Die Fritten und das VPN
Moinsen zusammnen!
Aufgrund einer Kundenanfrage habe ich mich Anfang des Jahres mit dem Thema Fritzbox <--> PfSense VPN beschäftigen dürfen.
Dazu habe ich die kleinste aktuelle VPN-fähige FB (2170) erstanden und das ganze ausgiebig getestet. Man braucht Geduld und Spucke (auch ein guter Single Malt hilft beim wahren der Contenance ab und an...) Besonders wenn unerwarteterweise die PfSense ne Macke hat Das ist aber Vergangenheit...
Irgendwann lief die Kombination in meiner Testumgebung stabil. Also neue FB 2170 geordert, die Konfiguration für den Kunden angepasst, ins Branch-Office 1 geschickt, vor Ort durch einen Kollegen anschliessen lassen, übliche Kleinigkeiten ausgemerzt und das Site-to-Site VPN stand.
Ebenfalls identische Konfiguration in der bereits vorhandenen Fritte (60er Serie) im Branch Office 2 eingespielt. Läuft ebenfalls. (Bis heute)
Nun gab es aber im Branch Office 1 mit der 2170 immer wieder Verbindungsprobleme. (Reconnects nach Zwangstrennung auf der Gegenseite mit der PfSense endeten teilweise nur noch in IKE-Error 0x2027 Timeout) Die PfSense konnte ebenfalls nicht connecten. Ein Neustart des Fritzens behob das immer wieder. Reconnects liefen teils mehrere Wochen stabil, dann wieder täglich Probleme. Unsystematisch. NAT-T an und ausgeschaltet (Es sollte beides gehen, da hinter gebridgtem Kabelmodem) Kurze Erfolge, dann wieder nix. Timeout.
Dann Umzug des Kunden in ein neues Büro mit gleichen Voraussetzungen. (Kabel Deutschland). (Natürlich ohne auch nur irgendetwas mit den IT-Betreuern abzustimmen) Fritte ist gar nicht mehr ansprechbar. (Warum auch immer...)
Lasse mir also das Gerät zuschicken und resette es. Also erstmal testen, bevor es an AVM zurückgeht. Testumgebung ist ähnlich wie hinter dem gebridgten Kabelmodem. Internet über LAN 1, Adresse via DHCP beziehen, VPN geht an Kunden PfSense. Funktioniert. Aber nur manchmal. Wenn es einmal steht, werden Phase1 und Phase2 problemlos nach 3600 s. wieder ausgehandelt. Aber dann kommt die böse Zwangstrennung nachts. Manchmal gehts wieder. Manchmal nicht. Internet verbindung steht immer. Mal gehts nach Neustart der Fritte, mal nicht. Keinerlei System zu erkennen. Die Settings müssen richtig sein, denn sie funktionieren auf der anderen 60er und in meiner ursprünglichen Testumgebung gut. Allerdings gibt es auf der PfSense Seite die verschiedensten Fehlermeldungen. (Gerne: The Packet is retransmitted, aber auch andere, die ich nicht mehr parat habe. Jedenfalls merkwürdiger Kram, für den Google keine Lösungen liefert)
AVM Support Ticket aufgemacht. Das übliche. Freundlich, aber die Frage, ob ich mal direkt mit einem der VPN-Entwickler kommunizieren könnte, da ich die Firmware in Verdacht habe, wurde natürlich verneint. Zitat: "Die VPN-Implementierung ist auf allen Boxen gleich, da müssten wir auch mit anderen Serien ähnliche Probleme kennen." Kennen sie aber nicht.
Trotzdem hat mich der Support in die richtige Richtung geführt. "Muss es denn unbedingt die 2170 sein? Die führt so ein Schattendasein, da ist kein Firmwareupdate mehr zu erwarten, da passiert nichts mehr...." Ich: "Naja, die 2170 wird aktuell vertrieben und supported und ausser VPN und Routing soll die nichts machen und das sollte sie doch können..."
Und nun kommts. Heute (nach Wochen des Testens) bekam ich zwei 3272er rein für einen anderen Kunden. Also die Chance ergriffen, das mal auf der Box auszuprobieren. Internet über LAN1, VPN konfiguriert und siehe da: 5 min vorher mit der 2170 keine verbindung, die 3272 verbindet sofort und stabil. Hin und her getestet. 2170 Probleme. (manchmal gehts aber auch) 3272 : Connected sofort. Stabil. Aha.
Um sicher zu gehen, die 2170 mit nach Hause genommen, um sie dort mit den Einstellungen meines Netzes (ADSL beidseitig, PfSense feste IP, FB dyn. IP) zu testen. Und: Macht die voll krass korrekte VPN Verbindung mit die andere Seite.
Wir lernen:
VPN mit der Frtzbox 2170 hinter ADSL ist problemlos möglich.
VPN mit der Fritzbox 2170 in einer Routerkaskade oder hinter einem gebridgten Kabelmodem (Internet über LAN 1) geht nicht stabil.
Die neueren Modelle können das aber offenbar sehr wohl. Also definitiv ein Firmwareproblem. Ob AVM da nochmal was fixt? Unwahrscheinlich...
Etwas OT aber was ist hier eigentlich los? Für AVM mache ich die Fehleranalyse, bei Amazon bekomme ich Rechnungen nur noch, wenn ich mich in meinem Account durch meine Bestellungen klicke, bei Ikea darf ich meine Produkte selber einscannen und bekomme den Kassenzettel demnächst wahrscheinlich nur noch, wenn ich mich an der Kasse mit meinem Smartphone einlogge und sie downloade um sie daheim auszudrucken,, bei HP muss ich meiner Garantieerweiterung hinterherrennen, M$ übernimmt meine dyn. IP-Adressen und legt mich dadurch lahm etc.pp. Und da soll man sich nicht vera... vorkommen?
Möge es dem einen oder anderen nutzen, der plant mit der Fritzbox 2170 ein VPN zu realisieren.
Buc (der keinen Bug auslässt)
Update 25.04.15.
Nachdem der Kunde nun endlich nach langem hin und her seinen KD Business Internet Vertrag auf einen KD Business Internet und Telefon Vertrag upgraden musste um eine Fritzbox direkt am Kabelanschluss betreiben zu dürfen (es geht ja nur die vom Provider) geht das Spielchen von vorne los. Wenn auch mit geänderten Fehlermeldungen. Verbindung wird aufgebaut, aber kein Traffic. FB keine Fehlermeldung, PfSense aber Error: invalid transform-id=4 in IPCOMP. Vollkommen egal, ob die FB Kompression verwendet oder nicht. Aber nur, wenn die Fritzbox die Phase 2 initiiert. Geht der Aufbau von der PfSense aus, klappt das auch fehlerfrei. Habe wirklich fast alle denkbaren Konfigurationen für die Fritte ausprobiert. Immer dasselbe. Aber nur an diesem Anschluss. Als ob die Fritzbox da einen ungültigen Parameter schickt. (Warum aber nicht an anderen Anschlüssen?)
AVM Support Ticket aufgemacht, mal sehen.
Workaround: In der Fritzbox "always renew = no" gesetzt, in der PfSense die Dead Peer Detection eingeschaltet und zusätzlich in der Phase 2 Konfig einen Ping auf die interne IP der Fritzbox.
Seitdem (8h) stabiler Aufbau und reconnect des VPN auch bei Neustarts der Frtzbox und Neueinwahl der Internetverbindung. Auch nach einem Neustart der PfSense wird die Verbindung wieder fehlerfrei aufgebaut.
Mal sehen, wie sichs in der Praxis dann gestaltet.
Fazit: Finger weg von Kabel Deutschland, wenn man ein Site2Site IPSec VPN betreiben will. (Keine feste IP auch bei Business Tarifen, Fritzbox nur bei bestimmten Tarifen, Aufbau stabiler IPSec Verbindungen ist Glücksfall bzw. geht nur mit Tricksereien...)
Ob das das letze Kapitel war?
Gruß
Buc
Update 18.05.15
Mitnichten. Fortsetzung: 2 Wochen stabile Reconnects. Dann wieder "Lifetime expired" auf der FB. (Na und? Machst du neue Verbindung!) Kein Reconnect.
AVM Support jetzt sehr bemüht, aber keine Lösung. (NAT auf den KD Routern im Verdacht, naja, immer nach der Zwangstrennung?)
Nun dem Kunden eine Zeitschaltuhr geschickt, welche die Fritte immer um 03:00 Uhr nachts vom Strom trennt, da ja ein Restart-Timer nicht integriert ist und ich es sowas von leid bin, jeden Morgen um 07:00 Uhr deren FB neu zu booten. Das hätte ich von Anfang an schon mit der 2170 machen sollen. Nachher ist man klüger.
Ich werde die Baustelle vermissen...
Update 22.05.15
Mit der Zeitschaltuhr klappt das nun prima. Schade nur, dass sich kein AVM-Mitarbeiter gefunden hat, den ich da einquartieren konnte, um 1x tägl. den Knopf zu drücken. Verdient hätten die's...
Aufgrund einer Kundenanfrage habe ich mich Anfang des Jahres mit dem Thema Fritzbox <--> PfSense VPN beschäftigen dürfen.
Dazu habe ich die kleinste aktuelle VPN-fähige FB (2170) erstanden und das ganze ausgiebig getestet. Man braucht Geduld und Spucke (auch ein guter Single Malt hilft beim wahren der Contenance ab und an...) Besonders wenn unerwarteterweise die PfSense ne Macke hat Das ist aber Vergangenheit...
Irgendwann lief die Kombination in meiner Testumgebung stabil. Also neue FB 2170 geordert, die Konfiguration für den Kunden angepasst, ins Branch-Office 1 geschickt, vor Ort durch einen Kollegen anschliessen lassen, übliche Kleinigkeiten ausgemerzt und das Site-to-Site VPN stand.
Ebenfalls identische Konfiguration in der bereits vorhandenen Fritte (60er Serie) im Branch Office 2 eingespielt. Läuft ebenfalls. (Bis heute)
Nun gab es aber im Branch Office 1 mit der 2170 immer wieder Verbindungsprobleme. (Reconnects nach Zwangstrennung auf der Gegenseite mit der PfSense endeten teilweise nur noch in IKE-Error 0x2027 Timeout) Die PfSense konnte ebenfalls nicht connecten. Ein Neustart des Fritzens behob das immer wieder. Reconnects liefen teils mehrere Wochen stabil, dann wieder täglich Probleme. Unsystematisch. NAT-T an und ausgeschaltet (Es sollte beides gehen, da hinter gebridgtem Kabelmodem) Kurze Erfolge, dann wieder nix. Timeout.
Dann Umzug des Kunden in ein neues Büro mit gleichen Voraussetzungen. (Kabel Deutschland). (Natürlich ohne auch nur irgendetwas mit den IT-Betreuern abzustimmen) Fritte ist gar nicht mehr ansprechbar. (Warum auch immer...)
Lasse mir also das Gerät zuschicken und resette es. Also erstmal testen, bevor es an AVM zurückgeht. Testumgebung ist ähnlich wie hinter dem gebridgten Kabelmodem. Internet über LAN 1, Adresse via DHCP beziehen, VPN geht an Kunden PfSense. Funktioniert. Aber nur manchmal. Wenn es einmal steht, werden Phase1 und Phase2 problemlos nach 3600 s. wieder ausgehandelt. Aber dann kommt die böse Zwangstrennung nachts. Manchmal gehts wieder. Manchmal nicht. Internet verbindung steht immer. Mal gehts nach Neustart der Fritte, mal nicht. Keinerlei System zu erkennen. Die Settings müssen richtig sein, denn sie funktionieren auf der anderen 60er und in meiner ursprünglichen Testumgebung gut. Allerdings gibt es auf der PfSense Seite die verschiedensten Fehlermeldungen. (Gerne: The Packet is retransmitted, aber auch andere, die ich nicht mehr parat habe. Jedenfalls merkwürdiger Kram, für den Google keine Lösungen liefert)
AVM Support Ticket aufgemacht. Das übliche. Freundlich, aber die Frage, ob ich mal direkt mit einem der VPN-Entwickler kommunizieren könnte, da ich die Firmware in Verdacht habe, wurde natürlich verneint. Zitat: "Die VPN-Implementierung ist auf allen Boxen gleich, da müssten wir auch mit anderen Serien ähnliche Probleme kennen." Kennen sie aber nicht.
Trotzdem hat mich der Support in die richtige Richtung geführt. "Muss es denn unbedingt die 2170 sein? Die führt so ein Schattendasein, da ist kein Firmwareupdate mehr zu erwarten, da passiert nichts mehr...." Ich: "Naja, die 2170 wird aktuell vertrieben und supported und ausser VPN und Routing soll die nichts machen und das sollte sie doch können..."
Und nun kommts. Heute (nach Wochen des Testens) bekam ich zwei 3272er rein für einen anderen Kunden. Also die Chance ergriffen, das mal auf der Box auszuprobieren. Internet über LAN1, VPN konfiguriert und siehe da: 5 min vorher mit der 2170 keine verbindung, die 3272 verbindet sofort und stabil. Hin und her getestet. 2170 Probleme. (manchmal gehts aber auch) 3272 : Connected sofort. Stabil. Aha.
Um sicher zu gehen, die 2170 mit nach Hause genommen, um sie dort mit den Einstellungen meines Netzes (ADSL beidseitig, PfSense feste IP, FB dyn. IP) zu testen. Und: Macht die voll krass korrekte VPN Verbindung mit die andere Seite.
Wir lernen:
VPN mit der Frtzbox 2170 hinter ADSL ist problemlos möglich.
VPN mit der Fritzbox 2170 in einer Routerkaskade oder hinter einem gebridgten Kabelmodem (Internet über LAN 1) geht nicht stabil.
Die neueren Modelle können das aber offenbar sehr wohl. Also definitiv ein Firmwareproblem. Ob AVM da nochmal was fixt? Unwahrscheinlich...
Etwas OT aber was ist hier eigentlich los? Für AVM mache ich die Fehleranalyse, bei Amazon bekomme ich Rechnungen nur noch, wenn ich mich in meinem Account durch meine Bestellungen klicke, bei Ikea darf ich meine Produkte selber einscannen und bekomme den Kassenzettel demnächst wahrscheinlich nur noch, wenn ich mich an der Kasse mit meinem Smartphone einlogge und sie downloade um sie daheim auszudrucken,, bei HP muss ich meiner Garantieerweiterung hinterherrennen, M$ übernimmt meine dyn. IP-Adressen und legt mich dadurch lahm etc.pp. Und da soll man sich nicht vera... vorkommen?
Möge es dem einen oder anderen nutzen, der plant mit der Fritzbox 2170 ein VPN zu realisieren.
Buc (der keinen Bug auslässt)
Update 25.04.15.
Nachdem der Kunde nun endlich nach langem hin und her seinen KD Business Internet Vertrag auf einen KD Business Internet und Telefon Vertrag upgraden musste um eine Fritzbox direkt am Kabelanschluss betreiben zu dürfen (es geht ja nur die vom Provider) geht das Spielchen von vorne los. Wenn auch mit geänderten Fehlermeldungen. Verbindung wird aufgebaut, aber kein Traffic. FB keine Fehlermeldung, PfSense aber Error: invalid transform-id=4 in IPCOMP. Vollkommen egal, ob die FB Kompression verwendet oder nicht. Aber nur, wenn die Fritzbox die Phase 2 initiiert. Geht der Aufbau von der PfSense aus, klappt das auch fehlerfrei. Habe wirklich fast alle denkbaren Konfigurationen für die Fritte ausprobiert. Immer dasselbe. Aber nur an diesem Anschluss. Als ob die Fritzbox da einen ungültigen Parameter schickt. (Warum aber nicht an anderen Anschlüssen?)
AVM Support Ticket aufgemacht, mal sehen.
Workaround: In der Fritzbox "always renew = no" gesetzt, in der PfSense die Dead Peer Detection eingeschaltet und zusätzlich in der Phase 2 Konfig einen Ping auf die interne IP der Fritzbox.
Seitdem (8h) stabiler Aufbau und reconnect des VPN auch bei Neustarts der Frtzbox und Neueinwahl der Internetverbindung. Auch nach einem Neustart der PfSense wird die Verbindung wieder fehlerfrei aufgebaut.
Mal sehen, wie sichs in der Praxis dann gestaltet.
Fazit: Finger weg von Kabel Deutschland, wenn man ein Site2Site IPSec VPN betreiben will. (Keine feste IP auch bei Business Tarifen, Fritzbox nur bei bestimmten Tarifen, Aufbau stabiler IPSec Verbindungen ist Glücksfall bzw. geht nur mit Tricksereien...)
Ob das das letze Kapitel war?
Gruß
Buc
Update 18.05.15
Mitnichten. Fortsetzung: 2 Wochen stabile Reconnects. Dann wieder "Lifetime expired" auf der FB. (Na und? Machst du neue Verbindung!) Kein Reconnect.
AVM Support jetzt sehr bemüht, aber keine Lösung. (NAT auf den KD Routern im Verdacht, naja, immer nach der Zwangstrennung?)
Nun dem Kunden eine Zeitschaltuhr geschickt, welche die Fritte immer um 03:00 Uhr nachts vom Strom trennt, da ja ein Restart-Timer nicht integriert ist und ich es sowas von leid bin, jeden Morgen um 07:00 Uhr deren FB neu zu booten. Das hätte ich von Anfang an schon mit der 2170 machen sollen. Nachher ist man klüger.
Ich werde die Baustelle vermissen...
Update 22.05.15
Mit der Zeitschaltuhr klappt das nun prima. Schade nur, dass sich kein AVM-Mitarbeiter gefunden hat, den ich da einquartieren konnte, um 1x tägl. den Knopf zu drücken. Verdient hätten die's...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 256207
Url: https://administrator.de/contentid/256207
Ausgedruckt am: 21.11.2024 um 15:11 Uhr
34 Kommentare
Neuester Kommentar
Zitat von @the-buccaneer:
Die neueren Modelle können das aber offenbar sehr wohl. Also definitiv ein Firmwareproblem. Ob AVM da nochmal was fixt?
Unwahrscheinlich...
Die neueren Modelle können das aber offenbar sehr wohl. Also definitiv ein Firmwareproblem. Ob AVM da nochmal was fixt?
Unwahrscheinlich...
Deswegen nimmt man, auch wenn man die Features eigentlich nciht braucht, die "Standardmodelle" 7170, 7270, 7390, 7490, etc.
Die werden üblicherweise recht lange mit Firmware-updates versorgt, Aber irgendwann ist dann halt Schluß. Notfalls kann man die imerm noch eingermaßen gut freetzen und dann seinen Bedürfnissen anpassen.
Etwas OT aber was ist hier eigentlich los? Für AVM mache ich die Fehleranalyse, bei Amazon bekomme ich Rechnungen nur noch,
wenn ich mich in meinem Account durch meine Bestellungen klicke, bei Ikea darf ich meine Produkte selber einscannen und bekomme
den Kassenzettel demnächst wahrscheinlich nur noch, wenn ich mich an der Kasse mit meinem Smartphone einlogge und sie
downloade um sie daheim auszudrucken,, bei HP muss ich meiner Garantieerweiterung hinterherrennen,
Ganz einfach. Die Firmen sparen den Support kaputt.
M$ übernimmt meine dyn. IP-Adressen und legt mich dadurch lahm etc.pp. Und da soll man sich nicht vera... vorkommen?
???
lks
Zitat von @the-buccaneer:
> Zitat von @Lochkartenstanzer:
>
> > M$ übernimmt meine dyn. IP-Adressen und legt mich dadurch lahm etc.pp. Und da soll man sich nicht vera...
vorkommen?
>
> ???
>
> lks
Nein, ich bin noch nicht völlig paranoid... War etwas verkürzt und bezog sich auf die tagelangen DNS Probleme nach
Übernahme des DNS Systems von No-IP.
Buc
> Zitat von @Lochkartenstanzer:
>
> > M$ übernimmt meine dyn. IP-Adressen und legt mich dadurch lahm etc.pp. Und da soll man sich nicht vera...
vorkommen?
>
> ???
>
> lks
Nein, ich bin noch nicht völlig paranoid... War etwas verkürzt und bezog sich auf die tagelangen DNS Probleme nach
Übernahme des DNS Systems von No-IP.
Buc
Nun, wen wundert es, wenn man eine Fritte als VPN Client nimmt - klar, man kann sparen, aber dann braucht man sich auch nicht wundern ;)
Zitat von @Lochkartenstanzer:
Deswegen nimmt man, auch wenn man die Features eigentlich nciht braucht, die "Standardmodelle" 7170, 7270, 7390, 7490,
etc.
Deswegen nimmt man, auch wenn man die Features eigentlich nciht braucht, die "Standardmodelle" 7170, 7270, 7390, 7490,
etc.
Leider so falsch:
Modelle 7390 und 7490 sind das Letzte, wenn Du Site2Site VPN machen willst.
(mehrere Versuche an mehr als 20 Standorten und div. FIrmware-Updates später...)
Lonesome Walker
Zitat von @16568:
Modelle 7390 und 7490 sind das Letzte, wenn Du Site2Site VPN machen willst.
(mehrere Versuche an mehr als 20 Standorten und div. FIrmware-Updates später...)
Modelle 7390 und 7490 sind das Letzte, wenn Du Site2Site VPN machen willst.
(mehrere Versuche an mehr als 20 Standorten und div. FIrmware-Updates später...)
Ich meinte damit, wenn man überhaupt schon Fritzboxen nimmt, sollte man die nehmen, die regelmäßig mit Updates versorgt werden.
Wenn man allerdings 20 Standorte hat und Site-To-Site-VPN machen will und dafür Fritzbüxen nimmt, folgt die Strafe auf den Fuß.
lks
Nichts, aber Du hast Microsoft kritisiert - und das ruft den certifiedit fast schon automatisch auf den Plan
Und was seinen Kommentar an sich angeht: Er arbeitet offenbar nur mit gut betuchten Kunden, die sich immer die Ideallösung leisten können und versteht nicht, dass es auch Kunden gibt, die sparen müssen. Das habe ich mit ihm auch schon öfter durch ...
Zitat von @Lochkartenstanzer:
Wenn man allerdings 20 Standorte hat und Site-To-Site-VPN machen will und dafür Fritzbüxen nimmt, folgt die Strafe auf
den Fuß.
Wenn man allerdings 20 Standorte hat und Site-To-Site-VPN machen will und dafür Fritzbüxen nimmt, folgt die Strafe auf
den Fuß.
Neiiiin.
Mehr als 20 Site2Site VPN's und die daraus folgernden Probleme meinte ich
lsw
Ständig tote Tunnel, die ab und an Traffic durchließen, aber halt zu 75% irgendwie nicht reagierten.
(das MTR-Log spricht Bände...)
An beiden Standorten Ersatzgeräte (raspis) drangesteckt -> 0 Probleme.
Denn ### mit AVM-Support und VPN kenne ich da zur Genüge.
Die gucken nur nach IKE-Fehler, und schon setzt deren Gehirn aus.
Kommt nur noch Textbaustein, kein wirklicher Mitarbeiter, der sich mal mit der Config auseinandersetzt, und bereit wäre, Debugging zu betreiben.
(und das MTR-Log hat gar nicht erst interessiert...)
Warum man aber nach der 10ten nicht aufgibt???
Kunde will das, Kunde kriegt das.
Lonesome Walker
Zitat von @SarekHL:
> Zitat von @the-buccaneer:
>
> Was hat die Hybris von Microsoft mit der Fritzbox als VPN Client zu tun???
Nichts, aber Du hast Microsoft kritisiert - und das ruft den certifiedit fast schon automatisch auf den Plan
Und was seinen Kommentar an sich angeht: Er arbeitet offenbar nur mit gut betuchten Kunden, die sich immer die Ideallösung
leisten können und versteht nicht, dass es auch Kunden gibt, die sparen müssen. Das habe ich mit ihm auch schon
öfter durch ...
> Zitat von @the-buccaneer:
>
> Was hat die Hybris von Microsoft mit der Fritzbox als VPN Client zu tun???
Nichts, aber Du hast Microsoft kritisiert - und das ruft den certifiedit fast schon automatisch auf den Plan
Und was seinen Kommentar an sich angeht: Er arbeitet offenbar nur mit gut betuchten Kunden, die sich immer die Ideallösung
leisten können und versteht nicht, dass es auch Kunden gibt, die sparen müssen. Das habe ich mit ihm auch schon
öfter durch ...
Soll ich jetzt auf eben dem Level kontern, lieber "meine Kunden sind alles arme Schweine und wie die ihre Läden überhaupt am Leben erhalten können ist mir ein Rätsel" IT-Supporter? Wer bezahlt denn dich? - oder saugst du deine Kunden so aus, dass sie sich mit der billigst Lösung herumschlagen müssen, was dich wieder rum auf den Plan ruft, weil die einfach nicht solide geht und damit Wartung bedarf (und damit teurer ist? - aber ist klar, mehr Umsatz für dich...versteh ich ja, manche müssen sich so den Cashflow sichern).
und was MS angeht: Sinnloses OT -> Kommentar dazu.
@lonesome:
Imho müssten die von AVM nichtmal das tun - kein Support für VPNs und Anlagenanschlüsse oder hat sich da mittlerweile was getan?
Zitat von @certifiedit.net:
@lonesome:
Imho müssten die von AVM nichtmal das tun - kein Support für VPNs und Anlagenanschlüsse oder hat sich da
mittlerweile was getan?
@lonesome:
Imho müssten die von AVM nichtmal das tun - kein Support für VPNs und Anlagenanschlüsse oder hat sich da
mittlerweile was getan?
Noe, aber die Assis werben fröhlich weiter mit diesem kaputten (unsupporteten) "Feature".
(wie man sieht, gibts auch schon eine grafische Oberfläche in der Fritte selbst...)
Und da Kunden den Unterschied zwischen supported/unsupported nicht wirklich realisieren...
*seufz*
Lonesome Walker
Zitat von @16568:
> Zitat von @certifiedit.net:
> @lonesome:
>
> Imho müssten die von AVM nichtmal das tun - kein Support für VPNs und Anlagenanschlüsse oder hat sich da
> mittlerweile was getan?
Noe, aber die Assis werben fröhlich weiter mit diesem kaputten (unsupporteten) "Feature".
(wie man sieht, gibts auch schon eine grafische Oberfläche in der Fritte selbst...)
Und da Kunden den Unterschied zwischen supported/unsupported nicht wirklich realisieren...
> Zitat von @certifiedit.net:
> @lonesome:
>
> Imho müssten die von AVM nichtmal das tun - kein Support für VPNs und Anlagenanschlüsse oder hat sich da
> mittlerweile was getan?
Noe, aber die Assis werben fröhlich weiter mit diesem kaputten (unsupporteten) "Feature".
(wie man sieht, gibts auch schon eine grafische Oberfläche in der Fritte selbst...)
Und da Kunden den Unterschied zwischen supported/unsupported nicht wirklich realisieren...
Nunja, ich verkaufe ja auch gerne AVM-Büxen für unbedarfte User, weil die in weiten teilen "idiotensicher" sind, aber sobald VPn ins Spiel kommt, sind die bei mir außen vor. Ist einfach zuviel pfriemelei.
lks
Zitat von @16568:
> Zitat von @the-buccaneer:
>
> Warum man aber nach der 10ten nicht aufgibt???
Kunde will das, Kunde kriegt das.
> Zitat von @the-buccaneer:
>
> Warum man aber nach der 10ten nicht aufgibt???
Kunde will das, Kunde kriegt das.
Solange der Kuden den Aufwand bezahlt, würde ich das auch so handhaben. man sollte aber nicht versäumen, auf die brauchbaren Alternativen vorher hinzuweisen, damit der dann ncht behauptet, man hätte auf die günstiegere Lösung nicht hingewiesen.
lks
Anmerkung meinerseits, Fritzbox VPN mit der Parametrierungssoftware nur Probleme. VPN über die Box Weboberfläche läuft bei mir super seit der 6 er Firmware, zwischen diversen 7270 und 7390 Boxen. Sobald man mit der Parametrierungssoftware anfängt geht nichts mehr. Sobald eine 7170 im Spiel ist, die ja mit der Parametrierungssoftware eingestellt werden muss, gibt es auch nur Probleme.
Fazit: Weboberfläche einfach und funktioniert 100%. Wichtig bei Lan zu Lan Verbindungen, man muss der Verbindung etwas Zeit lassen. Die steht so erst nach 5 Minuten stabil, warum?? Und Lan zu Lan mit einem 1und1 Anschluss gibt irgendwie auch Probleme, warum? Das sind meine Erfahrungen.
der Horst
Fazit: Weboberfläche einfach und funktioniert 100%. Wichtig bei Lan zu Lan Verbindungen, man muss der Verbindung etwas Zeit lassen. Die steht so erst nach 5 Minuten stabil, warum?? Und Lan zu Lan mit einem 1und1 Anschluss gibt irgendwie auch Probleme, warum? Das sind meine Erfahrungen.
der Horst
MTU?
Lonesome Walker
Ums genau zu verstehen mit den MTUs auch hier:
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
"Why the MTU must be changed..."
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
"Why the MTU must be changed..."
Lonesome Walker
Kann ich nicht bestätigen, vorausgesetzt die andere Seite hat hinsichtlich VPN einen flexiblen und konfigurierbaren Router (bei mir immer LANCOM). Habe über 100 Filialanbindungen unter meinen Fittichen mit den Fritten (7270,7272, 7390, 7490) und tun Site-2-Site-VPN ohne Murren...btw das hat in den wenigsten Fällen mit der Firmware der Fritten zu tun, man muss halt wissen, wie die Box sich das VPN so "wünscht" (was zugegebenermassen bei AVM unterirdisch dokumentiert ist mit der Krönung deren kryptischen Error-Codes und deren "Beschreibung" *lol* ). Besonders bei NAT-T und DPD ist sie etwas empfindlich...
Der Frage kann ich mich anschließen ... Vor allem wenn man den Aggressive Mode nutzen muss, weil es keine feste IP-Adressen gibt. Da sind die FritzBoxen deutlich leichter zu konfigurieren als andere Geräte. Und ich hatte noch keine Probleme damit (2170 auf der einen, 3490 auf der anderen, beides normales ADSL) ...
Na ja, mal ehrlich wenn man Kenntniss der Materie besitzt und wirklich weiss was man da macht ist manches GUI sicher hie und da verwirrend aber auf jedem Router bekommt man es mit ein paar Mausklicks hin. Noch einfacher als die Fritz Gurken ist der Draytek aber richtige Netzwerker machen so oder so CLI.
Fazit: Wie immer im Leben ist das alles eine Frage des persönlichen Geschmacks. Der eine kann damit besser der andere damit. Die typischen "Kaufberatung" Threads hier im Forum spiegeln die Sinnfreiheit solcher Diskussionen nur zu gut wieder.
Das Grundübel an der Sache ist das die meisten der billigen China oder Taiwan Plaste Elaste Router das IPsec Protokoll nur sehr rudimentär implementiert haben die gerade nur Verbindungen innerhalb des Herstellers einfach zustande kommen lassen. Ist ja auch gewollt, damit der Kunde eben markentreu kauft. Bei Billigprodukten ein wichtiger Punkt.
IPsec bietet aber eine Fülle von Facetten und Optionen und wenn da nur etwas fehlt kann es in Kombination mit anderen nicht funktionieren. Auf Nachbesserung und Bugfixes bei China Produkten kann man dann lange warten, das sieht allein der Presi schon nicht vor.
Nichtmal AVM hat das Protokoll innerhalb der FB Modelle sauber implementiertt wie man an diversen Threads hier ablesen kann und die AVM Hotline ja selber zugibt.
Der zweite Punkt ist (wenn man mal ehrlich ist) dasdie meisten ein Teil der User hier meist fachfremde Autodidakten und Bastler sind die Klein- oder Kleinstnetze beteuen oder mit Windows Klicki Bunti Wissen an so eine Installation rangehen mit dem Anspriuch das es so leicht wie Winblows sein muss sonst ist das Produkt eben Mist.
Fachliche Unkenntnis vom Netzwerk und seinen Protokollen kommt dazu. On Top das allgemeine Problem dann wieder den letzten Euro am Produkt gespart zu haben und damit ist das (IPsec) Kind dann im Brunnen. Mit Engagement und Wissen bekommt man (fast) alles mit allem zum Fliegen wie diverse Tutorials hier ja zweifelsfrei beweisen.
DG2DRA hat es oben schon auf den Punkt gebracht. Mit einem flexiblen Router wie z.B. einem Cisco 886va (es gibt ja noch Besseres als Lancom ) oder eine pfSense usw. (um mal bei den billigen Lösungen zu bleiben...) hat man umfassende Debugging Möglichkeiten die einen schnell das Problem finden und lösen lassen sofern auch das Umfeld stimmt.
Es ist also weniger eine Frage der einzelnen Produkte sondern des gesamten Umfeldes !!
Fazit: Wie immer im Leben ist das alles eine Frage des persönlichen Geschmacks. Der eine kann damit besser der andere damit. Die typischen "Kaufberatung" Threads hier im Forum spiegeln die Sinnfreiheit solcher Diskussionen nur zu gut wieder.
Das Grundübel an der Sache ist das die meisten der billigen China oder Taiwan Plaste Elaste Router das IPsec Protokoll nur sehr rudimentär implementiert haben die gerade nur Verbindungen innerhalb des Herstellers einfach zustande kommen lassen. Ist ja auch gewollt, damit der Kunde eben markentreu kauft. Bei Billigprodukten ein wichtiger Punkt.
IPsec bietet aber eine Fülle von Facetten und Optionen und wenn da nur etwas fehlt kann es in Kombination mit anderen nicht funktionieren. Auf Nachbesserung und Bugfixes bei China Produkten kann man dann lange warten, das sieht allein der Presi schon nicht vor.
Nichtmal AVM hat das Protokoll innerhalb der FB Modelle sauber implementiertt wie man an diversen Threads hier ablesen kann und die AVM Hotline ja selber zugibt.
Der zweite Punkt ist (wenn man mal ehrlich ist) das
Fachliche Unkenntnis vom Netzwerk und seinen Protokollen kommt dazu. On Top das allgemeine Problem dann wieder den letzten Euro am Produkt gespart zu haben und damit ist das (IPsec) Kind dann im Brunnen. Mit Engagement und Wissen bekommt man (fast) alles mit allem zum Fliegen wie diverse Tutorials hier ja zweifelsfrei beweisen.
DG2DRA hat es oben schon auf den Punkt gebracht. Mit einem flexiblen Router wie z.B. einem Cisco 886va (es gibt ja noch Besseres als Lancom ) oder eine pfSense usw. (um mal bei den billigen Lösungen zu bleiben...) hat man umfassende Debugging Möglichkeiten die einen schnell das Problem finden und lösen lassen sofern auch das Umfeld stimmt.
Es ist also weniger eine Frage der einzelnen Produkte sondern des gesamten Umfeldes !!
Zitat von @dg2dra:
Kann ich nicht bestätigen, vorausgesetzt die andere Seite hat hinsichtlich VPN einen flexiblen und konfigurierbaren Router
(bei mir immer LANCOM)
Kann ich nicht bestätigen, vorausgesetzt die andere Seite hat hinsichtlich VPN einen flexiblen und konfigurierbaren Router
(bei mir immer LANCOM)
Dann klink' Dich mal aus dem Beitrag aus, wir reden hier von site2site mit Fritten.
Zitat von @aqui:
Es ist also weniger eine Frage der einzelnen Produkte sondern des gesamten Umfeldes !!
Es ist also weniger eine Frage der einzelnen Produkte sondern des gesamten Umfeldes !!
Richtig, und dazu zählt leider auch das Thema Budget, oder noch besser "mein Schwiegersohn hat das so bei sich zu Hause gemacht, will auch..."
Lonesome Walker
@aqui
Ich zitiere: "das die meisten User hier meist fachfremde Autodidakten und Bastler sind" finde ich schon ziemlich überheblich! Nichts gegen Leute die Studiert sind und richtig was auf dem Kasten haben und das in einem Forum wie dem selbigen auch durch gute Texte und Beitrag zeigen, aber den Großteil der User hier so abzuwatschen finde ich heftig.
Ich zitiere: "das die meisten User hier meist fachfremde Autodidakten und Bastler sind" finde ich schon ziemlich überheblich! Nichts gegen Leute die Studiert sind und richtig was auf dem Kasten haben und das in einem Forum wie dem selbigen auch durch gute Texte und Beitrag zeigen, aber den Großteil der User hier so abzuwatschen finde ich heftig.
Oha...nun sind wir wieder auf dem Level der Diskussion... OK also nochmal: In einem Administrator Forum sollte man ja schon einen gewissen Wissenhorizont haben um das mal vorsichtig auszudrücken. Das man als Laie da mal etwas heftiger angefasst wird ist nie böse und schon gar nicht abfällig gemeint und sollte man auch aushalten können mit einem entsprechenden Rückgrat.
Es sollte auch dir klar sein das die o.a. Feststellung keineswegs als "Niedermachen" gemeint war sondern lediglich mehr oder minder die tägliche Realität hier beschreibt. Und auch die ist ja nicht böse, sie ist halt so wie sie ist. Einmal im Forum fragen ist heute einfacher als selber zu recherchieren und zu lesen.
Lies dir gerade solche Threads mal in Ruhe durch. Es ist immer eine gewisse Anspruchshaltung an ein Produkt da. Am besten wäre doch der Button VPN ein oder aus. Egal was für eine Technik sich dahinter verbirgt, muss man ja nicht mehr wissen.
Ein Anspruch der unterschwellig häufig besteht wenn du ehrlich bist. Die Threads wo solche Themen oder technischen Probleme im Umfeld von VPN sachlich und auch fachlich fundiert diskutiert werden kannst du an max. einer Hand abzählen. Die meisten sind Trial and Error mit teilweise abstrusen Vorgehensweisen beim Troubleshooting. Mal abgesehen vom Verstehen des Hintergrundes.
Da eine visuelle Kommunikation mit solchen TOs in einem Forum ja ausgeschlossen ist was denkst du soll man sich dann auf grund des Geschriebenen so denken ? Es ist vorprogrammiert das dann schnell kategorisiert wird.
Fazit: Mit Abwatschen hat das nichts zu tun und auch nicht mit irgendwie gearteter Abqualifizierung. Es ist letzlich mal ein Spiegel der täglichen Realität.
Im übrigen ist die Formlierung oben angepasst um politisch korrekter zu sein.
Damit dann wieder zurück zum eigentlichen Thema dieses Threads....
Es sollte auch dir klar sein das die o.a. Feststellung keineswegs als "Niedermachen" gemeint war sondern lediglich mehr oder minder die tägliche Realität hier beschreibt. Und auch die ist ja nicht böse, sie ist halt so wie sie ist. Einmal im Forum fragen ist heute einfacher als selber zu recherchieren und zu lesen.
Lies dir gerade solche Threads mal in Ruhe durch. Es ist immer eine gewisse Anspruchshaltung an ein Produkt da. Am besten wäre doch der Button VPN ein oder aus. Egal was für eine Technik sich dahinter verbirgt, muss man ja nicht mehr wissen.
Ein Anspruch der unterschwellig häufig besteht wenn du ehrlich bist. Die Threads wo solche Themen oder technischen Probleme im Umfeld von VPN sachlich und auch fachlich fundiert diskutiert werden kannst du an max. einer Hand abzählen. Die meisten sind Trial and Error mit teilweise abstrusen Vorgehensweisen beim Troubleshooting. Mal abgesehen vom Verstehen des Hintergrundes.
Da eine visuelle Kommunikation mit solchen TOs in einem Forum ja ausgeschlossen ist was denkst du soll man sich dann auf grund des Geschriebenen so denken ? Es ist vorprogrammiert das dann schnell kategorisiert wird.
Fazit: Mit Abwatschen hat das nichts zu tun und auch nicht mit irgendwie gearteter Abqualifizierung. Es ist letzlich mal ein Spiegel der täglichen Realität.
Im übrigen ist die Formlierung oben angepasst um politisch korrekter zu sein.
Damit dann wieder zurück zum eigentlichen Thema dieses Threads....
Aber was auf dem kasten haben, kann man, obwohl man studiert hat.
lks
Moin Buc,
meine Erfahrung in der Hinsicht decken sich damit: VPN von Sophos bzw auch Bintec zur Fritte ist gut möglich. Dauerbetrieb ist ein Fiasko. Sinnhaftigkeit: 0. Du kostest auch, den Kunden kostet es Zeit und Nerven und am Ende wirst du jedesmal aus der Arbeit gerissen oder bist irgendwann den halben Tag damit beschäftigt Fehlimplementierungen des Herstellers auszubügeln + dir wird früher oder später gegen das Bein getreten, denn DU Bist es, der dem ganzen ein Gesicht gibt.
Daher rat ich dir, hol dir eine Lösung, bei der du nur noch im tatsächlichen Fehlerfall supporten musst und nicht Dauersupporter aufgrund bekannter Inkompatibilitäten wirst.
VG
meine Erfahrung in der Hinsicht decken sich damit: VPN von Sophos bzw auch Bintec zur Fritte ist gut möglich. Dauerbetrieb ist ein Fiasko. Sinnhaftigkeit: 0. Du kostest auch, den Kunden kostet es Zeit und Nerven und am Ende wirst du jedesmal aus der Arbeit gerissen oder bist irgendwann den halben Tag damit beschäftigt Fehlimplementierungen des Herstellers auszubügeln + dir wird früher oder später gegen das Bein getreten, denn DU Bist es, der dem ganzen ein Gesicht gibt.
Daher rat ich dir, hol dir eine Lösung, bei der du nur noch im tatsächlichen Fehlerfall supporten musst und nicht Dauersupporter aufgrund bekannter Inkompatibilitäten wirst.
VG