Portsperren bei UM

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Was haltet Ihr von den Sperren?

Voll in Ordnung. Sicherheit ist ein wichtiges Thema und beeinträchtigt mich ja auch nicht
17
19%
Voll in Ordnung. Aber warum weiss ich nichts davon? Sollte man schon *irgendwo* mitteilen
16
18%
Unverschämtheit. Ich brauche die Ports für xxx (bitte ein Beispiel posten bzw. erklären)
10
11%
Unverschämtheit. Brauche die Ports nicht, aber finde es aus Prinzip nicht in Ordnung.
41
46%
Kenne Ports und die Bedeutung nicht. Kann mich darum nicht äussern
1
1%
Kenne nur Port-Wein, also mir egal. *Prost*
3
3%
Ist mir egal / Keine Meinung zu
1
1%
 
Abstimmungen insgesamt: 89

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 28.08.2016, 10:45

Und noch etwas, bedingt durch den hohen Prozentsatz der Haushalte, die zu Unitymedia gewechselt sind, hatten wir bis vor 1 Jahr massive Geschwindigkeitsprobleme besonders in den Abendstunden. Da ist der Download teilweise von 200 auf unter 10 Mbit eingebrochen und der Ping ging auf über 50 ms hoch.
Unitymedia hat dann aufgrund vieler Kundenbeschwerden irgendwann reagiert und reichlich Glasfaser verlegt und etliche Nodesplit's durchgeführt. Jetzt liegen die 200 Mbit zu jeder Tageszeit voll an.
Das paradoxe daran ist: die Glasfaser Leitungen wurden durch das Leerrohrsystem der Telekom verlegt.


Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

hajodele
Kabelkopfstation
Beiträge: 4819
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Portsperren bei UM

Beitrag von hajodele » 28.08.2016, 10:54

Andreas1969 hat geschrieben:Ich bin auch mal gespannt, ob das Ausbau versprechen der Bundesregierung eingehalten wird, dass bis Ende 2018 jeder Haushalt mit mind. 50 MBIT versorgt sein soll?
Das lässt mich momentan noch etwas hoffen.
Das ist bei dir doch schon durchs Kabel erfüllt. Oder war da noch was mit freier Providerauswahl?

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 28.08.2016, 11:12

Der Ausbau ist für mich erst abgeschlossen, wenn ich einen unkastrierten Zugang mit mind. 50 MBIT zum Internet bekommen kann. Und das ist ja wohl momentan nicht der Fall. Kabelanbieter gehören für mich grundsätzlich nicht in die Ausbauplanung. Die sollten sich lieber auf das Kerngeschäft konzentrieren und TV verkaufen. Ausserdem fängt bei mir ein richtiger Internetanschluss erst dann an, wenn ich alleine auf einem Port am DSLAM hänge. Das ist ja bei Unitymedia nicht der fall. Als Zwischenlösung käme für mich höchstens in Frage, dass die Bundesregierung die Kabelanbieter zwingt, deren Netz für alle anderen Anbieter freizugeben.
Ähnlich, wie es jetzt bei der freien Routerwahl der Fall ist.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Portsperren bei UM

Beitrag von Leseratte10 » 28.08.2016, 12:28

Was ist denn bei UM kastriert? Ports für lokale Datenaustausch-Protokolle die nie fürs Internet gedacht waren und komplett unsicher sind. VPN funktioniert bei UM problemlos - über IPv6. Und in der Definition von "Internet", in den RFCs steht drin, dass auch ein Anschluss mit DS-Lite vollwertig ist - die Anschlüsse mit nur IPv4 sind es nicht. Also ist dein Anschluss weder kastriert noch wirst du das vor irgendeinem Gericht durchbringen. Und ob du jetzt mit eigenem Kabel am DSLAM oder mit geteiltem Kabel am CMTS hängst ist auch egal - hinter dem DSLAM ist dann eh wieder alles "shared".

Und selbst wenn du das anders siehst - es gibt ja auch die Businesstarife die all das beinhalten was du willst. Meines Wissens wurde für den Bandbreitenausbau kein Höchstpreis von 30€ oder so angegeben, und wenn du mehr als" normal" (DS-Lite) haben willst musst du eben mehr ausgeben.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 28.08.2016, 12:45

Das sehe ich aber anders.
Warum sollte ich Unitymedia so viel Geld in den Rachen schmeißen, wenn ich so einen Anschluss bei der Telekom für 35-45 Euro bekommen könnte, wenn denn ausgebaut wäre?
Das kommt ja einer 2 Klassen Gesellschaft nahe.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 28.08.2016, 12:58

Und um nochmals auf meine ursprüngliche Frage zurückzukommen, es muss doch bei den vielen 1000en Usern hier einen geben, der in NRW im Unitymedia Netz 2 Fritten (eine DSLITE und eine IPV4 only) per VPN gekoppelt hat bzw. hinbekommen hat und mir verraten kann, was ich da genau an der Config verändern muss.

Oder gibt es wirklich keinen, der das hinbekommen hat?
Die Informationen dazu wären mir auch was wert.
Eine Vergütung würde ich für das Herausrücken der detaillierten Informationen schon zahlen.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Portsperren bei UM

Beitrag von Leseratte10 » 28.08.2016, 14:24

Gut, das ist dann halt so. Es gibt halt in unterschiedlichen Gebieten unterschiedliche Anbieter - Bandbreitenausbau bedeutet nicht, dass ein Anbieter (Telekom) gezwungen wird, überall in ganz Deutschland schnelles Internet anzubieten, sondern, dass es in ganz Deutschland schnelles Internet gibt, von irgend einem Anbieter. Wenn dann in bestimmten Gebieten andere Anbieter teurer sind, dann ist das halt so. Und solange das nicht irgendwie >100€ / Monat kostet, wirst du kaum begründen können "Der Internetausbau ist noch nicht abgeschlossen", nur weil ein Internetanschluss, so wie du ihn dir vorstellst, ein paar Euro teurer ist.

Und nach der aktuell gültigen Definition von "Internet" ist ein DS-Lite-Anschluss ein perfekter vollständiger Internetanschluss.

Aber um zum Thema zurückzukommen: Hier ne Anleitung, was du am AVM-VPN ändern musst, damit das zwischen DS-Lite <> IPv4 läuft: http://www.ip-phone-forum.de/showthread ... ost2138398

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 28.08.2016, 21:49

Ha, Ha
die Hinweise hatte ich befolgt, trotzdem keine VPN Verbindung möglich.
Der Kollege im Beispiel hat ja auch keine Fritte im Unitymedia Netz hängen.

Ich ziehe jetzt mal Bilanz :
1. VPN zwischen 2 Fritten im Telekom Netz geht.
2. VPN zwischen 2 Fritten (Telekom und Unitymedia IPV4 only) geht nicht.
3. VPN zwischen 2 Fritten (Telekom und Unitymedia DSLITE) geht nicht.
4. VPN zwischen 2 Fritten (Unitymedia IPV4 und Unitymedia DSLITE) geht nicht.
5. VPN zwischen 2 Fritten (beide Unitymedia IPV4 only) konnte ich mangels 2ten Anschluss mit IPV4 nicht testen, würde aber mal stark vermuten, daß das auch nicht geht.
Die Anschlüsse befinden sich alle in NRW.
Es mag ja sein, daß es in BW geht?
Für mich ist aber NRW ausschlaggebend.

Wie wollt Ihr mir jetzt bitteschön erklären, daß es nicht an Unitymedia liegt, bzw. dass die nichts blocken?

Oder wer hat das in NRW am Laufen?
Für sachdienliche Hinweise würde ich mich auch erkenntlich zeigen.

Jetzt aber mal los!

Gruß Andreas

F-orced-customer
Glasfaserstrecke
Beiträge: 1000
Registriert: 11.09.2012, 12:54

Re: Portsperren bei UM

Beitrag von F-orced-customer » 28.08.2016, 22:20

AVM verletzt RFCs mit ihrem proprietären VPN- Protokoll und/oder UM versaut die Pakete im Transport.

Geht IPSEC und openvpn im UM Netz?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 28.08.2016, 22:22

Andreas1969 hat geschrieben:2. VPN zwischen 2 Fritten (Telekom und Unitymedia IPV4 only) geht nicht.
5. VPN zwischen 2 Fritten (beide Unitymedia IPV4 only) konnte ich mangels 2ten Anschluss mit IPV4 nicht testen, würde aber mal stark vermuten, daß das auch nicht geht.
Bullshit.
Andreas1969 hat geschrieben:Oder wer hat das in NRW am Laufen?
Habe ich Dir schon mal gesagt, daß das geht und daß ich das genau so am Laufen (dran am tun) habe.
Sogar noch mit einigen Erschwernissen dabei :)

Bild

Momentan arbeite ich daran, das Spezialkonstrukt um die Fritz!Box 7390 wegzuschaffen, indem ich die VPN-Verbindung direkt auf dem Linksys mittels StrongSWAN aufbaue.
Funktioniert soweit auch schon, nur muß ich noch dran feilen, daß es auch automatisch hochkommt und richtig geroutet wird.

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Portsperren bei UM

Beitrag von tq1199 » 28.08.2016, 22:28

F-orced-customer hat geschrieben: ... openvpn im UM Netz?
Ja, OpenVPN geht im UM-Netz.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 28.08.2016, 22:40

F-orced-customer hat geschrieben:AVM verletzt RFCs mit ihrem proprietären VPN- Protokoll und/oder UM versaut die Pakete im Transport.
Weder noch.

Es ist IPSec mit IKEv1, was AVM da nutzt.

Mit der folgenden /etc/ipsec.conf ist ein Aufbau zu einem unmodifizierten AVM-VPN möglich:

Code: Alles auswählen

config setup

conn %default
        left=left-DynDNS
        leftsubnet=192.168.75.0/24
        authby=secret
        aggressive=yes
        leftfirewall=yes
        dpddelay=15
        dpdtimeout=60
        dpdaction=restart

conn Cologne
        type=tunnel
        keyexchange=ikev1
        ike=aes256-sha-modp1024
        esp=aes256-sha1-modp1024
        right=right.myfritz.net
        rightid=@right.myfritz.net
        rightsubnet=192.168.3.0/24
        ikelifetime=3600s
        keylife=3600s
        auto=start
        closeaction=restart
F-orced-customer hat geschrieben:Geht IPSEC und openvpn im UM Netz?
Natürlich.

Code: Alles auswählen

root@OpenWrt:~# ipsec status Cologne
no files found matching '/etc/strongswan.d/*.conf'
Security Associations (2 up, 0 connecting):
     Cologne[1]: ESTABLISHED 15 seconds ago, 37.24.123.45[left.dyn.dns]...109.91.23.45[right.myfritz.net]
     Cologne{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: b80e7b79_i fe261db9_o
     Cologne{1}:   192.168.75.0/24 === 192.168.3.0/24
Bild

F-orced-customer
Glasfaserstrecke
Beiträge: 1000
Registriert: 11.09.2012, 12:54

Re: Portsperren bei UM

Beitrag von F-orced-customer » 28.08.2016, 23:25

SpaceRat hat geschrieben:Es ist IPSec mit IKEv1, was AVM da nutzt.
Ich erinnere mich da an 2 Initverfahren, die FB7240 hat nur das primitivere unterstützt, Aggressive Mode Handshake.

Andreas, versuch mal ike-scan -v -s 0 --aggressive --id=xxxxxxxxxxxxx fritz.box

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 29.08.2016, 05:04

F-orced-customer hat geschrieben:Ich erinnere mich da an 2 Initverfahren, die FB7240 hat nur das primitivere unterstützt, Aggressive Mode Handshake.
Das ist korrekt und gilt für alle AVM VPNs.
Man muß strongSWAN etwas triezen, damit es das mitmacht, weshalb auch die meisten Anleitungen stattdessen die Anpassung im AVM-VPN beschreiben.

Ich habe meine VPNs jetzt auch von aggressive mode auf main mode umgestellt, aber zuerst einmal wollte ich es unmodifiziert ans Laufen kriegen.

Somit entfällt bei mir der fiese Hack mit dem dritten Router, der nur dazu da war, der Fritz!Box (im Router-Modus) eine WAN-Verbindung vorzugaukeln, obwohl sie eigentlich nur als IP-Client zu laufen braucht (Nur daß im Client-Modus das AVM-VPN nicht geht...).

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 29.08.2016, 07:14

Kann es eventuell an den unterschiedlichen FW Ständen der Boxen liegen?
Die beiden Boxen im Telekom Netz hatten beide den FW Stand 6.60
Die 6490 im Unitymedia Netz FW 6.50
Die 6360 im Unitymedia Netz FW 6.33

Die FW Stände der Unitymedia Boxen kann ich ja nicht beeinflussen, da es sich um Mietgeräte handelt.
Da bin ich auf das Wohlwollen von Unitymedia angewiesen und die sind ja bekanntlich äußerst unflexibel.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 29.08.2016, 09:54

Was ich auch komisch finde:

Auf der 6490 wird unter Adresse im Internet die IP4 Adresse des Unitymedia AFTR'S angezeigt, über welches die 6360 mit der IPV4 Welt kommuniziert.

Ist das überhaupt richtig?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

hajodele
Kabelkopfstation
Beiträge: 4819
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Portsperren bei UM

Beitrag von hajodele » 29.08.2016, 10:07

VPN ist ja keine neue Technologie.
Wenn es da irgendwann zu irgendwelchen Beeinträchtigungen gekommen wäre, hätte man das sicher mitbekommen.
Die einzige Beeinträchtigung, die mir einfällt, war vor 2 Jahren oder so. Mit der damaligen Firmware hat es Probleme mit der Telefonie gegeben, wenn gleichzeitig VPN aufgebaut war.
Ich benutze in BaWü seit 2010 VPN über 3 Standorte mit wechselnden Providern. Mindestens 1 war immer Kabel.

Die FW ist einerseits so aktuell andererseits so lange im Einsatz, dass sicher schon der Eine oder andere Gemeckert hätte.
Ein Problem könnte man höchstens ableiten, wenn VPN vorher lief und jetzt mit einer neuen FW nicht mehr tut.

Bei mir sind es aktuell
6340 (FW 6.04)
6360 (FW 6.50)
7390 (FW 6.51)
Die Konfiguration hat schon manchen Update klaglos überstanden.

Wegen AFTR: Bist du sicher, dass die 6490 IPv4 hat? Dass es bei 2 DS-Lite-Systemen passieren kann, ist möglich. Passiert das mit aktivem VPN oder auch, wenn VPN deaktiviert ist.

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 29.08.2016, 10:16

Die 6490 hat schon IPV4.

Die Adresse des AFTR wird ja auch unter der VPN Verbindung der Partnerbox angezeigt.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 29.08.2016, 17:23

Hier mal die VPN Konfiguration der 6490 (IPV4 only):
die tatsächliche Dyn Adresse der 6360 habe ich hier sicherheitshalber mal in XXX geändert


vpncfg {
vpncfg_version = 1;
connections {
enabled = yes;
editable = no;
conn_type = conntype_lan;
name = "XXX.myfritz.net";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "";
keepalive_ip = 0.0.0.0;
localid {
fqdn = "SECRET";
}
remoteid {
fqdn = "SECRET";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "SECRET";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.13.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.13.0 255.255.255.0";
app_id = 0;
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}





Und hier die VPN Konfiguration der 6360 (DSLite):
die tatsächliche Dyn Adresse der 6490 habe ich hier sicherheitshalber mal in YYY geändert


vpncfg {
connections {
enabled = yes;
editable = yes;
conn_type = conntype_lan;
name = "YYY.myfritz.net";
boxuser_id = 0;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "YYY.myfritz.net";
keepalive_ip = 192.168.2.1;
localid {
fqdn = "SECRET";
}
remoteid {
fqdn = "SECRET";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "SECRET";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.13.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.2.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.2.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


würde da eventuell freundlicherweise mal jemand drüber schauen?
Vielleicht sehe ich ja den Wald vor lauter Bäumen nicht mehr.
Eigentlich ist alles korrekt, AVM konnte ja auch keinen Fehler feststellen.

Danke und Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 29.08.2016, 17:47

Hier mal der Status der 6360 (DSLite)
Bild


In diesem Bild der 6360 kann man sehen, daß die IPV4 der 6490 korrekt angezeigt wird.
Lokales und entferntes Netz werden nicht angezeigt und der VPN Status ist grau.
Bild


Hier mal der Status der 6490 (IPV4)
Bild


In diesem Bild der 6490 sieht man schön, daß die IPV4 des Unitymedia AFTR´s über welches die 6360 angebunden ist, angezeigt wird, darf das überhaupt so sein?
Lokales und entferntes Netz werden korrekt angezeigt und der VPN Status ist auch grün.
Bild


Wo ist denn jetzt in Gottesnamen der Fehler im System?
Das muss doch so laufen.
Vielleicht hat ja noch jemand eine Idee.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 29.08.2016, 22:40

Im Fehlerprotokoll der 6360 (DSLite)
taucht auch folgender Fehler auf:

IKE-Error 0x203D "phase 1 sa removed during negotiation"

Auf was deutet das genau hin?

Anscheinend werden wohl die VPN-Pakete durch den NAT-Router des Providers gedropped ?

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 29.08.2016, 23:07

Probier mal diese Configs:

6360:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "6490";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "6490.myfritz.net";
                keepalive_ip = 192.168.2.1;
                localid {
                        ipaddr = 192.168.13.1;
                }
                remoteid {
                        ipaddr = 192.168.2.1;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "x2SO8SrcZP79gm1Xn8agqHuHGvaPrjz487zCPpdV18g";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.13.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

6490:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "6360";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "";
                localid {
                        ipaddr = 192.168.2.1;
                }
                remoteid {
                        ipaddr = 192.168.13.1;
                }
                mode = phase1_mode_idp;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "x2SO8SrcZP79gm1Xn8agqHuHGvaPrjz487zCPpdV18g";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.13.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.13.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
In beiden Configs wären anzupassen:
Der Name der Gegenseite

Code: Alles auswählen

                name = "6490";
bzw.

Code: Alles auswählen

                name = "6360";
und der PSK:

Einen eigenen PSK generieren, z.B. hier und diesen dann in beiden Configs bei

Code: Alles auswählen

                key = "x2SO8SrcZP79gm1Xn8agqHuHGvaPrjz487zCPpdV18g";
einfügen.
Je länger, desto besser, Custom Length 99 sollte funktionieren.

In der Config der 6360 / DS-lite-Seite ist noch anzupassen:

Code: Alles auswählen

                remotehostname = "6490.myfritz.net";
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

F-orced-customer
Glasfaserstrecke
Beiträge: 1000
Registriert: 11.09.2012, 12:54

Re: Portsperren bei UM

Beitrag von F-orced-customer » 29.08.2016, 23:26

SpaceRat hat geschrieben: Einen eigenen PSK generieren,
Je länger, desto besser, Custom Length 99 sollte funktionieren.
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 ? :D

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Portsperren bei UM

Beitrag von SpaceRat » 29.08.2016, 23:30

F-orced-customer hat geschrieben:
SpaceRat hat geschrieben: Einen eigenen PSK generieren,
Je länger, desto besser, Custom Length 99 sollte funktionieren.
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 ? :D
"Zufallsgeneriert" versteht sich von selbst ...

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 7928
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitrag von Andreas1969 » 29.08.2016, 23:42

Danke SpaceRat,

das werde ich testen.
Im Moment rollt ja Unitymedia auch die FW 6.50 für die 6360 aus. Bei mir ist die zwar noch nicht angekommen, aber dann hätte ich ja auf beiden Boxen den gleichen FW Stand. Vielleicht liegt die Wurzel des Übels ja auch da.
Momentan habe ich ja auf der 6360 noch die 6.33 und auf der 6490 die 6.50
Vorstellen kann ich mir das zwar nicht, aber immerhin auch ein kleines Licht am Horizont.

PS: Kann eigentlich die neue MyFritz!2 App eine VPN Verbindung über IPV6 zu einer DSLITE Box aufbauen?
Hat das schon mal jemand getestet?
Wenn nicht kann ich das machen, sobald die 6360 bei mir auf die 6.50 upgedatet wurde. Die neue App läuft nämlich erst ab FW 6.50
Da ich für mein Smartphone die Telekom als Provider habe und die mittlerweile echten Dual Stack liefern, kann ich das direkt testen, sobald die FW bei mir ausgerollt wurde.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste