Unitymedia VPN-Problem 6360 / keine Fehlermeldung

[JoergL]

Hallo Zusammen,
ich habe seit November 2010 die 6360 und bisher tat es eigentlich soweit alles ganz gut.
Keine Probleme, stabile Inetverbindung etc.

Nun wollte ich heute Abend eine VPN-LAN-zu-LAN-Verbinung konfigurieren und bin dabei auf ein kleines Problem gestossen.

Die Konfigurationsdatei wurde unter zu Hilfnahme von diesem AVM-Dokument entsprechend konfiguriert.

Leider bleibt der Status auf "nicht aufgebaut, Watchguard".
Jetzt hätte ich ja gerne wenigstens eine Fehlermeldung, aber Pustekuchen, keine Meldung.
Die Ereignisse zeigen nur:

Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 178.xxx.xxx.xxx, DNS-Server: 80.69.100.182 und 80.69.100.174, Gateway: 178.200.184.1
Internetverbindung wurde getrennt.

Der AVM-support sagt:
Das keine Fehlermeldung kommt, mag sein.
Es gibt aber kein Support von AVM da ich mich ja nicht gegen eine andere Fritzbox sondern eine Watchdog verbinden will.

Hat wer spontan eine Idee??
Gruß und Danke
Jörg

 

[addicted]

Was auch immer eine "Watchdog" ist - hat es Logfiles?
Wer macht die ausgehende Verbindung? Klappt es andersherum? Was passiert, wenn Du die Verbindung interaktiv (telnet, etc.) aufbaust?

 

[JoergL]

Was auch immer eine "Watchdog" ist - hat es Logfiles?

sorry... meine natürlich Watchguard, nicht Watchdog... sicherlich hat die VPN-Hardware auch ne Logdatei..
Ob und was diese sagt, werde ich morgen in der Firma durch den VPN-Admin prüfen lassen.

Wer macht die ausgehende Verbindung?

Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.

Was passiert, wenn Du die Verbindung interaktiv (telnet, etc.) aufbaust?

wenn du mir Verrätst wie ich a) zugriff per telnet auf die Fritzbox ( 6360 )bekomme und b) die VPN.Verbindung von dort starte...

 

[addicted]

sorry... meine natürlich Watchguard, nicht Watchdog... sicherlich hat die VPN-Hardware auch ne Logdatei..
Ob und was diese sagt, werde ich morgen in der Firma durch den VPN-Admin prüfen lassen.

Wir warten mit Spannung

Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.

Gerne. Sofern Du keine dedizierte Leitung von Dir ins Büro hast, baut eines der Endgeräte die Verbindung auf. Falls du eine dedizierte Leitung hast, kannst Du das mit der Fritzbox nicht konfigurieren, und überhaupt brauchst Du dann kein VPN

Was passiert, wenn Du die Verbindung interaktiv (telnet, etc.) aufbaust?

wenn du mir Verrätst wie ich a) zugriff per telnet auf die Fritzbox ( 6360 )bekomme und b) die VPN.Verbindung von dort starte...

Ich meinte natürlich, dass Du von Hand versuchst, zum VPN-Server zu verbinden, nicht die Fritzbox zu manipulieren. Ich gebe aber zu, dass das bei IPSEC etwas, äh, schwieriger ist, daher lassen wir das. Leider hab ich mit einer Fritzbox noch nie ein VPN aufgebaut, daher kann ich dazu nicht viel sagen. Du könntest uns aber mal erzählen, wie genau Deine Konfig aussieht, wie die Daten der Gegenstelle sind, und insbesondere welche Zertifikate verwendet werden sollen...

 

[a.spengler]

Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.

Irgendeines der beiden VPN-Gateways muss die Verbindung herstellen, damit die "stetig da" sein kann.

 

[JoergL]

sorry... meine natürlich Watchguard, nicht Watchdog... sicherlich hat die VPN-Hardware auch ne Logdatei..
Ob und was diese sagt, werde ich morgen in der Firma durch den VPN-Admin prüfen lassen.

Wir warten mit Spannung

Naja ich werds ja morgen sehen, aber in Ermagelung von vernüftigen Infos im Ereignisprotokoll der Fritzbox gehe ich im Moment davon aus, das die Verbindung ja garnicht erst aufgebaut wird.

Man möge mich korregieren, aber bei einer LAN-to-LAN-VPN Verbindung ist keine extra Initialisierung notwendig, sondern die Verbindung ist stetig da.

Gerne. Sofern Du keine dedizierte Leitung von Dir ins Büro hast, baut eines der Endgeräte die Verbindung auf. Falls du eine dedizierte Leitung hast, kannst Du das mit der Fritzbox nicht konfigurieren, und überhaupt brauchst Du dann kein VPN

Irgendeines der beiden VPN-Gateways muss die Verbindung herstellen, damit die "stetig da" sein kann.

Naja aber genau den Aufbau der Verbindung soll ja die Fritzbox selber machen...
Andernfalls macht es ja gar kein Sinn den VPN-Tunnel in der Fritzbox zu konfigurieren, sondern ich könnte auch auf den Software-VPN-Client zurückgreifen.

Was die Konfiguration betrifft:
Die Konfigurationsdatei entsprihct dem PDF-Dokuemnt, welches im ersten Post verlinkt ist.
Natürlich mit geänderten Daten für die relevanten stellen

 

[addicted]

Die Konfigurationsdatei entsprihct dem PDF-Dokuemnt, welches im ersten Post verlinkt ist.
Natürlich mit geänderten Daten für die relevanten stellen

Die häufigsten Probleme bei der Einrichtung von IPSEC bestehen mit Fehlern in der Konfiguration, insbesondere bei nicht identischen Produkten für die beiden Enden des "Tunnels". Da heißen die Begriffe ganz anders, teilweise werden andere Standards implementiert...
Am Besten klärst Du die Konfig mal mit dem VPN-Admin. Ohne die Daten (beider Enden!) kann Dir hier vermutlich niemand helfen.

Es wäre natürlich wünschenswert, dass die Fritzbox mehr Debugausgabe wirft.

 

[JoergL]

Also bei uns an der Firewall/VPN-Box kommt nichts an...

Hier mal die config:

vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "Watchguard"; always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = die-externe-ip-der-firma; remote_virtualip = 0.0.0.0; localid { fqdn = "mein-dyndns-name-für-die-fritzbox"; } remoteid { ipaddr = die-externe-ip-der-firma; } mode = phase1_mode_aggressive; phase1ss = "def/3des/sha"; keytype = connkeytype_pre_shared; key = "der-ganz-geheime-psk-mit-16-stellen"; cert_do_server_auth = no; use_nat_t = no; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.55.0; mask = 255.255.255.0; }	} phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs"; accesslist = "permit ip any 132.0.0.0 255.255.0.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
}

hier auch noch ein Screenshot aus der Oberfläche der Fritzbox.

Was dort etwas komisch ist, ist das lokales und entferntes Netz leer sind.

Auch wurde schon folgende Config-Anpassung ausprobiert:

 phase2localid { ipnet { ipaddr = 192.168.55.0; mask = 255.255.255.0; }	} phase2remoteid {	ipnet { ipaddr = 132.0.0.0; mask = 255.255.0.0; } }

 

[addicted]

Also bei uns an der Firewall/VPN-Box kommt nichts an...

Kommen dort keine UDP-Pakete an, oder habt ihr lediglich die etablierten Verbindung am VPN-Gateway überprüft?

Ist Deine IP korrekt bei DynDNS (mit dem Hostnamen aus der Config) registriert?

Kannst du Dich von einem Rechner/Laptop hinter der Fritzbox aus mit dem VPN verbinden?

 

[JoergL]

Kommen dort keine UDP-Pakete an, oder habt ihr lediglich die etablierten Verbindung am VPN-Gateway überprüft?

es kommt kein einziges Paket von meiner IP/dyndns-Name am Gateway an

Ist Deine IP korrekt bei DynDNS (mit dem Hostnamen aus der Config) registriert?

ja ist sie, Namensauflösung funktioniert ebenfalls einwandfrei

Kannst du Dich von einem Rechner/Laptop hinter der Fritzbox aus mit dem VPN verbinden?

das wird, wenn ich heute mein Firmenlaptop erhalte, heute Abend getestet

 

[a.spengler]

Mal so ins Blaue: es macht m.W. konfigurationsmäßig einen Unterschied, ob ein einzelner Rechner auf das entfernte VPN-GW zugreifen möchte oder ein Gerät wie die Fritz!Box, um zwei ganze Netze zu verbinden.

Wäre es möglich, dass der Watchdog/guard gar nicht für Letzteres ausgelegt ist?

 

[JoergL]

grundsätzlich solltes es problemlos fumktionieren. Es gibt bereits nen kollegen, der es genau so macht.
Leider ist er gerade im urlaub und kann seine konfigurationsdatei nicht zur verfügung stellen.

Fakt scheint im moment zu sein, das die fritzbox garnicht erst versucht, warum auch immer, die verbindung aufzubauen

 

[albatros]

hier auch noch ein Screenshot aus der Oberfläche der Fritzbox.

Was dort etwas komisch ist, ist das lokales und entferntes Netz leer sind.

Lokales und entferntes Netz sind leer, weil die Verbindung nicht aktiv ist. Unter "Adresse im Internet" steht bei mir die IP-Adresse, mit der die Verbindung zuletzt bestanden hat.


Hast Du Dich einmal im IP-Phone-Forum umgesehen? Die Suche nach "watchguard" bringt dort einige Ergebnisse. Vielleicht ist für Dich etwas dabei.