[Info] FRITZ!Box 7390 Labor-Firmware 84.05.58-26237 vom 22.08.2013

[rdemann]

Ja, einfach kein IPSec verwenden ...
Dem Protokoll zufolge kommt entweder auf Port 4500 überhaupt kein Paket an (Firewall dazwischen ? Die Ports in den FB sollten offen sein, wenn die geposteten Config-Files stimmen.) oder die Pakete können nicht richtig entschlüsselt/zugeordnet werden (Ist die 100%-ige Übereinstimmung der PSK auf beiden Seiten sicher ?). Noch eine Bemerkung zu den Angaben in "localid" und "remoteid": Diese müssen wirklich über Kreuz übereinstimmen (also localid "links" = remoteid "rechts" und umgekehrt). Ich betone das deshalb noch einmal, weil Du ja (sinnvollerweise) nur die bearbeiteten Config-Files herausgibst. Da mußt Du dann selbst ordentlich prüfen. Da die in der Box gespeicherten Konfigurationen bei LAN-LAN die localid und die remoteid nur verschlüsselt enthalten (wie beim key="$$$$..." auch), könnte ich mir auch da noch ein theoretisches Problem vorstellen, falls beim Entschlüsseln mit der neuen Firmware etwas schief geht (aber wirklich nur theoretisch ... ich hoffe doch mal, daß AVM beim Verschlüsseln in den Wert einen Teilstring zur Prüfung der korrekten Entschlüsselung mit einbaut).

Ich schau morgen das ganze noch mal an, aber ich denke nicht das es dort ein Problem gibt. Wie gesagt ich habe die cfg. Dateien habe ich vorher seit 2008 nicht mehr angefasst. Ich fahre ja Backups ueber den VPN und nachdem taeglich etwas lief ist das ganze eigentlich sofort aufgefallen.
Ich dachte das etwas an Port 4500 ankommt, da danach der Initiator manchmal Phase 2 Starting meldet?

Solange die VPN-Verbindung nicht prinzipiell wieder funktioniert, würde ich auch erst einmal auf irgendwelche Keep-Alives verzichten, da diese u.U. das Protokoll verfälschen. Für eine "saubere" Diagnose anhand der Protokoll-Dateien ist es günstig, wenn der Initiator später neu gestartet/neu konfiguriert wird, als der Responder (der ja eigentlich nur in einen definierten Zustand warten dürfte). Das könnte auch bei Dir der Fall gewesen zu sein, allerdings fehlt auf der Initiator-Seite der Beginn des Protokolls. Dazu muß man dann noch wissen, daß der avmike (vermutlich beim Überschreiten einer best. Dateigröße) eine neue ike.log-Datei erstellt und die vorherige unter dem Namen ike.old in demselben Verzeichnis liegen bleibt. Die Rekonfiguration des avmike findet immer an den Stellen statt, wo Zeilen wie "avmike:< add (appl=dsld,cname=<vpn-definition>..." im Protokoll auftauchen. Da diese Zeile für den Initiator fehlt, kann man nicht sehen, wie die Konfiguration aus der Datei vpn.cfg dann wirklich beim avmike ankommt.

Ja, ich werde ein log ohne keep-alives machen. Was ist mit dem "fehlerhafte Paketlaenge: Hdr-length > read-Data".
Danke
Robert

 

[PeterPawn]

Ich dachte das etwas an Port 4500 ankommt, da danach der Initiator manchmal Phase 2 Starting meldet?

Das interpretiere ich als "es wird etwas gesendet ..." (ist ja auch der Initiator). Wenn eine Kommunikation zustande kommt, sollte da eigentlich "Phase 2 ready" stehen und dann beginnt Phase 2 nach meiner Interpretation erst wirklich.

Was ist mit dem "fehlerhafte Paketlaenge: Hdr-length > read-Data".

Das tritt bei mir (bei Verbindung FB <-> Linux mit racoon) auch dann auf, wenn die FB versucht ein Paket ohne gültige oder mit einer falschen/abgelaufenen SA trotzdem zu entschlüsseln und für die Weiterverarbeitung zu untersuchen. Genaues weiß man über die Ursache dieser Nachricht dank ClosedSource natürlich nicht.

Ich habe mal etwas nach dem Parameter always_renew=yes gesucht und eigentlich keine Quelle für diese Variante gefunden, sondern überall nur always_renew=no.

Auch weiß offenbar niemand (bei einem größeren Suchmaschinenanbieter), was sich hinter diesem Parameter wirklich versteckt. Selbst wenn der bei Dir schon Jahre so gesetzt ist, kann es ja gut sein, daß er bisher vom avmike einfach nur ignoriert wurde und nun ausgewertet wird.

Wenn ich den theoretischen Ablauf eines Schlüsselaustauschs und den Namen dieser Option versuche in Verbindung zu bringen, würde dabei so etwas herauskommen wie:

Bei always_renew=yes wird jede Konversation mit der Gegenseite erst einmal mit einer IPSec-INITIAL-CONTACT-Message begonnen ... beim Empfang einer solchen Nachricht soll der Empfänger alle bisher mit dem Sender vereinbarten SAs verwerfen und neue aushandeln. Eigentlich ist das für den Fall von Verbindungsabbrüchen (z.B. durch Programmfehler oder Neustarts) vorgesehen, um dem Sender eine Möglichkeit zu bieten, "alte" Vereinbarungen (SA) umgehend für ungültig zu erklären, bevor sie regulär (egal ob anhand der damit bisher verschlüsselten Datenmenge oder anhand der Zeit, die dieser Schlüssel nun schon verwendet wird) ablaufen würden.

Das ist zwar nur meine eigene Interpretation ... aber wenn das wirklich auch "always renew SA" heißen könnte und wie andere Änderungen in der VPN-Funktion nicht bis zum Ende implementiert ist in dieser Beta, dann würde das Deine Probleme auch erklären. Solnage Du keinen guten Grund für always_renew=yes kennst, würde ich das auch nicht verwenden.

Edit:
AVM feilt wohl wirklich an der VPN-Funktionalität der Box (auch jenseits des Editierens von Konfigurationen ohne Zusatzprogramme). Das sieht man m.E. daran, daß seit der letzten Release-Version (05.52) ein neuer Daemon namens l2tpv3d inkl. eines Userspace-Programms l2tp mit einem interessanten Help-Screen dazugekommen ist. Wenn daraus dann irgendwann mal "L2TP over IPSec" wird - für "reines" L2TP fiele mir bei einer FB jetzt keine verbreitete Verwendungsmöglichkeit ein, PPPoE wird ja wohl schon im dsld bzw. den zugehörigen Kernel-Modulen abgehandelt -, erweitern sich die möglichen Einsatzszenarien der FB wieder, da sie dann z.B. auch direkt mit einem Windows-Server als VPN-Gateway arbeiten könnte.

 

[Neo the Hacker]

Hab mir auch gerade die aktuelle Labor auf die 7390 gezogen. Was mir sofort positiv aufgefallen ist, ist das der DSL Treiber nun auf dem Niveau der 7270 liegt. Ich habe bisher immer nur mit 13,2Mbit an meinem 16er Anschluss syncen können, die 7270 hat schon immer auf 15,4 gesynct. Seit dem Update schafft das die 7390 auch.
Sehr gut, ich hoffe aber das dies auch stabil ist - das kann ich nach 20min natürlich noch nicht sagen...

 

[master2005]

Hi habe jetzt auch die aktuelle Labor seit 3 Std. drauf und alles funktioniert keine ausfälle bei Wlan, Routern, Fritz-Fon MTF, Abstürze der Box etc. bis jetzt funktioniert alles bestens. VPN nutze ich nicht kann ich nix zu sagen.

MfG Sven

 

[dieguteFrauWaas]

Mediaplayer WD TV Live (Gen 3) verbindet sich nicht via WLAN im "WPA + WPA2" Modus; ist ja schon mehrfach hier genannt worden. Wäre schon schön, wenn es zumindest diesbzgl. schnell eine neue Labor geben würde ...:roll:

 

[KunterBunter]

Gab es denn schon mal Labor-Versionen für den Mediaplayer WD TV Live?

 

[dieguteFrauWaas]

@KunterBunter: Keine Ahnung, aber betroffen sind laut diesem Thread zumindest

- Western Digital WD TV Live (Gen 3)
- D-Link DCS-2132L
- TP-Link TL-WN861N

... leider haben nicht alle Forum-Aktivisten die genaue Gerätebezeichnung zu diesem Problem genannt.

 

[Smithy]

Hatte ich auch nicht genau definiert
Aber bei mir ist es ebenfalls die D-Link DCS-2132L

 

[Saimen]

... betroffen sind laut diesem Thread zumindest

- Western Digital WD TV Live
- D-Link DCS-2132L
- TP-Link TL-WN861N

...und die Roxio Soundbridge.

 

[nucleardirk]

Ich kann nach einiger Laufzeit der Box über einige SIP Nummern nicht mehr über diese raustelefonieren.
Einige sind registriert, andere nicht.... (alle beim gleichen Anbieter) - erreichbar sind die Nummern trotzdem. Schräg....

Mal sehen ob ein Reboot Hilfe bringt

UPDATE:
Die Box bringt SIPGATE und SIPGATE TEAM durcheinander!
Deswegen können sich manche Nummern nicht anmelden - es sind "normale" Sipgate Nummern, werden von der Box aber auf SipGate Team voreingestellt. Manuelles Umkonfigurieren ist leider anscheinend keine wirkliche Hilfe.

Account löschen und neuanlegen brachte (zum vorrübergehend) Hilfe. Allerdings wurde im Verbindungstest beim Sipgate Std. Account dennoch Team angezeigt.

Denke das liegt sicher an der Bastelstunde zum Trunking.

 

[berlin-biker]

Meine SIP-Nummern über PBX funktionieren zum Glück alle noch.
Allerdings brachte auch ein nochmaliges Aufspielen der Labor sowie ein mehrfacher POR meine WD-TV Gen. 3 nicht zurück ins WLAN (WPA2-verschlüsselt). Ausgesprochen ärgerlich.
Eine komplette händische Konfiguration der WLAN-Einstellungen in der WD-TV führt ebenfalls nicht zum Erfolg. Beim Abschluss der Konfiguration springt die WD-TV dann immer auf ein anderes WLAN-Netz (vom Nachbarn) um.
Geradezu so, als würde die 7390 beim WLAN-Verbindungsversuch, die Verbindung sofort abbrechen oder auf unsichtbar schalten.
WPS-Verbindungsaufbau zu diesem Gerät ist ebenfalls nicht möglich.
Auch ein händisches Eintragen der Verbindung mittels MAC-Adresse in der 7390 bringt nichts.
Werde wohl doch ein Recovery drüber bügeln, wenn nicht zeitnah eine bessere Labor erscheint, da alle Möglichkeiten zur Fehlerbehebung m.E. ausgeschöpft sind...

 

[bluegate]

seit Ewigkeiten immer mal wieder

Ich kann nach einiger Laufzeit der Box über einige SIP Nummern nicht mehr über diese raustelefonieren.
Einige sind registriert, andere nicht.... (alle beim gleichen Anbieter) - erreichbar sind die Nummern trotzdem. Schräg....

Das Problem habe ich schon seit Ewigkeiten immer mal wieder mit manchen Laboren
-> immerhin werden die Leitungen inzwischen tasächlich als OFFLine gezeigt.
Damals gingen sie einfach nicht, waren aber on..
AVM hat davon Tonnen von Logs und Traces aber offenbar...

Das Wunderliche ist, dass sie sich scheinbar zufällig auch wieder an und andere abmelden.
Es hat vermutlich damit zu tun, dass mehrere Rufnummern (oder gerade zu viele) bei einem Provider sind.

 

[H´Sishi]

Eine komplette händische Konfiguration der WLAN-Einstellungen in der WD-TV führt ebenfalls nicht zum Erfolg. Beim Abschluss der Konfiguration springt die WD-TV dann immer auf ein anderes WLAN-Netz (vom Nachbarn) um.

Eh? Hat Dein Nachbar sein WLAN-Netz komplett offen oder kennt Dein WD-TV seine Netzdaten ebenfalls?

 

[mayb3]

3 via VPN verbundene 7390er.
Nach dem Update (nur Update; keinerlei Änderungen der config) ist eine 7390 per VPN nicht mehr erreichbar. Selbstverständlich die mit dem Familienserver dahinter. Und selbstverständlich zickt seit fünf Tagen der zu dem Netzwerk gehörige Drucker, so daß ich nicht mal kurz den Druckkopf reinigen kann.

Äußerst ärgerlich, was auch immer das wieder ist!

 

[oldmen]

Auch bei mir verbindet sich das (mit dieser FW bockige) Wlan-Gerät (TP-Link TL-WN861N) sofort wieder, wenn ich unter Wlan-Sicherheit anstatt "WPA2 (CCMP)" auf "WPA" runterstelle.

Da das Wlan aber bisher seit Jahren und vielen FW's mit WPA2 funktioniert hat, sehe ich das nur als testweisen "Würgaround" zur Fehlereingrenzung und nicht als Lösung.



@berlin-biker

Vllt. solltest du das Wlan Problem mit dem WD-TV auch mal mit "nur WPA" testweise verifizieren.

Und immer schön Feedback an AVM geben ...

 

[berlin-biker]

Eh? Hat Dein Nachbar sein WLAN-Netz komplett offen oder kennt Dein WD-TV seine Netzdaten ebenfalls?

Nein natürlich nicht. Aber die SSID der 7390 ist plötzlich weg und nur noch die nächst stärkeren Netze werden angezeigt. Obwohl auch die SSID manuell eingetragen wird.
Ein Umstellen auf WPA kommt für mich nicht in Frage.
Riskiere nicht die Sicherheit des Netzes für ein Gerät. Da warte Ich wohl oder übel lieber auf eine neue FW.

 

[Lecter]

Ich hatte das gleiche Problem und das so gelöst:

Ich habe mein WLAN per WP2 konfugiert und zusätzlich einen Gastzugang mit WPA für mein WD TV Live. Da diese nur gelegentlich läuft, schalte ich den nicht ganz so sicheren WPA-Gastzugang auch nur dann ein und hinterher wieder aus.

Als WPA-Schlüssel habe ich einen anderen einfacheren verwendet, um nicht auf meine WP2-verschlüsselten Zugang Rückschlüsse ziehen zu können!

Nun kann ich sorgenfrei wieder alle Gerät bis zum nächsten hoffentlich bug-freien Update verwenden...

 

[AleksCee]

Hat das noch jemand, dass man keine neue Rufumleitung hinterlegen kann oder liegt es an mir, bzw dem Versuch es mit dem iPad zu machen? Gibt's da schon andere Beobachtungen? Oder gibt es eine Grenze an Umleitungen?

 

[berlin-biker]

@Lecter
Danke für den Tipp!

Leider musste ich jetzt feststellen (bzw. meine Tochter) das Ihr PC nunmehr ebenfalls per WLAN (WPA2) nicht mehr aufs Netz zugreifen kann.
Hier werkelt im/am PC ein No-Name USB-Micro-Stick (mit Realtek-Hardware), der bisher ebenfalls nie Probleme bereitet hat.
Die Phänomene sind die gleichen wie bei der WD-TV. Bis hin zu dem Punkt das auch eine Verbindung mittels WPS nicht geht.
Das Ärgernis weitet sich aus... ÄTZEND!

Aber das hat in dieser Sekunde hoffentlich mit der 84.05.58-26321 ein Ende...

 

[siggi47]

@all,
soeben neue Labor Version vorhanden