hartwigm
Goto Top

VPN - Lancom Fritzbox

Vorab:
Ich hatte 4 Fritzboxen mit einem Lancom gekoppelt um darüber Gebäude steuern zu können und das seit einigen Jahren, immer problemlos.
3 davon über fester IP´s über Vodafone, 1 Box über Telekom.

Zwischenzeitlich sind 43 der 4 VPN nicht mehr nutzbar.

Zuletzt habe ich letzte Woche von myfritz eine Mail bekommen, dass die Frituzbox 6591 von 7.13 auf 7.22 upgedatet wurde.
Gleichzeitig erhielt ich die Mail, dass mein VPN down ist.

Dabei habe ich auf der Fritzbox einen fehlerfreien Tunnel stehen, ebenso sieht das auf der Lancom Seite aus, allerdings geht kein Ping durch.

Nachdem der VPN nach dem Update zusammenbrach habe ich Vodafone gebeten einen downgrade auf die alte Version zu machen. Seinbar ging dies aber nicht und nun habe die Version 7.26 auf der Box, allerdings ohne eine Verbesserung.

Gestern habe ich nun angefangen den Lancom auf die aktuellste Version hochzuziehen.
Es läuft nun 10.42.0473RU3 auf dem 1781VA - keine Verbesserung

Die VPN´s hatte ich nach der Anleitung von Lancom
https://support.lancom-systems.com/knowledge/display/KB/Konfiguration+einer+VPN-Verbindung+%28IKEv1%29+zwischen+einem+LANCOM+Router+und+einer+FRITZ%21Box
eingerichtet.

Nachdem ich die Anleitung
https://www.benjaminluebbe.de/pages/it-hilfethemen/netzwerk/vpn/lancom-und-fritzbox.php
gefunden habe, habe ich mal versucht den Tunnel nach dieser Anleitung einzurichten.

Das Ergebnis:

bekomme, im Gegensatz zur Lancom Anleitung erst nach ca. 90 sec. einen Tunnel angezeigt. Ein Ping geht sofort durch, aber leider nicht konstant.

So bekomme ich mal 20pings durch dann gehen wir eine paar verloren, dann auch mal 20min keine Pings (wobei der Tunnel auf Fritzbox und Lancom Seite immer noch intakt angezeigt wird)

Antwort von 192.168.109.1: Bytes=32 Zeit=50ms TTL=63
Antwort von 192.168.109.1: Bytes=32 Zeit=53ms TTL=63
Antwort von 192.168.109.1: Bytes=32 Zeit=53ms TTL=63
Antwort von 192.168.109.1: Bytes=32 Zeit=53ms TTL=63
Antwort von 192.168.109.1: Bytes=32 Zeit=50ms TTL=63
Antwort von 192.168.109.1: Bytes=32 Zeit=54ms TTL=63
Antwort von 192.168.109.1: Bytes=32 Zeit=53ms TTL=63
Antwort von 192.168.109.1: Bytes=32 Zeit=52ms TTL=63
Antwort von 192.168.109.1: Bytes=32 Zeit=51ms TTL=63
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 192.168.109.1: Bytes=32 Zeit=51ms TTL=63
Antwort von 192.168.109.1: Bytes=32 Zeit=55ms TTL=63
Antwort von 192.168.109.1: Bytes=32 Zeit=49ms TTL=63
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.


Wenn das Pakte nicht durch geht, bekomme ich im Lancom Trace die folgenden Meldung _


[IP-Router] 2021/06/12 12:05:01,428  Devicetime: 2021/06/12 12:05:00,381
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0): 
DstIP: 192.168.109.1, SrcIP: 192.168.133.164, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0600
Route: WAN Tx (M47)

[VPN-Packet] 2021/06/12 12:08:30,851  Devicetime: 2021/06/12 12:08:29,876
**no matching sa available** on M47: give up [2], should be retransmitted: 192.168.133.164->192.168.109.1   60  ICMP ECHOREQUEST
-->IPv4 Header
Version             : 4
Header Length       : 20
ToS/DSCP            : (0x00) (Precedence 0) / (DSCP CS0/BE)
Total length        : 60
ID                  : 59442
Fragment            : Offset 0
TTL                 : 127
Protocol            : ICMP
Checksum            : 57239 (OK)
Src Address         : 192.168.133.164
Dest Address        : 192.168.109.1
-->ICMP Header
Msg                 : echo request
Checksum            : 18170 (OK)
Identifier          : 1
Sequence            : 1633

M.M. hängt das Problem mit der Firmware der Fritzbox zusammen. Dies hat mir auch der 2.Level Support von Vodafone bestätigt.

Dort wurde mir empfohlen die Paketbeschleunigung an der Fritzbox abzuschalten.
Dies lässt sich zwar ändern und speichern. Danach muß ein Neustart gemacht werden, und dann ist es wieder drin.
Also lässt sich nicht wirklich abschalten.

Frage:
Könnt ihr diese Problem bestätigen?

und:
Habt ihr dafür eine Lösung??

Ergänzung:
Eine Fritzbox VPN funktioniert noch, diese Fritzbox ebenfalls 6591 hat die Firmware 7.25, mit dynamischer IP beim Provider Telekom und basiert auf der Lancom Anleitung für die VPN Verbindung.

Für jede Hilfe, Tipp bin ich dankbar.

Content-Key: 667544

Url: https://administrator.de/contentid/667544

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: cykes
cykes 13.06.2021 um 10:53:35 Uhr
Goto Top
Moin,
Zuletzt habe ich letzte Woche von myfritz eine Mail bekommen, dass die Frituzbox 6591 von 7.13 auf 7.22 upgedatet wurde.
Gleichzeitig erhielt ich die Mail, dass mein VPN down ist.
Das kann ich bestätigen und kann Dir nur den Tipp geben, Vodafone solange zu nerven, bis sie Dir die 7.27 freigeben.
Wir haben bei einem Kunden eine ähnliche Konbstellation, 2 Vodafone Business Anschlüsse mit einer 6591 über einen Lancom gekoppelt. Darüber laufen u.a. > 50 IPSEC Einwahlzugänge und einige s2s Zugänge. Vodafone hat eines Tages auf die 7.22 bzw. 7.25/26 aktualisiert und der überwiegende Teil der VPNs funktionierte plötzlich nicht mehr (stabil).
Nach größeren Diskussionen habe sie die 7.27 für die Anschlüsse freigegeben, zugegeben, dass es ein Problem mit VPN gab, haben sie aber bis heute nicht.
Eine Fritzbox VPN funktioniert noch, diese Fritzbox ebenfalls 6591 hat die Firmware 7.25, mit dynamischer IP beim Provider Telekom und basiert auf der Lancom Anleitung für die VPN Verbindung.
Was ist denn das für ein Telekom-Anschluss? Die 6591 ist doch nur für Kabel(TV), aber wenn's läuft, dann lass es so...

Gruß

cykes
Mitglied: aqui
aqui 13.06.2021 um 11:30:47 Uhr
Goto Top
Lässt sich auf einer IPsec Verbindung mit pfSense, OPNsense oder Mikrotik nicht nachvollziehen oder reproduzieren.
Dort rennen die Tunnel auch nach einem Update weiterhin völlig fehlerlos:
PFsense VPN tunnel zur FritzBox 7390 (IPSec)
Fritzbox 7590 x opnsense
Fritz!Box VPN Mikrotik als VPN Client
Mitglied: goscho
goscho 14.06.2021 um 08:05:59 Uhr
Goto Top
Moin,
wenn das Ganze im geschäftlichen Umfeld genutzt wird, kann ich dir nur dringend empfehlen, die Vodafone Mietboxen durch eigene Geräte zu ersetzen. Ob das eine eigene Fritzbox ist oder das TC4400-EU Kabelmodem, hängt vom Gebiet ab (KDG oder Unitimedia).

Dann hast du wieder die Hoheit über deinen Router.
Ich hatte selbst auch schon mehrfach bei Kunden und mir mit den automatischen Updates von Vodafone zu kämpfen.
Seit einiger Zeit hängen aber entweder gekaufte 6490/6590 bzw. TC4400EU an den Anschlüssen.
Seither gab es keine Probleme durch Updates mehr. face-smile
Probleme mit den Anschlüssen gab es weiterhin mehr als genug. face-sad

Da aber auch die Fritten immer vor einem Lancom-Router hängen, ist es umso ärgerlicher, wenn diese nach einem Zwangsupdate über Nacht nicht mehr so arbeiten, wie sie es sollen.
Mitglied: HartwigM
HartwigM 14.06.2021 um 08:36:10 Uhr
Goto Top
Danke für das Feedback.

Auf die Schnelle habe ich nun einen Lancom hinter die Fritzbox gesetzt und die Fritzbox zum Kabelmodem reduziert, und schon geht wieder alles.

@goscho - Ich muss dir da schon recht geben, in einem VPN Umfeld musst Du die Hoheit über deine Geräte haben.
Was da Zeitaufwand die die Fehlersuche und Tests geflossen ist, könnte man keinem Kunden in Rechnung stellen.
Mitglied: HartwigM
HartwigM 14.06.2021 um 08:37:00 Uhr
Goto Top
Ich hoffe trotzdem noch auf den Update von Vodafone und werde dann nochmals Feedback geben, ob das die Ursache war.
Mitglied: aqui
aqui 14.06.2021 aktualisiert um 17:50:05 Uhr
Goto Top
und die Fritzbox zum Kabelmodem reduziert
Nur nebenbei und OT:
Das ist technisch mit der FritzBox gar nicht möglich ! Sie kann nicht als reines Modem konfiguriert werden, das hat AVM seit langem aus der Firmware getilgt. Gilt ebenso für xDSL. Wenn, sollte man das in einem Admin Forum schon technisch korrekt beschreiben.

Was du umgesetzt hast ist eine simple Router Kaskade mit doppeltem Routing, doppeltem NAT und doppelter Firewall. Technisch nicht das beste Konzept aber wenn man keine andere Möglichkeit hat ein gangbarer Weg.
Grundlagen dazu:
Kopplung von 2 Routern am DSL Port
und weiter im Detail auch hier.