VPN bricht nach einer Stunde ab

Chris1973

Neuer User
Mitglied seit
4 Apr 2013
Beiträge
32
Punkte für Reaktionen
5
Punkte
8
Hallo,

folgende Ausgangssituation:

Standort 1 Digitalisierungsbox Premium IP 192.168.2.1
Standort 2 Fritzbox 7490 IP 192.168.178.1 + Yealink T41S

Standort 2 wählt sich auf Standort 1 ein.
Einwahl erfolgt via NoIP, Fehler tritt aber auch auf, wenn man direkt über die IP Adresse geht

----------------------------------------------------------------------------------------------------------------
Fehler: VPN Verbindung bricht nach einer Stunde ab. Danach muss auf der FritzBox die Verbindung deaktiviert und neu aktiviert werden
Hat nichts mit dem Telefon zu tun. Wenn ich die 192.168.2.1 dauerpinge tritt der Fehler auch ohne Telefon auf
-----------------------------------------------------------------------------------------------------------------

Einstellungen Digitalisierungsbox

1631697500863.png
1631697590640.png
1631697694473.png
1631697751423.png
1631697845932.png

1631697898469.png
1631697935747.png
1631698222012.png



Einstellungen FritzBox

1631697248393.png
1631697348475.png

-- Bilder geschrumpft + Doppelpost zusammengeführt by stoney

1631698325134.png
1631698358987.png
1631698407485.png
1631698462601.png
1631698497166.png
 
Zuletzt bearbeitet von einem Moderator:
Um Himmels willen! Denke an die Nutzer mit mobilen Endgeräten! Binde die Bilder bitte über die Vorschau Funktion ein!!! Da wird man ja kirre ...

Doppelposts müssen ebenfalls nicht sein.
 
Hallo @Chris1973 ,
welcher der beiden beendet denn die Verbindung?
Beide Systeme generieren auch Systemmeldungen.
Findet sich dort etwas relevantes?
 
offensichtlich die Digibox. Im Protokoll der FB findet man gar nichts. Da sieht es so aus, als wäre die Verbindung weiterhin aktiv

-- Doppelpost

Vollzitat gemäß Boardregeln entfernt by stoney
sorry muss die ganzen Screenshots noch mal neu machen. Dann lösch ich meine Posts und mach noch mal nen Neuen
 
Zuletzt bearbeitet von einem Moderator:
@Chris1973
Dann sollte man in der DB in den Systemmeldungen im Subsystem IPSec etwas finden.
Wenn du einen ping auf die FB einrichtest (Ping Generator der DB), tritt die Trennung dann auch auf?
 
ist schon länger eingerichtet. Tritt trotzdem auf
 
@Chris1973
Ich hatte in einem anderen Forum schon mal so einen Fall.
 
Danke. Habe die Lebensdauer schon mal auf 100 Tage hochgesetzt, sowohl von IKE1 und IKE2, aber das hat nichts geändert
 
In der FritzBox kann ich nur einstellen, ob die Verbindung dauerhaft gehalten werden soll
 
@Chris1973
Offensichtlich kann man das über eine Änderung in der vpncfg-Sektion der FB doch erreichen.
 
hm kannst Du mir sagen, wie ich da hin komme. Ich finde da keine weitere Einstellung
 
Die Verbindung nutzt ja - soweit ich das verstehe - die Profile wz_ike_5 und wz_ipsec_5 ... die "Anzeige" in den (vollkommen überdimensionierten und auch nach 2 Stunden noch nicht korrigierten) Bildern zeigt aber jeweils den Eintrag "Multiproposal" an, so daß jeder, der das liest und versucht zu interpretieren, sich eher an der darüber stehenden "Liste" orientieren muß, was die konkret genutzten Proposals angeht.

Und dann stehen in diesen Listen oben auch für diese Verbindung jeweils ZWEI Einträge mit demselben Profil-Namen ... was "taktisch" m.E. auch unklug ist (ich staune, daß das überhaupt vom OS akzeptiert wird), weil man bei der Auswahl eines Profils für eine konkrete Verbindung vermutlich(!) auch nur eine Liste der vorhandenen Profile in einer Dropdown-Box erhält und dann das "richtige" auswählen müßte - wobei nicht zwingend sein muß, daß die Reihenfolge immer dieselbe ist, wie in der Liste und die Profile sind schon arg unterschiedlich von den Einstellungen her (spez. die für P2).

Das wäre also schon mal eine Stelle, wo man aufräumen sollte (zumindest würde ich das tun - aber auch erst, nachdem ich die Bilder oben alle noch einmal editiert und als Vorschau eingebunden hätte) und danach sollte man der FRITZ!Box auch genau ein Angebot für einen Algorithmus machen - wie sicher dieser eine dann sein sollte, muß man sich halt überlegen. Aber solange über diesen Account in der Digitalisierungsbox nicht irgendwelche - bisher unbekannten - Clients verbunden werden sollen, die mit dem einen, von Hand ausgewählten Proposal nicht klarkommen, gibt es keinen Grund, da überhaupt mehr als einen Algorithmus anzubieten - das nimmt dann schon mal die Gefahr aus dem Spiel, daß man sich nicht einigen kann zwischen den Peers. Solange man die Konfiguration der FRITZ!Box nicht von Hand vornimmt, kann man diese Beschränkung aber auf der FRITZ!OS-Seite nicht einstellen - das geht nur durch manuelles Editieren der VPN-Verbindung in der FRITZ!Box.

Und wer - mit Kenntnis der VPN-Funktionen des FRITZ!OS - hier helfen will, der darf/sollte nicht übersehen, daß die gezeigte Verbindung eine "Verbindung mit einem Firmen-Netzwerk" ist (conntype_out), wie man an der XAUTH-Option in der Maske sehen kann. Was für mein Verständnis aber nicht dazu paßt, ist die Angabe in der Digitalisierungsbox, welches Netzwerk-Segment auf der FRITZ!Box-Seite verwendet wird ... nach meinem Verständnis ist in der FRITZ!Box bei dieser Verbindung eine Firewall mit NAT in Benutzung, die jede ausgehende Verbindung auf die IP-Adresse mappt, die der FRITZ!Box bei der Einwahl von der Digitalisierungsbox zugewiesen wurde - die VPN-.IP übernimmt praktisch die Rolle der öffentlichen IP für all die Verbindungen, die als Ziel eine Adresse aus dem (in der FRITZ!Box-Konfiguration angegebenen) entfernten Netzwerk haben. Damit kommt aber niemals eine 192.168.178.0/24-Adresse bei der Digitalisierungsbox an und irgendeine von dieser Box selbst initiierte Verbindung für dieses Segment scheitert an der Firewall auf der FRITZ!OS-Seite.

Ich kann zwar auch nur raten, warum das Rekeying nicht klappt - aber das "Verlängern" der Lifetime der verwendeten Schlüssel ist am Ende auch keine Lösung ... es verschiebt das Problem halt nur (auf Kosten der Sicherheit, denn es gibt ja gute Gründe für regelmäßige Schlüsselwechsel) auf später bzw. verringert die "Fehleranzahl" pro 24 Stunden.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.