poddeldunkt
Goto Top

Bintec Digitalisierungsbox - IPSec Routing Probleme

Hallo zusammen,

seit 2 Tagen schon beschäftige ich mich mit der Thematik ein IP-Telefon via VPN an die Telefonanlage zu verbinden.

Folgende Situation ist gegeben:

In der Zentrale steht eine Digitalisierungsbox Premium mit aktueller Firmware, extern steht ein IP Fähiges Telefon mit Android Subsystem. Beide Geräte unterstützen IPSec.
Die VPN Verbindung wurde nach folgender Anleitung angelegt:
https://knowledgebase.bintec-elmeg.com/knowledgebase/ipsec-verbindung-an ...

Das lokale Netzwerk ist unter 192.168.1.0 zu erreichen, der Router unter 192.168.1.1
Für das Telefon habe ich einen VPN IP-Pool angelegt 192.168.200.50-192.168.200.60

Die VPN Verbindung kann auch Problemlos aufgebaut werden. Nur ein mal, danach muss der Router neu gestartet werden.

Ich baue die Verbindung auf und sowohl am Telefon als auch am Router wird die Verbindung als aktiv angezeigt.
Ping vom Telefon auf 192.168.1.10 (Telefonanlage) erfolgreich.
Ping eines Rechners auf das Remote Telefon 192.168.200.50 erfolgreich.

Ein Tracert sieht wie folgt aus:
tracert gut

Wenn aber auch irgendwelchen Gründen die Verbindung abgebaut wird (Neustart des Telefons, trennen der Verbindung am Telefon, etc.) kann diese zwar Problemlos wieder aufgebaut werden (Phase 2 aktiv), jedoch ist ein Ping nur noch vom Telefon ins Netzwerk möglich zurück nicht mehr.

Ping vom Telefon auf 192.168.1.10 (Telefonanlage) erfolgreich.
Ping eines Rechners auf das Remote Telefon 192.168.200.50 Zeitüberschreitung.

Das hat natürlich zur Folge dass Sprachpakete von der TK Anlage nicht korrekt ans Telefon gesendet werden können.

Ein Tracert sieht dann wie folgt aus:
tracert schlecht


Die DBox scheint sich irgendwie selbst zu Tode zu routen?

Nach einem Neustart der DBox kann das VPN wieder korrekt aufgebaut werden, und ein Ping ist in beide Richtungen möglich. Auch wenn ich den IP-Pool des VPN ändere z.B. von 192.168.200.50-60 auf 192.168.200.70-80 kann die Verbindung wieder aufgebaut werden, allerdings wie oben nur ein mal, bevor das Problem wieder auftritt.

Die Routingtabelle habe ich mir bereits angesehen, hier werden die Routen jedes mal (egal ob Funktionierend oder nicht) identisch angelegt.

Hat die Box einfach einen Bug, oder habe ich einen Konfigurationsfehler?

Fun Fact am Rande: Ich hatte dieses Thema bereits mit einem Anwendungsentwickler besprochen. Seine Aussage: Schreib doch einfach ein Script, dass den IP-Pool nach jedem Disconnect um 10 verschiebt... ;))

Gibt es hier vielleicht Lösungsvorschläge? Ich möchte wirklich vermeiden, das Telefon via Portfreigabe anzkoppeln...

Grüße und Danke!

Content-ID: 1449613774

Url: https://administrator.de/forum/bintec-digitalisierungsbox-ipsec-routing-probleme-1449613774.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

Pjordorf
Pjordorf 30.10.2021 um 22:02:16 Uhr
Goto Top
Hallo,

Zitat von @Poddeldunkt:
In der Zentrale steht eine Digitalisierungsbox Premium mit aktueller Firmware, extern steht ein IP Fähiges Telefon mit Android Subsystem.
Subsystem, so, so. Was ist dann das Hauptsystem dort? WasABi Light?

Ein Tracert sieht wie folgt aus:
Ist aber nur das Ergebniss, nicht das was du eingetippelt hast.

Ping eines Rechners auf das Remote Telefon 192.168.200.50 Zeitüberschreitung.
Andere IP (VPN IP) am Telefon?

Die DBox scheint sich irgendwie selbst zu Tode zu routen?
Und? Ist dir schon mal eine DBox gestorben?

Hat die Box einfach einen Bug, oder habe ich einen Konfigurationsfehler?
Das 2te. dürfte hier greifen. Und ohne deine Konfiguration zu kennen, können wird dir nur die Lottozahlen von heute nennen (nach 23:00 Uhr)face-smile

Gruß,
Peter
Poddeldunkt
Poddeldunkt 30.10.2021 aktualisiert um 23:00:00 Uhr
Goto Top
Subsystem, so, so. Was ist dann das Hauptsystem dort? WasABi Light?
Was ich damit sagen wollte: Ist hald ein Comfortel 2600 IP mit Android Basis System und Anpassungen von Auerswald drüber.

Ist aber nur das Ergebniss, nicht das was du eingetippelt hast.
Stimmt. Getippt wurde natürlich 2x das selbe: tracert 192.168.200.50

Andere IP (VPN IP) am Telefon?
Leider nicht, habe die IP immer vorher überprüft: Wird in der DBox ja angezeigt, unter Internet & Netzwerk -> Monitoring -> IPSec -> Peers

Und? Ist dir schon mal eine DBox gestorben?
Nein, aber fast. Heute mittag ging nur noch Hardreset mit Stecker ziehen ;)


Das 2te. dürfte hier greifen. Und ohne deine Konfiguration zu kennen, können wird dir nur die Lottozahlen von heute nennen (nach 23:00 Uhr)face-smile

Welche Konfig möchtest du denn gerne sehen? Oder am besten gleich ganzen Export hochladen inkl. Zugangsdatenn, dass es jeder von zuhause aus ausprobieren kann? ;)

Bis morgen. Ab 23:00 ist feierabend!

Grüße
MysticFoxDE
MysticFoxDE 31.10.2021 um 07:20:45 Uhr
Goto Top
Moin Poddeldunkt,

Folgende Situation ist gegeben:

In der Zentrale steht eine Digitalisierungsbox Premium mit aktueller Firmware, extern steht ein IP Fähiges Telefon mit Android Subsystem. Beide Geräte unterstützen IPSec.
Die VPN Verbindung wurde nach folgender Anleitung angelegt:
https://knowledgebase.bintec-elmeg.com/knowledgebase/ipsec-verbindung-an ...

Falls die Digitalisierungsbox an der Zentralle das Primärgateway/Firewall ist, dann möchte ich an dieser Stelle dringendst anraten, diese nicht als solche zu verwenden. Die Schutzmassnahmen, die eine Digitalisierungsbox bereitstellt, sind vor allem im Businessumfeld alles andere als „State of the Art“.

Das lokale Netzwerk ist unter 192.168.1.0 zu erreichen, der Router unter 192.168.1.1
Für das Telefon habe ich einen VPN IP-Pool angelegt 192.168.200.50-192.168.200.60

Die VPN Verbindung kann auch Problemlos aufgebaut werden. Nur ein mal, danach muss der Router neu gestartet werden.

Ne, das musst du nicht. Du musst dich lediglich auf der Digitalisierungsbox einloggen und dort den IP-Sec Tunnel einmal von Hand deaktivieren und wieder aktivieren, danach sollte er wieder sauber aufgebaut werden.

Ich hatte dasselbe Problem auch eine Zeit lang auf meiner be.IP plus (unkastrierte Version der Digitalisierungsbox), jedoch ist es nach einem der Firmwareupdates so wie es aussieht von alleine verschwunden.

Die Telekom hat auf der Digitalisierungsbox im Vergleich zu dem Original, leider eine sehr angepasste und wie schon oben geschrieben, sehr kastrierte Firmware drauf, die zudem auch sehr selten aktualisiert wird.
Ich kenne schon Tricks, wie man den kaputten Tunnel auch wieder automatisiert heilen kann, jedoch funktionieren diese Tricks nur mit dem Featureset der be.IP aber nicht auf der Digitalisierungsbox. ☹

Entweder du holst dir die originale be.IP und ersetzt damit die Digitalisierungsbox oder du holst dir falls nicht vorhanden eine anständige Firewall so alla Sophos XG für den Hauptstandort und hängst an dem Nebenstandort eine RED hin. Mit Übung ist der IP-Sec auf der Sophos incl. der FireWall Regeln in ca. 5-10 Minuten eingerichtet und läuft absolut stabil.

Hat die Box einfach einen Bug, oder habe ich einen Konfigurationsfehler?

Ist not a Bug, it’s a german „Arbeitsgenerierungs-Feature“. 🙃


Fun Fact am Rande: Ich hatte dieses Thema bereits mit einem Anwendungsentwickler besprochen. Seine Aussage: Schreib doch einfach ein Script, dass den IP-Pool nach jedem Disconnect um 10 verschiebt... ;))

😮, ähm, hast du mit einem Anwendungsentwickler bei der Telekom gesprochen oder mit einem bei Bintec?

Beste Grüsse aus BaWü

Alex
aqui
aqui 31.10.2021 um 12:09:21 Uhr
Goto Top
Hast du die DPD Funktion (Dead Peer Detection) an beiden VPN Tunnelenden aktiviert ??
Mit aktiver DPD sollte es zu solcher Situation gar nicht erst kommen.
Poddeldunkt
Poddeldunkt 01.11.2021 um 09:45:33 Uhr
Goto Top
Zitat von @aqui:

Hast du die DPD Funktion (Dead Peer Detection) an beiden VPN Tunnelenden aktiviert ??
Mit aktiver DPD sollte es zu solcher Situation gar nicht erst kommen.

Ja, DPD ist am Router aktiviert.

@alex

Danke für deine ausfürhliche Antwort. Ich betrachte den Beitrag hier als gelöst und werde für VPN einen anderen Router verwenden.

Grüße
MysticFoxDE
MysticFoxDE 01.11.2021 aktualisiert um 13:33:11 Uhr
Goto Top
Moin Poddeldunkt,

Ja, DPD ist am Router aktiviert.

war bei mir auch aktiviert und hat trotzdem nichts geholfen.

Danke für deine ausfürhliche Antwort.

Sehr gerne.

Ich betrachte den Beitrag hier als gelöst und werde für VPN einen anderen Router verwenden.

Mit dieser Entscheidung wirst du wahrscheinlich am schnellsten wieder glücklich. 😉
Die original be.IP's, sind übrigens 1A VoIP-Gateways für kleinere Umgebungen.
Als Zugangsrouter und auch als VPN Gateway würde ich in der heutigen Zeit definitiv eine andere Lösung
mit etwas mehr Sicherheitsfeatures vorziehen.

Beste Grüsse aus BaWü

Alex