Unitymedia iOS 9, Fritzbox und IPSec VPN?

[Salamihawk]

Hallo,

Ich habe seit dem Public Beta iOS 9 auf meinem iPhone installiert. Zuhause habe ich von UM einen FritzBox 6490 mit IPv4 Verbindung ins Internet. Hinter dem FritzBox steht meine Fortigate Firewall, und dahinter steht mein Heimnetz (Fortigate im FritzBox als DMZ eingetragen)

Auf der Firewall habe ich eine IPSec Verbindung eingerichtet, der mit meinem iPad (iOS 8) wunderbar funktioniert, aber seit der Installation von iOS 9, funktioniert die VPN Verbindung auf meinem iPhone nicht mehr. Die Verbindung wird aufgebaut, aber kein Traffic ist möglich. Mithilfe eines Packetsniffers, kann ich sehen, dass die Pakete vom VPN ins Heimnetz reinkommen und die Antwortpakete werden richtig rausgeschickt, aber irgendwas passiert und das iPhone kriegt die Antwortpakete nicht.

Ich habe logischerweise gedacht, dass das ganz klar ein iOS Problem ist, aber ich habe im Apple Developer Forum gepostet und 3 andere Leute haben sich gemeldet mit genau das gleiche Problem (iOS 9=no-go, iOS8=go), und alle haben auch FritzBoxen.

Ich habe auch die VPN Verbindung direkt am FritzBox eingerichtet, gleiches Fehlerbild, iOS 8 ja, iOS 9 nein. Wenn ich das WLAN an meinem FritzBox einschalte und mein iPhone in diesem Netz hänge, funktioniert die VPN Verbindung zu meiner Firewall Problemlos.

Hat jemand hier auch zufällig VPN Problemen mit iOS 9?

 

[thethirdburn]

Kann ich nicht überprüfen, aber du kannst es ja in der Feedback-App von iOS 9 einreichen. Dafür ist sie ja da.

 

[gsmutha]

Jap, habe das identische Problem: FB 7490 hinter 6490 (bridged) lief mit iOS 8.4.1 problemlos und seit iOS9 wird nur noch die Verbindung aufgebaut es fließen aber keine Daten.

Das Problem scheint aber (mal wieder) nur im Unitymedia-Netz zu sein ...

 

[Salamihawk]

Meines Wissens ist der 7490 identisch mit dem 6490er, abgesehen von VDSL/DOCSIS. Wenn das ein Fritzbox Problem ist, sollen auch VDSL Kunden mit dem 7490er auch das Problem haben. Wenn das ein UM Problem ist, sollen alle UM Kunden davon betroffen sein, nicht nur die, die Fritzboxen haben...

Kennt einer mit einem 7490er an einem anderen Provider, der das mal testen kann? Mein Nachbar hat auch UM, aber ein älteren Anschluss nur mit Cisco Modem. Leider ist er im Urlaub, sonst hätte ich ihm gebeten, mal ne Testverbindung für mich einzurichten.

 

[mauszilla]

Liegt vielleicht am WLAN Assist. Das Teil scheint nur Probleme zu machen.
http://ideecon.com/ios-9-wlan-probleme-beheben-so-gehts/12999

 

[Salamihawk]

Ich habe es mit und ohne WLAN ausprobiert (WLAN komplett ausgeschaltet auch), keine Veränderung, leider.

Konnektivität an sich ist da, nur irgendwas passiert auf der Routing/Protokollebene, und das Ganze wird auseinander gehebelt.

 

[rv112]

Hier seit iOS 9 das gleiche Problem mit IPSec und Cisco Modem IPv4.

 

[un1que]

Kann ich bestätigen - seit Upgrade auf iOS 9 kommt zwar die Verbindung zustande, aber es können keine Daten getauscht werden.
Cisco + FB7490

Jemand eine Idee, wie sich das beheben lässt und wer daran schuld ist (Apple, AVM oder sogar UM, wie hier geschrieben wird)?

 

[rv112]

Hier sind noch mehr Betroffene: http://www.ip-phone-forum.de/showthread.php?t=281439

OpenVPN funktioniert bei mir ebenfalls nicht mehr... :traurig:

 

[Salamihawk]

Na super, scheint ein UM Problem zu sein.

Ich habe ausgehend eine IPSec VPN Verbindung getestet: einwandfrei.

Ich gehe von aus, dass UM irgendwie bestimmte Pakete eingehend zum Kunden wegfiltert.

 

[Bartimaus]

Hallo,

bin jetzt leider auch betroffen. Wurde das Problem schon an UM geroutet ?

 

[Salamihawk]

Da wurden bereits Tickets aufgemacht mit mehr oder weniger die Aussage: liegt an Apple

Ich habe eins gestern aufgemacht, noch nichts gehört. Habe Links zu diese Threads mitgeschickt, damit sie sehen können, dass mehrere betroffen sind.

 

[Bartimaus]

Danke für die Info

.....liegt an Apple.....

War ja klar... sind immer die anderen. Nur komisch, das es bei den "Anderen" funktioniert :wut:

 

[rv112]

Ich würde eher UM den Schuh anziehen, da die Anfragen vom Client ankommen und auch beantwortet werden. Sprich die Pakete verirren sich auf dem Rückweg zum Client. Ich denke hier routet UM wieder mal irgendeinen Mist zusammen...

 

[caliban2011]

Hauptsache mit bashen?
http://www.heise.de/newsticker/meldung/iOS-9-Bug-sorgt-fuer-VPN-Probleme-2823133.html

 

[magruk]

http://www.heise.de/newsticker/meldung/iOS-9-Bug-sorgt-fuer-VPN-Probleme-2823133.html

 

[rv112]

Im geposteten Artikel gehtes darum dass nur noch Hostnames aufgelöst werden und nicht eine IP zur Verbindung...
Das hat nichts mit dem Unitymediaproblem zu tun.

 

[mauszilla]

Steht doch im ersten Satz....

Nutzer von iOS 9, das seit der letzten Woche für iPhone, iPad und iPod touch zur Verfügung steht, klagen über Probleme im Zusammenhang mit der Nutzung von Virtual-Private-Network-Verbindungen (VPN) – etwa beim Zugriff auf Unternehmensnetze. Demnach kommt es unter Umständen nach der Herstellung einer Verbindung zu Aussetzern.

 

[rv112]

Richtig. Hat also nichts mit dem UM Problem zu tun.

 

[Salamihawk]

Steht doch im ersten Satz....

Nutzer von iOS 9, das seit der letzten Woche für iPhone, iPad und iPod touch zur Verfügung steht, klagen über Probleme im Zusammenhang mit der Nutzung von Virtual-Private-Network-Verbindungen (VPN) – etwa beim Zugriff auf Unternehmensnetze. Demnach kommt es unter Umständen nach der Herstellung einer Verbindung zu Aussetzern.

Ganz genau gesehen ist das der zweiten Satz

 

[magruk]

Die Diskussion hier ist inhaltlich schon etwas weiter: http://www.ip-phone-forum.de/showthread.php?t=281439&page=3

Wirklich überprüfen kann man das Ganze halt nur mit der FBF-Cable-Software in der der WAN-Paketmitschnitt möglich ist und die haben nur AVM und UM...

 

[Salamihawk]

Hier auf diese Webseite habe ich ein Post aus 2008 gefunden:
http://www.unitymediaforum.de/viewtopic.php?p=41203#p41203

Ich habe keine Ahnung, wo diese Änderung auftritt. Der ToS-Code 0x3 bedeutet "Experienced Congestion", was normalerweise darauf hindeutet, dass der Router (nicht mein Router, sondern irgendwo auf dem Weg zum Tunnelendpunkt) eine auf gut Deutsch "Verstopfung" erfahren hat - hier tritt also ECN (Explicit Congestion Notification) in Kraft. Ist dieses Flag gesetzt, wird das ESP-Paket verworfen. Wohlgemerkt, der Aufbau des Tunnels (IKE Phase 1 und 2) klappt wie am Schnürchen, SAs werden korrekt aufgebaut.

Alle Pakete die aus dem Unitymedia Netz geschickt werden, werden mit ECN 0x03 versehen. Sie kommen am iPhone mit iOS 9 an, und werden vom IPSec VPN Modul gedroppt. Wohlgemerkt: nicht-VPN Pakete mit ECN 0x03 werden richtig bearbeitet. Problem ist bestimmt zweischneidig: UM macht was doofes mit dem Netz und versieht alle ausgehende Pakete mit ECN 0x03 UND Apple hat ein Bug im Netcode, wo VPN Pakete mit ECN 0x03 gesetzt werden weggeworfen.

Super.

Tickets bei den beiden aufgemacht.

 

[paddyfalk]

Ich bin auch nicht begeistert und auch ehrlich gesagt verärgert über so viel Ignoranz auf allen Seiten. Apple rührt sich gar nicht, Unitymedia behandelt einen an der Hotline wie einen kleinen Schuljungen - einzig AVM kümmert sich aufopfernd um die Angelegenheit, obwohl sie nach derzeitigem Kenntnisstand nichts beitragen können mit dem FritzOS.
Ich habe so viel Zeit investiert für Up-/Downgrades auf iOS-Devices, jetzt ist mir der Kragen geplatzt. Ich habe Unitymedia eine Frist zur Behebung des Fehlers gesetzt. Wenn sie sich nicht innerhalb der Frist äußern, gehe ich von einer Kulanzkündigung aus. Immerhin steht hier vorm Haus seit zwei Monaten ein DSLAM mit Vectoring-Technik. Und das Lockangebot für 19,99 in den ersten 12 Monaten (100Mbit Down / 40MBit Up) steht auch noch. Danach 39,99.
Wie kann man so ignorant mit seinen Kunden umgehen und sich, statt sich des Problems neutral und ernsthaft anzunehmen, dann noch an der Hotline sagen, dass Apple ein hochnäsiger und sturer Verein sei - denen es nur darum geht, die eigenen Interessen durchzusetzen und andere zu zwingen, auf deren Zug aufzuspringen.
Schliesslich funktioniert es doch ÜBERALL - nur nicht bei UM. Ich erninnere mich nur an den Kampf, meine IPv4 wiederzubekommen, als ich von 3play200 auf 3play200 mit Maxdome upgegradet habe :zerstör:
Danke für nichts. :wand:

 

[obi76]

Ich bin auch nicht begeistert und auch ehrlich gesagt verärgert über so viel Ignoranz auf allen Seiten. Apple rührt sich gar nicht, Unitymedia behandelt einen an der Hotline wie einen kleinen Schuljungen - einzig AVM kümmert sich aufopfernd um die Angelegenheit, obwohl sie nach derzeitigem Kenntnisstand nichts beitragen können mit dem FritzOS.
Ich habe so viel Zeit investiert für Up-/Downgrades auf iOS-Devices, jetzt ist mir der Kragen geplatzt. Ich habe Unitymedia eine Frist zur Behebung des Fehlers gesetzt. Wenn sie sich nicht innerhalb der Frist äußern, gehe ich von einer Kulanzkündigung aus. Immerhin steht hier vorm Haus seit zwei Monaten ein DSLAM mit Vectoring-Technik. Und das Lockangebot für 19,99 in den ersten 12 Monaten (100Mbit Down / 40MBit Up) steht auch noch. Danach 39,99.
Wie kann man so ignorant mit seinen Kunden umgehen und sich, statt sich des Problems neutral und ernsthaft anzunehmen, dann noch an der Hotline sagen, dass Apple ein hochnäsiger und sturer Verein sei - denen es nur darum geht, die eigenen Interessen durchzusetzen und andere zu zwingen, auf deren Zug aufzuspringen.
Schliesslich funktioniert es doch ÜBERALL - nur nicht bei UM. Ich erninnere mich nur an den Kampf, meine IPv4 wiederzubekommen, als ich von 3play200 auf 3play200 mit Maxdome upgegradet habe :zerstör:
Danke für nichts. :wand:

Hi Paddyfalk,

da gebe ich Dir voll Recht. AVM gibt sich hier wirklich viel Mühe und versucht wirklich mit gutem Support zu helfen. Auch wenn man Fehler im IOS von AVM findet wird es wirklich schnelsstmöglich in der neuen Firmware gefixed. Bis aber UM eine neue Firmware freigibt hat AVM schon 5 weitere herausgebracht. Also mir geht das langsam wirklich auf den Zeiger das man eine wirklich gute Fritz Box hat aber von dem Support von UM abhängig ist ( Die kommen einfach nicht in die Pötte ).

 

[Diter]

http://www.ip-phone-forum.de/showthread.php?t=281439&page=9&p=2121267&viewfull=1#post2121267

ich teste gerade iOS 9.1beta3 (13B5130b) und habe ein funktionierende VPN IPSec Verbindung nach Hause (Unitymedia). Ich hoffe es kommt auch in die Final-Version.
Zugriff auf meinen Router: checked
Zugriff auf Rechner im Home-Netz (http/ssh): checked
Zugriff durch den IPSec-Tunnel ins Netz: checked
Prüfung meiner IP im Netz: checked
Zugriff durch den IPSec-Tunnel auf AppleStore: checked