Unitymedia Fritz 6360 VPN zu 7390

[Wbn110]

Hallo meine Mutter hat einen Vertrag bei UM seit einem Monat.
Sie hat die Fritz box 6360 und so wie ich sehe IPv6.

Ich möchte nun einen VPN Tunnel zu ihr aufbauen von meiner Fritz box 7390 (t-online) mit ipv4.

Ich habe gelesen da gäbe es Probleme hierzu.

Hat jemand ein Hinweis worauf ich achten soll wenn ich diesen VPN Tunnel einrichte?

 

[Egalus]

Von dir zu ihr geht nur wenn du eine andere Lösung als Avm VPN nutzt, da dem VPN kein IPv6 kann. von ihr zu dir sollte es aber funktionieren.

 

[hajodele]

Von dir zu ihr geht nur wenn du eine andere Lösung als Avm VPN nutzt, da dem VPN kein IPv6 kann. von ihr zu dir sollte es aber funktionieren.

Wobei das wegen der Zwangstrennung bei (v)dsl wahrscheinlich nicht wirklich praktikabel ist.
Zusätzlich zu erwähnen: Die aktuelle Firmware OS6.00 hat einen Bug. Bei eingeschaltetem vpn kann man zwar noch angerufen werden, nur der Anrufer hört einen nicht. :heul:

 

[Wbn110]

Ok wenn ich bei ihr mit einer Linux Maschine einen Dauer Ping erstelle sollte es gehen. Oder?
Hat jemand eine fritzbox mit der Konstellation VPN ipv6 to ipv6?

 

[SpaceRat]

Hat jemand eine fritzbox mit der Konstellation VPN ipv6 to ipv6?

Du könntest Ihr einen Raspberry Pi hinstellen, und dort OpenVPN installieren. Statt des Raspberry Pi tut es auch ein NAS, E2-Receiver oder sonst irgendwas Durchlaufendes, was schon in ihrem Netz vorhanden ist.
Bei Dir kannst Du OpenVPN mittels Freetz sogar in die 7390 einbauen oder auch wieder einen Raspberry Pi bzw. ein anderes durchlaufendes Gerät verwenden.

OpenVPN ist allerdings ungleich komplizierter einzurichten als das AVM VPN.

 

[Wbn110]

Danke für den Hinweis aber ich wollte lieber nur mit der FBF machen.
Also so wie ich es verstehe ist es kein Problem ein Tunnel Aufbau von ipv6 zu ipv4.
Oder?

 

[Egalus]

Danke für den Hinweis aber ich wollte lieber nur mit der FBF machen.
Also so wie ich es verstehe ist es kein Problem ein Tunnel Aufbau von ipv6 zu ipv4.
Oder?

Sie hat garantiert keinen ipv6 only Zugang sondern einen DS-Lite Zugang, das heißt natives IPv6 und IPV4 über ein Carrier Grade NAT (also ein NAT, dass beim Provider steht und für das du keine Portweiterleitungen einrichten kannst). Daher kann sich deine Mutter theoretisch ohne Probleme mit jedem IPv4 Dienst unterhalten, ist aber über IPv4 nur mit Antwortpaketen erreichbar. Ein direkter IPv4 Verbindungsaufbau zu ihr ist aber unmöglich (Stichwort NAT Traversal).

 

[Wbn110]

Ok sie kann eine Verbindung zu mir aufbauen, und wenn die Verbindung steht können wir kommunizieren.
Oder?

 

[SpaceRat]

Ok sie kann eine Verbindung zu mir aufbauen, und wenn die Verbindung steht können wir kommunizieren.
Oder?

Was willst Du überhaupt erreichen?

 

[Wbn110]

2 Fritzboxen via VPN verbinden.

 

[SpaceRat]

2 Fritzboxen via VPN verbinden.

Ok, wenn Du keine weitere Angaben darüber machst, was Du erreichen willst (Fernwartung, entfernte Freigaben mounten, ....), sondern nur das wie (VPN halt), dann bleibt nur folgendes zu sagen:

Das AVM-VPN zwischen zwei Fritz!Boxen funktioniert nicht, sobald mindestens eine der Boxen per DS-lite angebunden ist. Es funktioniert nur IPv4-zu-IPv4, unabhängig davon, daß der DS-lite-Anschluß theoretisch ausgehende IPv4-Verbindungen aufbauen können müßte.

Für ein VPN ist somit eine externe Lösung der einzig mögliche Weg. Auf der Seite der 7390 ist es nicht ganz so extern, weil hier das "OpenVPN" mittels Freetz auch in die Fritz!Box eingebaut werden kann, bei der 6360 ist es hingegen nicht möglich über Freetz eigene Firmware zu erstellen, so daß hier der OpenVPN auf einem anderen Gerät laufen muß.

Existiert im Netzwerk der 6360 bereits ein geeignetes Gerät (Irgendeines, das zumindest immer dann läuft, wenn das VPN benötigt wird und für welches OpenVPN verfügbar ist), dann kann dieses verwendet werden. Anderenfalls wären ein Raspberry Pi (Gesamtkosten ~50 EUR) oder ein einfacher Router auf den man *-WRT aufspielen kann die günstigste Optionen.

 

[Wbn110]

hallo ich hab nun die configs importiert und der Tunnel wird aufgebaut.
Aber die Verbindung bricht immer wieder ab.

hier ein Auszug von der 7390

12.02.14 21:42:51 VPN-Verbindung zu Mama wurde getrennt. Ursache: 3 IKE server
12.02.14 21:42:51 VPN-Verbindung zu Mama wurde erfolgreich hergestellt.
12.02.14 21:42:49 VPN-Verbindung zu Mama wurde getrennt. Ursache: 3 IKE server
12.02.14 21:42:49 VPN-Verbindung zu Mama wurde erfolgreich hergestellt.
12.02.14 21:42:47 VPN-Verbindung zu Mama wurde getrennt. Ursache: 3 IKE server
12.02.14 21:42:46 VPN-Verbindung zu Mama wurde erfolgreich hergestellt.

laut AVM heisst die 3
Ursache 3: Die Gegenstelle (z.B. FRITZ!Fernzugang) hat die VPN-Verbindung beendet.

---------------------------------------------------------------------------------------------------------------------
ich baue die Verbindung von der 6360 auf.
und auf der 6360 steht immer Verbindung wird aufgebaut.


Habt ihr eine Idee ?
Warum wird die Verbindung immer wieder von der Gegenstelle (6360) abgebaut?

Ps OS version (6360) ist 6.0

 

[dom90]

Genau das gleiche Problem habe ich auch.
Laut AVM müsste es ja klappen, wenn nur eine Fritzbox hinter einem DS Lite Anschluss steckt.

Habe schon mit AVM telefoniert, weil ich genau die gleichen Fehlermeldungen bekomme.
Hast du in der Zwischenzeit eine Lösung gefunden ?

 

[SpaceRat]

Genau das gleiche Problem habe ich auch.
Laut AVM müsste es ja klappen, wenn nur eine Fritzbox hinter einem DS Lite Anschluss steckt.

Habe schon mit AVM telefoniert, weil ich genau die gleichen Fehlermeldungen bekomme.
Hast du in der Zwischenzeit eine Lösung gefunden ?

Es geht nicht:

IPv4-lite bzw. der dafür verwendete Tunnel ist nochmals deutlich weniger durchlässig als "nur" IPv4-CGN.

An Anschlüssen mit reinem IPv4-CGN (Tele Columbus, Glasfaser Deutschland, Mobilfunk) funktioniert das AVM-VPN tatsächlich (ausgehend), aber nicht an IPv4-lite.

 

[DrCain]

Sorry fürs Hochholen eines so alten Threads, aber hat das mittlerweile mal jemand hinbekommen?

Also ein VPN Netz zwischen 2 fritzboxen von denen eine per DS-Lite und die andere per ipv4 (bzw. Dual Stack) angebunden ist?
Laut avm sollte das funktionieren (http://avm.de/service/fritzbox/fritzbox-6320-cable/wissensdatenbank/publication/show/5_VPN-Verbindung-zwischen-zwei-FRITZ-Box-Netzwerken-einrichten/)
"•Mindestens eine der beiden FRITZ!Boxen muss vom Internetanbieter eine öffentliche IPv4-Adresse erhalten."

Aber irgendwie will es bei mir nicht funktionieren..

 

[schnueffelstueck]

Fritz!Box 7490 06.51 (Dual-stack) mit Fritz!Box Cable 6340

<t>Gleiches Problem hier. Habe extra gewartet, bis ich im anderen Netz von IPv4 auf Dual-Stack umgestellt wurde. Leider hat auch dass das Problem nicht gelöst.<br/>
<br/>
Versuche ein VPN zwischen einer Fritz!Box 7490 06.51 mit Dual-stack und einer Fritz!Box Cable 6340 06.04 mit DS-Lite zu erstellen.<br/>
<br/>
Offensichtlich bringt der IPv6 DDNS-Handle für die Cable-Box nichts, da die Fritzen nur IPv4 DNS-Einträge auflösen können. Das quittiert die Cable-Box stets mit IKE-Error 0x2027, die erreichte Dual-Stack Box mit IKE-Server 3.<br/>
<br/>
Habe nun eine Support-Anfrage gestartet, denn soooo exotisch sollte der Fall ja nicht sein. Die ganzen Cable-Modems sind doch immer in dieser Konstellation.</t>

 

[hajodele]

Neben dem oben schon von Spacerat genannten Problem um DS-Lite kann AVM kein VPN via IPv6.

 

[mountbatt]

Gibts hier schon irgendwie ne Lösung?
Der AVM Support weiß hier auch nicht weiter bzw. beruft sich auf das Support-Doc in dem steht, dass man mind. eine öffentliche IPv4 braucht.
Das scheint hier aber nicht auszureichen …

 

[johnripper]

Bitte kopiere beide Config Files hier rein (ohne persönliche Daten). Bitte die Angabe zu welcher Box die gehören, und wie die IPv4 lt. Router lauten(letzte Stellen ge-x-t).

 

[mountbatt]

Also, meine 7390 im Büro soll sich mit der 6490 (UM) zu Hause per VPN verbinden.
Bei der 7390 habe ich IPv6 aktiviert und es funktioniert auch soweit. Über IPv6 Postfreigaben auf der 6490 komme ich auch von der 7390 auf die Geräte an der 6490 ran.

VPN Verbindung beziehen auch jew. IPv4 IP's aber natürlich ist die IPv4 der 6490 (Unitymedia) die DSLite IP.
Deshalb kommt auf der 7390 der Fehler "VPN-Verbindung zu 7p3XXXXXX.myfritz.net wurde getrennt. Ursache: 3 IKE server".


FritzBox 7390 - im Büro
NetCologne DSL
IPv4: 78.35.1XX.XX
IPv6: 2001:4dd0:af05:fcc0:c225:6ff:febe:XXXX

...

 

[Leseratte10]

Das Fritzbox-VPN kann kein IPv6.

Das bedeutet, du musst das VPN von der UM-Fritzbox aus aufbauen, denn die Büro-Box kann deine UM-Box ja nicht (über IPv4) erreichen.

 

[mountbatt]

FritzBox 6490
Unitymedia
IPv4 (über wieistmeineip.de ermittelt): 37.201.2XX.X
IPv6: 2a02:908:500:a:6cfa:1e71:c96d:xxxx

...

 

[mountbatt]

@Leseratte, das ist verständlich ja. Aber kann ich die Richtung vorgeben? In den beiden Boxen geb ich ja einfach nur die Verbindung zw. beiden ein und dann connecten die von alleine. Das ist doch von mir nicht "richtungsvorgebend", oder?

 

[johnripper]

Okay, ich war eigentlich auf der Suche nach den VPN-Konfigurationsdateien (beider Fritzboxen), die sehen etwa so aus:

 vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "Site1-Site2"; always_renew = yes; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; remotehostname = "geheimedomain.com"; localid { fqdn = "geheimedomain.com"; } remoteid { fqdn = "geheimedomain.com"; } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "Sag ich nicht"; cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.1.0; mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.3.0; mask = 255.255.255.0; } } phase2ss = "esp-all-all/ah-none/comp-all/pfs"; accesslist = "permit ip any 192.168.3.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
} 


Wichtig ist der Teil der VPNCFG beginnt. Mit dem Konfiguration oben kann ich nichts anfangen, die kannst du wieder löschen. Zunmal da die ganzen MAC Adressen deiner Geräte drinstehen xO

Edit: Wie hast du die VPN Verbindungen denn erstellt? Gib bitte noch das Subnetz der 6360 an, dann kann ich dir auch mal zwei Dateien erstellen.

 

[mountbatt]

Danke für die schnelle Info. Wie komme ich an die VPN Configs?