[Gelöst] LAN2LAN VPN nicht stabil zu FritzBox mit LTE USB Stick, keepalive_ip Probleme?

teufel2k · 26 Jan 2018

Hallo,

ich versuche ein stabiles VPN zwischen zwei FritzBoxen aufzubauen wobei eine davon per LTE angebunden ist und nicht über eine öffentliche IP erreichbar ist. Der Aufbau der Verbindung klappt eigentlich auch recht zuverlässig da ich mir viele Tips hier im Forum holen konnte und z.B. beim Responder (öffentlich erreichbar) den remotehostname leer lasse. Leider funktioniert bei mir die keepalive_ip auf der Requester Seite (LTE ohne öffentliche erreichbare IP) nicht so richtig und die Verbindung reist irgendwann ab und wird nur unzuverlässig als offline erkannt und manchmal auch das nicht und die Verbindung wird einfach weiter in der FritzBox als Grün angezeigt obwohl keine Verbindung besteht. Die einzige stabile Verbindung habe ich einrichten können, als ich auf der Requester Seite zusätzlich ein Gerät angeschlossen habe das einmal pro Minute ins Responder Netz Pingt... dann stand das Netz auch drei Tage sehr zuverlässig. Vielleicht habt ihr ja einen Tip wie ich ohne das zusätzliche Gerät für den Ping auskomme und was ich evtl. falsch mache. Auf der Requester Seite möchte ich eine Webcam unterbringen und eigentlich nicht noch extra ein Gerät für nen extra Ping.

Die Konfiguration habe ich erst durch das Fernzugriffstool von AVM vorgenommen und dann im Editor angepasst.
Die Logs der beiden Boxen sind auch weiter unten angefügt.

Spannend finde ich dass durch ein Aufbau meines Smartphone_VPN zur 7490 erst die Dead Peer Detection reagierte bei der Verbindung zur 4020 Requester FritzBox.

Zur Vollständigkeit der Topologie besteht auch noch eine weitere stabile VPN Verbindung zu einer dritten Fritz!Box 6490 (Cable) die letztlich im Dreieck auch zum Requester Verbunden sein soll, aber genauso nur eine stabile Verbindung hat wenn zusätzlich ein Ping vom Requester zum Responder Netz läuft. Der Einfachheit lasse ich aber in der unteren Betrachtung die Fritz!Box 6490 raus, da ich davon ausgehe, dass der Fehler bei beiden Verbindungen der Selbe ist.

Ich hoffe meine Daten sind ausreichend und nicht zu konfus.

Gruß,
teufel2k

Requester Seite:
LTE Telekom Netz
4020 Fritz!Box
nicht erreichbar über 4020LTE.dynamischerdns.de
FRITZ!OS: 06.83
Angeschlossen ist ein LTE USB Stick im Teethering Modus mit dem Netz 192.168.8.0

Code:

vpncfg {
        connections  {
                enabled = yes;
                conn_type = conntype_lan;
                name = "7490DSL.dynamischerdns.de";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "7490DSL.dynamischerdns.de";
       keepalive_ip = 192.168.2.1;
                localid {
                        fqdn = "4020LTE.dynamischerdns.de";
                }
                remoteid {
                        fqdn = "7490DSL.dynamischerdns.de";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "yyy";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.4.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Responder Seite:
Telekom DSL Anschluss
öffentlich erreichbar durch: 7490DSL.dynamischerdns.de
FRITZ!OS: 06.93

Code:

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "4020LTE.dynamischerdns.de";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "";
                localid {
                        fqdn = "7490DSL.dynamischerdns.de";
                }
                remoteid {
                        fqdn = "4020LTE.dynamischerdns.de";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "yyy";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.4.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.4.0 255.255.255.0",
                "permit ip any 192.168.8.0 255.255.255.0",
                "permit ip any 109.237.176.33 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

4020LTE (4020LTE.dynamischerdns.de):

Code:

23.01.18               17:46:46               VPN-Verbindung zu 7490DSL.dynamischerdns.de wurde erfolgreich hergestellt.
23.01.18               17:46:29                VPN-Verbindung zu 7490DSL.dynamischerdns.de wurde getrennt. Ursache: 9 Dead Peer Detection
23.01.18               15:22:04               VPN-Fehler: 6490Cable.dynamischerdns.de, IKE-Error 0x2027
23.01.18               07:31:41               VPN-Verbindung zu 7490DSL.dynamischerdns.de wurde erfolgreich hergestellt.
23.01.18               07:31:04                VPN-Fehler: 7490DSL.dynamischerdns.de, IKE-Error 0x2027 [3 Meldungen seit 23.01.18 07:29:57]
23.01.18               07:29:28               VPN-Verbindung zu 6490Cable.dynamischerdns.de wurde erfolgreich hergestellt.
23.01.18               07:29:26                Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 192.168.8.100, DNS-Server: 192.168.8.1 und 192.168.8.1, Gateway: 192.168.8.1

7490DSL (7490DSL.dynamischerdns.de):

Code:

23.01.18               23:05:53                VPN-Fehler: 4020LTE.dynamischerdns.de, IKE-Error 0x2027 [3 Meldungen seit 23.01.18 23:03:39]
23.01.18               23:02:19               VPN-Fehler: 4020LTE.dynamischerdns.de, IKE-Error 0x2027
23.01.18               22:57:06               VPN-Fehler: 4020LTE.dynamischerdns.de, IKE-Error 0x2027
23.01.18               22:56:36                VPN-Verbindung zu 4020LTE.dynamischerdns.de wurde getrennt. Ursache: 9 Dead Peer Detection
23.01.18               17:46:46               VPN-Verbindung zu 4020LTE.dynamischerdns.de wurde erfolgreich hergestellt.
23.01.18               17:44:58               VPN-Fehler: 4020LTE.dynamischerdns.de, IKE-Error 0x2027
23.01.18               17:44:28                VPN-Verbindung zu 4020LTE.dynamischerdns.de wurde getrennt. Ursache: 9 Dead Peer Detection
23.01.18               15:19:01               VPN-Verbindung zu 4020LTE.dynamischerdns.de wurde erfolgreich hergestellt.
23.01.18               15:08:17               VPN-Verbindung zu Smartphone_VPN wurde getrennt. Ursache: 3 IKE server
23.01.18               15:01:56                VPN-Fehler: 4020LTE.dynamischerdns.de, IKE-Error 0x2027 [5 Meldungen seit 23.01.18 14:56:15]
23.01.18               14:55:44                VPN-Verbindung zu 4020LTE.dynamischerdns.de wurde getrennt. Ursache: 9 Dead Peer Detection
23.01.18               14:55:20               VPN-Verbindung zu Smartphone_VPN wurde erfolgreich hergestellt.
23.01.18               11:22:57               VPN-Verbindung zu 4020LTE.dynamischerdns.de wurde erfolgreich hergestellt.
23.01.18               10:39:48               VPN-Verbindung zu Smartphone_VPN wurde getrennt. Ursache: 3 IKE server
23.01.18               10:39:43               VPN-Fehler: 4020LTE.dynamischerdns.de, IKE-Error 0x2027
23.01.18               10:39:13                VPN-Verbindung zu 4020LTE.dynamischerdns.de wurde getrennt. Ursache: 9 Dead Peer Detection
23.01.18               10:38:45               VPN-Verbindung zu Smartphone_VPN wurde erfolgreich hergestellt.
23.01.18               10:23:57               VPN-Verbindung zu 4020LTE.dynamischerdns.de wurde erfolgreich hergestellt.
23.01.18               09:52:12               VPN-Verbindung zu Smartphone_VPN wurde getrennt. Ursache: 3 IKE server
23.01.18               09:52:02                VPN-Fehler: 4020LTE.dynamischerdns.de, IKE-Error 0x2027 [2 Meldungen seit 23.01.18 09:51:14]
23.01.18               09:50:44                VPN-Verbindung zu 4020LTE.dynamischerdns.de wurde getrennt. Ursache: 9 Dead Peer Detection
23.01.18               09:50:17               VPN-Verbindung zu Smartphone_VPN wurde erfolgreich hergestellt.
23.01.18               07:45:32               IPv6-Präfix wurde erfolgreich aktualisiert. Neues Präfix: 2003:8c:xxxx:xxxx::/56
23.01.18               07:41:47               VPN-Verbindung zu Smartphone_VPN wurde getrennt. Ursache: 3 IKE server
23.01.18               07:38:00               VPN-Verbindung zu Smartphone_VPN wurde erfolgreich hergestellt.
23.01.18               07:31:40               VPN-Verbindung zu 4020LTE.dynamischerdns.de wurde erfolgreich hergestellt.
23.01.18               07:30:35               VPN-Verbindung zu 6490Cable.dynamischerdns.de wurde erfolgreich hergestellt.
23.01.18               07:30:32               IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: 2003:8c:xxxx:xxxx::/56
23.01.18               07:30:32                Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse: 2003:8c:4c7f:9f1e:xxxx:xxxx:xxxx:xxxx
23.01.18               07:30:32                Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 93.196.xxx.xxx, DNS-Server: 217.0.43.65 und 217.0.43.81, Gateway: 87.186.224.72, Breitband-PoP: BERR85-se800-B225E040820257
23.01.18               07:30:28               DSL ist verfügbar (DSL-Synchronisierung besteht mit 51391/10047 kbit/s).
23.01.18               07:30:02               DSL-Synchronisierung beginnt (Training).

//edit stoney: [CODE] Tags [/CODE] gesetzt

eisbaerin · 26 Jan 2018

Hast du das schon gelesen?:
https://www.ip-phone-forum.de/threa...vpn-ipsec-treibt-mich-in-den-wahnsinn.277582/

teufel2k · 27 Jan 2018

Hallo eisbaerin,

Danke für deine Leseempfehlung... ich kannte den Artikel noch nicht, habe ihn aber jetzt durchgearbeitet und konnte leider keine neuen Informationen für mich rausziehen:

#12 habe ich bereits umgesetzt und den remotehostname beim responder leer gelassen

/var/tmp/ike.log Habe ich noch nicht gepostet, da ich keinen Telnet Zugang zu den Boxen habe und das wohl nicht mehr so einfach ist wie früher...
Wenn nur dieses log weiter hilft sollte ich mich dann erstmal mit Modfs beschäftigen oder gibt es noch andere Ansätze die aus meiner config oben hervorgehen?

@stoney danke für die code Tags...

Gruß, teufel2k

stoney · 27 Jan 2018

Ike.log sollte in den Supportdaten zu finden sein

Shirocco88 · 27 Jan 2018

folgende Informationen sind aus Supportdaten Datei http://fritz.box/?lp=support für Troubleshooting wichtig:

Code:

##### BEGIN SECTION vpn VPN
VPN avmike
...
VPN assocs
...
VPN connections
...
##### END SECTION vpn


##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
...
##### END SECTION vpn_cfg

am Besten vorher beide Boxen rebooten (zuerst Responder-Box und dann Initiator-Box starten);
ein vollständiges ike.log Protokoll enthält die Zeile mit "avmike:< add(appl=dsld,cname="

teufel2k · 27 Jan 2018

Anbei die erforderlichen Logs... aber von heute nachdem der VPN einmal aufgebut war und nun nicht mehr steht...

4020 per LTE USB Stick:

Code:

##### BEGIN SECTION vpn VPN

VPN avmike
-------
ls: /var/tmp/ike.old: No such file or directory
-rw-r--r--    1 root     root         14394 Jan 27 12:24 /var/tmp/ike.log
2018-01-27 10:22:44 avmike:< add(appl=dsld,cname=6490cable.dynamischerdns.de,localip=192.168.8.100, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.3.1 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-01-27 10:22:44 avmike:new neighbour 6490cable.dynamischerdns.de:  nat_t
2018-01-27 10:22:44 avmike:6490cable.dynamischerdns.de start_vpn_keepalive 192.168.3.1
2018-01-27 10:22:44 avmike:< add(appl=dsld,cname=7490DSL.dynamischerdns.de,localip=192.168.8.100, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.2.1 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-01-27 10:22:44 avmike:new neighbour 7490DSL.dynamischerdns.de:  nat_t
2018-01-27 10:22:44 avmike:7490DSL.dynamischerdns.de start_vpn_keepalive 192.168.2.1
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de: Warning: source changed from 0.0.0.0:500 to 91.66.76.11:500
2018-01-27 10:22:45 avmike:mainmode 6490cable.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 10:22:45 avmike:mainmode 6490cable.dynamischerdns.de: add SA 1
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de remote peer supported XAUTH
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de remote peer supported DPD
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de: sending embedded inital contact message (0,91.66.76.11,0.0.0.0)
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de: switching to NAT-T (Initiator)
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de: Phase 1 ready
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de: current=0.0.0.0 new=91.66.76.11:4500
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de start_vpn_keepalive already running
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de: no valid sa, reseting initialcontactdone flag
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de: local is behind a nat
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de: sending initial contact message
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 10:22:45 avmike:6490cable.dynamischerdns.de: Phase 2 starting (start waiting)
2018-01-27 10:22:46 avmike:6490cable.dynamischerdns.de: Phase 2 ready
2018-01-27 10:22:46 avmike:< cb_sa_created(name=6490cable.dynamischerdns.de,id=1,...,flags=0x00012101)
2018-01-27 10:22:46 avmike:6490cable.dynamischerdns.de stop_vpn_keepalive to 192.168.3.1
2018-01-27 10:22:46 avmike:6490cable.dynamischerdns.de start_keepalive_timer 3540 sec
2018-01-27 10:22:46 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 10:22:46 avmike:6490cable.dynamischerdns.de: NO waiting connections
2018-01-27 10:22:56 avmike:>>>4500 nat-t-keepalive[91.66.76.11:4500]
2018-01-27 10:23:15 avmike:7490DSL.dynamischerdns.de: Phase 1 failed (initiator): timeout, checking ip address
2018-01-27 10:23:15 avmike:< cb_sa_create_failed(name=7490DSL.dynamischerdns.de,reason=IKE-Error 0x2027)
2018-01-27 10:23:49 avmike:7490DSL.dynamischerdns.de: Phase 1 failed (initiator): timeout, checking ip address
2018-01-27 10:23:50 avmike:< cb_sa_create_failed(name=7490DSL.dynamischerdns.de,reason=IKE-Error 0x2027)
2018-01-27 10:24:25 avmike:7490DSL.dynamischerdns.de: Phase 1 failed (initiator): timeout, checking ip address
2018-01-27 10:24:25 avmike:< cb_sa_create_failed(name=7490DSL.dynamischerdns.de,reason=IKE-Error 0x2027)
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: Phase 1 failed (initiator): timeout, checking ip address
2018-01-27 10:25:00 avmike:dyndnscheck 7490DSL.dynamischerdns.de: ip address changed to 93.196.100.138, removing SAs
2018-01-27 10:25:00 avmike:wolke_neighbour_renew_sa 0 SAs
2018-01-27 10:25:00 avmike:wolke_neighbour_renew_sa 0 SAs RENEW
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: Phase 1 starting (renew)
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: Warning: source changed from 93.196.99.124:500 to 93.196.100.138:500
2018-01-27 10:25:00 avmike:mainmode 7490DSL.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 10:25:00 avmike:mainmode 7490DSL.dynamischerdns.de: add SA 1
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de remote peer supported XAUTH
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de remote peer supported DPD
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: sending embedded inital contact message (0,93.196.100.138,93.196.99.124)
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: switching to NAT-T (Initiator)
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: Phase 1 ready
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: current=93.196.99.124 new=93.196.100.138:4500
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de start_vpn_keepalive already running
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: no valid sa, reseting initialcontactdone flag
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: local is behind a nat
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: sending initial contact message
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: start waiting connections
2018-01-27 10:25:00 avmike:7490DSL.dynamischerdns.de: Phase 2 starting (start waiting)
2018-01-27 10:25:01 avmike:7490DSL.dynamischerdns.de: Phase 2 ready
2018-01-27 10:25:01 avmike:< cb_sa_created(name=7490DSL.dynamischerdns.de,id=1,...,flags=0x00012101)
2018-01-27 10:25:01 avmike:7490DSL.dynamischerdns.de stop_vpn_keepalive to 192.168.2.1
2018-01-27 10:25:01 avmike:7490DSL.dynamischerdns.de start_keepalive_timer 3540 sec
2018-01-27 10:25:01 avmike:7490DSL.dynamischerdns.de: start waiting connections
2018-01-27 10:25:01 avmike:7490DSL.dynamischerdns.de: NO waiting connections
2018-01-27 10:25:11 avmike:>>>4500 nat-t-keepalive[93.196.100.138:4500]
2018-01-27 11:16:45 avmike:wolke_neighbour_renew_sa 1 SAs
2018-01-27 11:16:45 avmike:wolke_neighbour_renew_sa 1 SAs RENEW
2018-01-27 11:16:45 avmike:6490cable.dynamischerdns.de: Phase 1 starting (renew)
2018-01-27 11:16:46 avmike:mainmode 6490cable.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 11:16:46 avmike:mainmode 6490cable.dynamischerdns.de: add SA 2
2018-01-27 11:16:46 avmike:6490cable.dynamischerdns.de remote peer supported XAUTH
2018-01-27 11:16:46 avmike:6490cable.dynamischerdns.de remote peer supported DPD
2018-01-27 11:16:46 avmike:6490cable.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 11:16:46 avmike:6490cable.dynamischerdns.de: Phase 1 ready
2018-01-27 11:16:46 avmike:6490cable.dynamischerdns.de: current=91.66.76.11:4500 new=91.66.76.11:4500
2018-01-27 11:16:46 avmike:6490cable.dynamischerdns.de: local is behind a nat
2018-01-27 11:16:46 avmike:6490cable.dynamischerdns.de: remote is behind a nat
2018-01-27 11:16:46 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 11:16:46 avmike:6490cable.dynamischerdns.de: NO waiting connections
2018-01-27 11:19:00 avmike:wolke_neighbour_renew_sa 1 SAs
2018-01-27 11:19:00 avmike:wolke_neighbour_renew_sa 1 SAs RENEW
2018-01-27 11:19:00 avmike:7490DSL.dynamischerdns.de: Phase 1 starting (renew)
2018-01-27 11:19:01 avmike:mainmode 7490DSL.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 11:19:01 avmike:mainmode 7490DSL.dynamischerdns.de: add SA 2
2018-01-27 11:19:01 avmike:7490DSL.dynamischerdns.de remote peer supported XAUTH
2018-01-27 11:19:01 avmike:7490DSL.dynamischerdns.de remote peer supported DPD
2018-01-27 11:19:01 avmike:7490DSL.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 11:19:01 avmike:7490DSL.dynamischerdns.de: Phase 1 ready
2018-01-27 11:19:01 avmike:7490DSL.dynamischerdns.de: current=93.196.100.138:4500 new=93.196.100.138:4500
2018-01-27 11:19:01 avmike:7490DSL.dynamischerdns.de: local is behind a nat
2018-01-27 11:19:01 avmike:7490DSL.dynamischerdns.de: remote is behind a nat
2018-01-27 11:19:01 avmike:7490DSL.dynamischerdns.de: start waiting connections
2018-01-27 11:19:01 avmike:7490DSL.dynamischerdns.de: NO waiting connections
2018-01-27 11:21:46 avmike:6490cable.dynamischerdns.de start_keep_alive_timer_func to 192.168.3.1
2018-01-27 11:21:46 avmike:6490cable.dynamischerdns.de start_vpn_keepalive 192.168.3.1
2018-01-27 11:21:46 avmike:6490cable.dynamischerdns.de: Phase 2 ready
2018-01-27 11:21:46 avmike:< cb_sa_created(name=6490cable.dynamischerdns.de,id=2,...,flags=0x00032101)
2018-01-27 11:21:46 avmike:6490cable.dynamischerdns.de stop_vpn_keepalive to 192.168.3.1
2018-01-27 11:21:46 avmike:6490cable.dynamischerdns.de start_keepalive_timer 3540 sec
2018-01-27 11:21:46 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 11:21:46 avmike:6490cable.dynamischerdns.de: NO waiting connections
2018-01-27 11:21:56 avmike:>>>4500 nat-t-keepalive[91.66.76.11:4500]
2018-01-27 11:22:45 avmike:mainmode 6490cable.dynamischerdns.de: del SA 1
2018-01-27 11:22:45 avmike:FreeIPsecSA: spi=6c648b98       protocol=3 iotype=1
2018-01-27 11:22:45 avmike:FreeIPsecSA: spi=5a4d       protocol=4 iotype=1
2018-01-27 11:22:45 avmike:FreeIPsecSA: spi=2b8a8361       protocol=3 iotype=2
2018-01-27 11:22:45 avmike:FreeIPsecSA: spi=6b8       protocol=4 iotype=2
2018-01-27 11:24:01 avmike:7490DSL.dynamischerdns.de start_keep_alive_timer_func to 192.168.2.1
2018-01-27 11:24:01 avmike:7490DSL.dynamischerdns.de start_vpn_keepalive 192.168.2.1
2018-01-27 11:24:01 avmike:7490DSL.dynamischerdns.de: Phase 2 ready
2018-01-27 11:24:01 avmike:< cb_sa_created(name=7490DSL.dynamischerdns.de,id=2,...,flags=0x00032101)
2018-01-27 11:24:01 avmike:7490DSL.dynamischerdns.de stop_vpn_keepalive to 192.168.2.1
2018-01-27 11:24:01 avmike:7490DSL.dynamischerdns.de start_keepalive_timer 3540 sec
2018-01-27 11:24:01 avmike:7490DSL.dynamischerdns.de: start waiting connections
2018-01-27 11:24:01 avmike:7490DSL.dynamischerdns.de: NO waiting connections
2018-01-27 11:24:11 avmike:>>>4500 nat-t-keepalive[93.196.100.138:4500]
2018-01-27 11:25:00 avmike:FreeIPsecSA: spi=da276920       protocol=3 iotype=1
2018-01-27 11:25:00 avmike:FreeIPsecSA: spi=c64       protocol=4 iotype=1
2018-01-27 11:25:00 avmike:FreeIPsecSA: spi=94e494aa       protocol=3 iotype=2
2018-01-27 11:25:00 avmike:FreeIPsecSA: spi=7cd5       protocol=4 iotype=2
2018-01-27 11:25:00 avmike:mainmode 7490DSL.dynamischerdns.de: del SA 1
2018-01-27 12:10:46 avmike:wolke_neighbour_renew_sa 1 SAs
2018-01-27 12:10:46 avmike:wolke_neighbour_renew_sa 1 SAs RENEW
2018-01-27 12:10:46 avmike:6490cable.dynamischerdns.de: Phase 1 starting (renew)
2018-01-27 12:10:47 avmike:mainmode 6490cable.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 12:10:47 avmike:mainmode 6490cable.dynamischerdns.de: add SA 3
2018-01-27 12:10:47 avmike:6490cable.dynamischerdns.de remote peer supported XAUTH
2018-01-27 12:10:47 avmike:6490cable.dynamischerdns.de remote peer supported DPD
2018-01-27 12:10:47 avmike:6490cable.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 12:10:47 avmike:6490cable.dynamischerdns.de: Phase 1 ready
2018-01-27 12:10:47 avmike:6490cable.dynamischerdns.de: current=91.66.76.11:4500 new=91.66.76.11:4500
2018-01-27 12:10:47 avmike:6490cable.dynamischerdns.de: local is behind a nat
2018-01-27 12:10:47 avmike:6490cable.dynamischerdns.de: remote is behind a nat
2018-01-27 12:10:47 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 12:10:47 avmike:6490cable.dynamischerdns.de: NO waiting connections
2018-01-27 12:13:01 avmike:wolke_neighbour_renew_sa 1 SAs
2018-01-27 12:13:01 avmike:wolke_neighbour_renew_sa 1 SAs RENEW
2018-01-27 12:13:01 avmike:7490DSL.dynamischerdns.de: Phase 1 starting (renew)
2018-01-27 12:13:01 avmike:mainmode 7490DSL.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 12:13:01 avmike:mainmode 7490DSL.dynamischerdns.de: add SA 3
2018-01-27 12:13:01 avmike:7490DSL.dynamischerdns.de remote peer supported XAUTH
2018-01-27 12:13:01 avmike:7490DSL.dynamischerdns.de remote peer supported DPD
2018-01-27 12:13:01 avmike:7490DSL.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 12:13:01 avmike:7490DSL.dynamischerdns.de: Phase 1 ready
2018-01-27 12:13:01 avmike:7490DSL.dynamischerdns.de: current=93.196.100.138:4500 new=93.196.100.138:4500
2018-01-27 12:13:01 avmike:7490DSL.dynamischerdns.de: local is behind a nat
2018-01-27 12:13:01 avmike:7490DSL.dynamischerdns.de: remote is behind a nat
2018-01-27 12:13:01 avmike:7490DSL.dynamischerdns.de: start waiting connections
2018-01-27 12:13:01 avmike:7490DSL.dynamischerdns.de: NO waiting connections
2018-01-27 12:16:46 avmike:mainmode 6490cable.dynamischerdns.de: del SA 2
2018-01-27 12:19:01 avmike:mainmode 7490DSL.dynamischerdns.de: del SA 2
2018-01-27 12:20:46 avmike:6490cable.dynamischerdns.de start_keep_alive_timer_func to 192.168.3.1
2018-01-27 12:20:46 avmike:6490cable.dynamischerdns.de start_vpn_keepalive 192.168.3.1
2018-01-27 12:20:47 avmike:6490cable.dynamischerdns.de: Phase 2 ready
2018-01-27 12:20:47 avmike:< cb_sa_created(name=6490cable.dynamischerdns.de,id=3,...,flags=0x00032101)
2018-01-27 12:20:47 avmike:6490cable.dynamischerdns.de stop_vpn_keepalive to 192.168.3.1
2018-01-27 12:20:47 avmike:6490cable.dynamischerdns.de start_keepalive_timer 3540 sec
2018-01-27 12:20:47 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 12:20:47 avmike:6490cable.dynamischerdns.de: NO waiting connections
2018-01-27 12:20:57 avmike:>>>4500 nat-t-keepalive[91.66.76.11:4500]
2018-01-27 12:21:46 avmike:FreeIPsecSA: spi=e360d4a6       protocol=3 iotype=1
2018-01-27 12:21:46 avmike:FreeIPsecSA: spi=6142       protocol=4 iotype=1
2018-01-27 12:21:46 avmike:FreeIPsecSA: spi=83757ff5       protocol=3 iotype=2
2018-01-27 12:21:46 avmike:FreeIPsecSA: spi=c9ea       protocol=4 iotype=2
2018-01-27 12:23:01 avmike:7490DSL.dynamischerdns.de start_keep_alive_timer_func to 192.168.2.1
2018-01-27 12:23:01 avmike:7490DSL.dynamischerdns.de start_vpn_keepalive 192.168.2.1
2018-01-27 12:23:02 avmike:7490DSL.dynamischerdns.de: Phase 2 ready
2018-01-27 12:23:02 avmike:< cb_sa_created(name=7490DSL.dynamischerdns.de,id=3,...,flags=0x00032101)
2018-01-27 12:23:02 avmike:7490DSL.dynamischerdns.de stop_vpn_keepalive to 192.168.2.1
2018-01-27 12:23:02 avmike:7490DSL.dynamischerdns.de start_keepalive_timer 3540 sec
2018-01-27 12:23:02 avmike:7490DSL.dynamischerdns.de: start waiting connections
2018-01-27 12:23:02 avmike:7490DSL.dynamischerdns.de: NO waiting connections
2018-01-27 12:23:12 avmike:>>>4500 nat-t-keepalive[93.196.100.138:4500]
2018-01-27 12:24:01 avmike:FreeIPsecSA: spi=807c597f       protocol=3 iotype=1
2018-01-27 12:24:01 avmike:FreeIPsecSA: spi=2d01       protocol=4 iotype=1
2018-01-27 12:24:01 avmike:FreeIPsecSA: spi=16153f79       protocol=3 iotype=2
2018-01-27 12:24:01 avmike:FreeIPsecSA: spi=4d7       protocol=4 iotype=2

VPN assocs
----------
/proc/kdsld/dsliface/internet/ipsec/assocs:
6490cable.dynamischerdns.de: 192.168.8.100:0.0.0.0 91.66.76.11:0.0.0.0 1 SAs  valid enabled dynlocalip
    permit ip any 192.168.3.0 255.255.255.0
    Forbidden Clients: 192.168.189.0/24
7490DSL.dynamischerdns.de: 192.168.8.100:0.0.0.0 93.196.100.138:0.0.0.0 1 SAs  valid enabled dynlocalip
    permit ip any 192.168.2.0 255.255.255.0
    Forbidden Clients: 192.168.189.0/24

VPN connections
----------
/proc/kdsld/dsliface/internet/ipsec/connections:
6490cable.dynamischerdns.de: pmtu 0 mtu 1500 dpd_supported dont_filter_netbios local_nat remote_nat
7490DSL.dynamischerdns.de: pmtu 0 mtu 1500 dpd_supported dont_filter_netbios local_nat remote_nat

##### END SECTION vpn

##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
/*
 * /var/flash/vpn.cfg
 * Mon Jan 22 23:17:02 2018
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "6490cable.dynamischerdns.de";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "6490cable.dynamischerdns.de";
                keepalive_ip = 192.168.3.1;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.4.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.3.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.3.0 255.255.255.0";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "7490DSL.dynamischerdns.de";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "7490DSL.dynamischerdns.de";
                keepalive_ip = 192.168.2.1;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.4.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
                app_id = 0;
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
##### END SECTION vpn_cfg

Fritz!Box 7490 per DSL:

Code:

##### BEGIN SECTION vpn VPN

VPN avmike
-------
ls: /var/tmp/ike.old: No such file or directory
-rw-r--r--    1 root     root         15543 Jan 27 13:12 /var/tmp/ike.log
1970-01-01 01:01:17 avmike:< add(appl=dsld,cname=iphone,localip=93.196.100.138, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:17 avmike:new neighbour iphone:  dynamic  user  every-id  nat_t
2018-01-27 10:24:09 avmike:< add(appl=dsld,cname=ipad,localip=93.196.100.138, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
2018-01-27 10:24:09 avmike:new neighbour ipad:  dynamic  user  every-id  nat_t
2018-01-27 10:24:09 avmike:< add(appl=dsld,cname=alogis,localip=93.196.100.138, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
2018-01-27 10:24:09 avmike:new neighbour alogis:  dynamic  user  every-id  nat_t
2018-01-27 10:24:09 avmike:< add(appl=dsld,cname=6490cable.dynamischerdns.de,localip=93.196.100.138, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-01-27 10:24:09 avmike:new neighbour 6490cable.dynamischerdns.de:  nat_t
2018-01-27 10:24:09 avmike:< add(appl=dsld,cname=4020LTE.dynamischerdns.de,localip=93.196.100.138, remoteip=0.0.0.0, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2018-01-27 10:24:09 avmike:new neighbour 4020LTE.dynamischerdns.de:  dynamic  nat_t
2018-01-27 10:24:10 avmike:6490cable.dynamischerdns.de: Warning: source changed from 0.0.0.0:500 to 91.66.76.11:500
2018-01-27 10:24:10 avmike:mainmode 6490cable.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 10:24:11 avmike:mainmode 6490cable.dynamischerdns.de: add SA 1
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de remote peer supported XAUTH
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de remote peer supported DPD
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de: sending embedded inital contact message (0,91.66.76.11,0.0.0.0)
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de: Phase 1 ready
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de: current=0.0.0.0 new=91.66.76.11
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de: no valid sa, reseting initialcontactdone flag
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de: sending initial contact message
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de: Phase 2 starting (start waiting)
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de: Phase 2 ready
2018-01-27 10:24:11 avmike:< cb_sa_created(name=6490cable.dynamischerdns.de,id=1,...,flags=0x00002101)
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 10:24:11 avmike:6490cable.dynamischerdns.de: NO waiting connections
2018-01-27 10:25:00 avmike:mainmode 4020LTE.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de remote peer supported XAUTH
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de remote peer supported DPD
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 10:25:00 avmike:mainmode 4020LTE.dynamischerdns.de: add SA 1
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: Warning: source changed from 0.0.0.0:500 to 80.187.100.226:21744
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: switching to NAT-T (Responder)
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: embedded inital contact message received
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: Phase 1 ready
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: current=0.0.0.0 new=80.187.100.226:21744
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: no valid sa, reseting initialcontactdone flag
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: remote is behind a nat
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: inital contact message received
2018-01-27 10:25:01 avmike:4020LTE.dynamischerdns.de: Phase 2 ready
2018-01-27 10:25:01 avmike:< cb_sa_created(name=4020LTE.dynamischerdns.de,id=1,...,flags=0x00022003)
2018-01-27 10:25:01 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-01-27 10:25:01 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-01-27 11:18:11 avmike:wolke_neighbour_renew_sa 1 SAs
2018-01-27 11:18:11 avmike:wolke_neighbour_renew_sa 1 SAs RENEW
2018-01-27 11:18:11 avmike:6490cable.dynamischerdns.de: Phase 1 starting (renew)
2018-01-27 11:18:11 avmike:mainmode 6490cable.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 11:18:11 avmike:mainmode 6490cable.dynamischerdns.de: add SA 2
2018-01-27 11:18:11 avmike:6490cable.dynamischerdns.de remote peer supported XAUTH
2018-01-27 11:18:11 avmike:6490cable.dynamischerdns.de remote peer supported DPD
2018-01-27 11:18:11 avmike:6490cable.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 11:18:11 avmike:6490cable.dynamischerdns.de: Phase 1 ready
2018-01-27 11:18:11 avmike:6490cable.dynamischerdns.de: current=91.66.76.11 new=91.66.76.11
2018-01-27 11:18:11 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 11:18:11 avmike:6490cable.dynamischerdns.de: NO waiting connections
2018-01-27 11:18:12 avmike:6490cable.dynamischerdns.de: Phase 2 ready
2018-01-27 11:18:12 avmike:< cb_sa_created(name=6490cable.dynamischerdns.de,id=2,...,flags=0x00002101)
2018-01-27 11:18:12 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 11:18:12 avmike:6490cable.dynamischerdns.de: NO waiting connections
2018-01-27 11:19:00 avmike:mainmode 4020LTE.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 11:19:00 avmike:4020LTE.dynamischerdns.de remote peer supported XAUTH
2018-01-27 11:19:00 avmike:4020LTE.dynamischerdns.de remote peer supported DPD
2018-01-27 11:19:00 avmike:4020LTE.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 11:19:01 avmike:mainmode 4020LTE.dynamischerdns.de: add SA 2
2018-01-27 11:19:01 avmike:4020LTE.dynamischerdns.de: Phase 1 ready
2018-01-27 11:19:01 avmike:4020LTE.dynamischerdns.de: current=80.187.100.226:21744 new=80.187.100.226:21744
2018-01-27 11:19:01 avmike:4020LTE.dynamischerdns.de: local is behind a nat
2018-01-27 11:19:01 avmike:4020LTE.dynamischerdns.de: remote is behind a nat
2018-01-27 11:19:01 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-01-27 11:19:01 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-01-27 11:24:01 avmike:4020LTE.dynamischerdns.de: Phase 2 ready
2018-01-27 11:24:01 avmike:< cb_sa_created(name=4020LTE.dynamischerdns.de,id=2,...,flags=0x00032003)
2018-01-27 11:24:01 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-01-27 11:24:01 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-01-27 11:24:11 avmike:mainmode 6490cable.dynamischerdns.de: del SA 1
2018-01-27 11:24:11 avmike:FreeIPsecSA: spi=99a452f5       protocol=3 iotype=1
2018-01-27 11:24:11 avmike:FreeIPsecSA: spi=4550       protocol=4 iotype=1
2018-01-27 11:24:11 avmike:FreeIPsecSA: spi=dbff05df       protocol=3 iotype=2
2018-01-27 11:24:11 avmike:FreeIPsecSA: spi=bb00       protocol=4 iotype=2
2018-01-27 11:24:11 avmike:>>>4500 nat-t-keepalive[80.187.100.226:21744]
2018-01-27 11:25:00 avmike:mainmode 4020LTE.dynamischerdns.de: del SA 1
2018-01-27 11:25:00 avmike:FreeIPsecSA: spi=94e494aa       protocol=3 iotype=1
2018-01-27 11:25:00 avmike:FreeIPsecSA: spi=7cd5       protocol=4 iotype=1
2018-01-27 11:25:00 avmike:FreeIPsecSA: spi=da276920       protocol=3 iotype=2
2018-01-27 11:25:00 avmike:FreeIPsecSA: spi=c64       protocol=4 iotype=2
2018-01-27 12:12:11 avmike:6490cable.dynamischerdns.de: busy, renew request ignored.
2018-01-27 12:12:12 avmike:mainmode 6490cable.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 12:12:12 avmike:mainmode 6490cable.dynamischerdns.de: add SA 3
2018-01-27 12:12:12 avmike:6490cable.dynamischerdns.de remote peer supported XAUTH
2018-01-27 12:12:12 avmike:6490cable.dynamischerdns.de remote peer supported DPD
2018-01-27 12:12:12 avmike:6490cable.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 12:12:12 avmike:6490cable.dynamischerdns.de: Phase 1 ready
2018-01-27 12:12:12 avmike:6490cable.dynamischerdns.de: current=91.66.76.11 new=91.66.76.11
2018-01-27 12:12:12 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 12:12:12 avmike:6490cable.dynamischerdns.de: Phase 2 starting (start waiting)
2018-01-27 12:12:13 avmike:6490cable.dynamischerdns.de: Phase 2 ready
2018-01-27 12:12:13 avmike:< cb_sa_created(name=6490cable.dynamischerdns.de,id=3,...,flags=0x00002101)
2018-01-27 12:12:13 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 12:12:13 avmike:6490cable.dynamischerdns.de: NO waiting connections
2018-01-27 12:13:01 avmike:mainmode 4020LTE.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 12:13:01 avmike:4020LTE.dynamischerdns.de remote peer supported XAUTH
2018-01-27 12:13:01 avmike:4020LTE.dynamischerdns.de remote peer supported DPD
2018-01-27 12:13:01 avmike:4020LTE.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 12:13:01 avmike:mainmode 4020LTE.dynamischerdns.de: add SA 3
2018-01-27 12:13:01 avmike:4020LTE.dynamischerdns.de: Warning: source changed from 80.187.100.226:21744 to 80.187.100.226:22393
2018-01-27 12:13:01 avmike:4020LTE.dynamischerdns.de: Phase 1 ready
2018-01-27 12:13:01 avmike:4020LTE.dynamischerdns.de: current=80.187.100.226:21744 new=80.187.100.226:22393
2018-01-27 12:13:01 avmike:4020LTE.dynamischerdns.de: local is behind a nat
2018-01-27 12:13:01 avmike:4020LTE.dynamischerdns.de: remote is behind a nat
2018-01-27 12:13:01 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-01-27 12:13:01 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-01-27 12:18:11 avmike:FreeIPsecSA: spi=e2ff88db       protocol=3 iotype=1
2018-01-27 12:18:11 avmike:FreeIPsecSA: spi=8f70       protocol=4 iotype=1
2018-01-27 12:18:11 avmike:FreeIPsecSA: spi=be8e833d       protocol=3 iotype=2
2018-01-27 12:18:11 avmike:FreeIPsecSA: spi=6f54       protocol=4 iotype=2
2018-01-27 12:18:11 avmike:mainmode 6490cable.dynamischerdns.de: del SA 2
2018-01-27 12:19:01 avmike:mainmode 4020LTE.dynamischerdns.de: del SA 2
2018-01-27 12:23:01 avmike:4020LTE.dynamischerdns.de: Warning: source changed from 80.187.100.226:22393 to 80.187.100.226:13348
2018-01-27 12:23:02 avmike:4020LTE.dynamischerdns.de: Warning: source changed from 80.187.100.226:22393 to 80.187.100.226:13348
2018-01-27 12:23:02 avmike:4020LTE.dynamischerdns.de: Phase 2 ready
2018-01-27 12:23:02 avmike:< cb_sa_created(name=4020LTE.dynamischerdns.de,id=3,...,flags=0x00032003)
2018-01-27 12:23:02 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-01-27 12:23:02 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-01-27 12:23:12 avmike:>>>4500 nat-t-keepalive[80.187.100.226:13348]
2018-01-27 12:24:01 avmike:FreeIPsecSA: spi=16153f79       protocol=3 iotype=1
2018-01-27 12:24:01 avmike:FreeIPsecSA: spi=4d7       protocol=4 iotype=1
2018-01-27 12:24:01 avmike:FreeIPsecSA: spi=807c597f       protocol=3 iotype=2
2018-01-27 12:24:01 avmike:FreeIPsecSA: spi=2d01       protocol=4 iotype=2
2018-01-27 12:43:40 avmike:FreeIPsecSA: spi=5408eedb       protocol=3 iotype=1
2018-01-27 12:43:40 avmike:FreeIPsecSA: spi=767b       protocol=4 iotype=1
2018-01-27 12:43:40 avmike:FreeIPsecSA: spi=85156b49       protocol=3 iotype=2
2018-01-27 12:43:40 avmike:FreeIPsecSA: spi=5c91       protocol=4 iotype=2
2018-01-27 12:43:40 avmike:mainmode 4020LTE.dynamischerdns.de: del SA 3
2018-01-27 12:44:10 avmike:4020LTE.dynamischerdns.de: Phase 1 failed (initiator): IKE-Error 0x2027
2018-01-27 12:44:10 avmike:< cb_sa_create_failed(name=4020LTE.dynamischerdns.de,reason=IKE-Error 0x2027)
2018-01-27 12:46:02 avmike:4020LTE.dynamischerdns.de: Phase 1 failed (initiator): IKE-Error 0x2027
2018-01-27 12:46:02 avmike:< cb_sa_create_failed(name=4020LTE.dynamischerdns.de,reason=IKE-Error 0x2027)
2018-01-27 12:47:30 avmike:4020LTE.dynamischerdns.de: Phase 1 failed (initiator): IKE-Error 0x2027
2018-01-27 12:47:30 avmike:< cb_sa_create_failed(name=4020LTE.dynamischerdns.de,reason=IKE-Error 0x2027)
2018-01-27 12:48:19 avmike:4020LTE.dynamischerdns.de: Phase 1 failed (initiator): IKE-Error 0x2027
2018-01-27 12:48:19 avmike:< cb_sa_create_failed(name=4020LTE.dynamischerdns.de,reason=IKE-Error 0x2027)
2018-01-27 13:00:32 avmike:4020LTE.dynamischerdns.de: Phase 1 failed (initiator): IKE-Error 0x2027
2018-01-27 13:00:32 avmike:< cb_sa_create_failed(name=4020LTE.dynamischerdns.de,reason=IKE-Error 0x2027)
2018-01-27 13:06:12 avmike:wolke_neighbour_renew_sa 1 SAs
2018-01-27 13:06:12 avmike:wolke_neighbour_renew_sa 1 SAs RENEW
2018-01-27 13:06:12 avmike:6490cable.dynamischerdns.de: Phase 1 starting (renew)
2018-01-27 13:06:13 avmike:mainmode 6490cable.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 13:06:13 avmike:mainmode 6490cable.dynamischerdns.de: add SA 4
2018-01-27 13:06:13 avmike:6490cable.dynamischerdns.de remote peer supported XAUTH
2018-01-27 13:06:13 avmike:6490cable.dynamischerdns.de remote peer supported DPD
2018-01-27 13:06:13 avmike:6490cable.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 13:06:13 avmike:6490cable.dynamischerdns.de: Phase 1 ready
2018-01-27 13:06:13 avmike:6490cable.dynamischerdns.de: current=91.66.76.11 new=91.66.76.11
2018-01-27 13:06:13 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 13:06:13 avmike:6490cable.dynamischerdns.de: Phase 2 starting (start waiting)
2018-01-27 13:06:14 avmike:6490cable.dynamischerdns.de: Phase 2 ready
2018-01-27 13:06:14 avmike:< cb_sa_created(name=6490cable.dynamischerdns.de,id=4,...,flags=0x00002101)
2018-01-27 13:06:14 avmike:6490cable.dynamischerdns.de: start waiting connections
2018-01-27 13:06:14 avmike:6490cable.dynamischerdns.de: NO waiting connections
2018-01-27 13:07:02 avmike:mainmode 4020LTE.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de remote peer supported XAUTH
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de remote peer supported DPD
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-01-27 13:07:02 avmike:mainmode 4020LTE.dynamischerdns.de: add SA 4
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de: Warning: source changed from 80.187.100.226:500 to 80.187.100.226:3807
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de: Phase 1 ready
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de: current=80.187.100.226 new=80.187.100.226:3807
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de: local is behind a nat
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de: remote is behind a nat
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de: sending initial contact message
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-01-27 13:07:02 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-01-27 13:12:12 avmike:mainmode 6490cable.dynamischerdns.de: del SA 3
2018-01-27 13:12:12 avmike:FreeIPsecSA: spi=b58d0d0b       protocol=3 iotype=1
2018-01-27 13:12:12 avmike:FreeIPsecSA: spi=2e7e       protocol=4 iotype=1
2018-01-27 13:12:12 avmike:FreeIPsecSA: spi=cdaeba24       protocol=3 iotype=2
2018-01-27 13:12:12 avmike:FreeIPsecSA: spi=6b2d       protocol=4 iotype=2

VPN assocs
----------
/proc/kdsld/dsliface/internet/ipsec/assocs:
iphone: 93.196.100.138:0.0.0.0 0.0.0.0:192.168.2.201 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any host 192.168.2.201
    Forbidden Clients: 192.168.179.0/24
ipad: 93.196.100.138:0.0.0.0 0.0.0.0:192.168.2.202 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any host 192.168.2.202
    Forbidden Clients: 192.168.179.0/24
alogis: 93.196.100.138:0.0.0.0 0.0.0.0:192.168.2.203 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any host 192.168.2.203
    Forbidden Clients: 192.168.179.0/24
6490cable.dynamischerdns.de: 93.196.100.138:0.0.0.0 91.66.76.11:0.0.0.0 1 SAs  valid enabled dynlocalip
    permit ip any 192.168.3.0 255.255.255.0
    Forbidden Clients: 192.168.179.0/24
4020LTE.dynamischerdns.de: 93.196.100.138:0.0.0.0 80.187.100.226:0.0.0.0 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any 192.168.4.0 255.255.255.0
    permit ip any 192.168.8.0 255.255.255.0
    permit ip any host 109.237.176.33
    Forbidden Clients: 192.168.179.0/24

VPN connections
----------
/proc/kdsld/dsliface/internet/ipsec/connections:
iphone: pmtu 0 mtu 1492 dont_filter_netbios
ipad: pmtu 0 mtu 1492 dont_filter_netbios
alogis: pmtu 0 mtu 1492 dont_filter_netbios
6490cable.dynamischerdns.de: pmtu 0 mtu 1492 dpd_supported dont_filter_netbios
4020LTE.dynamischerdns.de: pmtu 0 mtu 1492 dpd_supported dont_filter_netbios local_nat remote_nat

##### END SECTION vpn

##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
/*
 * /var/flash/vpn.cfg
 * Sat Jan 20 13:34:00 2018
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "iphone";
                boxuser_id = 11;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.201;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "SECRET";
                        passwd = "SECRET";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.201;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.2.201 255.255.255.255";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "ipad";
                boxuser_id = 12;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.202;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "SECRET";
                        passwd = "SECRET";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.202;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.2.202 255.255.255.255";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "alogis";
                boxuser_id = 13;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.203;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "SECRET";
                        passwd = "SECRET";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.203;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.2.203 255.255.255.255";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "6490cable.dynamischerdns.de";
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "6490cable.dynamischerdns.de";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.3.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.3.0 255.255.255.0";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "4020LTE.dynamischerdns.de";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.4.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.4.0 255.255.255.0",
                             "permit ip any 192.168.8.0 255.255.255.0",
                             "permit ip any 109.237.176.33 255.255.255.255";
                app_id = 0;
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
##### END SECTION vpn_cfg

Shirocco88 · 27 Jan 2018

teufel2k schrieb:
Die Konfiguration habe ich erst durch das Fernzugriffstool von AVM vorgenommen und dann im Editor angepasst.

teufel2k schrieb:
7490DSL (7490DSL.dynamischerdns.de)
...
accesslist = "permit ip any 192.168.4.0 255.255.255.0",
"permit ip any 192.168.8.0 255.255.255.0",
"permit ip any 109.237.176.33 255.255.255.255"; }

Frage: Wie kommt da Destination-IP "109.237.176.33" in die Accesslist der FB7490 ? da steht nichts davon in #1

109.237.176.33/pass.telekom.de: Für den Aufruf dieser Seite ist eine Internetverbindung über das Mobilfunknetz notwendig.
das sieht seltsam aus; ist das so gewollt ?

teufel2k · 27 Jan 2018

ja, das ist so gewollt und steht auch so in #1.

Das ist die ip von http://pass.telekom.de und gibt mir die Möglichkeit von der Responderseite den Trafficverbrauch der Box mit LTE Zugang zu prüfen und ggf. zu erweitern. Funktioniert soweit auch wenn das VPN steht.

PeterPawn · 27 Jan 2018

Hier könnte vielleicht sogar mal "always_renew" in der LTE-Box helfen (EDIT: weil deren Firmware eben schon wieder etwas älter ist und da ein paar Änderungen noch nicht enthalten sein könnten).

BTW ... auch in der 7490 kann es nicht wirklich schaden, wenn man "keepalive_ip" auf die Router-Adresse auf der Gegenseite stellt. Wenn es keinen Tunnel gibt, wird das Paket verworfen - und ein automatischer Aufbau, der von so einem Paket ausgelöst wird, ist ja nicht möglich, weil die Peer-Adresse nicht bekannt ist. Aber ein aufgebauter Tunnel wird dann auch von der 7490 her mit einem ICMP-Echo-Paket in regelmäßigen Abständen benutzt ... falls das auf der LTE-Seite nicht funktionieren sollte.

Wobei am Ende ja die 4020 "denkt", sie hätte eine SA zur 7490, während dort nachzulesen ist, daß die 7490 eben keine mehr hat für diesen Peer - man sieht schon da deutlich, daß die Protokolle weder zeitgleich, noch nach einem Neustart mit "klaren Grundeinstellungen" erzeugt wurden. Wenn die 7490 um 13:07 Uhr mit der 4020 Kontakt hatte und in deren Log steht davon nichts, können die Protokolle nicht zueinander passen bzw. sie spiegeln genau den entscheidenden Abschnitt der letzten Kontaktaufnahme um 13:07 Uhr eben nicht richtig wieder - bis dahin sollte die Verbindung funktioniert haben.

EDIT: Um es noch mal deutlich zu schreiben ... die Feststellung oben bezieht sich eher auf "sauberer Start" - es ist durchaus möglich, daß das Protokoll zur gleichen Zeit von der 4020 gelesen wurde. Man sieht ja im 7490-Protokoll, daß diese bei dem Versuch um 12:43 Uhr auf einmal ihre Rolle wechselt und sich als "initiator" sieht, obwohl sie gar keine Idee hat, wie sie die 4020 erreichen könnte. Das ist also eher ein VPN-(Logik-)Problem auf der 7490-Seite - aber das könnte man versuchen zu umgehen, denn offenbar wird die bestehende UDP-"Verbindung" (bzw. das Connection-Tracking dafür) irgendwann von der Telekom-Seite aus abgeräumt, wie man am ständigen Wechsel des Endpoints für die 4020 (der besteht ja aus Adresse und Port) sehen kann.

Shirocco88 · 27 Jan 2018

PeterPawn schrieb:
aber das könnte man versuchen zu umgehen, denn offenbar wird die bestehende UDP-"Verbindung" (bzw. das Connection-Tracking dafür) irgendwann von der Telekom-Seite aus abgeräumt, wie man am ständigen Wechsel des Endpoints für die 4020 (der besteht ja aus Adresse und Port) sehen kann.

ggf. bringt hier die Erhöhung der Live-time der Proposals mehr Stabilität bei VPN-Verbindungen, insbesondere wenn eine Seite an einem DS-Lite-/CGNAT-Anschluß hängt:

d.h. bei den LAN-to-LAN-Verbindungen die Settings:

Code:

phase1ss = "all/all/all";
phase2ss = "esp-all-all/ah-none/comp-all/pfs";

nach:

Code:

phase1ss = "LT8h/all/all/all";
phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";

ändern.

PeterPawn · 27 Jan 2018

Davon würde ich eher eine Verschiebung in die Gegenrichtung erwarten ... längere Lifetime einer SA hält ja die Verbindung im CT beim Mobilfunkanbieter nicht zusätzlich offen und das Problem resultiert ja aus dem Wechsel genau dieses Endpoints (7490-Protokoll, 12:13 Uhr und 12:23 Uhr).

teufel2k · 27 Jan 2018

Danke erstmal für eure Hinweise und Analysen...
Also ich habe mal beide Tipps umgesetzt und schaue mal wie stabil jetzt die Verbindung bleibt... ich melde mich wieder mit Updates

PeterPawn · 27 Jan 2018

Theoretisch sind es sogar drei ... meiner besteht aus zwei verschiedenen Änderungen (always_renew (auf der 4020) und keepalive_ip auf der 7490).

Shirocco88 · 27 Jan 2018

FB4020_LTE_NDISWAN: Ereignisanzeige

teufel2k schrieb:
23.01.18 07:29:26 Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 192.168.8.100, DNS-Server: 192.168.8.1 und 192.168.8.1, Gateway: 192.168.8.1

FB7490_DSL: ike.log

teufel2k schrieb:
2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: Warning: source changed from 0.0.0.0:500 to 80.187.100.226:21744

2018-01-27 10:25:00 avmike:4020LTE.dynamischerdns.de: switching to NAT-T (Responder)

@teufel2k: Auf welche IP zeigt der DynDNS-Eintrag "4020LTE.dynamischerdns.de" ?
192.168.8.100 oder 80.187.100.226 ???

Dies wird auch in der supportdata Datei protokolliert:
##### BEGIN SECTION
SNIP
##### END SECTION dyndns

da die 80.187.100.226 aus dem CGNAT-Pool der Telekom ist, gibt es keinen Grund dies zu anonymisieren;
Bitte den Auszug der FB7420 beifügen.

teufel2k · 28 Jan 2018

Hallo,

die anonymisierte domain dynamischerdns.de gehört mir und ist daher anonymisiert... Sorry...
Tatsächlich zeigt 4020LTE.dynamischerdns.de auf 192.168.8.100... könnte da das Problem liegen?

Es hat leider noch nicht mit den oben genannten Änderungen funktioniert... ich habe jetzt nochmal einen Neustart beider Boxen gemacht und das VPN zwischen 4020 und 6490 gelöscht um die Logs auf der 4020 etwas leichter analysierbar zu machen. Ich melde mich nachher wenn die VPN Verbindung wieder weg ist mit neuen Logs.

@PeterPawn stimmt, ich meinte natürlich deine beiden Hinweise und die Hinweise von @Shirocco88 sind alle soweit in die Konfiguration eingeflossen ;-)

Gruß,
teufel2k

Shirocco88 · 28 Jan 2018

teufel2k schrieb:
Tatsächlich zeigt 4020LTE.dynamischerdns.de auf 192.168.8.100... könnte da das Problem liegen?

wird der DNS-Name in der FB7490_DSL versucht aufzulösen ?
dazu kurz nach VPN-restart (disabling/enabling der VPN-Verbindung in Web-IF) in den supportdaten nachsehen:
##### BEGIN SECTION dnsd_cache DNS server
SNIP
##### END SECTION dnsd_cache

ansonsten gehen die Indizien hauptsächlich in Richtung "NAT-Session-Terminierung, aka. CT-Timeout" als Problem-Ursache:

PeterPawn schrieb:
Verbindung im CT beim Mobilfunkanbieter nicht zusätzlich offen und das Problem resultiert ja aus dem Wechsel genau dieses Endpoints (7490-Protokoll, 12:13 Uhr und 12:23 Uhr).

teufel2k schrieb:
die Verbindung reist irgendwann ab und wird nur unzuverlässig als offline erkannt und manchmal auch das nicht und die Verbindung wird einfach weiter in der FritzBox als Grün angezeigt obwohl keine Verbindung besteht. Die einzige stabile Verbindung habe ich einrichten können, als ich auf der Requester Seite zusätzlich ein Gerät angeschlossen habe das einmal pro Minute ins Responder Netz Pingt... dann stand das Netz auch drei Tage sehr zuverlässig. Vielleicht habt ihr ja einen Tip wie ich ohne das zusätzliche Gerät für den Ping auskomme und was ich evtl. falsch mache.

mir ist nicht klar, ob die CT-Timeouts > 60 sec beim Mobilfunktanbieter geschehen,
oder bei LTE-USB-Stick verursacht wird;

wie ist das LTE-Mobilfunk-Router (USB-Tethering) Setup:
Welcher Typ ? z.B. Huawei E3372 im "HiLink-Mode"
==> DynDNS-Config: keine
==> Port-Forwarding: keine
==> Exposed-Host nicht eingerichtet
==> WAN-IP ? 80.187.100.226 oder wechselt sich die WAN-IP
==> NAT-Settings Cone=on, Symmetric=off
==> Firewall-Settings
The IP address filter and WAN port ping functions are only available when the firewall is enabled.
X Enable firewall
X Disable WAN port ping

PeterPawn · 28 Jan 2018

teufel2k schrieb:
Tatsächlich zeigt 4020LTE.dynamischerdns.de auf 192.168.8.100... könnte da das Problem liegen?

Solange keine der Boxen diese Adresse auflösen will, stört das nicht. Die Verwendung als FQDN für P1 erfordert keine DNS-Auflösung, zählt mithin auch nicht - dort sind es nur "Selektoren" für die richtige Verbindung (mit einem FQDN-Format).

Wenn man das ändern würde und das DynDNS-Update anhand der Verpackung (IP-Adresse aus Paket-Header beim Request) anstelle des Inhalts (IP-Adresse aus dem Payload - das ist die, welche die FRITZ!Box kennt) machen wollte, würde das den "ddnsd" des FRITZ!OS erst richtig verwirren - der überprüft nämlich nach einem angeblich erfolgreichen Update auch noch, ob wirklich die gewünschte Adresse eingetragen wurde und wiederholt das ansonsten (ohne echte Begrenzung der Versuche).

Ich würde jetzt erst einmal abwarten ... für mich ist es nicht unwahrscheinlich, daß der "keepalive"-Generator in der 4020 nach dem Erneuern einer SA irgendwo ins Stottern kommt - vielleicht auch wegen der zweiten Verbindung, das hatten wir in diesem Zusammenhang auch noch nicht so häufig und die 06.83 ist halt auch wieder "was alt".

Denkbar, daß der Generator nicht mit zwei aktiven Verbindungen und "geschachtelten Erneuerungen" umgehen kann und beim Stoppen für die eine Verbindung auch das Ping für die andere eingestellt wird - das "jeder mit jedem"-Szenario bei drei Boxen ist ja nicht so weit verbreitet (wenn auch noch ein CGN im Spiel ist und nicht jeder auch jeden problemlos erreichen kann) im Vergleich zum "eine Box über eine andere erreichbar", wo die Initiator-Boxen dann nur eine (aktive) Verbindung zum "zentralen Knoten" haben.

Bei mir findet (bzw. fand) es jedenfalls auch nur sehr selten (und für kurze Zeit, die deutlich unterhalb einer Stunde und damit innerhalb der Gültigkeit einer "kurzen" SA liegt) statt, weil ich die Verbindungen dynamisch ein- und ausschalte(te) und Kopieraufträge über mehrere VPN-Verbindungen und zwei vorhandene WAN-Anschlüsse selbst so serialisierte, daß jeder WAN-Router i.d.R. nur eine VPN-Verbindung benutzte (der Upload wurde dann ohnehin ausgelastet und hätte gar keine Chance gehabt, noch eine zweite Verbindung (sinnvoll) zu bedienen).

Liegt es jedenfalls am Stottern des "ping" aus der Box selbst, würde es ja dann schon helfen, wenn die Gegenseite einen ICMP-Echo-Request sendet, den die Box mit ICMP-Echo-Reply beantwortet. Das wäre dann (so es funktioniert) die in #1 gesuchte Lösung ohne ein weiteres Gerät.

Da könnte man dann zwar tatsächlich nachhelfen mit einer längeren Lifetime einer SA, wenn alles andere nicht helfen will - aber dazu muß man erst mal wissen, daß die Pakete von der 4020 nicht richtig generiert werden, bisher ist das ja nur eine Annahme auf der Basis der Schilderung, daß es mit einem "externen Paket-Generator" dann funktionieren soll.

Die Feststellung, daß die Verbindung im CT beim Provider irgendwann "zugeht", würde auch dazu passen, daß es dort tatsächlich keinen Traffic gibt ... wobei ja eigentlich (wenn das DPD bei AVM korrekt funktioniert, wofür ich auch nicht die Hand ins Feuer legen würde, weil es wohl nur dann zum Einsatz käme, wenn ansonsten kein Traffic innerhalb eines DPD-Intervalls vorkam, was bei funktionierendem Keepalive ja nicht der Fall ist) die CGN-Verbindung auch vom Austausch von R-U-THERE-Nachrichten im Rahmen von DPD offengehalten werden müßte - sofern das bei AVM i.V.m. NAT-T eben auch verwendet wird und auch funktioniert (zuviele Variablen).

Wobei auch die Verlängerung der Lifetime das Problem dann ja eher nur nach hinten schieben würde ... ob eine VPN-Verbindung nach einer oder nach acht Stunden nicht mehr funktioniert (oder nach zwei bzw. sechzehn, wenn es erst nach der zweiten Erneuerung geschieht), ist vom Ergebnis her egal, wenn man eigentlich eine "always on"-Verbindung haben will.

Funktioniert die Lösung mit dem Keepalive von der anderen Seite (dem Tunnel dürfte es egal sein, welcher Traffic auftritt, solange nur überhaupt welcher stattfindet), braucht es die längere Lifetime nicht. Sie würde beim Test sogar kontraproduktiv sein, wenn sie das Problem weiter nach hinten verlagert - selbst wenn damit auch die Wahrscheinlichkeit für eine "ungünstige Schachtelung" der Erneuerung bei zwei Verbindungen sinkt und es damit sogar zum "Workaround" aufsteigen könnte ... ähnlich hat AVM das mit den 8 Stunden (und dem Erneuern bei 9/10 Lifetime) ja auch gemacht bei den Problemen mit Android-Peers.

Im schlechtesten Fall wird damit aber aus einem gut reproduzierbaren Fehlverhalten eines, was "nur selten" auftritt - so ziemlich das genaue Gegenteil von dem, was man sich bei einer Fehlersuche eigentlich wünscht.

teufel2k · 28 Jan 2018

Shirocco88 schrieb:
wie ist das LTE-Mobilfunk-Router (USB-Tethering) Setup:
Welcher Typ ? z.B. Huawei E3372 im "HiLink-Mode"
==> DynDNS-Config: keine
==> Port-Forwarding: keine
==> Exposed-Host nicht eingerichtet
==> WAN-IP ? 80.187.100.226 oder wechselt sich die WAN-IP
==> NAT-Settings Cone=on, Symmetric=off
==> Firewall-Settings
The IP address filter and WAN port ping functions are only available when the firewall is enabled.
X Enable firewall
X Disable WAN port ping

Ja, es wird ein Huawei HiLink-Mode verwendet (es war mal ein Speedstick LTE V)
==> DynDNS-Config: nicht im HiLink Menü gefunden
==> Port-Forwarding: nicht genutzt
==> Exposed-Host: nicht genutzt
==> WAN-IP ? WAN-IP wechselt... aktuell
==> NAT-Settings Cone=on, Symmetric=off habe ich soeben umgestellt
==> Firewall-Settings (habe ich soeben wie von dir beschrieben eingestellt)

Desweiteren habe ich eine einstellung gefunden "Intervall für automatische Trennung" und habe sie mal von 10 Minuten auf "Always On" gestellt... Die hätte ich im HiLink menü auch früher mal sehen können, sollte aber aufgrunde des Keepalive Pings keine großen Auswirkungen haben.

Danke.. Mal sehen ob es stabil bleibt... Momentan hält die Verbindung schon 6 Stunden durch...

@PeterPawn
meinst du ich sollte die Einstellung von phase1ss und phase2ss oben wieder auf folgende zurücksetzen, da sie das Problem nur verschiebt?

Shirocco88 schrieb:
phase1ss = "all/all/all"; phase2ss = "esp-all-all/ah-none/comp-all/pfs";

Natürlich kann ich auch noch einen Ping von dem Netz der 7490 zum Netz der 4020 schicken. Zu Analyse zwecken lasse ich es erstmal so und mal sehen wie sich die Verbindung jetzt hält.

PeterPawn schrieb:
die 06.83 ist halt auch wieder "was alt".

Ist halt die neuste Version für die 4020... ;-)

Nochmals ein großes Danke für eure Hilfe...

teufel2k

PeterPawn · 28 Jan 2018

teufel2k schrieb:
meinst du ich sollte die Einstellung von phase1ss und phase2ss oben wieder auf folgende zurücksetzen, da sie das Problem nur verschiebt?

Wenn Du das geändert hast: Ja.

Bei einer Einstellung mit einer Gültigkeitsdauer von 8 Stunden für eine SA, erfolgt die erste Erneuerung nach 8 * 60 * 9/10 (= 432) Minuten und die zweite nach 864 ... wenn das Problem erst bei/nach der zweiten erfolgreichen Erneuerung auftritt oder gar nur in dem 1/10 der Zeit, wo zwei SA für eine Verbindung existieren, dann kann das genauso gut nicht mehr reproduzierbar(!) auftreten, weil die Faktoren nicht zusammentreffen. Das machen sie erst dann wieder, wenn man es am wenigsten brauchen kann (Murphy's Gesetz).

Abgesehen davon, ist es aus Sicherheitssicht ohnehin recht fragwürdig, was AVM da mit einer Lifetime von 8 Stunden als "Angebot" unterbreitet - zumal es ja auch keine Volumenbegrenzung gibt. In der Kryptographie gilt es nun mal als "Todsünde", wenn man für zuviele Daten und über einen zu langen Zeitraum mit demselben Schlüssel arbeitet - das "Erneuern" hat ja schließlich auch seinen Sinn und seine Hintergründe (und kann dem Standard nach sowohl nach Zeit als auch nach Volumen begrenzt werden) und da ist so etwas, was AVM da macht als "mitigation", ohnehin nur das letzte Mittel.

Einen zusätzlichen Ping muß man von der 7490 gar nicht an die 4020 schicken, das ist nämlich genau das, was durch das Setzen der (internen) IP-Adresse der 4020 in "keepalive_ip" in der 7490 (in der dortigen VPN-Konfiguration für die 4020) ebenfalls geschieht - die Box erzeugt ihr eigenes ICMP-Echo-Paket (man sieht es im Paketmitschnitt auf der passenden Schnittstelle - es unterscheidet sich in Länge und Payload auch von einem "normalen" Ping-Paket) und sendet es an die angegebene Adresse. Existiert dort dann auch noch ein Gerät (das ist keinesfalls Pflicht, schon das Request-Paket erzeugt Traffic und die FRITZ!OS-Firmware testet ihrerseits auch nicht, ob sie darauf ein Reply-Paket erhält) und dieses antwortet seinerseits mit einem "ICMP-Echo-Reply", sind es schon mal zwei Pakete, die den Tunnel für einen solchen Request passieren.

Warum solltest Du also einen weiteren "Ping-Generator" irgendwo einbauen? In #1 willst Du doch im Gegenteil eigentlich wissen, wie Du darauf verzichten könntest.

Du solltest Dich bei künftigen Änderungen zum Test auch auf die Veränderung einer einzelnen Variablen beschränken. Gut - ich hatte meinerseits auch zwei davon vorgeschlagen, aber die machen zusammen mehr Sinn, denn das "always_on" sorgt jetzt - nach dem bisherigen Verständnis - i.V.m. dem "keepalive" von der 7490 auch nur dafür, daß auch dann eine neue SA erzeugt wird (beim Ablauf einer alten), wenn es gar keinen Traffic für den Tunnel gibt und damit auch keine Notwendigkeit bestünde, bei einer "on demand"-Verbindung eine neue SA einzurichten, die dann auch nur wieder irgendwann verfällt, ohne je gebraucht zu werden.

Aber das sollte hier ja gar nicht mehr auftreten, wenn die Pakete die Verbindung offenhalten und der zusätzliche Ansatz, das in der 4020 einzuschalten, sollte auch nur dafür sorgen, daß es eine zweite Alternative zum Verbindungsaufbau gibt (m.E. bzw. nach meinem Verständnis gilt das "always_on" erst bei einer Erneuerung, der initiale Verbindungsaufbau wird immer noch durch ein zu übertragendes Paket getriggert und das wird wieder durch das "keepalive_ip" für die 7490 in der 4020 generiert, was zumindest anfangs auch noch funktioniert), falls wirklich das Erzeugen der ICMP-Pakete in der 4020 ausfällt.

Die 7490 würde ja - selbst wenn sie ICMP-Requests am laufenden Band generiert - ihrerseits den Tunnel nicht aufbauen können ... sie weiß schlicht nicht, wohin der gehen soll -> damit muß das schon die 4020 übernehmen und da stehen die Chancen m.E. auch dann besser, wenn man ihr "always_on = yes;" mit auf den Weg gibt, weil sie dann auch ohne Traffic von ihrer Seite die SA erneuern sollte, anstatt sie einfach nur still sterben zu lassen, wenn die Zeit gekommen ist.

EDIT: Das mit dem "nur eine Variable ändern" bezieht sich auch auf das Ausschalten der 6490-Verbindung ... wenn es wirklich an einer Interaktion der beiden Verbindungen liegen sollte (weil ein "stop keepalive_timer" (s. Protokoll) vielleicht (fälschlicherweise) für beide wirkt und nur eine danach auch wieder gestartet wird, so wie es eigentlich sein sollte), dann wirst Du das auf diesem Weg auch nicht reproduzieren können und u.U. die (falsche) Feststellung treffen, daß Änderungen an der VPN-Konfiguration für die Verbindung zwischen der 7490 und 4020 einen positiven Effekt ergeben haben. Spätestens wenn Du die zweite Verbindung dann wieder zuschaltest und die VPN-Verbindungen (z.B. nach einem Neustart der 4020) wieder so weit synchron aufgebaut werden, daß die Erneuerung für eine Verbindung in die 1/10-Lifetime der anderen fällt (in der dann zwei SA für jede Verbindung parallel existieren), könnte auch das Problem (wenn meine Vermutung hinsichtlich der Ursache stimmt, das ist natürlich Voraussetzung für alles, was ich hier noch geschrieben habe) erneut auftreten.

teufel2k · 28 Jan 2018

Sorry, mit dem "nur eine Variable ändern" ist mir schwer gefallen bei den ganzen Tipps die hier auf mich einprasseln ;-)
Ich habe die ursprüngliche phase1ss und phase2ss und das dreiecks netzwerk wiederhergestellt und beschränke mich mit dem aktuellen Test auf deine Anpassungen der keepaliveip und always_renew sowie den Anpassungen im HiLink Menü.

Ich lass das so über Nacht laufen und werden morgen ggf. ein weiteres Logfile posten. Allerdings kann ich momentan nur die 4020 frisch neustarten bei jedem Test... 7490 nur sehr selten, manchmal morgens...

Wenn sich herausstellt, dass das Problem meine Dreiecksbeziehung zwischen den Boxen ist, sehe ich auch kein Problem darin, dass meine 4020 und die 6490 _nur_ mit der 7490 ein VPN haben und die Pakete durchgeroutet werden... so viel Traffic wird da durch die eine On Demand abgefragte Überwachungskamera auch nicht laufen. Aber das sehen wir später.

[Gelöst] LAN2LAN VPN nicht stabil zu FritzBox mit LTE USB Stick, keepalive_ip Probleme?

Neuer User

IPPF-Urgestein

Neuer User

Moderator

Aktives Mitglied

Neuer User

Aktives Mitglied

Neuer User

IPPF-Urgestein

Aktives Mitglied

IPPF-Urgestein

Neuer User

IPPF-Urgestein

Aktives Mitglied

Neuer User

Aktives Mitglied

IPPF-Urgestein

Neuer User

IPPF-Urgestein

Neuer User

Statistik des Forums