[Gelöst] LAN-LAN-Kopplung mit ipsecbridge und 1x DS-Lie?

[prodigy7]

Ticket-ID wäre die 1622407

Okay, verstanden wie es funktionieren könnte. Ist mir aber aktuell zuviel Akt, beim Kabel-Anschluss noch eine FB dran zu hängen. Da dort eh schon ein RPi läuft, hab ich derzeit eine VPN via OpenVPN realisiert (das kann direkt mit IPv6 auch umgehen). Wäre aber schön, wenn FB zu FB direkt gehen würde.

 

[Shirocco88]

Wäre aber schön, wenn FB zu FB direkt gehen würde.

Da warten schon viele User darauf;

Beispiel: Supportanfrage vom Sept-2016:

Hier die Antwort von AVM:

das VPN Problem wird mit einem Update der FW
noch im Herbst gelöst sein:


XXX (AVM Support)

5. Sep., 15:26 CEST

Guten Tag - Herr XXX,

vielen Dank für Ihre Mühe.
Ich werde die Informationen an unsere Entwicklung weiterleiten.
Wie schon geschrieben, arbeiten wir an dem Problem und es wird vorraussichtlich im Herbst eine Lösung geben.
Diese wird dann in Form eines Updates bereitgestellt.

Freundliche Grüße aus Berlin
XXX (AVM Support)

die Lösung, die seitens AVM-Support für "voraussichtlich im Herbst 2016" angekündigt war, habe ich noch nicht gesehehen.

 

[PeterPawn]

Ich würde ja bei meinem Provider umgehend wieder kündigen, wenn der mir mit einer eigenen FRITZ!Box als Router nur einen DS-Lite-Anschluß hinstellt (bzw. die Cable-Box so provisioniert) ... die Liste der damit zwangsläufig brachliegenden Funktionen (nicht nur bei einer FRITZ!Box) ist deutlich zu lang, als daß man da - ohne wirklich verständliche Information vom Provider vor dem Vertragsabschluß - automatisch davon ausgehen kann, daß auch ein DS-Lite-Anschluß dazu geeignet wäre, als funktionierender und vertragsgemäßer Internet-Anschluß durchzugehen.

Zwar steht in der TKTransparenzV nichts ausdrücklich zu IPv4 und IPv6, aber solange eingehende Verbindungen nicht irgendwo in der Leistungsbeschreibung abbedungen werden, wird wohl kein Provider bestreiten wollen, daß dieses Merkmal zu einem "Vollanschluß" dazugehört und das Fehlen einer entsprechenden Information (vorab) bzw. das Verweigern dieses Leistungsmerkmals (auch auf Nachfrage des Kunden) einen Mangel begründen dürfte.

DS-Lite ist als Übergangslösung ja keine richtig schlechte Idee und die meisten Kunden merken sicherlich nicht einmal, daß ihnen überhaupt etwas fehlt (nämlich die eigene öffentliche IPv4-Adresse) ... aber das ist ja noch kein Grund, "DS-Lite" tatsächlich als vollwertigen Internet-Anschluß zu verkaufen, wenn der Kunde es dann irgendwann doch bemerkt und seinerseits auf Erfüllung pocht.

Das ändert nichts daran, daß AVM sich um die Korrektur der MTU kümmern soll(te), wenn es das Problem tatsächlich gibt ... das kann man halt nur an einem entsprechenden Anschluß vom KNB auch testen und m.W. wird man bei den meisten Providern mit einem eigenen Router automatisch auf IPv4 umgestellt. Zwar ist bei einigen DS-Lite auch in der pNTP-Spezifikation enthalten, aber bei VF/KD z.B. als "SHOULD" und nicht als "MUST" (Seite 11) - während es bei UM bereits in der pNTP-Spezifikation steht, daß nur DS-Lite verfügbar ist (auch Seite 11). Die muß der Kunde selbst aber kaum zuvor lesen ... also sollte/wird es auch noch irgendwo in der Leistungsbeschreibung (und die wird dann wieder Vertragsbestandteil, wenn der KNB es richtig macht) stehen.

 

[prodigy7]

Habe eine freundliche Antwort aus Berlin erhalten:

Guten Tag Herr [...],

vielen Dank für Ihre Anfrage an den AVM Support.

Phuuu wo fange ich an.
Also der Text ist sehr interessant, jedoch der völlig falsche Ansatz und viel zu kompliziert geschrieben. Der Grund ist wesentlich einfacher.

Bei einem DS-Lite Anschluss ist Ihre FRITZ!Box nicht direkt aus dem Internet erreichbar. Dies können Sie ganz leicht prüfen um es evtl. besser nachvollziehen zu können.



In dem hier Gelb markierten Bereich finden Sie in Ihrer FRITZ!Box Ihre IP-Adresse, die Ihr Internetdienstanbieter der FRITZ!Box vergeben hat. Prüfen Sie nun einmal unter der Adresse "www.wieistmeineip.de" Ihr öffentliche IP. Beide IPs stimmen nicht überein. Damit ist die Adresse die Ihrer FRITZ!Box vergeben wurde nicht im Internet erreichbar. Das ist der Grund warum VPN Verbindungen an einem DSL Lite Anschluss nicht funktionieren.

Nehmen wir an Ihre FRITZ!Box hat die Adresse 1.1.1.1
Über die Adresse "www.wieistmeineip.de" wird Ihnen allerdings die Adresse 2.2.2.2 angezeigt.

Sie können zwar 2.2.2.2 aus dem Internet ansprechen, aber eben nicht die 1.1.1.1

Das was Sie im Internet gefunden haben ist zwar sehr umfangreich und fachlich auch korrekt, geht aber vollkommen am Thema vorbei.


Ich wünsche Ihnen noch einen schönen Tag. Kommen Sie gut ins Jahr 2018.

Freundliche Grüße aus Berlin
[...]

Also wenn ich euch richtig verstanden habe, funktioniert VPN zu VPN (LAN-to-LAN) wenn ich bei einem UM Anschluss mit DS-Lite eine FB HINTER eine FB hänge und die Verbindung aufbaue, richtig? Ich kann es mangels ausreichender Anzahl an aktueller ungenutzter Hardware aktuell leider nicht testen. Wenn mir jemand das explizit bestätigen kann, kann ich das ja nochmal an AVM weitergeben.

 

[PeterPawn]

Irgendwie plagt mich hier aber weiterhin die Frage, warum das nun auf einmal mit der MTU zu tun haben soll. Ein/das MTU-Problem generell bestand im Herbst 2015 bei der 6490 m.W. noch gar nicht, das ist (sollte es wirklich auch VF/KD und andere als UM betreffen) erst mit neuerer Firmware "eingeschleppt" worden, wenn es nicht sogar "providerspezifisch" ist, wie es z.B. das ECN-Problem bei UM i.V.m. Apple-Systemen auch war - schließlich ging auch VPN mit einem DS-Lite-Anschluß bereits mit der 6490, wenn ich das auch nur für KDG definitiv selbst sagen kann.

Meine erste 6490 hatte noch die 06.08 (aus dem Kopf), war erst einmal nur für DS-Lite konfiguriert (ich habe die Weihnachten 2014 aufgebaut und in Betrieb genommen (da kam dann auch gleich ein "Updatewunsch" auf 06.10) und konnte erst nach den Feiertagen bei KDG auf echtes DS (bzw. es war iirc reines IPv4) umstellen lassen, nachdem ich mit der Technik-Hotline telefonierte) und trotzdem problemlos in der Lage, mit einem meiner "dedicated server" bei einem Hoster per VPN Kontakt aufzunehmen (dort lief bei mir "racoon").

Die erste "Anfrage" von @prodigy7 nach einer funktionierenden Konfiguration stammt vom Sept. 2015 und seitdem wurde mit keinem Wort erwähnt oder bestätigt, daß es sich (a) um Unitymedia als KNB handelt und (b) die Box tatsächlich an einem DS-Lite-Anschluß hängt. Oder wo genau habe ich das überlesen? In seiner Signatur steht davon jedenfalls auch nichts ... die wirkt so, als wäre sie Jahre nicht aktualisiert oder als wäre er ein dankbares Opfer für eine Attacke, wenn die Versionsnummern tatsächlich noch stimmen sollten.

Es mag ja sein, daß es tatsächlich ein solches Problem gibt (mangels passendem Anschluß muß man sich halt auf Schilderungen anderer verlassen und die meisten AVM-Mitarbeiter dürften eben auch eher im Einzugsgebiet von KDG bzw. TC (samt Konsorten) leben) - warum das aber hier auf einmal ein Thema sein soll (es ging in diesem Thread eigentlich sogar um die Kopplung zwischen einer 06.3x-Firmware bei einer DSL-Box und einer 6360 mit Firmware 06.0x) oder gar als Erklärung herhalten sollte, ist für mich alles andere als eingängig. Was habe ich denn an Fakten überlesen, die eine solche Vermutung überhaupt wahrscheinlich machen würden?

Daß ich selbst im Herbst 2015 eine (funktionierende!) VPN-Verbindung zwischen einer 6360 am KDG-Anschluß mit DS-Lite (in Leipzig) und einer 7490 hier bei mir am Laufen hatte (und zwar mit funktionierender Datenübertragung und ohne MTU-Probleme), ist dabei nur noch eine Randnotiz (aus #13) ... ich weiß tatsächlich nicht, was UM da mit DS-Lite und einer falschen MTU vielleicht schon seit Jahren i.V.m. den (oder besser allen) FRITZ!Boxen am Laufen hat. Bei KDG funktionierte es jedenfalls ... in der erwähnten Konfiguration, auch wenn ich "nachhelfen" mußte, weil eben bei 06.2x sich die "ipsec.cfg" und einiges andere am VPN änderte.

Aber selbst bei der Zwischenfrage von @neo06 ging es um eine 6320 und was hat das jetzt mit dem ab #18 auftauchenden Bezug zur 6490 zu tun (nach Ansicht des Autoren im anderen Board ist das bei der zwar dasselbe Problem wie bei den vorherigen Modellen, aber irgendwie geht er ja auch nicht auf die Frage ein, warum zumindest die Vorgängerversion am KDG-DS-Lite-Anschluß funktionierte - was macht(e) KDG da falsch, daß dieser - schon immer vorhandene - Fehler sich nicht zeigen wollte?) bzw. warum ist das nun zwingend ein AVM-Fehler, wenn es mit der 6360 bei KDG funktionierte?

Die 6490 (ab Sept. 2016 an diesem Anschluß in Leipzig, eine von routermiete.de) hatte dort dann tatsächlich auch eine "echte" DS-Konfiguration, daher kann ich das für dieses Modell an diesem Anschluß nicht mehr "verbürgen" - es ist halt nicht so einfach, bei VF/KD den passenden Anschluß mit (verbürgtem) Problem zu finden. Aber sollte es dann nicht dort ebenfalls so ein "systematisches Problem" und entsprechende Klagen der Kunden geben?

Noch einmal ... ich kann die Beobachtungen aus dem anderen Forum weder selbst prüfen noch sie für einen UM-Anschluß widerlegen. Aber warum liest sich das bei Dir (@Shirocco88 bzw. auch beim Autoren aus dem anderen Thread) dann so, als hätten alle FRITZ!Boxen (egal welches Modell und mit welcher Firmware) bei allen Providern (und auch bei VF/KD hängen Kunden mit Provider-Box m.W. immer noch gerne mal am DS-Lite) schon immer dasselbe Problem mit einer falschen MTU für IPv4-Verbindungen, die dann i.V.m. der Fragmentierung von VPN-Paketen dazu führt, daß die AVM-IPSec-Lösung mit einer Cable-FRITZ!Box am DS-Lite-Anschluß noch nie und nirgendwo funktioniert hätte? Das paßt zumindest nicht zu meinen eigenen Erfahrungen ... daher bin ich ja so verwirrt.

 

[Shirocco88]

Die erste "Anfrage" von @prodigy7 nach einer funktionierenden Konfiguration stammt vom Sept. 2015 und seitdem wurde mit keinem Wort erwähnt oder bestätigt, daß es sich (a) um Unitymedia als KNB handelt und (b) die Box tatsächlich an einem DS-Lite-Anschluß hängt. Oder wo genau habe ich das überlesen?

es gibt auch einen 2. Thread mit Beiträgen von @prodigy7 zu dem VPN-Problem (DS-Lite, UnityMedia-Anschluß, Cable-Box FB6360);
auch gab es in diesem Tread ein Posting, bei dem mögliche "Probleme mit der Fragmentierung von Paketen durch die kleinere MTU bei DS-Lite" aufzeigt wurden.

Auch ein Paket-Mitschnitt könnte weiteren Aufschluß bringen ... ich könnte mir auch noch Probleme mit der Fragmentierung von Paketen durch die kleinere MTU bei DS-Lite vorstellen, denn die "Tunnelverpackung" in IPv6 auf dem Weg von/zum AFTR-Gateway braucht ja auch noch Platz im (Ethernet-)Paket.

ich habe mich mit dem Thema befasst, da ein Bekannter eine TC7200-Box durch eine FB6490 am DS-Lite UM Anschluß ersetzen wollte, er ist jedoch davon abgekommen, da sich die Mehrkosten (Invest ca. 190 EUR) zu den erwartetem Mehrwert sich nicht rechnet.

am Besten jemand verfiziert (oder meinetwegen auch falsifiziert) die Recherche von Andreas1969, dann haben wir Klarheit.

 

[PeterPawn]

OK, dann verstehe ich, woher Du von der Konfiguration bei @prodigy7 weißt - aber dann kennst Du ja auch (aus dem anderen Thread) bereits meine Berichte (z.B. hier), mit welchen Kombinationen es bei mir bereits funktioniert hat.

Bei UM mag das auch alles ganz furchtbar schlimm sein mit dem AVM-VPN ... aber das ist es eben, was ich in diesem Thread ab #18 vermisse und weshalb ich das (s.o.) nicht in vollem Umfang verstehe bzw. nachvollziehen kann.

Hier steht nämlich bisher eigentlich nicht (wenn ich es überlesen habe, zeige es mir bitte), daß dieses Problem auf UM beschränkt war (und es vielleicht auch immer noch ist, wenn es nicht ausreichend weitere Stimmen gibt, daß es bei VF/KD am DS-Lite auch definitiv nicht geht - aber bitte keine "cross-references", wo dann jemand bei VF/KD es nicht hinkriegt und als "Beweis" dafür, daß es nicht funktionieren kann, auf den Autoren im anderen Board verweist) und es klingt irgendwie nach einem allgemeinen Problem und danach, daß es mit der 6490 am DS-Lite-Anschluß seit Urzeiten nicht funktioniert (ja, vielleicht sogar mit der 6360 nie funktioniert hat, denn die ist ja immer noch der "Aufhänger" in diesem Thread). Vielleicht wäre es dann auch besser gewesen, den anderen Thread fortzusetzen, denn da ist der Kontext "Problem in erster Linie bei UM" schon klar zu lesen, im Gegensatz zu diesem Thread (so mein Eindruck stimmt).

Wenn wir hier ausdrücklich festhalten können/wollen, daß es zumindest mal funktioniert hat bei 6360 und 6490 am DS-Lite-Anschluß von VF/KD, dann bin ich "beruhigt". Auch wenn die Erklärung des Autoren im anderen Board schlüssig klingt und korrekt sein mag (Dein Zitat zeigt ja auch, daß ich in eine ähnliche Richtung dachte), ist mir seine Ausrichtung darauf, daß es in jedem Falle ein AVM-Fehler wäre, einfach zu einseitig ... sie erklärt eben auch nicht zu 100%, warum es bei VF/KD dann funktioniert hat.

Ich habe allerdings auch keine alten Mitschnitte mehr von so einem Anschluß - kann also auch nicht mehr nachsehen, warum das bei VK/KD am Ende doch funktioniert hat. Es kann ja durchaus sein, daß AVM da mit VF/KD dran gearbeitet hat und das irgendwie "hingefummelt" wurde (vielleicht mal mit PMTU-Discovery und mal ohne) ... immerhin kamen die FRITZ!Boxen in der Regel zuerst bei Kabel Deutschland zum Einsatz und erst danach bei UM und KBW.

Ich habe auch selbst genug davon gelesen, daß neuere 6490-Firmware Probleme mit DS-Lite-Anschlüssen hat oder hatte (kann ich halt auch nicht verifizieren, glaube ich aber aufgrund von Aussagen "im Buschfunk") ... aber ein direkter Zusammenhang mit dem VPN wurde da m.W. nie erwähnt und die Aussage, daß man jetzt seit Sept. 2016 auf das Beheben eines Problems wartet, weil AVM das zugesagt hatte (so verstehe ich zumindest #22 und wenn das falsch sein sollte, nehme ich die korrekte Interpretation gerne zur Kenntnis), trifft bei mir auf gehörige Skepsis.

Schon deshalb, weil man (m.W.) die Boxen erst mal überhaupt für den Einsatz am DS-Lite-Anschluß fitmachen mußte und da dürfte ein VPN-Problem beim UM mit einer falschen MTU für den Tunnel (was sich ja auch schon seit Jahren hinziehen soll, wenn man dem anderen Board folgt - zumindest einigen dort) dann eher unter "ferner liefen" rangieren und so ein "Versprechen" war wohl eher eine Wunschvorstellung (selbst wenn bei seiner Abgabe vielleicht beide Seiten voller Inbrunst daran glauben wollten). Es kann auch ganz simpel ein Mißverständnis dahingehend gewesen sein, daß da jemand DS-Lite und 6490 gelesen hat und dann auf der falschen Antwort in der KB gelandet ist.

Ich will eigentlich auch nur verhindern, daß jetzt jeder künftige Besitzer einer 6490 am VF/KD-Anschluß mit DS-Lite automatisch beim VPN (ausgehend logischerweise nur, also keine eingehenden Verbindungen für die Benutzer) die Flinte ins Korn wirft, weil u.a. dieser Thread den Eindruck vermittelt, es würde auch bei LAN-LAN-Kopplung gar nicht funktionieren (können), es hätte nie funktioniert und wird wohl auch nie funktionieren. Die früheren "Erfolge" (und auch die KB-Artikel bei AVM) beziehen sich aber nicht nur auf DSL-Anschlüsse mit DS-Lite oder Mobilfunk oder einem anderen IPv4-CGN - die haben auch für DS-Lite am DOCSIS-Anschluß bei KDG (oder inzwischen meinetwegen auch VF/KD) schon funktioniert; selbst wenn ich das für die aktuelle Firmware nicht mehr definitiv sagen kann.

 

[Shirocco88]

Bei UM mag das auch alles ganz furchtbar schlimm sein mit dem AVM-VPN

es gibt nach meinem Recherche-Stand (Suche hier im Forum und Google, Beiträge ab 01.01.2015) keine funktionierende LAN-to-LAN VPN-Verbindung (conntype_lan) von FB6360/FB6490 an einem UnityMedia DS-Lite Anschluß; User-VPN (conntype_user) funktioniert systembedingt sowieso nicht; eine nachgelagerte FB7490 an UM-Cable-Fritzbox mit DS-Lite-Anschluß funktioniert im LAN-to-LAN VPN-Initiator-Mode.

wenn es nicht ausreichend weitere Stimmen gibt, daß es bei VF/KD am DS-Lite auch definitiv nicht geht

bei VF/KD sieht es anders aus; hier können die User mit Cable-Fritzbox den DS-Lite Anschluß in DualStack Full umstellen lassen (nachzulesen in div. Forenberichten), somit ist das Problem lösbar.
siehe auch:

Meine erste 6490 hatte noch die 06.08 (aus dem Kopf), war erst einmal nur für DS-Lite konfiguriert (ich habe die Weihnachten 2014 aufgebaut und in Betrieb genommen (da kam dann auch gleich ein "Updatewunsch" auf 06.10) und konnte erst nach den Feiertagen bei KDG auf echtes DS (bzw. es war iirc reines IPv4) umstellen lassen, nachdem ich mit der Technik-Hotline telefonierte) und trotzdem problemlos in der Lage, mit einem meiner "dedicated server" bei einem Hoster per VPN Kontakt aufzunehmen

diese Umstellung ist leider bei UM seit Anfang 2015 nicht mehr möglich, das wird von Hotline "abgeschmettert".

Ich will eigentlich auch nur verhindern, daß jetzt jeder künftige Besitzer einer 6490 am VF/KD-Anschluß mit DS-Lite automatisch beim VPN (ausgehend logischerweise nur, also keine eingehenden Verbindungen für die Benutzer) die Flinte ins Korn wirft

dies möchte ich auch verhindern, daher mein Aufruf entsprechende Traces/Mitschnitte zu erstellen und Klärung herbeizuführen.

am Besten jemand verfiziert (oder meinetwegen auch falsifiziert) die Recherche von Andreas1969, dann haben wir Klarheit.

 

[benwolf]

hallo zusammen,
ich bin durch ewiges Googlen auf den Thread hier aufmerksam geworden. Ich bekomme meine FB 6490 an einem Unitymedia Anschluss nicht mit der 7490 an einem VDSL Anschluss per VPN verbunden. Sämtliche Tipps und How-Tos hier habe ich schon durch, es funktioniert nicht.
Die Recherche von Andreas1969 werde ich am Weekend dann mal antesten (also 7360 FB hinter die 6490 hängen und schauen ob ich dann eine VPN Verbindung aufbauen kann)