the-buccaneer
Goto Top

Die Fritten und das VPN

Moinsen zusammnen!

Aufgrund einer Kundenanfrage habe ich mich Anfang des Jahres mit dem Thema Fritzbox <--> PfSense VPN beschäftigen dürfen.

Dazu habe ich die kleinste aktuelle VPN-fähige FB (2170) erstanden und das ganze ausgiebig getestet. Man braucht Geduld und Spucke (auch ein guter Single Malt hilft beim wahren der Contenance ab und an...) face-wink Besonders wenn unerwarteterweise die PfSense ne Macke hat face-sad Das ist aber Vergangenheit...

Irgendwann lief die Kombination in meiner Testumgebung stabil. Also neue FB 2170 geordert, die Konfiguration für den Kunden angepasst, ins Branch-Office 1 geschickt, vor Ort durch einen Kollegen anschliessen lassen, übliche Kleinigkeiten ausgemerzt und das Site-to-Site VPN stand.

Ebenfalls identische Konfiguration in der bereits vorhandenen Fritte (60er Serie) im Branch Office 2 eingespielt. Läuft ebenfalls. (Bis heute)

Nun gab es aber im Branch Office 1 mit der 2170 immer wieder Verbindungsprobleme. (Reconnects nach Zwangstrennung auf der Gegenseite mit der PfSense endeten teilweise nur noch in IKE-Error 0x2027 Timeout) Die PfSense konnte ebenfalls nicht connecten. Ein Neustart des Fritzens behob das immer wieder. Reconnects liefen teils mehrere Wochen stabil, dann wieder täglich Probleme. Unsystematisch. NAT-T an und ausgeschaltet (Es sollte beides gehen, da hinter gebridgtem Kabelmodem) Kurze Erfolge, dann wieder nix. Timeout.

Dann Umzug des Kunden in ein neues Büro mit gleichen Voraussetzungen. (Kabel Deutschland). (Natürlich ohne auch nur irgendetwas mit den IT-Betreuern abzustimmen) Fritte ist gar nicht mehr ansprechbar. (Warum auch immer...)

Lasse mir also das Gerät zuschicken und resette es. Also erstmal testen, bevor es an AVM zurückgeht. Testumgebung ist ähnlich wie hinter dem gebridgten Kabelmodem. Internet über LAN 1, Adresse via DHCP beziehen, VPN geht an Kunden PfSense. Funktioniert. Aber nur manchmal. Wenn es einmal steht, werden Phase1 und Phase2 problemlos nach 3600 s. wieder ausgehandelt. Aber dann kommt die böse Zwangstrennung nachts. Manchmal gehts wieder. Manchmal nicht. Internet verbindung steht immer. Mal gehts nach Neustart der Fritte, mal nicht. Keinerlei System zu erkennen. Die Settings müssen richtig sein, denn sie funktionieren auf der anderen 60er und in meiner ursprünglichen Testumgebung gut. Allerdings gibt es auf der PfSense Seite die verschiedensten Fehlermeldungen. (Gerne: The Packet is retransmitted, aber auch andere, die ich nicht mehr parat habe. Jedenfalls merkwürdiger Kram, für den Google keine Lösungen liefert)

AVM Support Ticket aufgemacht. Das übliche. Freundlich, aber die Frage, ob ich mal direkt mit einem der VPN-Entwickler kommunizieren könnte, da ich die Firmware in Verdacht habe, wurde natürlich verneint. Zitat: "Die VPN-Implementierung ist auf allen Boxen gleich, da müssten wir auch mit anderen Serien ähnliche Probleme kennen." Kennen sie aber nicht.

Trotzdem hat mich der Support in die richtige Richtung geführt. "Muss es denn unbedingt die 2170 sein? Die führt so ein Schattendasein, da ist kein Firmwareupdate mehr zu erwarten, da passiert nichts mehr...." Ich: "Naja, die 2170 wird aktuell vertrieben und supported und ausser VPN und Routing soll die nichts machen und das sollte sie doch können..."

Und nun kommts. Heute (nach Wochen des Testens) bekam ich zwei 3272er rein für einen anderen Kunden. Also die Chance ergriffen, das mal auf der Box auszuprobieren. Internet über LAN1, VPN konfiguriert und siehe da: 5 min vorher mit der 2170 keine verbindung, die 3272 verbindet sofort und stabil. Hin und her getestet. 2170 Probleme. (manchmal gehts aber auch) 3272 : Connected sofort. Stabil. Aha. face-wink

Um sicher zu gehen, die 2170 mit nach Hause genommen, um sie dort mit den Einstellungen meines Netzes (ADSL beidseitig, PfSense feste IP, FB dyn. IP) zu testen. Und: Macht die voll krass korrekte VPN Verbindung mit die andere Seite. face-wink

Wir lernen:

VPN mit der Frtzbox 2170 hinter ADSL ist problemlos möglich.

VPN mit der Fritzbox 2170 in einer Routerkaskade oder hinter einem gebridgten Kabelmodem (Internet über LAN 1) geht nicht stabil.

Die neueren Modelle können das aber offenbar sehr wohl. Also definitiv ein Firmwareproblem. Ob AVM da nochmal was fixt? Unwahrscheinlich...

Etwas OT aber was ist hier eigentlich los? Für AVM mache ich die Fehleranalyse, bei Amazon bekomme ich Rechnungen nur noch, wenn ich mich in meinem Account durch meine Bestellungen klicke, bei Ikea darf ich meine Produkte selber einscannen und bekomme den Kassenzettel demnächst wahrscheinlich nur noch, wenn ich mich an der Kasse mit meinem Smartphone einlogge und sie downloade um sie daheim auszudrucken,, bei HP muss ich meiner Garantieerweiterung hinterherrennen, M$ übernimmt meine dyn. IP-Adressen und legt mich dadurch lahm etc.pp. Und da soll man sich nicht vera... vorkommen?

Möge es dem einen oder anderen nutzen, der plant mit der Fritzbox 2170 ein VPN zu realisieren.

Buc (der keinen Bug auslässt)

Update 25.04.15.

Nachdem der Kunde nun endlich nach langem hin und her seinen KD Business Internet Vertrag auf einen KD Business Internet und Telefon Vertrag upgraden musste um eine Fritzbox direkt am Kabelanschluss betreiben zu dürfen (es geht ja nur die vom Provider) geht das Spielchen von vorne los. Wenn auch mit geänderten Fehlermeldungen. Verbindung wird aufgebaut, aber kein Traffic. FB keine Fehlermeldung, PfSense aber Error: invalid transform-id=4 in IPCOMP. Vollkommen egal, ob die FB Kompression verwendet oder nicht. Aber nur, wenn die Fritzbox die Phase 2 initiiert. Geht der Aufbau von der PfSense aus, klappt das auch fehlerfrei. Habe wirklich fast alle denkbaren Konfigurationen für die Fritte ausprobiert. Immer dasselbe. Aber nur an diesem Anschluss. Als ob die Fritzbox da einen ungültigen Parameter schickt. (Warum aber nicht an anderen Anschlüssen?)
AVM Support Ticket aufgemacht, mal sehen.

Workaround: In der Fritzbox "always renew = no" gesetzt, in der PfSense die Dead Peer Detection eingeschaltet und zusätzlich in der Phase 2 Konfig einen Ping auf die interne IP der Fritzbox.
Seitdem (8h) stabiler Aufbau und reconnect des VPN auch bei Neustarts der Frtzbox und Neueinwahl der Internetverbindung. Auch nach einem Neustart der PfSense wird die Verbindung wieder fehlerfrei aufgebaut.
Mal sehen, wie sichs in der Praxis dann gestaltet.

Fazit: Finger weg von Kabel Deutschland, wenn man ein Site2Site IPSec VPN betreiben will. (Keine feste IP auch bei Business Tarifen, Fritzbox nur bei bestimmten Tarifen, Aufbau stabiler IPSec Verbindungen ist Glücksfall bzw. geht nur mit Tricksereien...)

Ob das das letze Kapitel war?
Gruß
Buc

Update 18.05.15

Mitnichten. Fortsetzung: 2 Wochen stabile Reconnects. Dann wieder "Lifetime expired" auf der FB. (Na und? Machst du neue Verbindung!) Kein Reconnect.
AVM Support jetzt sehr bemüht, aber keine Lösung. (NAT auf den KD Routern im Verdacht, naja, immer nach der Zwangstrennung?)

Nun dem Kunden eine Zeitschaltuhr geschickt, welche die Fritte immer um 03:00 Uhr nachts vom Strom trennt, da ja ein Restart-Timer nicht integriert ist und ich es sowas von leid bin, jeden Morgen um 07:00 Uhr deren FB neu zu booten. Das hätte ich von Anfang an schon mit der 2170 machen sollen. Nachher ist man klüger.
Ich werde die Baustelle vermissen... face-wink

Update 22.05.15

Mit der Zeitschaltuhr klappt das nun prima. face-wink Schade nur, dass sich kein AVM-Mitarbeiter gefunden hat, den ich da einquartieren konnte, um 1x tägl. den Knopf zu drücken. Verdient hätten die's...

Content-ID: 256207

Url: https://administrator.de/contentid/256207

Printed on: December 12, 2024 at 18:12 o'clock

Lochkartenstanzer
Lochkartenstanzer Nov 29, 2014 at 09:51:32 (UTC)
Goto Top
Zitat von @the-buccaneer:

Die neueren Modelle können das aber offenbar sehr wohl. Also definitiv ein Firmwareproblem. Ob AVM da nochmal was fixt?
Unwahrscheinlich...

Deswegen nimmt man, auch wenn man die Features eigentlich nciht braucht, die "Standardmodelle" 7170, 7270, 7390, 7490, etc.

Die werden üblicherweise recht lange mit Firmware-updates versorgt, Aber irgendwann ist dann halt Schluß. Notfalls kann man die imerm noch eingermaßen gut freetzen und dann seinen Bedürfnissen anpassen.



Etwas OT aber was ist hier eigentlich los? Für AVM mache ich die Fehleranalyse, bei Amazon bekomme ich Rechnungen nur noch,
wenn ich mich in meinem Account durch meine Bestellungen klicke, bei Ikea darf ich meine Produkte selber einscannen und bekomme
den Kassenzettel demnächst wahrscheinlich nur noch, wenn ich mich an der Kasse mit meinem Smartphone einlogge und sie
downloade um sie daheim auszudrucken,, bei HP muss ich meiner Garantieerweiterung hinterherrennen,

Ganz einfach. Die Firmen sparen den Support kaputt.


M$ übernimmt meine dyn. IP-Adressen und legt mich dadurch lahm etc.pp. Und da soll man sich nicht vera... vorkommen?

???

lks
the-buccaneer
the-buccaneer Nov 29, 2014 at 10:58:06 (UTC)
Goto Top


> M$ übernimmt meine dyn. IP-Adressen und legt mich dadurch lahm etc.pp. Und da soll man sich nicht vera... vorkommen?

???

lks

Nein, ich bin noch nicht völlig paranoid... face-wink War etwas verkürzt und bezog sich auf die tagelangen DNS Probleme nach Übernahme des DNS Systems von No-IP.

face-wink
Buc
certifiedit.net
certifiedit.net Nov 29, 2014 at 14:44:11 (UTC)
Goto Top
Zitat von @the-buccaneer:

> Zitat von @Lochkartenstanzer:

>
> > M$ übernimmt meine dyn. IP-Adressen und legt mich dadurch lahm etc.pp. Und da soll man sich nicht vera...
vorkommen?
>
> ???
>
> lks

Nein, ich bin noch nicht völlig paranoid... face-wink War etwas verkürzt und bezog sich auf die tagelangen DNS Probleme nach
Übernahme des DNS Systems von No-IP.

face-wink
Buc

Nun, wen wundert es, wenn man eine Fritte als VPN Client nimmt - klar, man kann sparen, aber dann braucht man sich auch nicht wundern ;)
the-buccaneer
the-buccaneer Nov 29, 2014 at 16:42:43 (UTC)
Goto Top
Zitat von @certifiedit.net:

> Zitat von @the-buccaneer:
>
> > Zitat von @Lochkartenstanzer:
>
> >
> > > M$ übernimmt meine dyn. IP-Adressen und legt mich dadurch lahm etc.pp. Und da soll man sich nicht vera...
> vorkommen?
> >
> > ???
> >
> > lks
>
> Nein, ich bin noch nicht völlig paranoid... face-wink War etwas verkürzt und bezog sich auf die tagelangen DNS Probleme
nach
> Übernahme des DNS Systems von No-IP.
>
> face-wink
> Buc

Nun, wen wundert es, wenn man eine Fritte als VPN Client nimmt - klar, man kann sparen, aber dann braucht man sich auch nicht
wundern ;)

Was hat die Hybris von Microsoft mit der Fritzbox als VPN Client zu tun???

Auf eines ist aber doch Verlass: (Mindestens) einen überheblichen Kommentar gibts immer. face-wink

Buc
16568
16568 Nov 29, 2014 at 16:59:19 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Deswegen nimmt man, auch wenn man die Features eigentlich nciht braucht, die "Standardmodelle" 7170, 7270, 7390, 7490,
etc.

Leider so falsch:
Modelle 7390 und 7490 sind das Letzte, wenn Du Site2Site VPN machen willst.
(mehrere Versuche an mehr als 20 Standorten und div. FIrmware-Updates später...)


Lonesome Walker
Epigenese
Epigenese Nov 29, 2014 at 17:36:41 (UTC)
Goto Top
Hallo the-buccaneer,

danke dir für deine Mühe, das Erlebte hier reinzustellen.
Wieder etwas gelernt.

Grüße
Epi
Lochkartenstanzer
Lochkartenstanzer Nov 29, 2014 at 17:40:38 (UTC)
Goto Top
Zitat von @16568:

Modelle 7390 und 7490 sind das Letzte, wenn Du Site2Site VPN machen willst.
(mehrere Versuche an mehr als 20 Standorten und div. FIrmware-Updates später...)

Ich meinte damit, wenn man überhaupt schon Fritzboxen nimmt, sollte man die nehmen, die regelmäßig mit Updates versorgt werden.

Wenn man allerdings 20 Standorte hat und Site-To-Site-VPN machen will und dafür Fritzbüxen nimmt, folgt die Strafe auf den Fuß. face-smile

lks
SarekHL
SarekHL Nov 29, 2014 at 20:38:08 (UTC)
Goto Top
Zitat von @the-buccaneer:

Was hat die Hybris von Microsoft mit der Fritzbox als VPN Client zu tun???

Nichts, aber Du hast Microsoft kritisiert - und das ruft den certifiedit fast schon automatisch auf den Plan face-smile

Und was seinen Kommentar an sich angeht: Er arbeitet offenbar nur mit gut betuchten Kunden, die sich immer die Ideallösung leisten können und versteht nicht, dass es auch Kunden gibt, die sparen müssen. Das habe ich mit ihm auch schon öfter durch ...
aqui
aqui Nov 29, 2014 at 23:09:21 (UTC)
Goto Top
Fazit: Fritten und VPN ist noch nicht alles...es gibt auch noch bessere VPN Router und Lösungen !
Das Forum hier ist voll von Alternativen und der Buc selber betreibt ja auch höchst selbst eine wie man oben ja lesen kann face-wink
the-buccaneer
the-buccaneer Nov 30, 2014 at 11:44:05 (UTC)
Goto Top
Zitat von @16568:
Leider so falsch:
Modelle 7390 und 7490 sind das Letzte, wenn Du Site2Site VPN machen willst.
(mehrere Versuche an mehr als 20 Standorten und div. FIrmware-Updates später...)


Lonesome Walker

evtl. sollten wir mal sammeln, welche Fritten sich in welchem Setting stabil connecten?

Was war mit den 7390 und den 7490 ern? Gib doch noch ein paar Infos...

@lks: Ich glaube, Lonesome Walker meinte verschiedene Sites...

Warum man aber nach der 10ten nicht aufgibt???

Buc
16568
16568 Nov 30, 2014 at 14:06:21 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Wenn man allerdings 20 Standorte hat und Site-To-Site-VPN machen will und dafür Fritzbüxen nimmt, folgt die Strafe auf
den Fuß. face-smile

Neiiiin.
Mehr als 20 Site2Site VPN's und die daraus folgernden Probleme meinte ich face-wink


lsw
16568
16568 Nov 30, 2014 updated at 14:09:45 (UTC)
Goto Top
Zitat von @the-buccaneer:
Was war mit den 7390 und den 7490 ern? Gib doch noch ein paar Infos...

Ständig tote Tunnel, die ab und an Traffic durchließen, aber halt zu 75% irgendwie nicht reagierten.
(das MTR-Log spricht Bände...)
An beiden Standorten Ersatzgeräte (raspis) drangesteckt -> 0 Probleme.
Denn ### mit AVM-Support und VPN kenne ich da zur Genüge.
Die gucken nur nach IKE-Fehler, und schon setzt deren Gehirn aus.
Kommt nur noch Textbaustein, kein wirklicher Mitarbeiter, der sich mal mit der Config auseinandersetzt, und bereit wäre, Debugging zu betreiben.
(und das MTR-Log hat gar nicht erst interessiert...)

Warum man aber nach der 10ten nicht aufgibt???

Kunde will das, Kunde kriegt das. face-smile


Lonesome Walker
certifiedit.net
certifiedit.net Dec 01, 2014 at 00:06:34 (UTC)
Goto Top
Zitat von @SarekHL:

> Zitat von @the-buccaneer:
>
> Was hat die Hybris von Microsoft mit der Fritzbox als VPN Client zu tun???

Nichts, aber Du hast Microsoft kritisiert - und das ruft den certifiedit fast schon automatisch auf den Plan face-smile

Und was seinen Kommentar an sich angeht: Er arbeitet offenbar nur mit gut betuchten Kunden, die sich immer die Ideallösung
leisten können und versteht nicht, dass es auch Kunden gibt, die sparen müssen. Das habe ich mit ihm auch schon
öfter durch ...

Soll ich jetzt auf eben dem Level kontern, lieber "meine Kunden sind alles arme Schweine und wie die ihre Läden überhaupt am Leben erhalten können ist mir ein Rätsel" IT-Supporter? Wer bezahlt denn dich? - oder saugst du deine Kunden so aus, dass sie sich mit der billigst Lösung herumschlagen müssen, was dich wieder rum auf den Plan ruft, weil die einfach nicht solide geht und damit Wartung bedarf (und damit teurer ist? - aber ist klar, mehr Umsatz für dich...versteh ich ja, manche müssen sich so den Cashflow sichern).

und was MS angeht: Sinnloses OT -> Kommentar dazu.

@lonesome:

Imho müssten die von AVM nichtmal das tun - kein Support für VPNs und Anlagenanschlüsse oder hat sich da mittlerweile was getan?
16568
16568 Dec 01, 2014 updated at 12:44:14 (UTC)
Goto Top
Zitat von @certifiedit.net:
@lonesome:

Imho müssten die von AVM nichtmal das tun - kein Support für VPNs und Anlagenanschlüsse oder hat sich da
mittlerweile was getan?

Noe, aber die Assis werben fröhlich weiter mit diesem kaputten (unsupporteten) "Feature".
(wie man sieht, gibts auch schon eine grafische Oberfläche in der Fritte selbst...)
Und da Kunden den Unterschied zwischen supported/unsupported nicht wirklich realisieren...

*seufz*


Lonesome Walker
Lochkartenstanzer
Lochkartenstanzer Dec 01, 2014 at 12:46:43 (UTC)
Goto Top
Zitat von @16568:

> Zitat von @certifiedit.net:
> @lonesome:
>
> Imho müssten die von AVM nichtmal das tun - kein Support für VPNs und Anlagenanschlüsse oder hat sich da
> mittlerweile was getan?

Noe, aber die Assis werben fröhlich weiter mit diesem kaputten (unsupporteten) "Feature".
(wie man sieht, gibts auch schon eine grafische Oberfläche in der Fritte selbst...)
Und da Kunden den Unterschied zwischen supported/unsupported nicht wirklich realisieren...


Nunja, ich verkaufe ja auch gerne AVM-Büxen für unbedarfte User, weil die in weiten teilen "idiotensicher" sind, aber sobald VPn ins Spiel kommt, sind die bei mir außen vor. Ist einfach zuviel pfriemelei.

lks
Lochkartenstanzer
Lochkartenstanzer Dec 01, 2014 at 12:49:04 (UTC)
Goto Top
Zitat von @16568:

> Zitat von @the-buccaneer:
>
> Warum man aber nach der 10ten nicht aufgibt???

Kunde will das, Kunde kriegt das. face-smile


Solange der Kuden den Aufwand bezahlt, würde ich das auch so handhaben. man sollte aber nicht versäumen, auf die brauchbaren Alternativen vorher hinzuweisen, damit der dann ncht behauptet, man hätte auf die günstiegere Lösung nicht hingewiesen. face-smile

lks
horstvogel
horstvogel Dec 01, 2014 updated at 20:11:29 (UTC)
Goto Top
Anmerkung meinerseits, Fritzbox VPN mit der Parametrierungssoftware nur Probleme. VPN über die Box Weboberfläche läuft bei mir super seit der 6 er Firmware, zwischen diversen 7270 und 7390 Boxen. Sobald man mit der Parametrierungssoftware anfängt geht nichts mehr. Sobald eine 7170 im Spiel ist, die ja mit der Parametrierungssoftware eingestellt werden muss, gibt es auch nur Probleme.

Fazit: Weboberfläche einfach und funktioniert 100%. Wichtig bei Lan zu Lan Verbindungen, man muss der Verbindung etwas Zeit lassen. Die steht so erst nach 5 Minuten stabil, warum?? Und Lan zu Lan mit einem 1und1 Anschluss gibt irgendwie auch Probleme, warum? Das sind meine Erfahrungen.

der Horst
16568
16568 Dec 02, 2014 at 07:12:53 (UTC)
Goto Top
Zitat von @horstvogel:
Und Lan zu Lan mit einem 1und1 Anschluss gibt irgendwie auch Probleme,
warum?

MTU?


Lonesome Walker
aqui
aqui Dec 02, 2014 at 15:56:28 (UTC)
Goto Top
Ums genau zu verstehen mit den MTUs auch hier:
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
"Why the MTU must be changed..."
the-buccaneer
the-buccaneer Dec 02, 2014 at 22:22:47 (UTC)
Goto Top
@certifiedit.net: "Was hat die Hybris von Microsoft mit der Fritzbox als VPN Client zu tun???"
("Der kleine Buc vergaß niemals eine Frage, die er einmal gestellt hatte") face-wink

Ansonsten: Da hab ich ja was losgetreten... Aufschlussreich... Denn alles, was man sonst so recherchieren kann (und ich testen konnte), läuft darauf hinaus, dass es Konfigurationsprobleme sind, wenn ein Site-to-Site VPN mit der Fritte zickt.

Da scheint es doch das eine oder andere Firmwareproblem zu geben, das einer Analyse des Herstellers (schliesslich ist das "Closed Source") bedarf.

Ich meine doch auch, dass man Kunden nicht mit dem Versprechen von Funktionen zum Kauf eines Produkts verleiten kann, die dieses nur in bestimmten Konstellationen bei klarer Wetterlage bietet und sich sonst herausredet mit: "Das wird aber nicht supported." (Man stelle sich das in einem Flugzeug vor...) Da muss doch dann auf der Verpackung nicht stehen: "Jetzt mit VPN" sondern: "Kann Spuren von VPN enthalten. Benutzung auf eigene Gefahr. Versuch macht klug" Oder sowas. Das ist doch keine Laborfirmware!

Und AVM sollte selbstverständlich ein Interesse haben, seine Produkte zu verbessern und damit auch Admins, die in der Lage sind die Konfiguration zu meistern, nicht im Regen stehen lassen. Dass sie nicht telefonisch jede Einstellung des config-files durchkauen möchten, kann ich ja auch nachvollziehen... Wenn die Probleme aber auf einen Bug hindeuten, könnte und sollte man das doch erkennen und etwas Engagement zeigen... Wie groß der Bedarf ist, kann man z.B. hier lesen...

@horstvogel: nunja, auf beiden Seiten per Weboberfläche konfiguriert, führt einfach zu gleichen Einstellungen. Die Software ist eh Mist, hab ich gemerkt, wenn man sich aber durch den Code etwas durchbeisst klappts auch nach ein paar Fehlschlägen. Du könntest mal spasseshalber den VPN Teil aus einer gesicherten per Webinterface erstellten Konfig mit deiner nicht funktionierenden "händischen" Konfig Vergleichen. Das geht, meine ich. face-wink

Und das muss ich noch richtigstellen: Stabil funktionierende Gegenseite ist keine 60er sondern eine 7490 an VDSL. (Ich werde alt, das Gedächtnis...) Keine Probleme, VPN-Konfig eingespielt, Restart, Vergessen. Habe also offenbar nicht nur Pech. face-wink

Im gegeben Fall werde ich nun versuchen, bei AVM die 2170 gegen eine 3272 getauscht zu bekommen, denn die tat was sie soll.. Der Kunde nimmt dann aber eh eine kabeltaugliche 60er vom Provider, die ich ihm auf Kulanz einrichten darf und dann ist alles wieder gut. Der nächste wird explizit auf die Unwägbarkeien der (gar nicht sooo) billigen AVM Lösung hingewiesen.

Werde wohl auch dem AVM Support mal nen Link hierauf schicken, schaden kanns nicht. face-wink

@Lochkartenstanzer: Wo ist ein IP-Sec VPN keine "Pfriemelei"?

@aqui: Was macht die FB-Testumgebung? face-wink

Grüße
Der Opa Buc
dg2dra
dg2dra Dec 04, 2014 updated at 20:26:05 (UTC)
Goto Top
Lonesome Walker

Kann ich nicht bestätigen, vorausgesetzt die andere Seite hat hinsichtlich VPN einen flexiblen und konfigurierbaren Router (bei mir immer LANCOM). Habe über 100 Filialanbindungen unter meinen Fittichen mit den Fritten (7270,7272, 7390, 7490) und tun Site-2-Site-VPN ohne Murren...btw das hat in den wenigsten Fällen mit der Firmware der Fritten zu tun, man muss halt wissen, wie die Box sich das VPN so "wünscht" (was zugegebenermassen bei AVM unterirdisch dokumentiert ist mit der Krönung deren kryptischen Error-Codes und deren "Beschreibung" *lol* ). Besonders bei NAT-T und DPD ist sie etwas empfindlich...
SarekHL
SarekHL Dec 05, 2014 at 05:58:39 (UTC)
Goto Top
Zitat von @the-buccaneer:

Wo ist ein IP-Sec VPN keine "Pfriemelei"?

Der Frage kann ich mich anschließen ... Vor allem wenn man den Aggressive Mode nutzen muss, weil es keine feste IP-Adressen gibt. Da sind die FritzBoxen deutlich leichter zu konfigurieren als andere Geräte. Und ich hatte noch keine Probleme damit (2170 auf der einen, 3490 auf der anderen, beides normales ADSL) ...
aqui
aqui Dec 05, 2014, updated at Dec 06, 2014 at 12:32:05 (UTC)
Goto Top
Na ja, mal ehrlich wenn man Kenntniss der Materie besitzt und wirklich weiss was man da macht ist manches GUI sicher hie und da verwirrend aber auf jedem Router bekommt man es mit ein paar Mausklicks hin. Noch einfacher als die Fritz Gurken ist der Draytek aber richtige Netzwerker machen so oder so CLI.
Fazit: Wie immer im Leben ist das alles eine Frage des persönlichen Geschmacks. Der eine kann damit besser der andere damit. Die typischen "Kaufberatung" Threads hier im Forum spiegeln die Sinnfreiheit solcher Diskussionen nur zu gut wieder.

Das Grundübel an der Sache ist das die meisten der billigen China oder Taiwan Plaste Elaste Router das IPsec Protokoll nur sehr rudimentär implementiert haben die gerade nur Verbindungen innerhalb des Herstellers einfach zustande kommen lassen. Ist ja auch gewollt, damit der Kunde eben markentreu kauft. Bei Billigprodukten ein wichtiger Punkt.
IPsec bietet aber eine Fülle von Facetten und Optionen und wenn da nur etwas fehlt kann es in Kombination mit anderen nicht funktionieren. Auf Nachbesserung und Bugfixes bei China Produkten kann man dann lange warten, das sieht allein der Presi schon nicht vor.
Nichtmal AVM hat das Protokoll innerhalb der FB Modelle sauber implementiertt wie man an diversen Threads hier ablesen kann und die AVM Hotline ja selber zugibt.
Der zweite Punkt ist (wenn man mal ehrlich ist) das die meisten ein Teil der User hier meist fachfremde Autodidakten und Bastler sind die Klein- oder Kleinstnetze beteuen oder mit Windows Klicki Bunti Wissen an so eine Installation rangehen mit dem Anspriuch das es so leicht wie Winblows sein muss sonst ist das Produkt eben Mist.
Fachliche Unkenntnis vom Netzwerk und seinen Protokollen kommt dazu. On Top das allgemeine Problem dann wieder den letzten Euro am Produkt gespart zu haben und damit ist das (IPsec) Kind dann im Brunnen. Mit Engagement und Wissen bekommt man (fast) alles mit allem zum Fliegen wie diverse Tutorials hier ja zweifelsfrei beweisen.
DG2DRA hat es oben schon auf den Punkt gebracht. Mit einem flexiblen Router wie z.B. einem Cisco 886va (es gibt ja noch Besseres als Lancom face-wink ) oder eine pfSense usw. (um mal bei den billigen Lösungen zu bleiben...) hat man umfassende Debugging Möglichkeiten die einen schnell das Problem finden und lösen lassen sofern auch das Umfeld stimmt.
Es ist also weniger eine Frage der einzelnen Produkte sondern des gesamten Umfeldes !!
16568
16568 Dec 05, 2014 updated at 07:49:15 (UTC)
Goto Top
Zitat von @dg2dra:
Kann ich nicht bestätigen, vorausgesetzt die andere Seite hat hinsichtlich VPN einen flexiblen und konfigurierbaren Router
(bei mir immer LANCOM)

Dann klink' Dich mal aus dem Beitrag aus, wir reden hier von site2site mit Fritten.

Zitat von @aqui:
Es ist also weniger eine Frage der einzelnen Produkte sondern des gesamten Umfeldes !!

Richtig, und dazu zählt leider auch das Thema Budget, oder noch besser "mein Schwiegersohn hat das so bei sich zu Hause gemacht, will auch..." face-wink


Lonesome Walker
mausemuckel
mausemuckel Dec 05, 2014 updated at 18:29:57 (UTC)
Goto Top
@aqui

Ich zitiere: "das die meisten User hier meist fachfremde Autodidakten und Bastler sind" finde ich schon ziemlich überheblich! Nichts gegen Leute die Studiert sind und richtig was auf dem Kasten haben und das in einem Forum wie dem selbigen auch durch gute Texte und Beitrag zeigen, aber den Großteil der User hier so abzuwatschen finde ich heftig.
aqui
aqui Dec 06, 2014 updated at 12:44:50 (UTC)
Goto Top
Oha...nun sind wir wieder auf dem Level der Diskussion... OK also nochmal: In einem Administrator Forum sollte man ja schon einen gewissen Wissenhorizont haben um das mal vorsichtig auszudrücken. Das man als Laie da mal etwas heftiger angefasst wird ist nie böse und schon gar nicht abfällig gemeint und sollte man auch aushalten können mit einem entsprechenden Rückgrat.
Es sollte auch dir klar sein das die o.a. Feststellung keineswegs als "Niedermachen" gemeint war sondern lediglich mehr oder minder die tägliche Realität hier beschreibt. Und auch die ist ja nicht böse, sie ist halt so wie sie ist. Einmal im Forum fragen ist heute einfacher als selber zu recherchieren und zu lesen.
Lies dir gerade solche Threads mal in Ruhe durch. Es ist immer eine gewisse Anspruchshaltung an ein Produkt da. Am besten wäre doch der Button VPN ein oder aus. Egal was für eine Technik sich dahinter verbirgt, muss man ja nicht mehr wissen.
Ein Anspruch der unterschwellig häufig besteht wenn du ehrlich bist. Die Threads wo solche Themen oder technischen Probleme im Umfeld von VPN sachlich und auch fachlich fundiert diskutiert werden kannst du an max. einer Hand abzählen. Die meisten sind Trial and Error mit teilweise abstrusen Vorgehensweisen beim Troubleshooting. Mal abgesehen vom Verstehen des Hintergrundes.
Da eine visuelle Kommunikation mit solchen TOs in einem Forum ja ausgeschlossen ist was denkst du soll man sich dann auf grund des Geschriebenen so denken ? Es ist vorprogrammiert das dann schnell kategorisiert wird.
Fazit: Mit Abwatschen hat das nichts zu tun und auch nicht mit irgendwie gearteter Abqualifizierung. Es ist letzlich mal ein Spiegel der täglichen Realität.
Im übrigen ist die Formlierung oben angepasst um politisch korrekter zu sein.
Damit dann wieder zurück zum eigentlichen Thema dieses Threads....
ipzipzap
ipzipzap Dec 10, 2014 at 09:29:40 (UTC)
Goto Top
Also "studiert" bedeutet nicht automatisch "was auf dem Kasten haben" face-wink
Lochkartenstanzer
Lochkartenstanzer Dec 10, 2014 at 09:40:17 (UTC)
Goto Top
Zitat von @ipzipzap:

Also "studiert" bedeutet nicht automatisch "was auf dem Kasten haben" face-wink

Aber was auf dem kasten haben, kann man, obwohl man studiert hat. face-smile

lks
the-buccaneer
the-buccaneer Apr 25, 2015 at 18:17:29 (UTC)
Goto Top
Update für alle am Thema Interessierten oben angefügt.

Und bitte keine Grundsatzdebatten und Kollegenschelten. face-wink
the-buccaneer
the-buccaneer Oct 11, 2015 at 02:14:36 (UTC)
Goto Top
Update 10.10.15

Auch Zeitschaltuhr war keine Lösung. Reboot mit der Zeitschaltuhr: Irgendwann kein Reconnect mehr. Reboot aus der Weboberfläche: Alles gut.
Auch ein Neuaufbau der Internetverbindung mittels GUI der FB hilft schon immer.

Dann Firmwareupdate (endlich) seitens KD. Erst besser, dann wieder wie gehabt.
Dann Kunden gebeten, die Zeitschaltuhr um 1h nach vorne zu verstellen. Das ist gescheitert.

Nun mehere Tage stabil, bis irgendwann in einer unvorhersehbaren Nacht nach der unsäglichen Zwangstrennung im T-Online Business-tarif der Gegenseite das ganze wieder crasht.
Da ich ja nun morgens um 7 immer einen ersten Job beim Kaffee habe, ist das handlebar, aber doch im Urlaub sehr unangenehm...

Keep u updated

buc
certifiedit.net
certifiedit.net Oct 11, 2015 at 08:42:45 (UTC)
Goto Top
Moin Buc,

meine Erfahrung in der Hinsicht decken sich damit: VPN von Sophos bzw auch Bintec zur Fritte ist gut möglich. Dauerbetrieb ist ein Fiasko. Sinnhaftigkeit: 0. Du kostest auch, den Kunden kostet es Zeit und Nerven und am Ende wirst du jedesmal aus der Arbeit gerissen oder bist irgendwann den halben Tag damit beschäftigt Fehlimplementierungen des Herstellers auszubügeln + dir wird früher oder später gegen das Bein getreten, denn DU Bist es, der dem ganzen ein Gesicht gibt.

Daher rat ich dir, hol dir eine Lösung, bei der du nur noch im tatsächlichen Fehlerfall supporten musst und nicht Dauersupporter aufgrund bekannter Inkompatibilitäten wirst.

VG
the-buccaneer
the-buccaneer Oct 13, 2015 at 23:00:20 (UTC)
Goto Top
Jo, da hast Du recht! Meine Erfahrungen mit einer PfSense hinter Kabelmodem sind aber auch nicht sooo prickelnd...
Das Problem sind die Kabelnetzbetreiber, denke ich. Hast Du auf Kabel stabile IPSec VPN Site2Site Verbindungen laufen? Auch zu DSL Gegenseiten mit Zwangstrennung?
Mit welcher Hardware?
Wenn ich nun hinter die Fritte wieder was anderes hänge, habe ich doch nur wieder Probleme mit nicht korrekt weitergeleitetem Traffic in der Routerkaskade...

Wie gesagt: Fritte und PfSense mit DSL ein Traum, mit Kabel auf einer Seite ein Graus. Leider hat Kunde mit DSL nur 2000er Leitung zentral in der Haupstadt.. DANKE Telekom!

Mom. ists immer ca. 1 Woche stabil, bevor es crasht. Reicht für 1 Woche Herbsturlaub. face-wink

Buc
the-buccaneer
the-buccaneer Dec 13, 2015 at 04:17:58 (UTC)
Goto Top
Update:

Musste an die Verbindungen wieder ran wg. Änderung des Internetanschlusses auf der PfSense Seite (alles gleich, nur neue IP und auf anderem Telefonvertrag)

Das Spielchen ging von vorne los. Bei beiden Fritzens.

Aber: 2 Tage später und ein paar graue Haare reicher...

Es ist vollbracht. (Mit dem entsprechenden Vorbehalt)

Trial and Error hat aus den verschiedensten Kombinationen, die mit der FB und der PfSense möglich sind, eine hervorgebracht, die das tut, was man erwartet: VPN verbinden und reconnecten nach Zwangstrennung oder Reboots auf jedweder Seite ohne vorangegangene Fehler wie "invalid ID Information" in Phase 1 oder endlosem "The Packet is retransmitted" auf Racoon Seite. (Die FB loggt ja quasi nichts)

Hier also die Frucht meiner Mühen, auf dass es dem einen oder anderen helfen möge:

Fritzbox:


vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "Name der Verbindung";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = IP der PfSense;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "meine_domain.ddns.net";
}
remoteid {
ipaddr = IP der Gegenstelle;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "yourdeepestsecret";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

/


Auf der PfSense Seite ist damit einzustellen:

General:

Internet protocol: IPv4
Interface: WAN
Remote Gateway: DynDNS Name der FB
Description: Rom sehen und sterben

Phase 1 proposal:

Authentication Method: Mutual PSK
Negotiation Mode: aggressive
My Identifier: IP Address "meine feste IP"
Peer Identifier: Distinguished Name "DynDNS der FB"
PSK: MydeepestSecret
Policy Generation: Default
Proposal Checking: Default
Encryption Algorithm: SHA1
DH Key Group: 2
Lifetime: 3600

Advanced options:

NAT Traversal: Force

Dead Peer Detection: Enable

Phase 2:

Mode: Tunnel IPv4
local Network: LAN Subnet
Remote Network:
Type: Network
Address: Netzwerkrange des FB-netzes (Hier 192.168.177.0/24)
Description: Mein VPN

Phase2 Proposall:

Protocol: ESP
Encryption Algorithms: AES 256
Hash Algorithms: MD5, SHA1 (evtl. Aberglaube, SHA1 wäre besser, eines sollte reichen)
PFS Keygroup: 2
Lifetime 3600

Ping Host : 192.168.177.1 (FB)


Viele der Variablen sind theoretisch anpassbar und ich habe auch FB---PfSense mit etwas anderen Konfigs stabil laufen. Aber:

NUR diese Config konnte im gegebenen Setting mit Kabel Deutschland und 1&1 auf der FB Seite und T-Com auf der PfSense Seite stabil reconnecten. Besonders die KD Seite war da tricky.

Allerdings braucht man Geduld, da die FB wie bekannt, nach einer Zwangstrennung der Gegenseite wartet, bis ihre 3600 Sekunden Lifetime abgelaufen sind, bevor sie realisiert, dass die Verbindung tot ist. Damit kann man ja aber leben, wenn man das in die Nacht verlegt.

Das ganze bezieht sich natürlich nur auf die PfSense 2.15 wie oben erwähnt und läuft mit FritzOS 06.26 und 06.50.
Auch die PfSense 2.2x sollte damit aber klarkommen, da das Gefrickel m:E. von der FB verursacht wird.

Gute Nacht!

Bucolino
the-buccaneer
the-buccaneer Mar 14, 2017 at 23:12:43 (UTC)
Goto Top
So. Nachdem das nun noch 1 jahr so weiterging mit morgendlichen manuellen "Soft-Reboots" der FB, die IMMER den Tunnel etablieren konnten, nachdem ein "Hard-Reboot" (Zeitschaltuhr) das nur manchmal geschafft hat, bin ich nochmal ans Werk gegangen.

Das IPSec-Protokoll sieht vor, dass nach einem Disconnect beide Seiten aktiv versuchen können, den Tunnel neu zu etablieren. Dabei gilt ein "Wer zuerst kommt, mahlt zuerst" Prinzip. D.h. je nachdem, wer zuerst initiiert, macht den anderen zum "Responder".
Das klappt i.A. gut. Auch mit den Fritten. Auch mit der PfSense auf der anderen Seite.
Nicht aber in B. mit KD und der FB 6490.

"Am Ende ist es doch wurscht, wenn nur eine Seite die Verbindung reconnecten will", dachte ich mir eines morgens und habe, nachdem ich das ja eigentlich 2014 schon durch hatte, nochmal mit diesen Einstellungen gespielt.

Und siehe da: Auf der FB always_reconnect=no bringt nix. ABER: Auf der FB always_reconnect=yes und auf der PfSense das Reconnect ausgeschaltet: (Geht zumindest seit der 2.2.x)
Seit 2 Wochen ALLES GUT! Wenige Sekunden nach Verbindungstrennung ist der Tunnel wieder da. Stabil. Jeden Tag. *Freu*

O.k. 2 Wochen hatte ich anfangs auch schonmal.... Ich habe aber die Hoffnung, dass es diesmal gelöst ist.
Hartnäckigkeit siegt!

Nur, warum das von den VPN-Fuzzis bei AVM niemanden interessiert? Was haben die für nen Berufsethos? Mich würde das jucken...

Buc, der noch Wochen jeden Morgen um 7:00 Uhr nach dieser Verbindung schauen wird, das ist jetzt ritualisiert. face-wink