sich ja annähernd mit der letzten Mail von AVM decken.
Ich habe auch gelesen, daß es nur bei Kunden geht, die eine 6490 haben.
Das kann aber dann eigentlich nur mit der FW zu tun haben (PCP geht ja erst ab OS 6.50) und sollte
nach dem Ausrollen der 6.50 auf die 6360 dann dort auch möglich sein.

Das macht mir jetzt wieder etwas Hoffnung.


Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 01.09.2016, 08:11

Hier mal ein Beispiel über eine solchve Konversation:


Hallo buchmannm,
sende mir bitte per privater Nachricht folgende Daten zu:

Username:
Vollständiger Name:
Kundennummer:
Anschrift:
E-Mail-Adresse:
Link deines Beitrags:

Sobald ich Deine Daten haben, melde ich mich hier wieder.
Grüße
Marcus

Ich habe deine Daten erhalten. Bitte starte Deinen Router neu und prüfe, ob die Probleme weiterhin bestehen.
Grüße
Marcus


Hallo Marcus,
vielen Dank für die schnelle Hilfe, VPN funktioniert nun
Viele Grüße
Marc

Das sind doch sehr schöne Nachrichten. Freue mich, dass ich Dir weiterhelfen konnte. Ich werde den Thread nun schließen
und wünsche dir noch einen schönen Sonntag!
Grüße
Marcus
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 01.09.2016, 08:40

Andreas1969 hat geschrieben:Bei VF/KD scheint das VPN bei DSLite wohl schon zu funktionieren.

Bei Kunden, die sich in Bezug auf dieses Problem gemeldet haben (die letzten 3-4 Wochen) wurde
Anscheinend von einem Mitarbeiter von VF/KD auf der Fritte ein Paramater gesetzt, wobei nach einem
anschließenden Neustart der Box zusätzlich zum DSLite noch eine IPV4 Adresse in der Oberfläche
der Box sichtbar war. Über diese IPV4 Adresse ließ sich dann der VPN Tunnel aufbauen.
Kein Hexenwerk:
Entsprechende Kunden werden bei KD/VF einfach auf "Dual Stack" umgestellt.

Als temporäre Problemlösung ist das durchaus geeignet:
Ich behaupte ja, daß 95% der Kunden überhaupt nicht merken ob sie "Dual Stack", "IPv6-only mit Übergangsmechanismus" oder "IPv4-only" haben.
Es wäre also ein Leichtes, bei Neuanschlüssen wie gehabt "IPv6-only+DS-lite" zu schalten, aber gleichzeitig auch nach Ankündigung und fehlendem Widerspruch immer wieder mal Bestandsanschlüsse ebenfalls auf "IPv6-only+DS-lite" umzuschalten.
Im Gegenzug könnte man nämlich problemlos jedem der es haben will echten Dual-Stack schalten.
Unitymedia ist ja nur ein relativ neuer Anbieter, die haben schon noch einige Millionen IPv4-Adressen bekommen, im Gegensatz zu den wirklich neuen Anbietern wie fl!nk oder NEW, die wirklich mit 1024 Adressen gerade mal genug für das Betreiben von CGN-Gateways und ein paar Geschäftskunden haben.

Das könnte Unitymedia also schon machen, tun sie aber nicht. Die hauen die IPv4 lieber an anderer Stelle raus ...
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7908
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 01.09.2016, 10:03

Eine Theorie hätte ich da noch:
Und zwar hat mich die Aussage stutzig gemacht, daß es nur bei der 6490 geht.

Dual-Stack läuft ja auch problemlos bei der 6360 usw.
Und die 6490 ist ja momentan die einzige Kabelbox, die das OS 6.50 drauf hat (PCP).

Wenn PCP vom Anbieter unterstützt wird und auf der Box aktiviert ist, würden die
benötigten Ports auf dem AFTR geöffnet.
Durch eine Änderung eines Parameters auf der Box, könnte die IP4 des AFTR´s, auf welchem die
entsprechenden Ports geöffnet sind, als IP4 Adresse auf der Oberfläche der Box angezeigt werden
und auch an den DYN-DNS-Dienst gemeldet werden.

Auf der Oberfläche der Box sieht es dann so aus, als wenn man echtes Dual-Stack hätte.
Die Box ist dann auch über IPV4 erreichbar.
Soweit zur Theorie.

Das hat mich jetzt noch auf eine neue Idee gebracht:

Der DYN-DNS-Dienst meldet mir für die DS-Lite Box ja nur eine IPV6-Adresse, VPN kann
damit aber nichts anfangen.
Ich werde heute Abend mal die configs dahingehend ändern, daß ich für localid und remoteid
anstelle der lokalen Adressen der Boxen wieder die DYN-DNS Adressen eintrage.
Nur mit dem Unterschied, daß ich die DYN-DNS Adresse der DSLite Box gegen die IPV4 Adresse des
AFTR´s ersetze.
Wenn das klappt, sollte der Tunnel zumindest solange aufgebaut werden, wie sich
die IP4-Adresse des AFTR´s nicht ändert.

Ich bin mal gespannt, ob das klappt.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Antworten

Wer ist online?

Mitglieder in diesem Forum: rv112, smeagol4388 und 6 Gäste