[GELÖST]LAN-2-LAN Kopplung (AVM vs. LANcom)

[Jirka]

Hallo,

dann lass uns doch an deiner DynDNS Lösung im MainMode teilhaben, ich bin ganz Ohr ?

War bis eben noch am arbeiten, aber weiter oben (im Posting von RalphT) stand ja schon das, was Dr. Einstein sagte.

Wäre mir neu das das laufen wird. Nicht jeder kommt in den Luxus only mit festen IPs zu arbeiten

Ich bin schon immer jemand gewesen, der sich tatkräftig dafür eingesetzt hat, dass dynamische IPs nicht gegenüber festen benachteiligt werden und dass Unzulänglichkeiten z. B. bei DynDNS-Scripten beseitigt werden.

Alternativ gleich mit Zertifikaten, was ich aber bei einer Fritzbox noch nie gemacht habe.

Also dass VPNs mit Zertifikaten mit einer FRITZ!Box funktionieren, das wäre mir neu. Es gibt ja gar keine Möglichkeit, Zertifikate ins Gerät zu laden. Möglicherweise kann man da was über Telnet drehen, aber Telnet wird ja nun abgesägt.

Es besteht aktuell aber immer noch ein Problem, nach der Zwangstrennung baut weder LANcom noch die FRITZ!Box eine neue Verbindung auf, egal wie rum ich die Haltezeiten einstelle, irgendwie komisch. Nach der Zwangstrennung versucht die Box im "always_renew=yes" Modus gar nicht meinen LANcom zu erreichen, jedenfalls ist im VPN-St Trace nichts zu erkennen.

Ja, wer weiß, ob die FRITZ!Box nicht noch an die alte IP-Adresse die Pakete zum Verbindungsaufbau der VPN schickt. Denn aktuell drehen selbst schon wieder die Google-DNS-Server durch und hauen alte IPs raus bei Anfragen nach DynDNS-Adressen. Bei Kabel Deutschland scheint es mittlerweile sogar normal zu werden, dass die TTL von 60 Sek. mal locker auf eine halbe Stunde erhöht wird. Alles katastrophale Zustände, die ursächlich für Dein Problem sein können. Da muss man bei Troubleshooting schön sauber alles prüfen, was auf FRITZ!Box-Seite zugegebenermaßen schwieriger ist als auf der LANCOM-Seite mit den ganzen Trace-Möglichkeiten.

Nehme ich den LANcom auf 9999, bekommt er keine Verbindung zur Box aufgebaut "Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]". Nur wenn ich die CFG neu in die Fritte lade, baut der Tunnel direkt auf, sofort um genau zu sein...

Hmm, die gleiche Konfig noch mal neu reinladen und dann geht es plötzlich? Spricht auch irgendwie für ein DynDNS-Problem.

Viele Grüße,
Jirka

[DGrand]

Ist es aber nicht logisch, das nach Zwangstrennung es nicht funktioniert.

Die Konfig wird doch quasi mit Aufbau der ersten Verbindung "fertig gestellt".

Soll heißen, die IP der Gegenstelle wird einmalig als Bestandteil in die Konfig eingebaut.

Ende. Da nun im Main Mode die IPs bzw die mit den IPs erstellten Schlüssel nicht verändert werden, gehen die Pakete für ein neuen Verbindungsaufbau logischerweise an die alte IP.

Auch wenn es nicht schön ist, bei dyndns wird man m.M. Nicht um Aggressiv Mode drum rumkommen / alternativ man hat die Möglichkeit mit Zertifikaten zu arbeiten (welche hier dann den statischen Teil darstellen).

Nur meine Auffassung.

[cpuprofi]

...Auch wenn es nicht schön ist, bei dyndns wird man m.M. Nicht um Aggressiv Mode drum rumkommen...

Die Aussage ist falsch, auch bei "DynDNS" ist die Nutzung von "Main Mode" möglich.

Grüße
Cpuprofi

[ecox]

Hallo *,

ich habe nun die letzten Tage viel hin und her probiert. Ich habe mich jetzt entschieden mit der Agressive-Mode Methode zu arbeiten, denn nur mit dieser bekomme ich es hin das beide Seiten bei Verbindungstrennung (neue IP) wieder aufbauen können, in meinem Fall macht das jetzt der LANcom (9999).

Nun habe ich ein neues Problem. Der VPNer trennt sich genau nach 60m, danach kann man die Uhr stellen. Erst dachte ich es hätte was mit der "Gültigkeitsdauer" des angelgten "IKE-Proposal" zu tun, dies hatte ich wie in allen Anleitungen mit 3600 Sek angegeben (was ja auf 60m hinausläuft). Das ist es aber nicht, ich habe es wieder auf 108.000 Sek. gestellt (default). Trotzdem exkakt nach einer Stunde die Trennung. Ein Kollege meinte die Gültigkeitsdauer dürfte auch nicht zum Abbruch führen (in Phase 1 IKE).

Kommt dieser 60m Reconnect jemanden bekannt vor? Einige Konfigurationen davor lief es stabil bis zur Zwangstrennung, jedoch kam keine neue Verbindung zustande...

EDIT:
Ich habe noch folgendes gefunden, was ungefähr zu dem Problem passt

Phase 1 Lifetime 3600

In diesem Zuge habe ich noch festgestellt, dass die FRITZ!Box auch für Phase 1 eine Lifetime von 3600 s vorgibt. Ich kenne standardmäßig eigentlich eine Lifetime von 8 h für Phase 1 und dann 1 h für Phase 2. Aber gut, sei’s drum. Diese Einstellung habe ich Firewallseitig bei mir jetzt noch korrigiert, so dass es jetzt so aussieht

Quelle

Grüße

ecox

[MariusP]

Hi,
Du sagtest zwar die Zwangstrennung würde im IKE stattfinden du kannst allerdings auch eine Trennung im IPSec vorfinden.
Nur zur Sicherheit kontrollier diese bitte.
Gruß

[DGrand]

Kann es sein, das die Fritzbox die Verbindung kappt?

[ecox]

Kann es sein, das die Fritzbox die Verbindung kappt?

Siehe mein Edit oben, es ist so das die Fritte wohl eine Lifetime von 3600 in Phase 1 vorgibt, aber es lief ja schonmal mehrere Stunden. Die IPSec Proposals laufen auf Gültigkeitsdauer "28.800"


Edit:
Nach Boot-system hält er den Tunnel nun schon 1h5m, ich bin weiter gespannt ob es an den 3600 in den IKE Proposals lag. Wenn der jetzt bis zur Zwangstrennung stabil bleibt, müsste es das gewesen sein

Code: Alles auswählen

[VPN-Status] 2016/02/01 13:12:49,000
IKE info: Phase-1 [responder] for peer VPN-2-FRITZBOX initiator id test.spdns.eu, responder id test.spdns.de
IKE info: initiator cookie: 0x3561685255a2c840, responder cookie: 0x68bf28b26d2a7f04
IKE info: SA ISAKMP for peer VPN-2-FRITZBOX encryption aes-cbc authentication SHA1
IKE info: life time ( 3600 sec/ 0 kb) DPD 0 sec


[VPN-Status] 2016/02/01 13:12:49,000
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer VPN-2-FRITZBOX set to 3240 seconds (Responder)


[VPN-Status] 2016/02/01 13:12:49,000
IKE info: Phase-1 SA Timeout (Hard-Event) for peer VPN-2-FRITZBOX set to 3600 seconds (Responder)


[VPN-Status] 2016/02/01 13:13:04,000
IKE info: Delete Notification sent for Phase-1 SA to peer VPN-2-FRITZBOX, cookies [0x3561685255a2c840 0x68bf28b26d2a7f04]


[VPN-Status] 2016/02/01 13:13:04,000
IKE info: Phase-1 SA removed: peer VPN-2-FRITZBOX rule VPN-2-FRITZBOX removed
[code]

[/code]

[ecox]

Hi *,

kleines Update. Jetzt läuft es stabil nachdem ich die IKE Gültigkeitsdauer auf 108.000 gestellt haben und durchgebootet wurde.

Ich glaube zu meinen das ich jetzt (bis auf den Agressive Mode) die sichersten Einstellungen auf beiden Seiten getroffen habe, da ich aber nicht ein Fort Knox am anderen Ende vom VPN Tunnel habe, denke ich kann man hier gut mit der Agressive arbeiten.

Super Projekt bis jetzt, hat mir einiges neues Wissen an VPN gebracht, allgemein wie auch für LANcom...wenn jetzt doch mal Interesse an den Konfigs bestehen sollte, einfach eine PN

Grüße