VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Stefan73
Beiträge: 5
Registriert: 16 Dez 2018, 14:46

VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von Stefan73 »

Hallo!
Nach einem Update der Fritzbox (7590) auf die aktuelle Version 7.50 steht zwar die VPN-Verbindung zum LANCOM, aber weder VNC noch RDP funktionieren.
Geräte wie Drucker und NAS usw. können ganz normal über den Webbrowser bedient und genutzt werden.
Kann jemand sagen, was genau AVM am ipsec verändert hat oder hat jemand das gleiche Phänomen?
Bei mir sind drei Fritzboxen (alle 7590) an unterschiedlichen Anschlüssen (DG, Telekom und Vodafone) betroffen.

Vielen Dank.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von 5624 »

Einiges. IPsec geht jetzt auch über IPv6, IKEv2 scheint jetzt möglich zu sein.

https://avm.de/release-notes-fritzos-750/

Scheinbar nutzt du VPN über IPv4, sonst würde es nicht an der Fritzbox hängen bleiben. Wenn möglich auf IPv6 umbauen.
LCS NC/WLAN
Stefan73
Beiträge: 5
Registriert: 16 Dez 2018, 14:46

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von Stefan73 »

In der Tat - sowohl IPv4 im LANCOM, als auch IPv4 in der Fritzbox...
Aber daran kann es eigentlich doch nicht liegen - es sei denn man hat Dual-Stack.
Zwischen zwei Fritzboxen mit 7.50 funktioniert es einwandfrei - auch zwischen Fritzboxen mit unterschiedlicher Firmware (7.29 / 7.50), also schließe ich das mal aus.
An der LANCOM wurden keinerlei Veränderungen vorgenommen.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von 5624 »

Terminierst du sowohl an der Fritzbox als auch am nachgeschalteten LANCOM-Router IPSec-Tunnel?
LCS NC/WLAN
Stefan73
Beiträge: 5
Registriert: 16 Dez 2018, 14:46

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von Stefan73 »

5624 hat geschrieben: 05 Dez 2022, 18:06 Terminierst du sowohl an der Fritzbox als auch am nachgeschalteten LANCOM-Router IPSec-Tunnel?
Was darf ich unter "Terminierung" verstehen?
Hinweis: LANCOM unverändert, Fritzboxen von 7.29 auf 7.50 upgedatet...
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von 5624 »

Nehmen sowohl Fritzbox als auch LANCOM VPN-Tunnel an oder bauen diese auf.

Ja, dass du nichts verändert hast, außer das Update zu machen, hast du mehrfach erwähnt, dennoch kann es schon vorher eine Fehlkonfiguration gegeben haben.
LCS NC/WLAN
Stefan73
Beiträge: 5
Registriert: 16 Dez 2018, 14:46

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von Stefan73 »

5624 hat geschrieben: 05 Dez 2022, 22:20 Nehmen sowohl Fritzbox als auch LANCOM VPN-Tunnel an oder bauen diese auf.

Ja, dass du nichts verändert hast, außer das Update zu machen, hast du mehrfach erwähnt, dennoch kann es schon vorher eine Fehlkonfiguration gegeben haben.
Das kann durchaus sein, will ich aber nicht hoffen.
Die Fritzboxen sind so konfiguriert, das diese aktiv die Verbindung aufbauen und die LANCOM nur annimmt.
Stefan73
Beiträge: 5
Registriert: 16 Dez 2018, 14:46

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von Stefan73 »

Kleine Ergänzung: FTP ist auch nicht möglich...
DrSchnagels
Beiträge: 3
Registriert: 13 Dez 2022, 09:58

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von DrSchnagels »

Hallo!

Gleiches Problem bei mir - jedoch habe ich irgendetwas gemacht und nun geht es wieder...
Tausendfach herumprobiert, AVM-Wireguard Mistlösung verflucht, usw...

Nachdem ich folgendes umgestellt hatte, geht es nun seit einer Stunde wieder und die Verbindung bleibt halbwegs stabil.

1) Update unserers LANCOM 1906VA auf Firmware Ver. 10.72.0015Rel (07.12.2022) (liegt auf FTP Server von Lancom).
2) In der Fritzbox dem Lan-to-Lan VPN einen Namen vergeben! (das fehlte, weil es noch ein alter Eintrag war vermutl.).

3) Im VPN Trace des Lancom habe ich irgendetwas mit falschem Hash-Verfahren gelesen.
Daraufhin habe ich in den IKE/IPSec Einstellungen folgendes geändert:
IPSec-Proposals -> Authentifizierung -> HMAC - SHA512
(vorher SHA1).
2022-12-13 10_03_19-Lancom1906VA, ... Konfiguration.jpg
Update:
RDP zum Windows Server geht wieder - aber stabil wie vorher ist es nicht.
SMB Dateiübertragung Richtung Fritzbox->Lancom nicht möglich.
SMB Dateiübertragung Richtung Lancom->Fritzbox geht.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
DrSchnagels
Beiträge: 3
Registriert: 13 Dez 2022, 09:58

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von DrSchnagels »

Seit ca. 1 Stunde habe ich folgende Einstellungen in Verwendung.
Die alten Einstellungen kamen aus irgendeiner Lancom eigenen Anleitung.

Obwohl im Lancom AES 128 steht, baut die Fritzbox wohl mit AES 256 auf.
Seitdem gibt es in der Fritzbox keine Fehlermeldungen mehr. SMB funktioniert in beide Richtungen, aber nicht gut.
RDP ist stabil, jedoch bricht die Verbindung alle 15 Minuten mal kurz zusammen.

Log-Auszug der Fritzbox:
VPN-Verbindung zu lancom [xxxx] IKE SA: DH2/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
2022-12-13 11_13_18-IKE-Proposals - Eintrag bearbeiten.jpg
2022-12-13 11_13_32-IPSec-Proposals - Eintrag bearbeiten.jpg
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
DrSchnagels
Beiträge: 3
Registriert: 13 Dez 2022, 09:58

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von DrSchnagels »

Es gibt wohl ein Update von AVM. Ich habe jedoch eine 7590 mit 7.50 drauf.
Ich weiß nicht, ob dieser Fix bereits in der 7.50 drin ist oder nicht.
FRITZ!Box 7590 AX (FRITZ!OS 7.39-102024, Stand 09.12.2022)
Verbesserungen ab FRITZ!OS 7.39 - 102024 innerhalb FRITZ! Labor
Internet:
Behoben VPN Verbindungen zu Android-Geräten über IPSec brachen unter Umständen nach einigen Minuten ab
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von GrandDixence »

Ist ja lobenswert für AVM, das die Fritzbox kein unsicheres SHA-1 unterstützt. Hier sollte der Netzwerkadministrator:in mal einen ernsthaften Blick in die BSI TR-02102-3 werfen und sich Gedanken machen, wie (un-)sicher er/sie den VPN-Server in den LANCOM-Produkten konfigurieren will.
https://www.bsi.bund.de/DE/Themen/Unter ... _node.html

https://www.golem.de/news/verschluessel ... 01457.html

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

Dann wäre ein Arbeiten mit dem VPN-IKE-Trace vom LANCOM-Router angebracht, um herauszufinden, ob die Fritzbox auch noch sicherere Methoden wie AES-GCM unterstützt.
net4711
Beiträge: 1
Registriert: 02 Jan 2023, 11:22

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von net4711 »

Hallo,

mein Problem mit der neuen Firmware 7.50 ist das es zu gewaltigen Verzögerungen bei fast jeder Form des Traffics über das VPN kommt.
FTP zu einem Server, http/https, RDP usw.
Das ganze wird so langsam das man nicht wirklich damit arbeiten kann.

In einem anderen Forum habe ich folgenden Tipp gefunden der bei mir tatsächlich funktioniert.
(heimnetz.de, Titel: Update von 7.29 auf 7.50 - VPN (ipsec) geht nicht mehr...)
Auszug:
hier der Workaround von AVM:
In der Benutzeroberfläche unter "Hilfe und Info" ->"FRITZ!Box-Support" runter bis zur Paketbeschleunigung scrollen:
hier den Haken bei "Paketbeschleunigung inaktiv" setzen und auf "Einstellungen Übernehmen" klicken.
Achtung: bei einem Neustart der Fritzbox wird per default die Paketbeschleunigung wieder aktiviert!!!
Auszug-Ende

Das scheint ein neues Feature zu sein das nicht besonders gut funktioniert.
Ich denke das ich ein Ticket beim AVM Support aufmachen werde.
Voosjey
Beiträge: 4
Registriert: 25 Okt 2011, 10:56

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von Voosjey »

Hallo

gibt es zu diesem Fall schon eine Lösung? wäre schön wenn man diese dann hier preisgibt, habe nämlich das gleiche Problem.
AnWe
Beiträge: 14
Registriert: 19 Sep 2022, 15:52

Re: VPN Lan-Lan mit Fritzbox nach Update auf 7.50

Beitrag von AnWe »

net4711 hat geschrieben: 02 Jan 2023, 17:42 hier der Workaround von AVM:
In der Benutzeroberfläche unter "Hilfe und Info" ->"FRITZ!Box-Support" runter bis zur Paketbeschleunigung scrollen:
hier den Haken bei "Paketbeschleunigung inaktiv" setzen und auf "Einstellungen Übernehmen" klicken.
Achtung: bei einem Neustart der Fritzbox wird per default die Paketbeschleunigung wieder aktiviert!!!
Auszug-Ende

Das scheint ein neues Feature zu sein das nicht besonders gut funktioniert.
Ich denke das ich ein Ticket beim AVM Support aufmachen werde.
DANKE ! Du hast mir den Tag gerettet.

Tolles neues Feature. :I)
Antworten