Unitymedia Fritz 6360 VPN zu 7390

[SpaceRat]

Die Boxen versuchen gleichermaßen, sich gegenseitig zu erreichen, also normal reiner Zufall, welche zuerst durchkommt.

Bei einseitigem CGN kann die Box mit öffentlicher IPv4 die Box hinter dem CGN nicht erreichen, umgekehrt aber schon.
Somit wird in diesem Fall die Verbindung ganz von alleine immer durch die Box hinter dem CGN initiiert.

Bei beidseitigem CGN geht das VPN nur, wenn man die CGN-IPv4s für die VPN-Profile als Ziele nutzt und beide Fritten beim selben Provider sind und die Ports/Kunden nicht durch den Provider isoliert werden ("Port Isolation").

Bei DS-lite - auch einseitigem - geht gar nix. Das Problem ist hier weniger die fehlende öffentliche IPv4 sondern vielmehr, daß der IPv4-Traffic getunnelt werden muß und der Tunnel nicht IPSec-verträglich ist.


Abhilfe:
Beidseitig anständige Router, ggf. gefreezte Fritz!Boxen, mit OpenVPN drauf und das VPN gleich per IPv6 aufbauen lassen. Der Traffic innerhalb des VPN kann dabei auch durchaus noch auf IPv4 belassen werden.

 

[johnripper]

@SpaceRat:

Es kann auf jeden Fall out-of-the-box funktionieren. Wichtig dabei ist, dass nur die Fritzbox mit DS-Lite die Verbindung aufbaut und keinesfalls die Fritzbox mit der öffentliche IPv4

Edit:

Bei einseitigem CGN kann die Box mit öffentlicher IPv4 die Box hinter dem CGN nicht erreichen, umgekehrt aber schon.
Somit wird in diesem Fall die Verbindung ganz von alleine immer durch die Box hinter dem CGN initiiert.

Nein, genau das ist eben das Problem. Die empfangende Box (mit öffentlicher IPv4) darf auf keinen Fall versuchen eine Verbindung aufzubauen, da dies unweigerlich fehl schlägt und dann wohl den VPN-Tunnel in den Abgrund reißt. Die unten genannten Konfigs sind jetzt so angepasst, dass die 7390 keine Verbindungsversuche unternimmt. Ggf. muss jedoch auch noch der Eintrag "remoteip" auf Empfängerseite (7390) entfernt werden, hierzu habe ich unterschiede Angaben gefunden.

@mountbatt:

Okay anders. Ich habe dir zwei Dateien erstellt mit denen du es mal versuchen solltest:

Wichtig ist hier, dass du
1) das Subnetz der 6360 herausfindest und entsprechend anpasst. Derzeit ist die Annahme, dass es 192.168.178.1/24 (255.255.255.0) ist. Das Subnetz der 7390 ist nochmal zu überprüfen, dies habe ich aus deiner Konfig.
2) du die Hostname der 7390 entsprechend der DynDNS anpasst
3) eine FQDN für die 6360 festlegst (egal, sollte nur gleich sein).

Zuerst diese Datei anpassen und in die 7390 importieren:

<i>
</i>vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "From 7390 to 6360"; always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; localid { fqdn = "HOSTNAME DER 7390 hier eintragen"; } remoteid { fqdn = "HOSTNAME DER 6360 hier eintragen"; } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "bitteAendereMich"; cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.165.0; mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.178.0; mask = 255.255.255.0; } } phase2ss = "esp-all-all/ah-none/comp-all/pfs"; accesslist = "permit ip any 192.168.178.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
} 

Dann folgende Datei anpassen und in die 6360 importieren:

<i>
</i>vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "From 6360 to 7390"; always_renew = yes; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 0.0.0.0; remotehostname = "HOSTNAME DER 7390 hier eintragen"; localid { fqdn = "HOSTNAME DER 6360 hier eintragen"; } remoteid { fqdn = "HOSTNAME DER 7390 hier eintragen"; } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "bitteAendereMich"; cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.178.0; mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.165.0; mask = 255.255.255.0; } } phase2ss = "esp-all-all/ah-none/comp-all/pfs"; accesslist = "permit ip any 192.168.165.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
} 


All bisherigen VPN Verbindungen in den Boxen bitte testweise deaktivieren.

Edit 19:49: Einen Fehler noch korrigiert.

 

[mountbatt]

Ich bin nicht der Threadersteller, meine Boxen sind wie gesagt 7390 (Büro, Netcologne, 192.168.165.0) und 6490 (Zu Hause, Unitymedia, 192.168.178.0) - ich schau mir Deine Configs aber mal an!

 

[johnripper]

Ich bin nicht der Threadersteller, meine Boxen sind wie gesagt 7390 (Büro, Netcologne, 192.168.165.0) und 6490 (Zu Hause, Unitymedia, 192.168.178.0) - ich schau mir Deine Configs aber mal an!

Okay, hatte ich richtig getippt mit dem Subnetz, solltest du so übernehmen können bis auf die Anpassungen die markiert sind.

 

[mountbatt]

Will nicht … selbes Problem wie zuvor.
Die NetCologne Box 7390 meldet: VPN-Verbindung zu From 7390 to 6360 wurde getrennt. Ursache: 3 IKE server

 

[SpaceRat]

192.168.178.x will das AVM VPN sowieso nicht ...

 

[johnripper]

Wie im bearbeiteten Beitrag geschrieben, muss ggf. noch der Eintrag "remoteip" entfernt werden, also hier nochmal ein Test:

Import für die 7390

vpncfg { connections { enabled = yes; conn_type = conntype_lan; name = "From 7390 to 6360"; always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remote_virtualip = 0.0.0.0; localid { fqdn = "HOSTNAME DER 7390 hier eintragen"; } remoteid { fqdn = "HOSTNAME DER 6360 hier eintragen"; } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "bitteAendereMich"; cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.165.0; mask = 255.255.255.0; } } phase2remoteid { ipnet { ipaddr = 192.168.178.0; mask = 255.255.255.0; } } phase2ss = "esp-all-all/ah-none/comp-all/pfs"; accesslist = "permit ip any 192.168.178.0 255.255.255.0"; } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
} 

 

[johnripper]

192.168.178.x will das AVM VPN sowieso nicht ...

Du hast Recht -- das war mir mal wieder entfallen.

Es muss also zusätzlich noch der IP Adressbereich der 6360 angepasst werden, sodass er nicht 192.168.178.0/24, sondern bspw. 192.168.1.0/24 lautet.
Entsprechend wären beide CFGs wieder anzupassen.

 

[mountbatt]

Wichtig ist hier, dass du
1) das Subnetz der 6360 herausfindest und entsprechend anpasst. Derzeit ist die Annahme, dass es 192.168.178.1/24 (255.255.255.0) ist. Das Subnetz der 7390 ist nochmal zu überprüfen, dies habe ich aus deiner Konfig.
2) du die Hostname der 7390 entsprechend der DynDNS anpasst
3) eine FQDN für die 6360 festlegst (egal, sollte nur gleich sein).

Fragen dazu:
zu 2) Warum schreibst Du das explizit nochmal auf?
zu 3) Was ist mit FQDN gemeint?

 

[SpaceRat]

FQDN = Fully Qualified Domain Name = Vollständiger Domänenname, z.B. ist www.unitymediaforum.de ein FQDN.

 

[mountbatt]

Aber was bedeutet, dass ich einen FQDN für die 6490 anlegen soll?

Edit: beide boxen sind ja lokal unter fritz.box erreichbar. also identisch.

 

[johnripper]

Wichtig ist hier, dass du
1) das Subnetz der 6360 herausfindest und entsprechend anpasst. Derzeit ist die Annahme, dass es 192.168.178.1/24 (255.255.255.0) ist. Das Subnetz der 7390 ist nochmal zu überprüfen, dies habe ich aus deiner Konfig.
2) du die Hostname der 7390 entsprechend der DynDNS anpasst
3) eine FQDN für die 6360 festlegst (egal, sollte nur gleich sein).

Fragen dazu:
zu 2) Warum schreibst Du das explizit nochmal auf?
zu 3) Was ist mit FQDN gemeint?

zu 2) Ich wollte nochmal rausstellen, dass hier der DynDNS Name eingetragen werden muss.
zu 3) Ersetze in dem obigen Satz einfach FQDN durch DynDNS Name. Ich wusste nicht ob du einen eingerichtet hattest.

Verwende also als bei der
- 7390: 1XXXXXXXXXXXXXXXXXXXXX.myfritz.net (anonymisierter Name aus PN)
- 6360: 7XXXXXXXXXXXXXXXXXXXXX.myfritz.net (anonymisierter Name aus PN)

Auf jeden Fall habe ich schon mehrfach Boxen gesehen, die problemlos via UMTS/LTE Verbindungen hinter einem NAT eine Verbindung aufbauen konnten. Das muss also gehen.

 

[SpaceRat]

Auf jeden Fall habe ich schon mehrfach Boxen gesehen, die problemlos via UMTS/LTE Verbindungen hinter einem NAT eine Verbindung aufbauen konnten. Das muss also gehen.

UMTS/LTE ist aber eben auch nur CGN, kein DS-lite.

Aber mir glaubt ja keiner ...

 

[mountbatt]

Bei allen Bemühungen, ich bekomme nur immer "VPN-Verbindung zu From 7390 to 6360 wurde getrennt. Ursache: 3 IKE server"

 

[johnripper]

Was meldet denn die FritzBox 6360 in diesem Zusammenhang?

Ich werde versuche nächste Woche mal bei jemand vorbeizuschauen, der einen DS-Lite Anschluss mit einer Fritzbox hat um selber mal zu testen.

 

[mountbatt]

7390 meldet:

04.06.16
11:31:00	VPN-Verbindung zu 7390to6490 wurde getrennt. Ursache: 3 IKE server
04.06.16
11:31:00	VPN-Verbindung zu 7390to6490 wurde erfolgreich hergestellt.
04.06.16
11:30:59	VPN-Verbindung zu 7390to6490 wurde getrennt. Ursache: 3 IKE server
04.06.16
11:30:59	VPN-Verbindung zu 7390to6490 wurde erfolgreich hergestellt.
04.06.16
11:30:58	VPN-Verbindung zu 7390to6490 wurde getrennt. Ursache: 3 IKE server
04.06.16
11:30:58	VPN-Verbindung zu 7390to6490 wurde erfolgreich hergestellt.
04.06.16
11:30:57	VPN-Verbindung zu 7390to6490 wurde getrennt. Ursache: 3 IKE server

6490 meldet:

04.06.16
11:12:50	VPN-Fehler: 6490to7390, IKE-Error 0x2027 [4 Meldungen seit 04.06.16 11:10:40]

Wenn ich aber in den beiden Configs use_nat_t = no einstelle bekomme ich direkt eine Verbindung zwischen beiden Boxen hergestellt. Allerdings funktioniert dann das Routing nicht und mir ist damit auch nich geholfen. Kann ebenfalls keine Zugriffe auf Geräte in dem jew. anderen Netz machen.

Danke für Deine Hilfe soweit …

 

[johnripper]

Nicht dafür, bisher läuft es ja nicht.

NAT-T sorgt eigentlich dafür, dass die Pakete auch über Netzwerkgrenzen geroutet werden können auf denen ein NAT sattfindet. Ein No kann also nur funktionieren, wenn du zu zwei öffentliche Netzwerke hast, alles andere braucht zwingend NAT-T.

Eigentlich dürfte die Verbindung ohne NAT-T gar nicht aufgebaut werden.

Trotzdem Kannst du in diesem Fall mal probieren einen Ping zu der Gegenstelle zu senden (von beiden Seiten aus)?

 

[mountbatt]

Es ist leider kein Ping möglich (100% Paketverlust) von beiden Seiten aus jew. probiert auf die 192.168.XXX.1

 

[mountbatt]

Hi, johnripper, hattest Du mal die Chance auf einen Test am Wochenende?
Viele Grüße

 

[johnripper]

Hi, johnripper, hattest Du mal die Chance auf einen Test am Wochenende?
Viele Grüße

Sorry hatte den Thread vergessen.

Der Kollege hatte den Anschluss auf Buisness umstellen lassen. Das hatte ich ihm irgendwann empfohlen hatte aber nicht mitbekommen, dass er es gemacht hatte.

Insofern kann ich es nirgendwo selbst testen.

Gesendet von meinem SM-G920F mit Tapatalk