harry91
Aug 24, 2016, updated at 07:52:58 (UTC)
view2007
view10
0
Goto Top

Modem- bzw. Routerempfehlung für VDSL 100

GermansolvedQuestionRouters, RoutingNetworks
Hallo,

ich benötige eine Empfehlung bzgl. Modem oder Router Neuanschaffung.

Wir haben aktuell einen ADSL-Anschluss, der nun durch einen VDSL100-Anschluss der Telekom ersetzt wird.

Die Überlegung ist nun ein geeignetes Modem anzuschaffen und den vorhanden Router TP-Link TL-ER6120 weiter zu nutzen, oder einen neuen Router mit integrierten Modem anzuschaffen.

Mein Problem mit dem Router ist, dass ich es nicht schaffe einen dauerhafte VPN Verbindung zwischen Büro und Heim (Fritzbox) herzustellen und z.B. auch keine ipsec Verbindung über ein Iphone aufgebaut werden kann. Das liegt wahrscheinlich auch an fehlenden Fachwissen, aber bei meinen Recherchen habe ich festgestellt, dass ich nicht der einzige mit diesen Problemen bei dem Router bin.

Anforderung wäre:

- Ausnutzung der VDSL100 Bandbreite, ca. 10 Nutzer im Büro
- dauerhafte Verbindung zu 3 entfernten Standorten (aktuell mit Fritzbox ausgestattet)
- zeitweise VPN Verbindung von Notebooks, oder Smartphone

Vielen Dank.

Gruß Harry
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 313417

Url: https://administrator.de/contentid/313417

Printed on: April 19, 2024 at 19:04 o'clock

10 Comments
Latest comment
Goto Top
Member: aqui
aqui Aug 24, 2016 updated at 07:32:32 (UTC)
Goto Top
Reines Modem ist das Draytek Vigor 130 zu empfehlen.
Als Router zum Thema Büro solltest du keinen Plastik Consumer Router verwenden. Hier sind es die üblichen Verdächtigen:
Lancom, Cisco, Bintec, Mikrotik, pfSense
nicht schaffe einen dauerhafte VPN Verbindung zwischen Büro und Heim (Fritzbox) herzustellen und z.B. auch keine ipsec Verbindung über ein Iphone aufgebaut werden kann
Warum schaffst du das nicht ?? Was genau ist das spezifische Problem ? Logauszug vom Router, Konfig etc. bräuchten wir zur Hilfestellung. Grundlagen zum Them IPsec auch hier
Normal ist das eine Lachnummer die mit 3 Mausklicks im GUI oder entspr. Konfig schnell erledigt ist.
Hier siehst du ein paar Beispiele aus der Praxis die das belegen:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Das liegt wahrscheinlich auch an fehlenden Fachwissen
Zu 98% ist dem so...!
Member: Harry91
Harry91 Aug 24, 2016 updated at 08:48:55 (UTC)
Goto Top
Danke für Deine schnelle Antwort.

Ich habe mit dieser Problematik schon länger nicht beschäftigt, da ich in der Regel auch mit Verbindung über einen SHREW SOFT VPN CLIENT zurecht komme. Die Verbindung läuft aber immer nur bis die Key Life Time abgelaufen ist. Das ist auch das Problem, wenn ich die Verbindung zwischen TP-Link Router und Fritzbox aufgebaut habe.

Ich werde nochmal ein paar Informationen zusammentragen.

Hier mal die Config von der Fritzbox:

enabled = yes;
                conn_type = conntype_lan;
                name = "buero";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "buero.ddns.net";  
                localid {
                        fqdn = "heim.myfritz.net";  
                }
                remoteid {
                        fqdn = "buero.ddns.net";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "key";  
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";

Hier von dem TP-Link Router:

1

2

3

4
Member: aqui
aqui Aug 24, 2016 at 11:17:22 (UTC)
Goto Top
Zum Thema FritzBox und Shrew Client Dialin guckst du hier:
VPN Verbindung shrew zu Fritzbox: Routing Problem
Beachtet man die Punkte funktioniert das fehlerlos.
AVM selber hat hat auch einen Knowledgebase Artikel dazu:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...

Was das Thema Site to Site VPN anbetrifft wäre es sehr hilfreich du würdest einmal das FritzBox Logg und auch das TP-Link Logg hier posten um zu sehen welcher Fehler auftritt.
Grob sieht man erstmal keinen fehler aber der liegt wie so oft im Detail. Der TP-Link hat ja kein integriertes Modem, deshalb die übliche Kardinalsfrage:
Betreibst du den mit einem reinem xDSL Modem davor, sprich also PPPoE und Zugangsdaten auf dem TP-Link konfiguriert. Oder...
Betreibst du ihn mit einem Router in einer NAT Router Kaskade ?
Bei letzterem musst du dann zwangsweise die IPsec Ports UDP 500, UDP 4500 und das ESP Protokoll auf die kaskadierte IP Adresse per Port Forwarding forwarden.
Member: Harry91
Harry91 Aug 24, 2016 at 19:34:00 (UTC)
Goto Top
Die Zugangsdaten sind auf dem TP-Link konfiguriert, davor reines Modem.


Hier nochmal die Logs von heute, Verbindungsabbruch 18:17 Uhr ... "Hard-lifetime of the SA created in phase 2 of IKE negotiation expired"


Fritzbox:

24.08.16 19:51:23 VPN-Verbindung zu buero wurde erfolgreich hergestellt. 
24.08.16 18:51:14 VPN-Fehler: buero, IKE-Error 0x2027 
24.08.16 18:50:42 VPN-Fehler: buero, IKE-Error 0x2027 
24.08.16 18:50:11 VPN-Fehler: buero, IKE-Error 0x2027 
24.08.16 18:17:27 VPN-Verbindung zu buero wurde getrennt. Ursache: 1 Lifetime expired 
24.08.16 16:22:25 VPN-Fehler: buero, IKE-Error 0x2027 
24.08.16 16:21:50 VPN-Fehler: buero, IKE-Error 0x2027 
24.08.16 15:24:18 VPN-Fehler: buero, IKE-Error 0x2027 
24.08.16 13:31:40 VPN-Verbindung zu buero wurde erfolgreich hergestellt. 

TP-Link:

445 2016-08-24 13:31:35 <5> : IKE began to negotiate as initiator. Mode=aggressive,peers=81.22.120.7<->77.20.253.60. 
446 2016-08-24 13:31:39 <5> : IKE began to negotiate as initiator. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
447 2016-08-24 13:45:55 <5> : The IP address 192.168.0.102 succeed to access the web server. 
448 2016-08-24 14:26:40 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=1619511178. 
449 2016-08-24 14:26:40 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=1420095373. 
450 2016-08-24 14:28:40 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
451 2016-08-24 14:44:25 <5> : The IP address 192.168.0.102 succeed to access the web server. 
452 2016-08-24 14:52:11 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
453 2016-08-24 15:07:20 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
454 2016-08-24 15:21:22 <5> : DHCP Server allocated IP address 192.168.0.115 for the client from LAN port. 
455 2016-08-24 15:21:41 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=4030047889. 
456 2016-08-24 15:21:41 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=247615156. 
457 2016-08-24 15:22:41 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
458 2016-08-24 15:24:19 <5> : IKE began to negotiate as initiator. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
459 2016-08-24 15:24:19 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
460 2016-08-24 15:24:20 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
461 2016-08-24 15:35:53 <5> : DHCP Server allocated IP address 192.168.0.115 for the client from LAN port. 
462 2016-08-24 15:42:25 <5> : DHCP Server allocated IP address 192.168.0.115 for the client from LAN port. 
463 2016-08-24 15:53:22 <5> : DHCP Server allocated IP address 192.168.0.104 for the client from LAN port. 
464 2016-08-24 15:55:54 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
465 2016-08-24 16:04:27 <5> : The IP address 192.168.0.102 succeed to access the web server. 
466 2016-08-24 16:04:29 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
467 2016-08-24 16:10:21 <5> : DHCP Server allocated IP address 192.168.0.115 for the client from LAN port. 
468 2016-08-24 16:19:20 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=4144633711. 
469 2016-08-24 16:19:20 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=881669881. 
470 2016-08-24 16:21:20 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
471 2016-08-24 16:21:55 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
472 2016-08-24 16:22:25 <5> : IKE began to negotiate as initiator. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
473 2016-08-24 16:22:58 <5> : DHCP Server allocated IP address 192.168.0.115 for the client from LAN port. 
474 2016-08-24 16:59:05 <5> : The IP address 192.168.0.102 succeed to access the web server. 
475 2016-08-24 17:05:41 <5> : DHCP Server allocated IP address 192.168.0.101 for the client from LAN port. 
476 2016-08-24 17:12:21 <5> : The IP address 192.168.0.102 succeed to access the web server. 
477 2016-08-24 17:17:26 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=485208442. 
478 2016-08-24 17:17:26 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=304428622. 
479 2016-08-24 17:19:26 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
480 2016-08-24 17:38:10 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
481 2016-08-24 17:38:22 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
482 2016-08-24 17:40:20 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
483 2016-08-24 17:58:00 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
484 2016-08-24 17:58:20 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
485 2016-08-24 18:12:27 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=3165888495. 
486 2016-08-24 18:12:27 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=1528101613. 
487 2016-08-24 18:13:26 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
488 2016-08-24 18:14:43 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
489 2016-08-24 18:17:27 <5> : Hard-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=3165888495. 
490 2016-08-24 18:17:27 <5> : Hard-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=1528101613. 
491 2016-08-24 18:49:41 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
492 2016-08-24 18:50:11 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
493 2016-08-24 18:50:43 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
494 2016-08-24 18:51:15 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
495 2016-08-24 19:16:23 <5> : DHCP Server allocated IP address 192.168.0.112 for the client from LAN port. 
496 2016-08-24 19:51:15 <5> : Lifetime of the SA created in phase 1 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126. 
497 2016-08-24 19:51:22 <5> : IKE began to negotiate as initiator. Mode=aggressive,peers=81.22.120.7<->77.22.128.126. 
498 2016-08-24 20:46:23 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=3037781052. 
499 2016-08-24 20:46:23 <5> : Soft-lifetime of the SA created in phase 2 of IKE negotiation expired. Peers=81.22.120.7<->77.22.128.126,spi=442125060. 
500 2016-08-24 20:48:23 <5> : IKE began to negotiate as responder. Mode=aggressive,peers=81.22.120.7<->77.22.128.126.


Mit der selben Fritzbox habe ich eine VPN-Verbindung zu einer anderen Fritzbox, die dauerhaft seit Jahren steht (bis auf die 24 Std. Trennung).
Member: aqui
Solution aqui Aug 25, 2016 updated at 08:00:30 (UTC)
Goto Top
Mmmmhh der IKE Error ist verdächtig bei der FB. AVM sagt das dazu:
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...
Sucht man danach bei Dr. Google gibt es viele Postings dazu:
http://www.nwlab.net/tutorials/VPN-FritzBox/
http://www.ip-phone-forum.de/showthread.php?t=232358
Die nwlab Seite hat eine detailierte Auflistung und hex2027 beschreibt einen Timeout !!!
Hier "sieht" also die eine Seite die andere nicht ?
Sind beide Seiten DSL Seiten oder kann es sein das eine Seite eine TV Kabel Provider Seite ist oder ein Provider der ggf. DS-Lite nutzt also eine Provider interne IPv6 Infrastruktur mit zentralisiertem NAT ??
Die eine deiner beiden Tunnel Peer Adressen peers=81.22.120.7<->77.20.253.60 lassen das stark vermuten, denn das ist eine Kabel Deutschland IP und die nutzen fast ausschliesslich DS-Lite.
Da musst du dich dann nicht wundern das VPN nicht klappt:
http://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
http://www.pc-magazin.de/ratgeber/fernzugriff-ipv6-dslite-problem-remot ... usw.
Auch das würde den Fehler erklären.
Bei der russischen Seite (Peer IP 81.x.x.x) ist die Infrastruktur unbekannt.
Hier hast du nur die vage Chance wenn die DS-Lite Seite der VPN Initiator ist. Aber auch das kann dann nur klappen wenn NAT Traversal auf beiden Seiten supportet ist.
Lass also den Router auf der KD Seite die Verbindung aufbauen.

Der Timeout der IKE Phase 2 und das auf BEIDEN Seiten zeigt hier eigentlich ganz klar an das das ein NAT Problem ist und das sehr wahrscheinlich der DS-Lite Anschluss von Kabel Deutschland das Problem ist.
Dein einziger Ausweg ist dann das du von KD eine öffentliche feste IPv4 anforderst, was problemlos geht. Oder...
Du nutzt einen Tunneldienst der das DS-Lite NAT überwindet:
DS-Lite IPv6 Geräte im Heimnetz über VPN erreichbar machen
Oder du wechselst auf einen Provider der KEIN DS-Lite macht !
Deine HW (Router) sind auf alle Fälle nicht Schuld an der Misere. Soviel ist klar.
Member: Harry91
Harry91 Aug 25, 2016 at 08:55:08 (UTC)
Goto Top
Hallo aqui,

vielen Dank für Deine Mühe.

Ich habe bei den logs die Ip-Adessen geändert, da ich nicht die tatsächlichen posten wollte.

Zu Hause: Fritzbox - Kabeldeutschland 32mbit.

Büro: Goetel (DSL Plus 16000, nennt sich der Anschluss).

Wie schon geschrieben habe ich mit der Fritzbox eine dauerhafte Verbindung zu einer anderen Fritzbox (Vodafone vdsl100). Nun weiß ich nicht, wer hier die Verbindung aufbaut. Eingerichtet wurde das ganze damals über den Fritzbox Assisteneten.

Wie kann man beeinflussen, wer die Verbindung aufbaut ?

Gruß Harry
Member: aqui
aqui Aug 25, 2016 at 09:07:33 (UTC)
Goto Top
Normal starten eigentlich beide Seiten eine Session.
Eigentlich ungewöhnlich, denn KD ist leider so ein DS-Lite Problemprovider bei VPNs. Aber wenn es dort de facto klappt dann kann man das eigentlich (fast) ausschliessen.
Da der TP-Link idealerweise kein integriertes Modem hat bietet sich ja an damit mal einen lokalen Laboraufbau zu machen um das mal genau zu untersuchen. Hast du diese Möglichkeit ggf. ?
Member: Harry91
Harry91 Aug 25, 2016 at 19:45:33 (UTC)
Goto Top
Ich habe jetzt mal die Config der Fritzbox geändert.

conn_type = conntype_lan;

ersetzt durch

conn_type = conntype_user;

Dadurch baut offenbar die Fritzbox keine Verbindung mehr auf, sondern nur noch der TP-Link Router.

Verbindung steht nun seit 12:30 Uhr, mal schauen wie lange ....

Demnach macht wohl aktuell der Anschluss im Büro die Probleme, der Anfang Oktober gewechselt wird.

Erst mal vielen Dank für die Anregungen, ich gebe nochmal Feedback
Member: aqui
aqui Aug 26, 2016 at 10:19:06 (UTC)
Goto Top
Hört sich gut an. Dann drücken wir mal die Daumen das es hält... face-wink
Member: Harry91
Harry91 Aug 31, 2016 at 09:25:57 (UTC)
Goto Top
Läuft jetzt stabil. Vielen Dank !
GermansolvedQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment