Fritzbox LAN-LAN Problem 7490 / 6490

[Shirocco88]

Wobei man Dir in einigen Konstellation mit DS-Lite bei UM wohl ohnehin keine echte Hoffnung machen kann

Der MTU1460-Bug bei FB6490 im DS-Lite Anschluß @UnityMedia ist z.B. hier beschrieben:
https://www.ip-phone-forum.de/threads/fritz-box-6490-cable-fritz-os-6-87.297921/page-2
bzw. auch andere UnityMedia-User berichten von dem Problem.

bei Cable-Provider (VF/KD) mit DS-Lite tritt der MTU1460-Bug der Fritzbox 6490 auch auf:
http://klop.solutions/dual-stack-lite-kills-mtu/

 

[HabNeFritzbox]

6to4 Tunnel ist bei UM auch Katastrophe.

 

[Shirocco88]

@IaroonI:
wenn Du eine DSL-Box hinter die FB6490 hängst und die VPN-Config dort aktivierst dann funktioniert der VPN-Tunnel zwischen der DSL-Fritzbox und der FB7490@Telekom.

 

[IaroonI]

Hier die aktualisierten Log-Dateien, diesmal auch mit dem Teil für Events.

über welche FRITZ!OS-Versionen wir hier überhaupt reden.

Die 7490 hat Version 06.92
Die 6490 hat Version 06.87

Ich würde hier trotzdem mal mit "ping" und "don't fragment" die MTU des DS-Lite-Tunnels (für IPv4 natürlich) ausloten ...

Ich habe in die Eingabeaufforderung eines Rechners auf der UM-Seite folgendes eingegeben:

ping -f öffentlicheIPder7490

Die Ausgabe hiervon ist nur die selbe wie ohne den Parameter f.

6to4 Tunnel ist bei UM auch Katastrophe.

Das klingt immerhin noch so, als wenn es machbar wäre...

@IaroonI:
wenn Du eine DSL-Box hinter die FB6490 hängst und die VPN-Config dort aktivierst dann funktioniert der VPN-Tunnel zwischen der DSL-Fritzbox und der FB7490@Telekom.

Ich will aber keine 2 Geräte dafür benutzen, sonst hätte ich mir auch keine Fritzbox-Cable gekauft...

 

[PeterPawn]

Hmm ... sieht irgendwie immer noch komisch aus.

Die 6490 "sieht" die 7490 (die ja schon lange ihre DynDNS-Adresse aktualisiert haben sollte) zuerst auf der 84.135.142.106 ... und versucht halt die erste Verbindung dorthin aufzubauen. Erst später schlägt dann das DynDNS-Update der 7490 auf die nunmehr neue Adresse 84.135.152.120 durch (nachdem die 6490 auf der alten Adresse keine Antwort erhält und ins Timeout rennt) und die 6490 versucht es dann mit dieser Adresse.

Allerdings sieht das danach doch eher so aus, als ob da irgendetwas durcheinander geht (und so ad hoc erklärt eine falsche MTU das Problem auch nicht wirklich) ... die Reihenfolge (erst werden auf der 6490 die SAs eingerichtet und dann direkt wieder gelöscht) der Nachrichten ist trotzdem komisch, weil das "malformed packet" (0x1b) erst nach dem Löschen der SA auftaucht - das ist nun wieder gemeinhin ein Zeichen dafür, daß der bei der Entschlüsselung verwendete Key nicht stimmt (bzw. keiner der in dieser Richtung gerade eingerichteten, weil die Software wohl mit jedem Kandidaten die Dechiffrierung versucht, weil sie ja nicht wissen kann, welchen Key der Sender tatsächlich verwendet hat) und dann in der Folge im entschlüsselten Paket nur Garbage steht, was natürlich keine Software interpretieren kann.

Insofern deuten die Zeilen in der 6490:

2018-05-28 20:13:17 avmike:FreeIPsecSA: spi=2db1d8e7       protocol=3 iotype=1
2018-05-28 20:13:17 avmike:FreeIPsecSA: spi=2331       protocol=4 iotype=1
2018-05-28 20:13:17 avmike:FreeIPsecSA: spi=92597f9a       protocol=3 iotype=2
2018-05-28 20:13:17 avmike:FreeIPsecSA: spi=8742       protocol=4 iotype=2
2018-05-28 20:13:17 avmike:payloads.cpp:43: IKE-Error 0x1b
2018-05-28 20:13:19 avmike:payloads.cpp:43: IKE-Error 0x1b
2018-05-28 20:13:23 avmike:payloads.cpp:43: IKE-Error 0x1b
2018-05-28 20:13:27 avmike:>>>4500 nat-t-keepalive[84.135.152.120:4500]
2018-05-28 20:13:31 avmike:payloads.cpp:43: IKE-Error 0x1b

für mich eigentlich darauf hin, daß die in den ersten Zeilen gelöschten SAs für das Entschlüsseln der Pakete von der 7490 nötig wären.

Die Gretchen-Frage ist es hier also, warum die 6490 schon zu diesem Zeitpunkt die SAs wieder abräumt ... ein Timeout kann es ja in der Kürze der Zeit eigentlich noch nicht sein und so würde ich (neben den bekannten VPN-Problemen der 6490 bei DS-Lite) auch weiterhin ein etwas unglückliches Timing für einen Teil der Probleme verantwortlich machen.

Eigentlich sollte die 6490 ja gleich beim Start die korrekte IPv4 der 7490 erhalten ... dann startet sie gar nicht erst mit der falschen Adresse und es gibt in der Folge auch kein Erfordernis, die "alten" Keys für die falsche Adresse irgendwie abzuräumen, was dann vielleicht doch die falschen SPIs (oder schlicht zuviele) trifft.

Witzig ist es aber auch, daß die 7490 schon der Ansicht ist, die Verbindung wäre bereits aufgebaut (das heißt dann, daß P2 auch schon durch ist aus Sicht der 7490) ... und dann in derselben Sekunde auch ihrerseits die SAs wieder abräumt ... und das ohne einen Anhaltspunkt, was sie dazu veranlaßt hat (ein Rückfall auf P1 ist ja auch nicht im Log verzeichnet).

Irgendwelche Pakete müssen die Peers aber auch erfolgreich austauschen können, sonst würden sie niemals bis P2 kommen ... ich würde hier mal auf beiden Seiten einen Paketmitschnitt machen, einfach um zu sehen, ob es von der Gegenseite irgendein Paket gibt (dessen Inhalt sollte man mit dem korrekten SPI auch entschlüsseln können), das eine Erklärung für das umgehende Verwerfen der gerade erst eingerichteten SAs liefert.

Ansonsten könnte man (um die Probleme mit der MTU zu verifizieren) auch noch auf ein Set mit deutlich weniger Auswahlmöglichkeiten als "all/all/all" für P1 und "esp-all-all/ah-none/comp-all/pfs" für P2 setzen (abgesehen davon, daß "no-pfs" eben auch für das Tracen von Problemen sinnvoller ist, mit PFS kann man auch nichts entschlüsseln im Dump) - damit sollten zumindest die Pakete für P1 und P2 (und auch die Keepalive-Pings) nicht an die MTU heranreichen ... obwohl das natürlich nur als Diagnose taugt (i.V.m. einem Mitschnitt, aus dem zumindest die Payload-Größe in den UDP-Paketen ersichtlich ist) und nicht als Dauerlösung, wenn da wirklich mal ein "full-size packet" zu übertragen ist.

Ich weiß nicht genau, wie die Protokolle beim berühmt-berüchtigten MTU-Problem bei UM aussehen (bei VF/KD mag das Problem auch existieren, aber hier kriegen Kunden mit eigener 6490 m.W. eine "echte" IPv4 und haben damit die kleinere MTU durch den DS-Lite-Tunnel nicht) ... vielleicht findet sich ja irgendwo jemand mit einer 6490 (ob Provider- oder Retail-Version sollte am Ende sogar egal sein, solange es eine Version ist, bei der das VPN auf dem ATOM-Core läuft) am DS-Lite-Anschluß von UM, der mal ein zweites Protokoll zum Vergleich zur Verfügung stellen kann.

 

[IaroonI]

Irgendwelche Pakete müssen die Peers aber auch erfolgreich austauschen können, sonst würden sie niemals bis P2 kommen ... ich würde hier mal auf beiden Seiten einen Paketmitschnitt machen, einfach um zu sehen, ob es von der Gegenseite irgendein Paket gibt (dessen Inhalt sollte man mit dem korrekten SPI auch entschlüsseln können), das eine Erklärung für das umgehende Verwerfen der gerade erst eingerichteten SAs liefert.

Unter "Paketmitschnitte" lassen sich ziemlich viele Pakete auswählen, wovon bräuchtest du die Mitschnitte genau?

ein Set mit deutlich weniger Auswahlmöglichkeiten als "all/all/all" für P1 und "esp-all-all/ah-none/comp-all/pfs" für P2

was empfiehlst du hier für eine andere Konfiguration?

Der AVM-Support mein übrigens folgendes (kann aber bisher auch nicht helfen):

Wie bereits zu Anfang beschrieben, ist es kein Problem eine VPN Verbindung zwischen einer FRITZ!Box am DS-Lite-Anschluss und einer FRITZ!Box mit öffentlicher IPv4 Adresse aufzubauen.
(Dies steht auch in der VPN-Einrichtungsanleitung direkt oben bei den Vorraussetzungen) .
Ich gehe eher weniger davon aus, dass ein ein Problem mit dem Anschluss der 6490 bei UnityMedia besteht aufgrund eines nicht passenden MTU-Wertes, da wir diesbezüglich sonst mehr Anfragen hätten.

 

[PeterPawn]

Na ja, die Antwort vom AVM-Support ist ja wieder mal Gold wert ... ich hatte bereits geschrieben, wo Du zu dem Problem nachlesen könntest (im inoffiziellen UM-Forum) und auch in #21 stehen ein paar Links zu diesem Thema aus diesem Board hier.

Die verfügbaren "proposal sets" findet man in der Datei "ipsec.cfg" im Default-Verzeichnis der jeweiligen Firmware. Ich würde hier zum Testen irgendein Set nehmen, das nur aus einer Handvoll Möglichkeiten besteht und trotzdem sicher ist ... da wäre z.B. "dh15/aes/sha" eine mögliche Wahl für P1 und für P2 bleibt eigentlich nur "esp-3des-sha/ah-no/comp-no/no-pfs", weil es ansonsten keine "kurzen" Sets mehr in der Standard-Datei gibt und man sich erst eigene Sets erstellen müßte - da muß dann 3DES eben auch mal reichen, wenn man "no-pfs" will.

Ansonsten sieht man (und nicht wirklich "ich", weil Du bitte nicht auf die Idee kommst, hier irgendeinen Mitschnitt "raw" einzustellen - es gibt für Wireshark m.W. auch eine umfangreiche Online-Hilfe) auf der "1. Internet-Verbindung", welche Pakete verschlüsselt rausgehen und ankommen und auf der "Routing-Schnittstelle" den noch (bzw. wieder) unverschlüsselten Traffic - vermutlich nur irgendein ICMP-Paket, solange da keine "echten" Daten fließen.

 

[doc456]

Siehe hier: https://avm.de/service/fritzbox/fri...FRITZ-Box-am-DS-Lite-Internetzugang-moeglich/

 

[Shirocco88]

leider funktioniert der genannte KB-Artikel von AVM bei DS-Lite-Anschlüssen von Unity-Media nicht; jedenfalls hat es noch niemand im Forum hinbekommen und bei AVM ist das Problem auch gemeldet, jedoch ist der Bugfix noch nicht erschienen;
siehe auch
https://www.ip-phone-forum.de/threads/fritz-box-6490-cable-fritz-os-6-87.297921/page-2#post-2256164


interessant sind die verschiedenen MTU-Werte bei der FritzBox mit IPv4 (MTU=1460 ermittelt für VPN-Session zur DS-Lite Box) und die MTU der DS-LITE-Box (MTU=1500 ermittelt für VPN-Session zur IPv4 Box), siehe:
https://www.ip-phone-forum.de/threa...te-mit-6-60-lief-es-noch.289654/#post-2254728

 

[IaroonI]

und wenn ich jetzt eine andere Fritzbox, eine 4020 zum Beispiel, hinter die 6490 hängen würde, dann könnte ich eine VPN-Verbindung aufbauen?

 

[Shirocco88]

Ja, da die FB4020 die richtige MTU per Ende-Ende-Verbindung discovered;
Wichtig ist hier, dass die FB6490 im PassThrough Mode arbeitet; hierzu am Besten alle VPN-Verbindungen deaktivieren.

 

[IaroonI]

Ja, da die FB4020 die richtige MTU per Ende-Ende-Verbindung discovered;
Wichtig ist hier, dass die FB6490 im PassThrough Mode arbeitet; hierzu am Besten alle VPN-Verbindungen deaktivieren.

Und wie aktiviert man den PassThrough-Mode?

Wie muss die 4020 dann eingestellt werden?
Muss der LAN-Port der 6490 dann mit dem WAN- oder dem LAN-Port der 4020 verbunden werden?
Und darf die 4020 im selben Subnetz sein wie die 6490?

 

[Shirocco88]

Und wie aktiviert man den PassThrough-Mode?

einfach alle VPN-Configurationen @FB6490 deaktivieren;

Wie muss die 4020 dann eingestellt werden?
Muss der LAN-Port der 6490 dann mit dem WAN- oder dem LAN-Port der 4020 verbunden werden?

die 2. Fritzbox wird im Routermode (Uplink-Port ist dann LAN1) betrieben

Und darf die 4020 im selben Subnetz sein wie die 6490?

wie oben geschrieben wird der Uplink-Port der 2. Fritzbox in einen der LAN-Port der FB6490 (nicht Gäste-LAN) gesteckt; die 2. Fritzbox spannt dann ein separates LAN auf.

Hinweis: VPN benötigt einiges an Rechenleistung, d.h. wenn man VPN-Datendurchsatz haben möchte, dann sollte man Fritten mit adäquater CPU-Leistung (FB7362, FB7490, ...) verwenden, diesbezüglich kann ich zu FB4020 nichts sagen, da ich hier keine Leistungsdaten/Erfahrungen habe.

 

[IaroonI]

Hallo zusammen!
Ich habe jetzt eine FB4020 hinter die 6490 gehängt aber auch das bringt mich noch nicht weiter...
Der Fehler ist diesmal:

MyFRITZ! Fehler: Fehler bei der DNS-Auflösung des MyFRITZ!-Namens

 

[Shirocco88]

MyFritz ist eigentlich bei der FB4020 nicht erforderlich und kann auch mit einer IP-Adresse aus dem Subnetz 192.168.0.0/16 nicht wirklich was anfangen.
am Besten MyFritz und DynDNS bei FB4020 nicht konfigurieren;
siehe auch https://www.ip-phone-forum.de/threads/6820-lte-zugriff-via-myfritz-oder-dyndns-anbieter-nicht-möglich.283420/#post-2139400
ff.