[Gelöst] LAN2LAN VPN nicht stabil zu FritzBox mit LTE USB Stick, keepalive_ip Probleme?

Danke für eure Unterstützung, aber ich werde mich um das Thema früehestens am Wochenende wieder kümmern können und dann einen Mitschnitt anfertigen. In der Woche ist es schwer eine vernünftige Zeit für einen Neustart der Responderbox zu finden.
Bis dahin habe ich jetzt erstmal zum testen einen Ping Generator von der Responder-seite angeworfen.

Gruß,
teufel2k
 
Hi, ich wollte gerade den Paketmitschnitt auf der 7490 für das Device tunl0 machen.. Wenn ich auf start klicke passiert nichts.. mache ich was falsch?
 
Die Routing-Schnittstelle und die "1. Internetverbindung" wären die richtigen Stellen ... erstere ist die "innere Seite" des WAN-Interfaces (mit dem Traffic, der in Richtung Internet gehen soll, hier ist der VPN-Traffic noch unverschlüsselt) und die andere die "äußere", wo der (komplette) Traffic zu sehen ist, der wirklich auf die Reise ins Internet geht oder von dort kommt. Dazwischen erfolgt halt die Verschlüsselung - Keepalive-Pakete sollten auf der Routingschnittstelle als ICMP-Pakete (mit dem Absender der FRITZ!Box selbst) zu sehen sein.
 
Hallo zusammen,

so, ich habe heute einen Paketmitschnitt gemacht. Leider nur von der 4020er seite, aber da diese Seite der Requester ist hoffe ich dass das reicht, da die 7490 im Betrieb schon relativ viele Pakete mitloggt, das will sich hier glaube ich keiner ansehen. ;-)

Was mich immerwieder wundert, dass beide Fritz!Boxen die getrennte Verbindung erst garnicht bemerken. Erst wenn ich jeweils auf das andere Netzwerk zugriefen möchte wird ein "Dead Peer" Detected...

Kann ich den Mitschnitt hier gefahrlos hochladen oder enhält er sensible Daten?

Anbei erstmal die beiden Log Dateien:
7490:
Code:
##### BEGIN SECTION vpn VPN

VPN avmike
-------
ls: /var/tmp/ike.old: No such file or directory
-rw-r--r--    1 root     root          6642 Feb 11 09:35 /var/tmp/ike.log
1970-01-01 01:01:19 avmike:< add(appl=dsld,cname=iphone,localip=93.196.116.81, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:19 avmike:new neighbour iphone:  dynamic  user  every-id  nat_t
1970-01-01 01:01:19 avmike:< add(appl=dsld,cname=ipad,localip=93.196.116.81, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:19 avmike:new neighbour ipad:  dynamic  user  every-id  nat_t
1970-01-01 01:01:19 avmike:< add(appl=dsld,cname=a,localip=93.196.116.81, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:19 avmike:new neighbour a:  dynamic  user  every-id  nat_t
1970-01-01 01:01:19 avmike:< add(appl=dsld,cname=4020LTE.dynamischerdns.de,localip=93.196.116.81, remoteip=0.0.0.0, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.4.1 flags=0x8001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:01:19 avmike:new neighbour 4020LTE.dynamischerdns.de:  dynamic  nat_t
1970-01-01 01:01:19 avmike:4020LTE.dynamischerdns.de start_vpn_keepalive 192.168.4.1
2018-02-11 08:25:33 avmike:mainmode 4020LTE.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de remote peer supported XAUTH
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de remote peer supported DPD
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-02-11 08:25:33 avmike:mainmode 4020LTE.dynamischerdns.de: add SA 1
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de: Warning: source changed from 0.0.0.0:500 to 80.187.96.87:13681
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de: switching to NAT-T (Responder)
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de: embedded inital contact message received
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de start_vpn_keepalive already running
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de: Phase 1 ready
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de: current=0.0.0.0 new=80.187.96.87:13681
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de start_vpn_keepalive already running
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de: no valid sa, reseting initialcontactdone flag
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de: remote is behind a nat
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de: inital contact message received
2018-02-11 08:25:33 avmike:4020LTE.dynamischerdns.de start_vpn_keepalive already running
2018-02-11 08:25:34 avmike:4020LTE.dynamischerdns.de: Phase 2 ready
2018-02-11 08:25:34 avmike:< cb_sa_created(name=4020LTE.dynamischerdns.de,id=1,...,flags=0x00022103)
2018-02-11 08:25:34 avmike:4020LTE.dynamischerdns.de stop_vpn_keepalive to 192.168.4.1
2018-02-11 08:25:34 avmike:4020LTE.dynamischerdns.de start_keepalive_timer 3540 sec
2018-02-11 08:25:34 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-02-11 08:25:34 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-02-11 08:25:34 avmike:4020LTE.dynamischerdns.de: Phase 2 ready
2018-02-11 08:25:34 avmike:< cb_sa_created(name=4020LTE.dynamischerdns.de,id=2,...,flags=0x00022003)
2018-02-11 08:25:34 avmike:4020LTE.dynamischerdns.de stop_vpn_keepalive to 192.168.4.1
2018-02-11 08:25:34 avmike:4020LTE.dynamischerdns.de restart keepalive_timer timer_id 2007781520
2018-02-11 08:25:34 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-02-11 08:25:34 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-02-11 09:19:33 avmike:mainmode 4020LTE.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-02-11 09:19:33 avmike:4020LTE.dynamischerdns.de remote peer supported XAUTH
2018-02-11 09:19:33 avmike:4020LTE.dynamischerdns.de remote peer supported DPD
2018-02-11 09:19:33 avmike:4020LTE.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-02-11 09:19:34 avmike:mainmode 4020LTE.dynamischerdns.de: add SA 2
2018-02-11 09:19:34 avmike:4020LTE.dynamischerdns.de: Phase 1 ready
2018-02-11 09:19:34 avmike:4020LTE.dynamischerdns.de: current=80.187.96.87:13681 new=80.187.96.87:13681
2018-02-11 09:19:34 avmike:4020LTE.dynamischerdns.de: local is behind a nat
2018-02-11 09:19:34 avmike:4020LTE.dynamischerdns.de: remote is behind a nat
2018-02-11 09:19:34 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-02-11 09:19:34 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-02-11 09:22:34 avmike:4020LTE.dynamischerdns.de: Phase 2 ready
2018-02-11 09:22:34 avmike:< cb_sa_created(name=4020LTE.dynamischerdns.de,id=3,...,flags=0x00032003)
2018-02-11 09:22:34 avmike:4020LTE.dynamischerdns.de stop_vpn_keepalive to 192.168.4.1
2018-02-11 09:22:34 avmike:4020LTE.dynamischerdns.de restart keepalive_timer timer_id 2007781520
2018-02-11 09:22:34 avmike:4020LTE.dynamischerdns.de: start waiting connections
2018-02-11 09:22:34 avmike:4020LTE.dynamischerdns.de: NO waiting connections
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=127bfb52       protocol=3 iotype=2
2018-02-11 09:22:34 avmike:< cb_sa_deleted(name=4020LTE.dynamischerdns.de,id=2,what=2)
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=48a1ef63       protocol=3 iotype=1
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=d765       protocol=4 iotype=1
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=8260f96d       protocol=3 iotype=2
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=7a2a       protocol=4 iotype=2
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=1b73       protocol=4 iotype=2
2018-02-11 09:22:34 avmike:< cb_sa_deleted(name=4020LTE.dynamischerdns.de,id=2,what=2)
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=d6454991       protocol=3 iotype=1
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=b87e       protocol=4 iotype=1
2018-02-11 09:22:44 avmike:>>>4500 nat-t-keepalive[80.187.96.87:13681]
2018-02-11 09:25:33 avmike:mainmode 4020LTE.dynamischerdns.de: del SA 1
2018-02-11 09:35:50 avmike:FreeIPsecSA: spi=9fdb4b1       protocol=3 iotype=1
2018-02-11 09:35:50 avmike:FreeIPsecSA: spi=afa2       protocol=4 iotype=1
2018-02-11 09:35:50 avmike:FreeIPsecSA: spi=e93a74f6       protocol=3 iotype=2
2018-02-11 09:35:50 avmike:FreeIPsecSA: spi=4bf8       protocol=4 iotype=2
2018-02-11 09:35:50 avmike:mainmode 4020LTE.dynamischerdns.de: del SA 2

VPN assocs
----------
/proc/kdsld/dsliface/internet/ipsec/assocs:
iphone: 93.196.116.81:0.0.0.0 0.0.0.0:192.168.2.201 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any host 192.168.2.201
    Forbidden Clients: 192.168.179.0/24
ipad: 93.196.116.81:0.0.0.0 0.0.0.0:192.168.2.202 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any host 192.168.2.202
    Forbidden Clients: 192.168.179.0/24
a: 93.196.116.81:0.0.0.0 0.0.0.0:192.168.2.203 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any host 192.168.2.203
    Forbidden Clients: 192.168.179.0/24
4020LTE.dynamischerdns.de: 93.196.116.81:0.0.0.0 80.187.96.87:0.0.0.0 0 SAs  valid enabled dynlocalip dynremoteip
    permit ip any 192.168.4.0 255.255.255.0
    permit ip any 192.168.8.0 255.255.255.0
    permit ip any host 109.237.176.33
    Forbidden Clients: 192.168.179.0/24

VPN connections
----------
/proc/kdsld/dsliface/internet/ipsec/connections:
iphone: pmtu 0 mtu 1492 dont_filter_netbios
ipad: pmtu 0 mtu 1492 dont_filter_netbios
a: pmtu 0 mtu 1492 dont_filter_netbios
4020LTE.dynamischerdns.de: pmtu 0 mtu 1492 dpd_supported dont_filter_netbios local_nat remote_nat

##### END SECTION vpn

##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
/*
 * /var/flash/vpn.cfg
 * Sun Jan 28 21:54:05 2018
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "iphone";
                boxuser_id = 11;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.201;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "SECRET";
                        passwd = "SECRET";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.201;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.2.201 255.255.255.255";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "ipad";
                boxuser_id = 12;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.202;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "SECRET";
                        passwd = "SECRET";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.202;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.2.202 255.255.255.255";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_user;
                name = "a";
                boxuser_id = 13;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.203;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        key_id = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "SECRET";
                        passwd = "SECRET";
                }
                use_cfgmode = yes;
                phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.203;
                }
                phase2ss = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip 0.0.0.0 0.0.0.0 192.168.2.203 255.255.255.255";
                app_id = 0;
        } {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "4020LTE.dynamischerdns.de";
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "";
                keepalive_ip = 192.168.4.1;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.4.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.4.0 255.255.255.0",
                             "permit ip any 192.168.8.0 255.255.255.0",
                             "permit ip any 109.237.176.33 255.255.255.255";
                app_id = 0;
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
##### END SECTION vpn_cfg

4020:
Code:
##### BEGIN SECTION vpn VPN

VPN avmike
-------
ls: /var/tmp/ike.old: No such file or directory
-rw-r--r--    1 root     root          5539 Feb 11 09:25 /var/tmp/ike.log
1970-01-01 01:00:43 avmike:< add(appl=dsld,cname=7490DSL.dynamischerdns.de,localip=192.168.8.100, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.2.1 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:00:43 avmike:new neighbour 7490DSL.dynamischerdns.de:  nat_t
1970-01-01 01:00:43 avmike:7490DSL.dynamischerdns.de start_vpn_keepalive 192.168.2.1
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de: Warning: source changed from 0.0.0.0:500 to 93.196.116.81:500
1970-01-01 01:00:44 avmike:mainmode 7490DSL.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
1970-01-01 01:00:44 avmike:mainmode 7490DSL.dynamischerdns.de: add SA 1
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de remote peer supported XAUTH
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de remote peer supported DPD
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de remote peer supported NAT-T RFC 3947
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de: sending embedded inital contact message (0,93.196.116.81,0.0.0.0)
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de: switching to NAT-T (Initiator)
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de: Phase 1 ready
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de: current=0.0.0.0 new=93.196.116.81:4500
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de start_vpn_keepalive already running
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de: no valid sa, reseting initialcontactdone flag
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de: local is behind a nat
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de: sending initial contact message
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de: start waiting connections
1970-01-01 01:00:44 avmike:7490DSL.dynamischerdns.de: Phase 2 starting (start waiting)
2018-02-11 08:25:34 avmike:7490DSL.dynamischerdns.de: Phase 2 ready
2018-02-11 08:25:34 avmike:< cb_sa_created(name=7490DSL.dynamischerdns.de,id=1,...,flags=0x00012101)
2018-02-11 08:25:34 avmike:7490DSL.dynamischerdns.de stop_vpn_keepalive to 192.168.2.1
2018-02-11 08:25:34 avmike:7490DSL.dynamischerdns.de start_keepalive_timer 3540 sec
2018-02-11 08:25:34 avmike:7490DSL.dynamischerdns.de: start waiting connections
2018-02-11 08:25:34 avmike:7490DSL.dynamischerdns.de: NO waiting connections
2018-02-11 08:25:34 avmike:7490DSL.dynamischerdns.de: Phase 2 ready
2018-02-11 08:25:34 avmike:< cb_sa_created(name=7490DSL.dynamischerdns.de,id=2,...,flags=0x00012001)
2018-02-11 08:25:34 avmike:7490DSL.dynamischerdns.de stop_vpn_keepalive to 192.168.2.1
2018-02-11 08:25:34 avmike:7490DSL.dynamischerdns.de restart keepalive_timer timer_id 721039424
2018-02-11 08:25:34 avmike:7490DSL.dynamischerdns.de: start waiting connections
2018-02-11 08:25:34 avmike:7490DSL.dynamischerdns.de: NO waiting connections
2018-02-11 08:25:44 avmike:>>>4500 nat-t-keepalive[93.196.116.81:4500]
2018-02-11 08:25:44 avmike:>>>4500 nat-t-keepalive[93.196.116.81:4500]
2018-02-11 09:19:33 avmike:wolke_neighbour_renew_sa 1 SAs
2018-02-11 09:19:33 avmike:wolke_neighbour_renew_sa 1 SAs RENEW
2018-02-11 09:19:33 avmike:7490DSL.dynamischerdns.de: Phase 1 starting (renew)
2018-02-11 09:19:34 avmike:mainmode 7490DSL.dynamischerdns.de: selected lifetime: 3600 sec(no notify)
2018-02-11 09:19:34 avmike:mainmode 7490DSL.dynamischerdns.de: add SA 2
2018-02-11 09:19:34 avmike:7490DSL.dynamischerdns.de remote peer supported XAUTH
2018-02-11 09:19:34 avmike:7490DSL.dynamischerdns.de remote peer supported DPD
2018-02-11 09:19:34 avmike:7490DSL.dynamischerdns.de remote peer supported NAT-T RFC 3947
2018-02-11 09:19:34 avmike:7490DSL.dynamischerdns.de: Phase 1 ready
2018-02-11 09:19:34 avmike:7490DSL.dynamischerdns.de: current=93.196.116.81:4500 new=93.196.116.81:4500
2018-02-11 09:19:34 avmike:7490DSL.dynamischerdns.de: local is behind a nat
2018-02-11 09:19:34 avmike:7490DSL.dynamischerdns.de: remote is behind a nat
2018-02-11 09:19:34 avmike:7490DSL.dynamischerdns.de: start waiting connections
2018-02-11 09:19:34 avmike:7490DSL.dynamischerdns.de: NO waiting connections
2018-02-11 09:22:34 avmike:7490DSL.dynamischerdns.de: Phase 2 ready
2018-02-11 09:22:34 avmike:< cb_sa_created(name=7490DSL.dynamischerdns.de,id=3,...,flags=0x00032101)
2018-02-11 09:22:34 avmike:7490DSL.dynamischerdns.de stop_vpn_keepalive to 192.168.2.1
2018-02-11 09:22:34 avmike:7490DSL.dynamischerdns.de restart keepalive_timer timer_id 721039424
2018-02-11 09:22:34 avmike:7490DSL.dynamischerdns.de: start waiting connections
2018-02-11 09:22:34 avmike:7490DSL.dynamischerdns.de: NO waiting connections
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=127bfb52       protocol=3 iotype=1
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=1b73       protocol=4 iotype=1
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=d6454991       protocol=3 iotype=2
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=b87e       protocol=4 iotype=2
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=48a1ef63       protocol=3 iotype=2
2018-02-11 09:22:34 avmike:< cb_sa_deleted(name=7490DSL.dynamischerdns.de,id=2,what=2)
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=d765       protocol=4 iotype=2
2018-02-11 09:22:34 avmike:< cb_sa_deleted(name=7490DSL.dynamischerdns.de,id=2,what=2)
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=8260f96d       protocol=3 iotype=1
2018-02-11 09:22:34 avmike:< cb_sa_deleted(name=7490DSL.dynamischerdns.de,id=2,what=1)
2018-02-11 09:22:34 avmike:FreeIPsecSA: spi=7a2a       protocol=4 iotype=1
2018-02-11 09:22:34 avmike:< cb_sa_deleted(name=7490DSL.dynamischerdns.de,id=2,what=1)
2018-02-11 09:22:44 avmike:>>>4500 nat-t-keepalive[93.196.116.81:4500]
2018-02-11 09:25:33 avmike:mainmode 7490DSL.dynamischerdns.de: del SA 1

VPN assocs
----------
/proc/kdsld/dsliface/internet/ipsec/assocs:
7490DSL.dynamischerdns.de: 192.168.8.100:0.0.0.0 93.196.116.81:0.0.0.0 1 SAs  valid enabled dynlocalip
    permit ip any 192.168.2.0 255.255.255.0
    Forbidden Clients: 192.168.189.0/24

VPN connections
----------
/proc/kdsld/dsliface/internet/ipsec/connections:
7490DSL.dynamischerdns.de: pmtu 0 mtu 1500 dpd_supported dont_filter_netbios local_nat remote_nat

##### END SECTION vpn

##### BEGIN SECTION vpn_cfg /var/flash/vpn.cfg
/*
 * /var/flash/vpn.cfg
 * Sun Jan 28 20:57:10 2018
 */

meta { encoding = "utf-8"; }

vpncfg {
        vpncfg_version = 1;
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "7490DSL.dynamischerdns.de";
                boxuser_id = 0;
                always_renew = yes;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "7490DSL.dynamischerdns.de";
                keepalive_ip = 192.168.2.1;
                localid {
                        fqdn = "SECRET";
                }
                remoteid {
                        fqdn = "SECRET";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "SECRET";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.4.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.2.0 255.255.255.0";
                app_id = 0;
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
##### END SECTION vpn_cfg
 
Was mich immerwieder wundert, dass beide Fritz!Boxen die getrennte Verbindung erst garnicht bemerken. Erst wenn ich jeweils auf das andere Netzwerk zugriefen möchte wird ein "Dead Peer" Detected...

Kann ich den Mitschnitt hier gefahrlos hochladen oder enhält er sensible Daten?
IMHO ist die Analyse des Mitschnitts von Dir selbst angedacht;
dazu wird üblicherweise im ersten Schritt die Paketdump-Datei per Wireshark oder tcpdump begutachtet;
Hierbei ist der Traffic auf "Routingschnittstelle" im Gegensatz zur "1. Internet-Verbindung" unverschlüsselt und dann kann man in der Erstanalyse aus gesendeten und empfangenen DPD-, "keep alive"- oder ICMP-Paketen sowie deren zeitlichen Verlauf Rückschlüsse auf VPN-Betrieb bzw. etwaigen Problemen ziehen;
ggf. "tcpdump -s0 -r mitschnitt.pcap" Output hier einstellen;

ich habe heute einen Paketmitschnitt gemacht. Leider nur von der 4020er seite
IMHO ist auch der Mitschnitt von Responder-Box interessant, insbesondere um etwaige Traffic-Probleme
(z.B. bei den genannten CT-Timeouts) und Impacts auf VPN-Traffic/-Session von Responder- zur Requestor-Box zu erkennen.

da die 7490 im Betrieb schon relativ viele Pakete mitloggt, das will sich hier glaube ich keiner ansehen. ;-)
dazu gibt es doch im Wireshark bzw. tcpdump Filter, die den unerwünschte Frames ausblenden können.
 
Zuletzt bearbeitet:
Bei meiner UMTS-FB habe ich
Code:
always_renew = no;
stehen, wenn keepalive = IPder Remote-FB gesetzt. Dies wurde mir mal so empfohlen.
Kannst Du in der 4020 eigentlich ein IP-Telefon einrichten? DECT+FON-Anschlüsse hat sie wohl nicht, weshalb wohl keine Telefonie möglich?
Ausser der Tunnelaufrechterhaltung über keepalive ist die SIP-Registrierung eines internen IP-Phones über den Tunnel eine imho sinnvolle Traffic-Generierung.
Welcher Art von Clients hinter der 4020 sitzen (PC-Benutzer und/oder nur CAMs und Überwachungs-Raspies o.ä.) hat man bisher nichts erfahren.
LG
 
Kannst Du in der 4020 eigentlich ein IP-Telefon einrichten? DECT+FON-Anschlüsse hat sie wohl nicht, weshalb wohl keine Telefonie möglich?
Sollte möglich sein, indem man unter
WLAN > Funktnetz > FRITZ!App Fon [ x ] Unterstützung für FRITZ!App Fon in der FRITZ!Box
aktiviert - siehe auch https://avm.de/service/fritzbox/fritzbox-4020/wissensdatenbank/publication/show/42_IP-Telefon-an-FRITZ-Box-anmelden-und-einrichten/
und dort weiter
https://avm.de/service/fritzbox/fri...2_Internetrufnummern-in-FRITZ-Box-einrichten/
 
  • Like
Reaktionen: Micha0815
Die letzten Tipps haben letztendlich geholfen... Das einrichten eines VoIP Telefons von der 4020 zu den anderen Fritz!Boxen hält die Verbindung nun seit 2 Wochen Stabil offen. Vielen Dank für eure Tips und Infos...
 
  • Like
Reaktionen: Micha0815
Hallo Zusammen,

ich bin seit mehreren Tagen schon auf der Fehlersuche meiner Fritzboxen. Mein Aufbau ist der folgende:

Initiator:

Fritzbox 7390 via UMTS

Target

Fritzbox 7490 DSL

Ich habe die Konfigurationen so gut es ging nachgebaut und aus diesen Threat übernommen.

Mich würde sehr brennend interessieren wie du deine Verbindung @teufel2k als Konfig übernommen hast.

Meine Läuft nicht stabil, sobald ich alle Endgeräte (ist ne Gartenlaube mit einer Solarinsel) abmelde bzw. kein Traffic kommt - bricht die Verbindung..

bild-00c7a7-1549123195.jpg.html



Bin für jede Hilfe hier dankbar !
 
Initiator:
Fritzbox 7390 via UMTS
Auch wenn Du es ungern hören magst. Ich hatte lange eine 7390 auf den Kanaren am Start -zugegebenermassen nicht mit der letzen FW 6.85- die doch öfters streikte als eine 7490. Dies ist nur mein persönlicher Erfahrungswert aus den letzten 3-4 Jahren.
LG
 
ich bin seit mehreren Tagen schon auf der Fehlersuche meiner Fritzboxen.
SNIP
Meine Läuft nicht stabil, sobald ich alle Endgeräte (ist ne Gartenlaube mit einer Solarinsel) abmelde bzw. kein Traffic kommt - bricht die Verbindung.

Ohne Logfiles und Konfigfiles beider Boxen kann ich mir nicht vorstellen, dass jemand eine belastbare Problemanalyse und ggf. Lösungsvorschläge geben kann.
Auch die Angabe der FW-Version ist hilfreich.
 
Die letzten Tipps haben letztendlich geholfen... Das einrichten eines VoIP Telefons von der 4020 zu den anderen Fritz!Boxen hält die Verbindung nun seit 2 Wochen Stabil offen. Vielen Dank für eure Tips und Infos...

Ich habe gleiches Verhalten.- Abbrüche..
Wie kann ich ein „VoIP Telefon“ in der LtE-Box einrichten zur DSL Nox, damit das VPN
Steht?

Danke!!
 
Die Boxen haben unterschiedliche Heimnetzbereiche?

"Wer" baut die Verbindung auf?

Öffentliche IP am LTE?

Was steht denn in den Ereignissen?

Wie wäre es, wenn Du wie Deine Vorgänger auch, die betreffende Config posten würdest?

Du musst schon mit mehr Infos aufschlagen, damit Dir einschlägig geholfen werden kann.
 
also: VPN läuft. Die LTE Box (mit privater IP) baut die Verbindung auf.

Netz LTE Box 192.168.198.0/24
Netz DSL Box 192.168.178.0/24

Die LTE baut natürlich die VPN auf.

Alles geht, solange ich vom LTE Box-Netz die DSL Box regelmäßig anpinge (alle 20sek).

Was ich nun machen will, und wofür ich Eure Hilfe erbitte ist: "Das einrichten eines VoIP Telefons von der 4020 zu den anderen Fritz!Boxen hält die Verbindung nun seit 2 Wochen Stabil offen."

Also: wenn ich laut https://at.avm.de/service/supportan...lefonieren-ueber-andere-FRITZ-Box-einrichten/ vorgehe, kann ich zwar an der DSL Box ein Telefoniegreät **620 erstellen, auf der LTE Box jedoch kann ich die "neue Internetrufnummer" nicht einrichten, der Assistent sagt, die Prüfung sei fehlgeschlagen. Habe auch ähnlich http://www.stueben.de/voip-ueber-mehre-fritzboxen-hinweg/ gearbeitet, hat aber auch nicht geklappt. Auch dies https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/015/hilfe_fon_howto_ip-telefon geht nicht, stets das gleiche Problem.

VPN steht wohlbemerkt! Kann es sein, dass die DSL-Box irgendwelche Ports zu hat?

Muss ich zwingend beim Einrichten des "neuen Telefoniegrätes" auf der DSL-Box eine bestehende Rufnummer wählen? Ich dachte, es reicht, eine reine SIP-Verbindung zwischen den zwei Boxen herustellen.


VIELEN DANK!
 
Zuletzt bearbeitet:
Um es mal zusammenzufassen:
Es reicht eine Dummy-Nummer - in meinem Beispiel 55501.

Code:
xDSL-Box - Telefoniegeräte

- Telefoniegerät einrichten  -  Telefon (mit und ohne Anrufbeantworter)
- (•) LAN/WLAN (IP-Telefon)  -  KeepAlive01
- Registrar                     fritz.box oder 192.168.178.1 (ausgegraut)
  Benutzername                  KeepAlive01
  Kennwort                      **************


LTE-/CGN-Box - Eigene Rufnummern

Telefonie-Anbieter:             Anderer Anbieter (später 192.168.178.1)
Rufnummer für die Anmeldung:    55501
Interne Rufnummer:              55501
Anzeigename:

Zugangsdaten
Benutzername                    KeepAlive01
Kennwort                        **************
Registrar                       192.168.178.1
... (beliebig) ....
(•) Anmeldung immer über eine Internetverbindung
 
Zuletzt bearbeitet:
Hallo, danke,

DIe IP der DSL BOx ist aber 192.168.178.1, somit dies überall - oder?

So mache ich es eigentlich, und bekomme keine Verbindung (die Nummer in der LTE Box wird nicht registriert)

---
Internet
verbunden über LAN 3 seit 07.08.2019, 09:50 Uhr
Mobilfunk: LTE (4G)
Geschwindigkeit: ↓ 100,0 Mbit/s ↑ 6,0 Mbit/s,ändern
Telefonie
1 Rufnummer aktiv, davon keine registriert
Fernzugang
xxx.dyndns.org
 
Zuletzt bearbeitet:
Danke! Ja, die xDSL-Box-IP 192.168.178.1 muss es natürlich sein.
Aber etwa so funktioniert das bei allen "meinen" Boxen, wo LTE, PYUR-Kabel etc. eingesetzt wird/wurde oder der xDSL-Provider aus anderen Gründen CGN einsetzt.
 
habe es genauso gemacht, keine Registrierung möglich, grau:(
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.