[Frage] LAN-LAN VPN zwischen 7490 (öffentliche IP) und 7530 (DS-LITE CGN)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
B

balistox

Neuer User
Mitglied seit
9 Feb 2019
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Hallo,
ich versuche eine LAN-LAN VPN Verbindung zwischen zwei Fritz!Boxen einzurichten. Das Setup ist folgendes:

A: Fritz!Box 7530
keine öffentliche IP (100.64.x.x - DS-Lite CGN)
Lokales Netz: 192.168.65.0
FritzOS 7.01

B: Fritz!Box 7490
öffentliche, statische IP (213.x.x.x)
Lokales Netz: 192.168.1.0
FritzOS 7.01

Ich habe das VPN gestern auf beiden Boxen eingerichtet. Gemäß der VPN Anleitung von Fritz!Box (siehe hier) habe ich für beide Boxen einen MyFritz Service eingerichtet. Für Box A habe ich dann noch den Punkt "VPN-Verbindung dauerhaft halten" angehakt, bei Box B entsprechend nicht.

Dann habe ich das ganze vom Netz der Box A aus mal probiert. Dort hatte ich relativ wenig Probleme.

Jetzt befinde ich mich im Netz von Box B und die Verbindung in das VPN funktioniert zu 95% der Zeit nicht. Wenn ich Box A pingen will (über 192.168.65.1) bekomme ich fast immer ein Request timeout (der Ping auf den MyFritz DNS Namen von Box A funktioniert logischerweise auch nicht, da dieser immer auf die 100.64.x.x IP auflöst). Nur ganz selten (ungefähr jede halbe Stunde mal?) bekomme ich für ungefähr eine Minute einen erfolgreichen Ping, bis die Verbindung daraufhin wieder fehlschlägt.

Im Ereignislog von Box B sehe ich folgende Timeout Meldungen:
VPN-Fehler: <box_a>.myfritz.net, IKE-Error 0x2027 [12 Meldungen seit 09.02.19 13:30:08]

Im Ereignislog von Box A sehe ich hingegen keine Fehler, da ist die letzte Meldung lediglich:
VPN-Verbindung zu <box_b>.myfritz.net [213.x.x.x] IKE SA: DH2/AES-256/SHA1 IPsec SA: ESP-AES-256/SHA1/LT-3600 wurde erfolgreich hergestellt.

Ich habe bis auf die Konfiguration auf der Weboberfläche keine speziellen Änderungen vorgenommen. Habe im Forum einige ältere Themen gefunden die sich mit ähnlichen Problemen beschäftigen, dort war oft die Rede davon dass die VPN Config manuell über ein File angepasst werden muss. Ist das in meinem Falle auch so? Oder gäbe es eine einfachere Lösung für mein Problem?

Liebe Grüße,
balistox
 
Um eine manuelle Anpassung der vpn.cfg-Files wirst Du wohl nicht herumkommen. Es gibt allerdings recht brauchbare Vorlagen, sodass sich der Aufwand in Grenzen hält. Generell sollten die Stichworte Responder<->Initiator, DS-Lite Dich auf die richtige Fährte führen, da dieses Problem sei es DS-Lite, CGN in Mobilfunknetzen ... recht häufig hier aufschlägt.
LG
Nachtrag für ein Template von vielen
 
Zuletzt bearbeitet:
Danke für die Antwort. Habe die manuelle Config mal so vorgenommen wie es in dem verlinkten Post beschrieben wird. Leider hat das mein Problem noch nicht gelöst. Bin in weitere Folge noch auf diesen Thread gestoßen wo zum Schluss die Rede war, dass eine wirklich stabile Verbindung trotz einiger Konfigurationskniffe nur dann möglich war, wenn vom DS Lite Netz permanent in das andere Netz kommuniziert wird. Der Threadersteller hat das dann mit dem IP-Telefon gelöst, was bei mir jedoch nicht zur Verfügung steht.

Bräuchte ich also um mein Problem zu lösen z.B. ein Gerät welches vom DS Lite Netz periodisch (jede Minute?) auf die FritzBox im anderen Netz pingt?
 
Es gibt leider keine Konfigurationstricks incl. keepalive_ip, die dem regelmäßigen und relativ frühzeitigen Schließen der VPN-Ports durch die meisten CGN-Anbieter wirksam vorbeugen können - das kann nur regelmäßiger und vor allem "rechtzeitiger" Traffic, wie du schon richtig erkannt hat.

Das Boardmittel meiner Wahl sind dafür seit Jahren die "eingebauten" AVM-IP-Telefone. Dazu richtet man im einfachsten Fall in der Responder-Box unter "Telefoniegeräte" ein neues "LAN/WLAN (IP-Telefon)" als Dummy ein und auf der Initiator-Box unter "Eigene Rufnummern" das entsprechende Gegenstück.
 
Ich bin etwas verwirrt ... weil die FRITZ!Box für eine "Eigene Rufnummer" ja tatsächlich (wie in #4 angegeben) der SIP-UserAgent (UA) ist und damit der aktive Part bei einer Registrierung, während sie für ein - bei ihr angelegtes - "IP-Telefon" die Rolle des Registrars übernimmt und auf die Kontaktaufnahme des UA "wartet".

In #5 gibt es also einen Widerspruch zwischen der korrekten Beschreibung der Rollen und der daraus abgeleiteten Konfigurationsempfehlung (der Initiator - der die VPN-Verbindung auch erst mal aufbauen muß - sollte auch den aktiven Part bei der SIP-Registrierung übernehmen, also den SIP-Dialog mit einer REGISTER-Message starten) und der Beschreibung der Umsetzung in der Box ... zumindest wenn das "entgegen #4" sein soll, wo ja genau das beschrieben wurde.
 
Da ließ sich wohl Micha0815 durch AVMs Bezeichnungen etwas verwirren, denn das "LAN/WLAN (IP-Telefon)" ist ja nur die Registrierungsmöglichkeit für ein selbiges und dagegen die neue "Telefonnummer" dann zusammen mit Analog-, ISDN- oder DECT-Basis/Mobilteil ein IP-Telefon. Für VoIP-Insider schwerer nachzuvollziehen als für Laien, ist aber so bei AVM. Mit dem Vertauschen von Responder und Intitiatior würde man dann ständig VPN "falsch herum" starten und gerät möglicherweise in eine Timeout-Spirale ohne Wiederkehr. Genau aus diesem Grunde würde ich auch definitiv die Finger von "kreuzweiser" Registrierung lassen, da man nie absolut sicherstellen kann, dass nicht doch mal der Responder dem Initiator zuvorkommt, außerdem verdoppelt das den Registrierungs-Traffic nur unnötig.
 
Ich erkenne öfters auf meiner Initiator-FB7490 mit voicefähigem UMTS-Stick (E3133 mit span. Mobilfunknetz mit CGN), dass die dortige Mobilfunknummer deregistriert ist und der VPN-Tunnel trotzdem steht. Dies imho nur, weil ich intern hier in DE eine Rufnummer im Gegenzug nutze. Ein Responder kommt imho dem Initiator selten zuvor, da er weder Dyndns noch IPv4 der Gegenstelle kennt und von sichaus einen VPN aufbauen könnte.
Ich mag mich nicht streiten ob der Begrifflichkeiten und habe deshalb #5 entsorgt.
LG
 
Zuletzt bearbeitet:
andilao schrieb:
Das Boardmittel meiner Wahl sind dafür seit Jahren die "eingebauten" AVM-IP-Telefone. Dazu richtet man im einfachsten Fall in der Responder-Box unter "Telefoniegeräte" ein neues "LAN/WLAN (IP-Telefon)" als Dummy ein und auf der Initiator-Box unter "Eigene Rufnummern" das entsprechende Gegenstück.
Zum Vergrößern anklicken....
Das Registrierungsintervall ( Expiry ) beträgt 300 Sekunden ( 5 Minuten ).
...was der Sache des "am Leben bleiben" sehr entgegen kommt.
 
Zuletzt bearbeitet:
Micha0815 schrieb:
Ich mag mich nicht streiten ob der Begrifflichkeiten und habe deshalb #4 entsorgt.
Zum Vergrößern anklicken....
Hier wollte sich auch niemand streiten ... wenn da aber explizit "entgegen #4" steht (und Du hast ja auch nicht #4, sondern #5 entsorgt, denn #4 stammte ja von @andilao), dann geht es nicht mehr um "Begrifflichkeiten", sondern um die Frage, wie der TO das nun am Ende tatsächlich umsetzt ... wie in #4 beschrieben oder eben "entgegen #4".

Das war also nicht nur der "Streit um des Kaisers Bart", sondern ein echter Widerspruch zwischen zwei Beiträgen.
 
andilao schrieb:
Das Boardmittel meiner Wahl sind dafür seit Jahren die "eingebauten" AVM-IP-Telefone. Dazu richtet man im einfachsten Fall in der Responder-Box unter "Telefoniegeräte" ein neues "LAN/WLAN (IP-Telefon)" als Dummy ein und auf der Initiator-Box unter "Eigene Rufnummern" das entsprechende Gegenstück.
Zum Vergrößern anklicken....

Das scheitert bei mir leider schon an der Meldung "Es sind keine Rufnummern eingerichtet. Richten Sie jetzt Ihre Rufnummern ein, bevor Sie mit dem Einrichten Ihres Telefoniegerätes fortfahren." - Habe von meinem Provider leider auch keine Nummer zugeteilt bekommen die ich einrichten könnte.
 
Versuche als Telefoniegerät eine Türsprechanlage ->IP-Phone->LAN/WLAN als Phantom?
LG
 
Sorry, als Laie finde ich dazu nirgends Informationen. Wo kann ich eine Türsprechanlage einrichten? Unter "Rufnummer eintragen" finde ich nur Telefonie-Anbieter wie einige lokale Provider, SIP-Trunking, SIP-Anlagenanschluss, FRITZ!Box im Heimnetz...
Gibt es dafür zufällig eine Anleitung? Kenne mich mit der Telefonie auf der Box leider kein bisschen aus.
 
Zuletzt bearbeitet:
So in etwa?
LG
 

Anhänge

  • Screen Shot 02-10-19 at 05.18 PM.JPG
    Screen Shot 02-10-19 at 05.18 PM.JPG
    143.9 KB · Aufrufe: 16
  • Screen Shot 02-10-19 at 05.20 PM.JPG
    Screen Shot 02-10-19 at 05.20 PM.JPG
    121.6 KB · Aufrufe: 14
  • Screen Shot 02-10-19 at 05.21 PM.JPG
    Screen Shot 02-10-19 at 05.21 PM.JPG
    36 KB · Aufrufe: 13
Mein problem ist ja, dass ich gar nie soweit komme. Wenn ich ein neues Gerät einrichten will erscheint bereits die Fehlermeldung "Es sind keine Rufnummern eingerichtet. Richten Sie jetzt Ihre Rufnummern ein, bevor Sie mit dem Einrichten Ihres Telefoniegerätes fortfahren." - Dann werde ich zur "Rufnummer eintragen" Maske umgeleitet. Und wie vorhin gesagt habe ich leider keine Rufnummer...
 
Dann versuche mal eine Pseudorufnummer mit einer internen IP als Registrar über anderer Anbieter? Sorry, wenn ich das nicht "from scratch" nachtesten kann.
LG
Experten-Ansicht aktiviert ... falls das Auswirkung haben könnte?
 
Einfach mal (analoges) Festnetz konfigurieren und irgendeine Phantasienummer als "öffentlich" eintragen (in der 7490). Die 7530 sollte ja die Konfiguration problemlos akzeptieren, denn da ist das ja gerade eine solche "Eigene Rufnummer", wenn man sie dazu bewegen will, sich bei der 7490 zu registrieren.
 
Der Schuss mit "analoges Festnetz" könnte auch nach hinten losgehen, da dazu ein Telefon-End-Geräte wie DECT/FON1/FON2 u.U. angefordert werden? ... Ist mir neulich bei Telnet einschalten via Wählhilfe aufgefallen?
LG
 
Ich habe das ganze jetzt mal so eingerichtet:

FB7490 (öffentliche IP)
=> Neue Rufnummer > Anderer Anbieter
  • Rufnummer: 1 | Interne Rufnummer: 1
  • Benutzername: vpndummy
  • Passwort: vpndummy
  • Registrar: <IP von FB7490>
=> Neues Gerät > Türsprechanlage > LAN / WLAN
  • Name: vpndummy
  • Benutzername: vpndummy
  • Passwort: vpndummy-pw
  • Rufnummer der Klingeltaste: 2

FB7530 (private IP, CGN)
=> Neue Rufnummer > Anderer Anbieter
  • Rufnummer: 2 | Interne Rufnummer: 2
  • Benutzername: vpndummy
  • Passwort: vpndummy
  • Registrar: <IP von FB7490>

Bin ich da irgendwie annährend auf dem richtigen Weg? Die Statusleuchte unter 'Eigene Rufnummern' ist jedenfalls auf beiden Webinterfaces grau.
 
Micha0815 schrieb:
Der Schuss mit "analoges Festnetz" könnte auch nach hinten losgehen
Zum Vergrößern anklicken....
Wäre mir neu ... da es sich hier um eine 7490 handelt, werden einfach die beiden analogen (internen) Ports entsprechend eingerichtet (automatisch!) und gut ist's. Solange dort (und am FXS-Anschluß) der Box nichts verbunden ist, interessiert das auch niemanden - außer daß die Box ggf. der Meinung ist, ein Endgerät dort würde "klingeln" (mangels Rückmeldemöglichkeit), was aber bei einer Box ohne Telefonie auch einigermaßen unwahrscheinlich ist, denn wo sollte ein solcher "eingehender Anruf" denn dann herkommen?
 
Auf der 7490 muss es "grün" leuchten ;) (=registriert) unabhängig davon, ob es sich um eine analoge Türsprechstelle oder FON1/FON2 handelt.
LG
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 847 (Mitglieder: 47, Gäste: 800)

Neueste Beiträge

Statistik des Forums

Themen
246,043
Beiträge
2,244,952
Mitglieder
373,451
Neuestes Mitglied
Ayzham
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück