14
Externe Erreichbarkeit einer per Vodafone LTE verbundenen FritzBox
Hallo Zusammen,
im Rahmen meiner Recherchen bin ich auf dieses nette Forum gestoßen. Nachdem ich keinen richtig passenden Beitrag finden konnte würde ich mich sehr über Tipps & Hilfen bei der folgenden Problemstellung freuen.
Hintergrund
Mein Internetzugang zuhause ist über Vodafone Kabel mit einer selbst gekauften FritzBox 6591. Nach anfänglichen zeitweisen Verbindungsunterbrechungen habe ich seit ca. 2 Wochen einen Totalausfall von Internet und Telefon. Nach mehreren Anrufen und Beschwerden bei der Störungshotline hat Vodafone mir ersatzweise einen mobilen Wifi Router (R219z) und eine SIM-Karte mit Datenvolumen zugesandt, um den Ausfall zu überbrücken.
Auf meine Frage nach der Ursache wurde von einer Rückwegstörung gesprochen, deren Verursacher noch nicht ermittelt werden konnte. Auch Nachbarn der umliegenden Häuser seien vom Ausfall betroffen.
Fallback-Betrieb
Die FritzBox bietet die Option, ein Mobilfunk-Gerät per USB anzuschließen um einen Ausfallschutz bei Problemem mit der Kabelverbindung zu bekommen. Deshalb habe ich die erhaltene SIM-Karte in ein ausrangiertes Samsung Galaxy S7 eingelegt, und per USB mit der FritzBox verbunden, was soweit auch sehr gut funktioniert.
(Es könnte auch der Wifi Router R219z per USB an die FritzBox angeschlossen werden, allerdings haben Messungen gezeigt, dass die Geschwindigkeit mit dem Samsung Galaxy S7 deutlich höher ist.)
Hintergrund 2
Hinter der FritzBox ist ein Synology NAS angeschlossen, welches über das Vodafone Kabelnetz per DynDNS und Portfreigaben bzw. per Wireguard VPN Verbindung zur FritzBox auch von extern zu erreichen ist. Darüber synchronisiere ich z.B. auch meine Adressbücher und Kalender mit Smartphone/Tablet/Laptop/PC.
Seitdem die Internetverbindung der FritzBox über das per USB angeschlossene Samsung Galaxy S7 über LTE aufgebaut wird, ist mein Heimnetz von außen nicht mehr zugänglich. Der von AVM integrierte DDNS Dienst in der FritzBox erkennt nicht mehr die richtige externe, sprich "netzseitige" IP-Adresse, sondern nur die IP-Adresse welches das per USB angeschlossene Samsung Galaxy S7 an der FritzBox hat:
Das ist aber nicht weiter schlimm, stattdessen kann der DDNS-Dienst der Synology NAS selbst verwendet werden, welcher die richtige "netzseitige" IP-Adresse übermittelt:
Die Erreichbarkeit des Heimnetzes per Portfreigabe bzw. Wireguard VPN auf der FritzBox sollte also über die Synology DDNS-Adresse gegeben sein.
Problem
Wie ihr sicherlich schon ahnen könnt, funktioniert der Zugriff von extern über mein per Vodafone LTE ans Internet angebundene Heimnetz leider nicht. Soweit ich es verstehe, ist das im Mobilfunknetz seitens Vodafone aus Sicherheitsgründen nicht gewünscht.
Gibt es Möglichkeiten den Zugriff dennoch hinzubekommen?
In verschiedenen Beiträgen [1] [2] [3] habe ich von der Einrichtung eines VPS gelesen, zu welchem die FritzBox eine VPN Verbindung aufbaut, oder umgekehrt.
Ist eine dieser Anleitungen zielführend? Wäre ein sehr kleiner VPS wie der Strato VC1-1 dafür ausreichend? Oder ist es schlicht und ergreifend nicht möglich?
Meine Linux-Kenntnisse vor allem auf Kommandozeilen-Ebene würde ich eher auf Einsteiger-Niveau sehen.
Für eure Rückmeldungen und Unterstützung wäre ich sehr dankbar, weil die Behebung der Störung vermutlich noch länger andauern wird.
im Rahmen meiner Recherchen bin ich auf dieses nette Forum gestoßen. Nachdem ich keinen richtig passenden Beitrag finden konnte würde ich mich sehr über Tipps & Hilfen bei der folgenden Problemstellung freuen.
Hintergrund
Mein Internetzugang zuhause ist über Vodafone Kabel mit einer selbst gekauften FritzBox 6591. Nach anfänglichen zeitweisen Verbindungsunterbrechungen habe ich seit ca. 2 Wochen einen Totalausfall von Internet und Telefon. Nach mehreren Anrufen und Beschwerden bei der Störungshotline hat Vodafone mir ersatzweise einen mobilen Wifi Router (R219z) und eine SIM-Karte mit Datenvolumen zugesandt, um den Ausfall zu überbrücken.
Auf meine Frage nach der Ursache wurde von einer Rückwegstörung gesprochen, deren Verursacher noch nicht ermittelt werden konnte. Auch Nachbarn der umliegenden Häuser seien vom Ausfall betroffen.
Fallback-Betrieb
Die FritzBox bietet die Option, ein Mobilfunk-Gerät per USB anzuschließen um einen Ausfallschutz bei Problemem mit der Kabelverbindung zu bekommen. Deshalb habe ich die erhaltene SIM-Karte in ein ausrangiertes Samsung Galaxy S7 eingelegt, und per USB mit der FritzBox verbunden, was soweit auch sehr gut funktioniert.
(Es könnte auch der Wifi Router R219z per USB an die FritzBox angeschlossen werden, allerdings haben Messungen gezeigt, dass die Geschwindigkeit mit dem Samsung Galaxy S7 deutlich höher ist.)
Hintergrund 2
Hinter der FritzBox ist ein Synology NAS angeschlossen, welches über das Vodafone Kabelnetz per DynDNS und Portfreigaben bzw. per Wireguard VPN Verbindung zur FritzBox auch von extern zu erreichen ist. Darüber synchronisiere ich z.B. auch meine Adressbücher und Kalender mit Smartphone/Tablet/Laptop/PC.
Seitdem die Internetverbindung der FritzBox über das per USB angeschlossene Samsung Galaxy S7 über LTE aufgebaut wird, ist mein Heimnetz von außen nicht mehr zugänglich. Der von AVM integrierte DDNS Dienst in der FritzBox erkennt nicht mehr die richtige externe, sprich "netzseitige" IP-Adresse, sondern nur die IP-Adresse welches das per USB angeschlossene Samsung Galaxy S7 an der FritzBox hat:
Das ist aber nicht weiter schlimm, stattdessen kann der DDNS-Dienst der Synology NAS selbst verwendet werden, welcher die richtige "netzseitige" IP-Adresse übermittelt:
Die Erreichbarkeit des Heimnetzes per Portfreigabe bzw. Wireguard VPN auf der FritzBox sollte also über die Synology DDNS-Adresse gegeben sein.
Problem
Wie ihr sicherlich schon ahnen könnt, funktioniert der Zugriff von extern über mein per Vodafone LTE ans Internet angebundene Heimnetz leider nicht. Soweit ich es verstehe, ist das im Mobilfunknetz seitens Vodafone aus Sicherheitsgründen nicht gewünscht.
Gibt es Möglichkeiten den Zugriff dennoch hinzubekommen?
In verschiedenen Beiträgen [1] [2] [3] habe ich von der Einrichtung eines VPS gelesen, zu welchem die FritzBox eine VPN Verbindung aufbaut, oder umgekehrt.
Ist eine dieser Anleitungen zielführend? Wäre ein sehr kleiner VPS wie der Strato VC1-1 dafür ausreichend? Oder ist es schlicht und ergreifend nicht möglich?
Meine Linux-Kenntnisse vor allem auf Kommandozeilen-Ebene würde ich eher auf Einsteiger-Niveau sehen.
Für eure Rückmeldungen und Unterstützung wäre ich sehr dankbar, weil die Behebung der Störung vermutlich noch länger andauern wird.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 81070219984
Url: https://administrator.de/contentid/81070219984
Printed on: September 1, 2024 at 02:09 o'clock
14 Comments
Latest comment
Moin,
das funktioniert über den LTE Anschluss leider nicht.
Du bekommst hier i.d.R. keine routbare IP Adressen, kann je nach Anbieter aber geordert werden, tw. sogar mit fester IP.
Grüße
das funktioniert über den LTE Anschluss leider nicht.
Du bekommst hier i.d.R. keine routbare IP Adressen, kann je nach Anbieter aber geordert werden, tw. sogar mit fester IP.
Grüße
Hallo,
https://www.elektronik-kompendium.de/sites/net/0812111.htm
https://www.golem.de/1112/88043-2.html
https://ch.avm.de/service/wissensdatenbank/dok/FRITZ-Box-6591-Cable/573_ ...
https://forum.vodafone.de/t5/Ger%C3%A4te/Hilfe-f%C3%BCr-Einstellung-Frit ...
Ob du jetzt ein DSLite hast, sagst du uns ja nicht.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/1611_Was-ist- ...
https://www.elektronik-kompendium.de/sites/net/2010211.htm
https://forum.vodafone.de/t5/Community-Blog/Wissenswertes-%C3%BCber-DS-L ...
https://forum.vodafone.de/t5/Ger%C3%A4te/DS-Lite-auf-DualStack-umstellen ...
https://forum.vodafone.de/t5/Kabel-Tarife-Rechnung/Erkennen-ob-man-DS-Li ...
https://forum.vodafone.de/t5/St%C3%B6rungen-im-Kabel-Netz/Ds-lite-umstel ...
https://forum.vodafone.de/t5/Ger%C3%A4te/IPv4-IPv6-und-DS-Lite/td-p/3058 ...
https://forum.vodafone.de/t5/Ger%C3%A4te/FRITZ-Box-verwendet-einen-DS-Li ...
Gruss,
Peter
Zitat von @bananaj0e:
Seitdem die Internetverbindung der FritzBox über das per USB angeschlossene Samsung Galaxy S7 über LTE aufgebaut wird, ist mein Heimnetz von außen nicht mehr zugänglich.
Über IPv4 nicht, aber über IPv6 sollte es gehen.Seitdem die Internetverbindung der FritzBox über das per USB angeschlossene Samsung Galaxy S7 über LTE aufgebaut wird, ist mein Heimnetz von außen nicht mehr zugänglich.
Wie ihr sicherlich schon ahnen könnt, funktioniert der Zugriff von extern über mein per Vodafone LTE ans Internet angebundene Heimnetz leider nicht.
Da dort ein Carrier Grade NAT werkelt. Standard beim Mobilfunk.Soweit ich es verstehe, ist das im Mobilfunknetz seitens Vodafone aus Sicherheitsgründen nicht gewünscht.
Nein, nicht gewünscht sondern aufgrund von keine freien IPv4, IPv6, was mitlerweile alle Mobilfunkprovider nutzen, sollte schon gehen. IPv6 macht kein NAT (kann zwar, aber).Gibt es Möglichkeiten den Zugriff dennoch hinzubekommen?
IPv6https://www.elektronik-kompendium.de/sites/net/0812111.htm
https://www.golem.de/1112/88043-2.html
https://ch.avm.de/service/wissensdatenbank/dok/FRITZ-Box-6591-Cable/573_ ...
https://forum.vodafone.de/t5/Ger%C3%A4te/Hilfe-f%C3%BCr-Einstellung-Frit ...
Ob du jetzt ein DSLite hast, sagst du uns ja nicht.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/1611_Was-ist- ...
https://www.elektronik-kompendium.de/sites/net/2010211.htm
https://forum.vodafone.de/t5/Community-Blog/Wissenswertes-%C3%BCber-DS-L ...
https://forum.vodafone.de/t5/Ger%C3%A4te/DS-Lite-auf-DualStack-umstellen ...
https://forum.vodafone.de/t5/Kabel-Tarife-Rechnung/Erkennen-ob-man-DS-Li ...
https://forum.vodafone.de/t5/St%C3%B6rungen-im-Kabel-Netz/Ds-lite-umstel ...
https://forum.vodafone.de/t5/Ger%C3%A4te/IPv4-IPv6-und-DS-Lite/td-p/3058 ...
https://forum.vodafone.de/t5/Ger%C3%A4te/FRITZ-Box-verwendet-einen-DS-Li ...
Gruss,
Peter
1
Wegen CGNAT innerhalb der Mobilnetze und einem generellen Blocking von externen IPv4 Zugängen auf das Provider Mobilfunknetz bei einfachen Consumer Accounts ist ein direkter VPN oder Port Forwarding zumindestens bei IPv4 technisch nicht möglich.
IPv6 würde routingtechnisch klappen aber in der Regel werden bei einfachen Consumer Accounts ebenfalls externe Zugriffe geblockt. Wenn überhaupt ist das nur teureren Business Verträgen vorbehalten
Was aber immer klappt ist mit einem einfachen, preiswerten vServer als Jumphost zu arbeiten. Mit dieser Lösung ist ein externer Zugriff problemlos möglich.
Wie das einfach in der Praxis umzusetzen ist erklärt dir dieses Forentutorial
IPv6 würde routingtechnisch klappen aber in der Regel werden bei einfachen Consumer Accounts ebenfalls externe Zugriffe geblockt. Wenn überhaupt ist das nur teureren Business Verträgen vorbehalten
Was aber immer klappt ist mit einem einfachen, preiswerten vServer als Jumphost zu arbeiten. Mit dieser Lösung ist ein externer Zugriff problemlos möglich.
Wie das einfach in der Praxis umzusetzen ist erklärt dir dieses Forentutorial
Moin,
erstmal herzliches Beileid zur Rückwegstörung. Das kann lange dauern. Sehr lange.
Ich hatte auch mal eine solche Störung in einer von mir betreuten Einrichtung. Da war auch das Problem, dass erstmal VPN via LTE-Router aus den bekannten Gründen nicht ging. Ein kurzer Anruf bei Vodaphone und ich bekam eine andere SIM-Karte, mit der es funktionierte. Das war allerdings auch einer der ca. 500 Business-Verträge (fest und mobil), die die Firma hatte.
Ich würde es aber auf jeden Fall versuchen.
Liebe Grüße
Erik
erstmal herzliches Beileid zur Rückwegstörung. Das kann lange dauern. Sehr lange.
Ich hatte auch mal eine solche Störung in einer von mir betreuten Einrichtung. Da war auch das Problem, dass erstmal VPN via LTE-Router aus den bekannten Gründen nicht ging. Ein kurzer Anruf bei Vodaphone und ich bekam eine andere SIM-Karte, mit der es funktionierte. Das war allerdings auch einer der ca. 500 Business-Verträge (fest und mobil), die die Firma hatte.
Ich würde es aber auf jeden Fall versuchen.Liebe Grüße
Erik
1
Hi,
wenn es denn noch unbedingt IPv4 sein soll, geht das (noch) mit Mobilfunk-Karten von T-Mobile. Bei Nutzung des entsprechenden APN gibt's dort (noch) eine öffentliche IPv4.
VG
wenn es denn noch unbedingt IPv4 sein soll, geht das (noch) mit Mobilfunk-Karten von T-Mobile. Bei Nutzung des entsprechenden APN gibt's dort (noch) eine öffentliche IPv4.
VG
Ich ahne es, hatte auch ein S7 alte Apn verbindet ausschließlich via ipv4.
Also APN im S7 auf Forderman bringen, sodaß per ipv4 und ipv6 verbunden wird.
Also APN im S7 auf Forderman bringen, sodaß per ipv4 und ipv6 verbunden wird.
Der Vordermann fordert aber nix.
Hallo Zusammen,
Danke für eure vielen und sehr hilfreichen Antworten. Ich denke, damit schon ein gutes Stück weitergekommen zu sein, wenn auch noch nicht ganz am Ziel.
Mit oben verlinkter Anleitung konnte ich mir einen "Jumphost" Server auf einem Strato VPS Entry Linux
VC1-1 für 1€ monatlich einrichten. Als Basis wurde ein Ubuntu 22 eingerichtet. Den Teil unter der Überschrrift "Client VPN und NAT" sowie "Port Forwarding" habe ich erstmal außen vor gelassen, um zunächst die grundlegende Funktionalität zu testen.
Angepasst wurden lediglich die vServer IP-Adresse / FQDN sowie der Adressbereich im Heimnetz (192.168.111.0)
Sowohl FritzBox als auch Smartphone können sich erfolgreich mit dem vServer verbinden und vom Smartphone aus konnte ich auch die FritzBox anpingen, sprich das Heimnetz erreichen. Nach einer Weile klappt es aber nicht mehr, sich erneut zu verbinden. Die Ursache konnte ich nicht genauer ausfindig machen.
Was mir aber aufgefallen ist:
Die im Teil "Optionales Loopback Interface mit zweiter IP" 2te local Interface IP bleibt nach einem reboot nicht erhalten, obwohl in der Datei /etc/network/interfaces eingetragen.
In der jumphost.conf hatte ich zunächst den lokalen DNS der FritzBox an Position 1, vor den beiden AdGuard DNS Servern (Auf dem Synology NAS unter der IP 192.168.111.21 läuft ein AdGuard DNS Server, auf den die FritzBox verweist. Dort ist eine Regel zur DNS-Umschreibung von "home.meine-domain.com" auf die IP 192.168.111.21 gespeichert. Damit erreiche ich meine lokalen NAS-Dienst auch bei Ausfall der Internet-Verbindung. Zusätzlich ist diese Domain in der FritzBox im DNS-Rebinding-Schutz als Ausnahme gespeichert, sollten einmal andere DNS-Server in der FritzBox hinterlegt werden)
Hier einmal die Zeilen der entsprechenden Dateien. Externe IP-Adressen und Passwörter habe ich hoffentlich ausreichend unkenntlich gemacht.
jumphost.conf
fritzbox.conf (zum Import in die FritzBox)
/etc/network/interfaces
Ausgabe von swanctl -l bei aktiver Verbindung von Smartphone und FritzBox
Ausgabe von swanctl -T bei Einwahl vom Smartphone
Ausgabe von ip a
Habt ihr eine Idee, woran es liegen könnte?
Falls noch ein log oder sonst etwas fehlt, um dem Problem auf die Spur zu kommen gebt mir gerne Rückmeldung, dann stelle ich die zur Verfügung.
Danke für eure vielen und sehr hilfreichen Antworten. Ich denke, damit schon ein gutes Stück weitergekommen zu sein, wenn auch noch nicht ganz am Ziel.
Mit oben verlinkter Anleitung konnte ich mir einen "Jumphost" Server auf einem Strato VPS Entry Linux
VC1-1 für 1€ monatlich einrichten. Als Basis wurde ein Ubuntu 22 eingerichtet. Den Teil unter der Überschrrift "Client VPN und NAT" sowie "Port Forwarding" habe ich erstmal außen vor gelassen, um zunächst die grundlegende Funktionalität zu testen.
Angepasst wurden lediglich die vServer IP-Adresse / FQDN sowie der Adressbereich im Heimnetz (192.168.111.0)
Sowohl FritzBox als auch Smartphone können sich erfolgreich mit dem vServer verbinden und vom Smartphone aus konnte ich auch die FritzBox anpingen, sprich das Heimnetz erreichen. Nach einer Weile klappt es aber nicht mehr, sich erneut zu verbinden. Die Ursache konnte ich nicht genauer ausfindig machen.
Was mir aber aufgefallen ist:
Die im Teil "Optionales Loopback Interface mit zweiter IP" 2te local Interface IP bleibt nach einem reboot nicht erhalten, obwohl in der Datei /etc/network/interfaces eingetragen.
In der jumphost.conf hatte ich zunächst den lokalen DNS der FritzBox an Position 1, vor den beiden AdGuard DNS Servern (Auf dem Synology NAS unter der IP 192.168.111.21 läuft ein AdGuard DNS Server, auf den die FritzBox verweist. Dort ist eine Regel zur DNS-Umschreibung von "home.meine-domain.com" auf die IP 192.168.111.21 gespeichert. Damit erreiche ich meine lokalen NAS-Dienst auch bei Ausfall der Internet-Verbindung. Zusätzlich ist diese Domain in der FritzBox im DNS-Rebinding-Schutz als Ausnahme gespeichert, sollten einmal andere DNS-Server in der FritzBox hinterlegt werden)
Hier einmal die Zeilen der entsprechenden Dateien. Externe IP-Adressen und Passwörter habe ich hoffentlich ausreichend unkenntlich gemacht.
jumphost.conf
connections {
fritzbox {
local_addrs = 212.132.xxx.xxx
remote_addrs = 0.0.0.0/0
local {
auth = psk
id = 212.132.xxx.xxx
}
remote {
auth = psk
id = keyid:strongswan@fritz.box
}
children {
net {
local_ts = 172.25.24.0/23
remote_ts = 192.168.111.0/24
esp_proposals = aes256-sha512-modp1024,aes256-sha1-modp1024
}
}
version = 1
proposals = aes256-sha512-modp1024,aes256-sha1-modp1024
}
ikev2-mobile-defaults {
unique = replace
version = 2
proposals = aes256-sha512-modp2048,aes256-sha256-ecp256,aes256-sha256-modp2048,aes256-sha256-modp1024
send_cert = always
pools = pool-ipv4
local_addrs = 212.132.xxx.xxx
remote_addrs = 0.0.0.0/0,::/0
local {
auth = pubkey
certs = server-cert.pem
id = fqdn:212-132-xxx-xxx.nip.io
}
remote {
id = %any
auth = eap-mschapv2
eap_id = %any
}
children {
ikev2-mobile {
local_ts = 0.0.0.0/0
esp_proposals = aes256-sha512,aes256-sha384,aes256-sha256,aes256-sha1
start_action = trap
}
}
}
}
pools {
pool-ipv4 {
addrs = 172.25.25.0/24
dns = 94.140.14.14,94.140.15.15
}
}
secrets {
eap-1 {
id = user1
secret = "passwort1"
}
eap-2 {
id = user2
secret = "passwort 2"
}
ike-3 {
id = keyid:strongswan@fritz.box
secret = "passwort"
}
}fritzbox.conf (zum Import in die FritzBox)
vpncfg {
connections {
enabled = yes;
editable = no;
conn_type = conntype_lan;
name = "StrongSwan";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 212.132.xxx.xxx;
remote_virtualip = 0.0.0.0;
keepalive_ip = 172.25.24.1;
localid {
key_id = "strongswan@fritz.box";
}
remoteid {
ipaddr = 212.132.xxx.xxx;
}
mode = phase1_mode_idp;
phase1ss = "LT8h/all/all/all";
keytype = connkeytype_pre_shared;
key = "key";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.111.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 172.25.24.0;
mask = 255.255.254.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 172.25.24.0 255.255.254.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}/etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback
iface lo inet static
address 172.25.24.1
netmask 255.255.255.255Ausgabe von swanctl -l bei aktiver Verbindung von Smartphone und FritzBox
fritzbox: #5, ESTABLISHED, IKEv1, 7dcb3e396ed4b7ac_i e235a82f1cf52da8_r*
local '212.132.xxx.xxx' @ 212.132.xxx.xxx[4500]
remote '73:74:72:6f:6e:xx:73:77:61:xx:40:66:xx:69:74:7a:xx:62:xx:78' @ 109.43.xxx.xxx[6330]
AES_CBC-256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
established 26s ago, rekeying in 13715s
net: #5, reqid 2, INSTALLED, TUNNEL-in-UDP, ESP:AES_CBC-256/HMAC_SHA2_512_256/MODP_1024
installed 25s ago, rekeying in 3246s, expires in 3935s
in c83ecfd7, 128 bytes, 1 packets, 26s ago
out de7d42ba, 0 bytes, 0 packets
local 172.25.24.0/23
remote 192.168.111.0/24
ikev2-mobile-defaults: #3, ESTABLISHED, IKEv2, 34009e2ff5f7f5a4_i ed5b76a57029c8dd_r*
local '212-132-xxx-xxx.nip.io' @ 212.132.xxx.xxx[4500]
remote '100.80.xxx.xxx' @ 109.43.xxx.xxx[30628] EAP: 'user1' [172.25.25.1]
AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
established 753s ago, rekeying in 12866s
ikev2-mobile: #3, reqid 1, INSTALLED, TUNNEL-in-UDP, ESP:AES_CBC-256/HMAC_SHA2_256_128
installed 753s ago, rekeying in 2513s, expires in 3207s
in cd233a78, 8472 bytes, 123 packets, 3s ago
out 0d7cddcf, 0 bytes, 0 packets
local 0.0.0.0/0
remote 172.25.25.1/32Ausgabe von swanctl -T bei Einwahl vom Smartphone
15[NET] received packet: from 109.43.xxx.xxx[29476] to 212.132.xxx.xxx[500] (370 bytes)
15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) ]
15[IKE] 109.43.xxx.xxx is initiating an IKE_SA
15[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
15[IKE] remote host is behind NAT
15[IKE] sending cert request for "C=DE, CN=RasPi CA"
15[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
15[NET] sending packet: from 212.132.xxx.xxx[500] to 109.43.xxx.xxx[29476] (305 bytes)
14[NET] received packet: from 109.43.xxx.xxx[7587] to 212.132.xxx.xxx[4500] (384 bytes)
14[ENC] unknown attribute type INTERNAL_DNS_DOMAIN
14[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr CPRQ(ADDR MASK DHCP DNS ADDR6 DHCP6 DNS6 DOMAIN) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr N(MOBIKE_SUP) ]
14[CFG] looking for peer configs matching 212.132.xxx.xxx[212-132-xxx-xxx.nip.io]...109.43.xxx.xxx[100.80.xxx.xxx]
14[CFG] selected peer config 'ikev2-mobile-defaults'
14[IKE] initiating EAP_IDENTITY method (id 0x00)
14[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
14[IKE] peer supports MOBIKE
14[IKE] authentication of '212-132-xxx-xxx.nip.io' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
14[IKE] sending end entity cert "CN=212-132-xxx-xxx.nip.io"
14[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
14[NET] sending packet: from 212.132.xxx.xxx[4500] to 109.43.xxx.xxx[7587] (1216 bytes)
11[NET] received packet: from 109.43.xxx.xxx[7587] to 212.132.xxx.xxx[4500] (80 bytes)
11[ENC] parsed IKE_AUTH request 2 [ EAP/RES/ID ]
11[IKE] received EAP identity 'user1'
11[IKE] initiating EAP_MSCHAPV2 method (id 0xBB)
11[ENC] generating IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]
11[NET] sending packet: from 212.132.xxx.xxx[4500] to 109.43.xxx.xxx[7587] (112 bytes)
10[NET] received packet: from 109.43.xxx.xxx[7587] to 212.132.xxx.xxx[4500] (144 bytes)
10[ENC] parsed IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]
10[ENC] generating IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]
10[NET] sending packet: from 212.132.xxx.xxx[4500] to 109.43.xxx.xxx[7587] (144 bytes)
08[NET] received packet: from 109.43.xxx.xxx[7587] to 212.132.xxx.xxx[4500] (80 bytes)
08[ENC] parsed IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]
08[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
08[ENC] generating IKE_AUTH response 4 [ EAP/SUCC ]
08[NET] sending packet: from 212.132.xxx.xxx[4500] to 109.43.xxx.xxx[7587] (80 bytes)
05[NET] received packet: from 109.43.xxx.xxx[7587] to 212.132.xxx.xxx[4500] (112 bytes)
05[ENC] parsed IKE_AUTH request 5 [ AUTH ]
05[IKE] authentication of '100.80.xxx.xxx' with EAP successful
05[IKE] authentication of '212-132-xxx-xxx.nip.io' (myself) with EAP
05[IKE] IKE_SA ikev2-mobile-defaults[3] established between 212.132.xxx.xxx[212-132-xxx-xxx.nip.io]...109.43.xxx.xxx[100.80.xxx.xxx]
05[IKE] scheduling rekeying in 13619s
05[IKE] maximum IKE_SA lifetime 15059s
05[IKE] peer requested virtual IP %any
05[CFG] reassigning offline lease to 'user1'
05[IKE] assigning virtual IP 172.25.25.1 to peer 'user1'
05[IKE] peer requested virtual IP %any6
05[IKE] no virtual IP found for %any6 requested by 'user1'
05[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
05[IKE] CHILD_SA ikev2-mobile{3} established with SPIs cd233a78_i 0d7cddcf_o and TS 0.0.0.0/0 === 172.25.25.1/32
05[ENC] generating IKE_AUTH response 5 [ AUTH CPRP(ADDR DNS DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_6_ADDR) ]
05[NET] sending packet: from 212.132.xxx.xxx[4500] to 109.43.xxx.xxx[7587] (272 bytes)Ausgabe von ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet 172.25.24.1/32 scope global lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 02:xx:bf:8d:xx:f9 brd ff:ff:ff:ff:ff:ff
altname enp0s6
inet 212.132.xxx.xxx/32 metric 100 scope global dynamic ens6
valid_lft 560sec preferred_lft 560sec
inet6 2a01:xxx:31f:xxxx::1/128 scope global dynamic noprefixroute
valid_lft 3074sec preferred_lft 2074sec
inet6 fe80::1:xxxx:fe8d:xxxx/64 scope link
valid_lft forever preferred_lft foreverHabt ihr eine Idee, woran es liegen könnte?
Falls noch ein log oder sonst etwas fehlt, um dem Problem auf die Spur zu kommen gebt mir gerne Rückmeldung, dann stelle ich die zur Verfügung.
In deiner Strongswan Konfig fehlt vollständig die Konfig für die FRITZ!Box! Dort ist lediglich der IKEv2 Server für die Clients angegeben. Hast du den vergessen oder fehlt der?
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Die FB kann so keinen aktiven Tunnel aufbauen wenn der Gegenpart fehlt.
Ist das gewollt das du die FB im Main Mode laufen lässt statt des Defaults Agressive Mode?
Beachte das aktuelle Ubuntu Versionen nur noch mit dem etwas exotischen netplan konfiguriert werden. Checke deshalb mit ip a ob auch die Loopback IP aktiv und pingbar ist von der FB bzw. Clients im lokalen FB LAN und VPN Clients!
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Die FB kann so keinen aktiven Tunnel aufbauen wenn der Gegenpart fehlt.
Ist das gewollt das du die FB im Main Mode laufen lässt statt des Defaults Agressive Mode?
Beachte das aktuelle Ubuntu Versionen nur noch mit dem etwas exotischen netplan konfiguriert werden. Checke deshalb mit ip a ob auch die Loopback IP aktiv und pingbar ist von der FB bzw. Clients im lokalen FB LAN und VPN Clients!
Zunächst mal Danke für deine schnelle Rückmeldung!
Würdest du eine andere Distro empfehlen? Bin nicht sehr erfahren im Umgang mit Linux und wenn es dann andere Stolperstellen mit den im Guide genannten Befehlen gibt, wird es eher schwieriger als leichter. Strato bietet nur folgende Auswahl an, eigene Images sind scheinbar eh nicht möglich.
Dagegen ist die FritzBox (192.168.111.1) sowohl vom Smartphone als auch vom vServer selbst nicht pingbar?!
vom lokalen PC im FB LAN:
Ping vom Smartphone (WLAN ausgeschaltet):
In deiner Strongswan Konfig fehlt vollständig die Konfig für die FRITZ!Box! Dort ist lediglich der IKEv2 Server für die Clients angegeben. Hast du den vergessen oder fehlt der?
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Da habe ich beim anonymisieren der Dateien tatsächlich einen Teil der jumphost.conf vergessen! Das habe ich oben gleich korrigiert.IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Ist das gewollt das du die FB im Main Mode laufen lässt statt des Defaults Agressive Mode?
Könntest du das bitte genauer erklären? Macht es einen Unterschied? Habe mich hier einfach an den Guide im von dir verlinkten Thread gehalten.Beachte das aktuelle Ubuntu Versionen nur noch mit dem etwas exotischen netplan konfiguriert werden.
Ok, dann füge ich die zweite IP erstmal weiterhin händisch hinzu, bis ich herausgefunden habe wie der passende Befehl für netplan lautet. Nachdem der vServer keine weiteren Aufgaben hat, sollten keine Neustarts mehr erforderlich sein, sobald der Jumphost tut.Würdest du eine andere Distro empfehlen? Bin nicht sehr erfahren im Umgang mit Linux und wenn es dann andere Stolperstellen mit den im Guide genannten Befehlen gibt, wird es eher schwieriger als leichter. Strato bietet nur folgende Auswahl an, eigene Images sind scheinbar eh nicht möglich.
Checke deshalb mit ip a ob auch die Loopback IP aktiv und pingbar ist von der FB bzw. Clients im lokalen FB LAN und VPN Clients!
Ausgabe des Befehls ip a hatte ich schon im vorigen Kommentar, die Loopback IP ist aktiv und pingbar.Dagegen ist die FritzBox (192.168.111.1) sowohl vom Smartphone als auch vom vServer selbst nicht pingbar?!
vom lokalen PC im FB LAN:
Ping vom Smartphone (WLAN ausgeschaltet):
Du kannst den Main Mode belassen, letztendlich ist der sogar sicherer.
Den Agressive Mode, der bei der FRITZ!Box Default ist, muss man vorab explizit im Strongswan Setup erlauben, denn der ist im Default dort deaktiviert!!
Nur nebenbei falls es von Interesse ist und du es parallel auch damit einmal testen möchtest:
Dazu editierst du du die /etc/strongswan.d/charon.conf Datei mit dem nano und suchst (<ctrl> w) nach dem Abschnitt:
und setzt den Parameter dort auf yes.
Dann ein systemctl restart strongswan und schon akzeptiert er außer dem Main Mode auch die klassische Aggressive Mode Connection einer Standard Fritzbox VPN Konfig!
Damit kann man dann auch mit einer Standard Konfig über das GUI arbeiten.
Entsprechend muss man dann die Strongswan Tunnelkonfig für die Fritzbox anpassen und dort
version = 1
aggressive = yes
konfigurieren.
Dieser Thread geht darauf nochmal im Detail ein.
Was die Distro angeht ist es letztlich egal und vom persönlichen Geschmack abhängig. Allerdings muss man beachten das Ubuntu in einigen Dingen eigene Wege verfolgt und empfehlenswert wäre auf eine klassische Debian 12 Distro zu gehen, weil man halt universeller damit aufgestellt ist, weniger Sonderlocken hat und wenn man sich mit Ubuntu auskennt sich nicht umstellen muss. Ubuntu ist ja auch mehr oder minder Debian basierend. Its your Choice…
Kardinalsfehler dürfte sein das deine FRITZ!box nicht pingbar ist. Das dürfte so nicht sein, denn damit scheitert der Keepalive der die Verbindung offen hält. Das solltest du nochmal genau checken.
Testweise könnte man ggf. always_renew mal auf „no“ setzen.
Im Überblick sieht die Konfig aber korrekt aus.
Die Konfig ist mehrfach getestet und rennt rock solid. Von einem mobilen IKEv2 Client sollte man problemlos das FRITZ!box Konfig GUI öffnen können und die FB pingen können.
Den Agressive Mode, der bei der FRITZ!Box Default ist, muss man vorab explizit im Strongswan Setup erlauben, denn der ist im Default dort deaktiviert!!
Nur nebenbei falls es von Interesse ist und du es parallel auch damit einmal testen möchtest:
Dazu editierst du du die /etc/strongswan.d/charon.conf Datei mit dem nano und suchst (<ctrl> w) nach dem Abschnitt:
# Allow IKEv1 Aggressive Mode with pre-shared keys as responder.
i_dont_care_about_security_and_use_aggressive_mode_psk = yes Dann ein systemctl restart strongswan und schon akzeptiert er außer dem Main Mode auch die klassische Aggressive Mode Connection einer Standard Fritzbox VPN Konfig!
Damit kann man dann auch mit einer Standard Konfig über das GUI arbeiten.
Entsprechend muss man dann die Strongswan Tunnelkonfig für die Fritzbox anpassen und dort
version = 1
aggressive = yes
konfigurieren.
Dieser Thread geht darauf nochmal im Detail ein.
Was die Distro angeht ist es letztlich egal und vom persönlichen Geschmack abhängig. Allerdings muss man beachten das Ubuntu in einigen Dingen eigene Wege verfolgt und empfehlenswert wäre auf eine klassische Debian 12 Distro zu gehen, weil man halt universeller damit aufgestellt ist, weniger Sonderlocken hat und wenn man sich mit Ubuntu auskennt sich nicht umstellen muss. Ubuntu ist ja auch mehr oder minder Debian basierend. Its your Choice…
Kardinalsfehler dürfte sein das deine FRITZ!box nicht pingbar ist. Das dürfte so nicht sein, denn damit scheitert der Keepalive der die Verbindung offen hält. Das solltest du nochmal genau checken.
Testweise könnte man ggf. always_renew mal auf „no“ setzen.
Im Überblick sieht die Konfig aber korrekt aus.
Die Konfig ist mehrfach getestet und rennt rock solid. Von einem mobilen IKEv2 Client sollte man problemlos das FRITZ!box Konfig GUI öffnen können und die FB pingen können.
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
How can I mark a post as solved?
How can I mark a post as solved?
Zwischenzeitlich ist die Störung von Vodafone behoben worden, hat also fast 3 Wochen gedauert. Leider wurde ich über die Behebung nicht benachrichtigt und durfte meinen eigenen Kabel-Router erneut freischalten mit einem Aktivierungscode, welchen ich mir erst neu zuschicken lassen musste weil der bestehende nicht mehr funktionierte... seit heute Nachmittag funktioniert alles wieder wie vorher.
Die Tage davor hat das Jumphost Setup dann aber einwandrei funktioniert, die Anregungen aus deinem letzten Post hatte ich nicht mehr ausprobiert. Die Tipps werde ich aber im Hinterkopf behalten und den vServer für mtl. 1€ erstmal behalten, der nächste Ausfall kommt bestimmt.
Nochmal ein herzliches Dankeschön an alle für die Hilfestellungen! Besonders an dich, aqui!
Die Tage davor hat das Jumphost Setup dann aber einwandrei funktioniert, die Anregungen aus deinem letzten Post hatte ich nicht mehr ausprobiert. Die Tipps werde ich aber im Hinterkopf behalten und den vServer für mtl. 1€ erstmal behalten, der nächste Ausfall kommt bestimmt.
Nochmal ein herzliches Dankeschön an alle für die Hilfestellungen! Besonders an dich, aqui!
Immer gerne! 😊
