[Gelöst] LAN zu LAN VPN mit 2 * 7490 bricht unter Last zusammen

schmueller

Neuer User
Mitglied seit
23 Jan 2017
Beiträge
14
Punkte für Reaktionen
0
Punkte
1
Hallo,
ich habe mit 2 * 7490 FritzBoxen beide FritzOS 6.92 eine Lan zu Lan Kopplung aufgebaut. Eine Box hat eine feste IP, die andere eine wechselnde, die über DynDNS bekannt gemacht wird (myFritz und bei dnshome.de)
Die Kopplung funktioniert soweit problemlos, solange die Datenmenge, die übertragen wird nicht zu groß wird. Wenn ich jedoch eine große Datei (meine Testdatei ist > 1GB) zwischen den Netzen übertrage, dann bricht der Tunnel nach kurzer Zeit zusammen 1 - 3% der Datei.
Nach dem Zusammenbruch des Tunnels braucht es recht lange, bis der Tunnel wieder aufgebaut wird. Teilweise erst nach Neustart einer der beiden Boxen.
Wie kann ich dieses Problem diagnostizieren?

In den Logs sehe ich unabhängig von den Zusammenbrüchen des Tunnels einige IKE-Error 0x2027 Meldungen auf beiden Seiten und Meldungen "VPN Verbindung zu xxxx.myfritz.net wurde getrennt. Ursache: 4 Decapsulation error" Da wird dann jedoch direkt anschließend in der nächsten Sekunde die Verbindung wieder aufgebaut.
Mehr Auffälligkeiten kann ich in den Logs nicht entdecken.

Was kann ich als nächstes machen um das Problem zu diagnostizieren?

Vielen Dank
Schmueller
 
Wieder ein Beispiel für mich, daß man bei so unklarem Fehlerbild den Aufbau des Tunnels auf eine einzelne Seite beschränken sollte (sprich: von Hand nacharbeiten und eine der beiden Seiten zum passiven Responder erklären).

Solche "decapsulation errors" sind gerne mal ein Zeichen, daß beim Verschlüsseln ein anderer Key benutzt wurde als beim Entschlüsseln - das kann vorkommen, solange es mehr als eine SA gibt, weil jede der Boxen eine eigene Verbindung zur Gegenseite aufbauen will. Das geht dann eine Weile gut, aber irgendwann ist die SA in der einen Box schon verfallen, während die andere den Key noch nutzt.

Abgesehen davon ist das komisch beschrieben (und auch als Theorie für eine mögliche Fehlerursache eher merkwürdig) ... wenn bei einer 1 GB großen Datei (oder meinetwegen auch 2 GB, weil da ja ein "größer als" steht) nach 1-3% übertragenen Daten die Übertragung abbricht, sind das nach Adam Riese 10 bis 60 MByte - warum sollte dasselbe jetzt nicht mit einer 100 MByte großen Datei, dann halt nach 10-60% der Übertragung auftreten? Woher soll die FRITZ!Box und ihr VPN wissen, wieviele Daten da noch von einem LAN-Client kommen werden, die an eine VPN-Adresse zu expedieren wären?

Ich vermute mal, daß hier entweder die Fakten nicht stimmen mit den 1 bis 3 Prozent oder die Schlußfolgerung auf falschen Beobachtungen basiert.

Wie gesagt ... ich würde hier erst einmal der Hektik, mit der beide Boxen nach dem Gegenüber suchen (was bei einer Konstellation, wo die eine Box die andere nicht erreichen kann, dann gleich dazu führt, daß die gesamte Verbindung immer wieder abgeräumt wird), etwas abmildern - wie das geht, daß man eine Box zum passiven Responder erklärt, ist in mehreren Threads hier beschrieben. I.d.R. befassen sich diese Threads mit der Frage, wie das geht, wenn eine Seite keine öffentliche IPv4-Adresse hat - die Lösung ist trotzdem dieselbe.

Ich kann jedenfalls (an Eides Statt) versichern, daß die zu übertragene Datenmenge einer FRITZ!Box normalerweise nicht wirklich etwas ausmacht ... ich habe hier eine 6490, die per VPN an diverse Stellen Daten (sequentiell bzw. mit max. 2 Verbindungen parallel) überträgt (die Peers gehen von 7390 bis 7590) und die sendet schon über Monate deutlich mehr (und > 90% davon über VPN-Verbindungen), als sie empfängt:
6490stat.PNG
 
Vielen Dank für Deine Antwort. Nach einer Suchorgie mit LAN-To-LAN, LAN2LAN, DSlight und einigen weiteren Suchwörtern habe ich das Problem jetzt für mich so gelöst:
Ich habe über das AVM Tool "Fritz!Fernzugang einrichten" eine neue "Verbindung zwischen zwei FRITZ!Boxe-Netzwerken einrichten" Konfiguration erstellt. Dabei habe ich die eine FB mit ihrer festen IP und die andere mit ihrem MyFritz Namen angelegt. Anschließend habe ich die Konfiguration für die FB mit fester IP per Notepad++ editiert und den remotehostname auf "" gesetzt.
Dann habe ich die jeweilige Konfigurationsdatei in den Fritzboxen unter "Internet - Freigaben - VPN" über den Button "VPN-Verbindung hinzufügen" per "Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren" importiert und aktiviert. Nun wurde die Internetverbindung auf beiden Seiten einmal neu aufgebaut und anschließend lief das VPN. Die Testweise übertragung einer 300 MB großen Datei hat bereits funktioniert, jetzt probiere ich die > 1 GB Datei....
Übertragungsrate des Kopierens über SMB zwischen 700 KB/s und 1,04 MB/s bei einem Anschluss mit ↓ 55,5 Mbit/s ↑ 10,0 Mbit/s
Dieser Kopiervorgang hat jetzt die 17% erreicht, ich gehe also davon aus, dass es jetzt funktioniert.

Vielen Dank für die Hinweise auf die DSlight Threads, die mir dann die Hinweise auf die Problemlösung gegeben haben.

Schmueller
 
Dabei habe ich die eine FB mit ihrer festen IP und die andere mit ihrem MyFritz Namen angelegt.
interessant, bei welchem DSL-Provider gibt es heutzutage noch eine feste IP ?

Übertragungsrate des Kopierens über SMB zwischen 700 KB/s und 1,04 MB/s bei einem Anschluss mit ↓ 55,5 Mbit/s ↑ 10,0 Mbit/s
1,04 MB/s (entspricht ca. 8 MBit/sec) ist ein Spitzenwert, habe selten IPsec-Übertragungsraten über 7 MBit/sec gesehen.

wie unterscheiden sich die erstellten vpn.cfg zw. AVM Tool "Fritz!Fernzugang einrichten" bzw. Web-Interface ? insbesondere wären hier die verwendeten Verschlüsselungsarten (des oder aes256, ...) interessant: parameter phase1ss, phase2ss
 
  • Like
Reaktionen: Phoenixtime
88 GB ist alles?

So geht das:
(Meistens sind das größere Dateien, ab ca. 50 GB+).
a518669589a3b6be019dfc2060353392.jpg
 
interessant, bei welchem DSL-Provider gibt es heutzutage noch eine feste IP ?

Bei Netcologne konnte man noch eine ganze Weile online eine feste IP für 5€/Monat buchen, auch wenn es sonst nicht mehr angeboten wurde....

wie unterscheiden sich die erstellten vpn.cfg zw. AVM Tool "Fritz!Fernzugang einrichten" bzw. Web-Interface ? insbesondere wären hier die verwendeten Verschlüsselungsarten (des oder aes256, ...) interessant: parameter phase1ss, phase2ss

Da muss ich erstmal rausbekommen, wie ich die alte Konfig auslesen kann. Vielleicht gibst Du mir dazu einen Tipp, dann kann ich das auch nachschauen.

Gruß
Norbert
 
@johnripper:
Die 6490 hat nur einen 6 MBit/s-Upload ... da braucht das seine Zeit. Außerdem übertrage ich eben nur dann Daten, wenn auch etwas zu übertragen ist (und momentan ist Sommerloch). :D

Wobei knapp 3 TB/Monat beim Senden schon sportlich ist ... aber ständig 50 GB (und mehr) zu übertragen, klingt für mich auch einigermaßen nach Redundanz. Oder sind das tatsächlich jedesmal "neu generierte" Daten und keine Backups von anderen?

PS: Da die Datenmenge so viel größer ist, darf das Bild auch etwas mehr Platz auf meinen Bildschirm beanspruchen. :D
 
Ja tw. Backups bei dem jedesmal ein neues vollständiges Image erstellt wird weil die Software keine inkrementelle Datensicherung kann, bzw. man das zurückspielen vergessen kann.

Daneben noch vieles andere: DNS, DC, WSUS, NextCloud-Server usw.
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Statistik des Forums

Themen
246,158
Beiträge
2,247,073
Mitglieder
373,677
Neuestes Mitglied
MK34
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.