VPN Lancom 1793VAW FritzBox7590

[Coolsero]

Hallo,

ich habe hier ein kleines Problem mit der Konfiguration einer VPN Verbindung nach Bedarf von einem Lancom Router 1793VAW LCOS 10.72.0203RU3 zu einer AVM FritzBox 7590 mit OS: 7.56.

1. Ich habe zuerst einmal die Schritte aus der Konfiguration von der Lancom Knowledge Base befolgt: https://support.lancom-systems.com/know ... RITZ%21Box

2. Jetzt ist es so, das es so weit auch funktioniert, nur das der Lancom so wie die FritzBox eine Dynamische Öffentliche IPv4 Adresse haben.
Ich habe folgende Konfig in die Fritzbox geladen:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "VPN_DH14";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 85.15.18.36; //IP Ausgedacht
                remote_virtualip = 0.0.0.0;
                mode = phase1_mode_idp;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "05390dfdfe37b=ad8eZb4i";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.169.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Mit dieser Konfiguration funktioniert es auch, da die IP 85.15.18.36 meine aktuelle öffentliche IPv4 ist. Wenn ich jedoch eine neue habe, funktioniert es natürlich nicht mehr.

3. Also war die Überlegung die Konfig Datei etwas an zu passe auf:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "VPN_DH14";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remotehostname = "vpn.meineDomain.de";
                remote_virtualip = 0.0.0.0;
                mode = phase1_mode_idp;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "05390dfdfe37b=ad8eZb4i";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.169.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

Ich habe also Statt der IP eine DynDns Adresse angegeben: vpn.meineDomain.de dieser Adresse entspricht auch dann meiner Öffentlichen IPv4 Adresse meines Lancom Routers. Leider funktioniert jetzt aber das VPN nicht mehr.

Wenn ich in der FritzBox aber sage, Sie soll die Verbindung aufbauen! Dann geht es! Was mir aber nichts bringt, da ich die Verbindung bei bedarf von seiten des Lancom aufbauen möchte. Hat den Hintergrund das auf dem Lancom nur 5 VPN Kanäle momentan sind, und noch weitere Gegenstellen (VPN) dazu kommen.

Bei dem älteren Modell FritzBox 7490 funktioniert das ganze so und ich habe damit auch Verbindung zu 8 Gegenstellen je nach bedarf.

Hat dazu jemand eine Idee ?

Danke Coolsero

PS: IP Adressen, Key und DynDns Adresse sind hier ausgedacht!

[Dr.Einstein]

Hast du schon einmal den VPN Status + DNS Trace beim VPN Aufbau Richtung FritzBox gestartet und geschaut, ob es hier zu Problemen mit der Namensauflösung kommt?

[Coolsero]

Hallo Dr.Einstein,

1. Im Lancom ist der DnyDNS Name FritzBox.MeineDomain.de eingetragen. Hier funktioniert die Namensauflösung, da die VPN-Verbindung zustande kommt, wenn ich in der Fritzbox meine Öffentliche IPv4 Adresse hinterlege.


So geht es:

FritzBox 1.png

2. Wenn ich jedoch in der FritzBox den DynDns Namen eingebe, dann kommt die VPN nicht zustande.

FritzBox 2.png

3. Die Namensauflösung im Lancom sollte somit funktionieren. Auf seiten der FritzBox, kann ich es leider nur mit einem angeschlossenen PC testen, was auf dem PC auch funktioniert.

[Dr.Einstein]

Wenn ich in der FritzBox aber sage, Sie soll die Verbindung aufbauen! Dann geht es! Was mir aber nichts bringt, da ich die Verbindung bei bedarf von seiten des Lancom aufbauen möchte. Hat den Hintergrund das auf dem Lancom nur 5 VPN Kanäle momentan sind, und noch weitere Gegenstellen (VPN) dazu kommen.

Dein Kommentar ändert nichts an meiner Aussage. Überprüfe, ob der Lancom korrekt mit der Namensauflösung umgehen kann. Ankommend und abgehend können zwei verschiedene Geschichten sein. Wenn der VPN Statustrace sauber aussieht, dann bleibt nur noch ein Firmware Problem in der FritzBox übrig. Aber erstmal den Lancom als Fehlerquelle für den abgehenden Aufbau ausschließen.

Code: Alles auswählen

trace # vpn-status vpn-ike vpn-debug dns

[Coolsero]

Hallo Dr.Einstein,

Sorry aber so ganz hab ich noch nicht verstanden was es mit der DNS Auflösung am Lancom zu tun hat? Ich lasse immer die Verbindung vom Lancom aufbauen, wenn ich vpn.meinedoamin.de in der Fritzbox als Gegenstelle eingebe, geht es nicht, wenn ich meine IP angebe geht es.

Hatte nur als Test mal in der Fritzbox als bei der Gegenstelle vpn.meinedoamin.de eingestellt war, die FritzBox die Verbindung aufbauen lassen, was auch funktionierete.

Hab aber mal einen Trace gemacht wie du es wünscht, leider kann ich da auf den ersten blick keinen Fehler finden.
Ich hoffe das du was erkennen kannst?

Trace Lancom.txt

Danke Coolsero

[Dr.Einstein]

Die Fritzbox reagiert wie von mir erwartet nicht:

Code: Alles auswählen

[VPN-Status] 2023/07/23 13:53:04,667  Devicetime: 2023/07/23 13:53:04,009
VPN: connection for JUFOE (83.65.14.120@2) IKEv1 timed out: no response

Keinerlei Rückmeldung über falsche Algorithmen etc.wenn fritzbox.meinedomain.de gleich der WAN IP 83.65.14.120 der Fritzbox ist, musst du dich wohl leider an das AVM Forum / Support wenden und dort die Logfiles auslesen. Immerhin nimmt die Fritzbox aus uns unbekannten Gründen den VPN nicht entgegen. Ich habe schon von diversen Problemen seit dem Update auf die neuen Fritzbox Versionen und IKEv1 / IKEv2 gehört. Würde mich also nicht wundern, wenn der gesamte IPSec Stack im Eimer ist.

Du könntest höchstens mal beim Lancom als lokale ID deinen eigenen DynDNS Namen und als Local ID Type Domain Name probieren. Vllt bekommst du dann die Fritzbox getriggert.

[Coolsero]

Hallo Dr. Einstein,

ja die Zeile habe ich auch gesehen, hab auch dem AVM Support jetzt schon mal geschrieben. Ist nur komisch das Sie gar nicht antwortet, es aber tut wenn ich meine IP bei der Gegenstelle eintrage.

Mit der Lokalen Identität, meinst du unter IKE-Schlüssel richtig ?

Ich versuch es mal und melde mich wieder.

Gruß Coolsero

[Coolsero]

Hallo Dr. Einstein,

nein leider bring das auch nichts, hab zwar mal die Lokele ID eingetragen, jedoch leider keine Veränderung.
Ich habe mal dem AVM Support geschrieben, jetzt muss ich mal warten was die dazu sagen.

Danke Coolsero

[Hagen2000]

Der Fehler liegt m.E. im FRITZ!OS, ich hatte ihn im Juni 2017 bei AVM eingetütet aber nie eine Antwort (bis auf eine Eingangsbestätigung und sie würden das an die Entwicklung weitergeben) erhalten.

Der LANCOM-Router fordert zyklisch für alle VPN-Gegenstellen die Namensauflösung an, so dass er innerhalb weniger Minuten Änderungen der IP-Adresse der VPN-Gegenstellen automatisch registriert. Im FRITZ!OS hingegen fehlt so ein Mechanismus. Wird der Verbindungsaufbau vom LANCOM-Router initiiert und hat sich dessen IP-Adresse zwischenzeitlich geändert, so verwirft die FRITZ!Box das VPN-Paket, da sie die VPN-Gegenstelle nicht kennt.

Als Workaround könnte man an den Standorten mit der FRITZ!Box einen Cron-Job laufen lassen, der beispielsweise in den frühen Morgenstunden kurz die Verbindung aufbaut. Beim LANCOM-Router stellt man den Zeitpunkt für die Zwangstrennung der Internet-Verbindung per Zeitplan etwas früher ein.
Zweite Möglichkeit ist das Verwenden einer festen IP-Adresse für den LANCOM-Router.

Einzig unklar ist jetzt, warum das bei Dir mit einer älteren FRITZ!Box funktioniert hat (bei uns hat es das nicht).

Ab FRITZ!OS 6.23 wird übrigens auch die DH-Gruppe 15 unterstützt mit einer Schlüssellänge von 3072 Bit.

[GrandDixence]

Der LANCOM-Router fordert zyklisch für alle VPN-Gegenstellen die Namensauflösung an, so dass er innerhalb weniger Minuten Änderungen der IP-Adresse der VPN-Gegenstellen automatisch registriert.

Wieso sollte der LANCOM-Router die Namensauflösung (DNS) verwenden, solange der VPN-Tunnel steht?

Für die Erkennung von getrennten VPN-Tunneln gibt es DPD (Dead peer detection). Und solange die DPD keinen getrennten VPN-Tunnel erkennt, schickt der LANCOM-Router einfach die Datenpakete durch den VPN-Tunnel an die bekannte IPv4- oder IPv6-Adresse des fremden VPN-Endpunktes. Die IP-Adresse des fremden VPN-Endpunktes ist ja seit dem VPN-Tunnelaufbau bekannt (dank Namensauflösung beim VPN-Tunnelaufbau).

Wichtig: DPD muss auf beiden VPN-Endpunkten korrekt konfiguriert sein. Ansonsten kann eine VPN-Tunneltrennung nicht sicher erkannt werden! Bei Einwahlverbindungen (RAS) ist auf dem VPN-Client keine DPD erforderlich. Der Benutzer des VPN-Clients merkt selber ziemlich rasch, wenn der VPN-Tunnel getrennt wurde. Und trennt den VPN-Tunnel um einen neuen VPN-Tunnelaufbau zu starten.

Einstieg in das Thema "DPD" bietet:
fragen-zum-thema-vpn-f14/ikev2-dpd-nach ... ml#p114074

[Hagen2000]

Wieso sollte der LANCOM-Router die Namensauflösung (DNS) verwenden, solange der VPN-Tunnel steht?

Es geht natürlich um die Zeit, in denen der VPN-Tunnel nicht steht. Ein Verbindungsaufbau findet ja schließlich nur bei nicht bestehender Verbindung statt und um diesen geht's hier.

[Coolsero]

Hallo Hagen2000,

bei mir ist eher das Problem dass gar keine Verbindung erst aufgebaut werden kann solange ich in der Fritzbox eine URL stehen habe.

So wie ich die öffentliche IPv4 Adresse Einträge geht es sofort.

In der Zeit ändert sich ja die IP-Adresse des Lancom nicht.

Danke Coolsero

[jueRgenB]

Hi,
probier das mal mit der folgenden FritzBox Config... (kommt auf ner 7530)
Name, DNS Namen, Netzwerke und PSK entsprechend anpassen

Ich denke dir fehlt die localid und remoteid einstellungen...

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "fb-LANCOM";
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remotehostname = "<DNS Name des LANCOM>";
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "<DNS Name der FritzBox>";
                }
                remoteid {
                        fqdn = "<DNS Name des LANCOM>";
                }
                mode = phase1_mode_idp;
		phase1ss = "alt/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "********************************";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-des|3des-all/ah-all/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }  ike_forward_rules =	"udp 0.0.0.0:500 0.0.0.0:500", 
								"udp 0.0.0.0:4500 0.0.0.0:4500";
	}

[Hagen2000]

@Coolsero Ich habe mal Deine Config mit meiner verglichen. Es fehlen eben die von @jueRgenB erwähnten Einträge bei Dir.

Wahrscheinlich musst Du auch im LANCOM-Router an den entsprechenden Stellen Namen statt IP-Adresse verwenden.
Das wären dann folgende Stellen:

VPN, IKE/IPSec, IKE-Schlüssel & Identitäten:

• Lokaler ID-Typ: Domänen-Name (FQDN)
• Lokale Identität: <DNS Name des LANCOM>
• Entfernter ID-Typ: Domänen-Name (FQDN)
• Entfernte Identität: <DNS Name der FritzBox>

VPN, IKE/IPSec, Verbindungs-Liste

• Gateway: <DNS Name der FritzBox>

P.S.: Die Adresse des entfernten Netzes muss sich sowohl vom Netz der FRITZ!Box als auch von deren Gast-Netz unterscheiden.
P.P.S.: Falls der dargestellte key in den von Dir gezeigten Konfigurationen deinem derzeitigen entspricht, würde ich ihn jetzt ändern.

[Coolsero]

Hallo Hagen2000,

1. Hab ich jetzt noch mal versucht mit der Lokeln und Entfernten ID. Die Konfiguration habe ich auch bei anderen 7490 und 7590 Boxen nur halt ohne die 7.56 Firmware. Leider funktioniert es dann gar nicht, weder mit der IP noch mit dem DNS Namen.

2. Die DynDNS Adresssen, so wie der Kex sind erfunden! Somit sollte es keine Probleme geben.


Danke Coolsero