[Problem] VPN Datei wird nicht angenommen

geohei

Mitglied
Mitglied seit
8 Apr 2005
Beiträge
481
Punkte für Reaktionen
3
Punkte
18
Hallo.

FB7490
Upgrade von FW 6.83 auf 7.01.

Die FB akzeptiert mein VPN File.
Der Import zeigt an, dass es beim Import keine Fehler gab.
In der Liste der Connections stehen meine Peers aber nicht.

SuFu und Google konnten nicht helfen.
Refresh und Restart brachten natürlich auch nichts.

Ich rede nicht von einem fehlgeschlagenen Verbindungsaufbau.
Der Peer erscheint erst gar nicht in der Liste der Peers!

Was mache ich falsch?

Gruß,
 
Zuletzt bearbeitet:
Mal mit eingeschalteter 2FA probiert? Sonst müsstest Du mal die *.cfg posten, unter xx-en der Credentials.
LG
 
Hallo.

Ich bekomme sie ja in die Kiste importiert.
Also dürfte die 2FA keine Rolle spielen.
Sie ist sowieso ausgeschaltet.
Nach etwa einer Minute steht da, dass die Settings jetzt erfolgreich geladen wurden.
Alles sieht sauber aus ... nur dass sie nicht in der Liste Peers erscheinen.

Hier eine gestutzte *.cfg.

Code:
vpncfg {
    connections   {
        enabled = no;
        conn_type = conntype_lan;
        name = "tom (lan-lan)";
        always_renew = no;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;
        remote_virtualip = 0.0.0.0;
        remotehostname = "tom.ddns.com";
        localid {
                fqdn = "paul_xxxxxxxx";
        }
        remoteid {
                fqdn = "tom_xxxxxxxx;
        }
        mode = phase1_mode_aggressive;
        phase1ss = "all/all/all";
        keytype = connkeytype_pre_shared;
        key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
        cert_do_server_auth = no;
        use_nat_t = yes;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
                ipnet {
                        ipaddr = 192.168.1.0;
                        mask = 255.255.255.0;
                }
        }
        phase2remoteid {
                ipnet {
                        ipaddr = 192.168.178.0;
                        mask = 255.255.255.0;
                }
        }
        phase2ss = "esp-all-all/ah-none/comp-all/pfs";
        accesslist = "permit ip any 192.168.178.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                       "udp 0.0.0.0:4500 0.0.0.0:4500";
}
 
Zuletzt bearbeitet:
Also dürfte die 2FA keine Rolle spielen.
Sie ist sowieso ausgeschaltet.
Deshalb lautete der Vorschlag ja auch, es mit eingeschalteter 2FA zu versuchen ... immerhin handelt es sich dabei um ein bekanntes Problem, das von AVM auch in später erschienenen Versionen behoben wurde:

https://ftp.avm.de/fritzbox/fritzbox-7590/deutschland/fritz.os/info_de.txt

- Behoben Import einer VPN-Einstellungsdatei funktionierte nicht bei deaktivierter Bestätigung
 
Sorry ... zu schnell gelesen.
Habe das jetzt so gemacht.
Immer noch kein Import!

... später ...

Ich habe jetzt eine ältere FW 6.83 *.export (nicht die Firmware) auf meine FW 7.01 aufgespielt.
Die VPN Peers sind jetzt wieder da.
Ist aber ein Workaround, keine Solution.
Kann so keine VPNs mehr hinzufügen oder wegnehmen.
Bin jetzt auf diese Konfig eingeschossen bis AVM das hier wieder fixt!

Bin gespannt was im nächsten Update wieder an Bugs hinzukommt ... :(
 
Zuletzt bearbeitet:
Ich habe jetzt eine ältere FW 6.83 *.cfg aufgespielt

Könntest Du dies etwas konkretisieren? Bist Du mit der FB7490 auf eine ältere FW6.83 zurück und hast in diese eine VPN.cfg importiert bzw. eine komplette *.export und bist dann via GUI auf FW7.01.

Oder hast Du mittels einer 6.83.export daraus sequentiell die VPN-Verbindungen "übernommen" in eine FW7.01.

Ich wundere mich nur, falls wir von der DE-FW-Reihe sprechen und nicht von der Internationalen (deren Abfolge ich nicht ganz auf dem Schirm habe), weshalb nicht etwas aus FW6.93.
LG
 
Vollzitat entfernt by stoney
Na toll.
Bestätige!
Hatte schon vor dem Update so ein Gefühl dass da wieder etwas schief laufen wird (wie fast immer).

Vollzitat entfernt by stoney
Stimmt. War nicht klar formuliert meinerseits. Sorry.

Ich habe ein mit FW 6.83 erstelltes Backup (*.export, nicht die *.cfg VPN Konfig) auf die FB7490 FW 7.01 gespielt. Jetzt sind die VPN Peers wieder da, aber einen neuen VPN Peer kann ich so natürlich nicht hinzufügen. Ich kann nur VPNs Peers entfernen. Ich habe eine internationale FW, keine Deutsche.

Der Fehler scheint ja schon Monate bekannt zu sein. Schön dass AVM die Fehler zeitnah fixt :-([/QUOTE]
 
Zuletzt bearbeitet von einem Moderator:
Den Workaround, die Import-cfg mit aktivierter 2-Faktor-Authorisierung einzuspielen hast Du auch probiert?

Da der bekannte Bug ja lautet dass der Import bei deaktivierter Bestätigung fehlschlägt ist es ja kein Problem diese Bestätigung kurz einzuschalten. Der Bug ist also weder ein Sicherheitsproblem noch schränkt er irgendwie ein, die Behebung ist also nicht vordringlich.
 
Ich habe mal versucht, das mit einer deutschen 7560 nachzustellen und konnte das nicht reproduzieren.
Eine mit der 2008er VPNAdmin.exe erzeugte fritzbox_sub_domain_de.cfg wurde ohne aktivierte 2FA beim 1. Anlauf erforgreich und hinterher sichtbar übernommen.
BTW: Die Anzeige der erfolgreichen Übernahme durch Box besagt wohl nur die korrekte Syntax der cfg-Datei, denn als ich versehentlich eine User-cfg "erfolgreich" übernahm, war (korrekterweise) danach weder in der GUI noch in der export-Datei diese VPN-Verbindung zu finden.
 
Ich habe das Verhalten auf mehreren 7490 und 7590. Eine Anfrage bei AVM wurde mit o.g. Hinweis (gefixt in 7.01) geschlossen. Anfangs dachte ich an eigene Syntaxfehler. Es tritt auch nicht immer auf, was besonders seltsam ist. Mittlerweile wechsel ich temporaer zuruck auf 6.93 (linux_fs_start), importiere die Datei und wechsel zurueck auf 7.01. Es gibt hier m.E. ziemlich sicher ein Problem mit dem Import, wenn auch nur sporadisch.
 
Bei mir glaube ich jetzt auch an ein generelles Problem mit bzw. nach dem VPN-cfg-Import, denn nach den Tests funktionierte mein ganzes, mühsam aufgebautes VPN-Gestrüpp nicht mehr. Ansonsten benutze ich seit Jahren nur noch die per GUI erstellten VPN-Verbindungen (mit XAUTH).
 
Lösung!

Wenn ich alle noch bestehenden VPN Verbindungen lösche und danach das VPN *.cfg importiere, klappt es.
Und das sogar bei ausgeschalteter 2FA.
Alle Verbindungen werden importiert, erscheinen auch in der Liste, sind aktivierbar und funktionieren!
Der Fehler lag da dran, dass beim Import noch VPN Verbindungen in der Liste standen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: andilao
Klappt damit auch "IKE SA: DH14/AES-256/SHA1 IPsec SA: ESP-AES-256/SHA1/LT-3600" im Main Mode?
 
@didgeridon't

Da musst du mir jetzt auf die Sprünge helfen.
Mein *.cfg steht oben in #3.
Ich kann aber gerne testen wenn du mir erklärst wie ...
 
mode = phase1_mode_idp;

phase1ss = „dh14/aes/sha“;

phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";

auf beiden Seiten bitte anpassen.
 
mode = phase1_mode_idp;
...
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
warum die Umstellung von "aggressive" Mode auf "Main" Mode ?

was spricht gegen die Einstellungen aus #3 ???
mode = phase1_mode_aggressive;
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
 
  • Like
Reaktionen: geohei
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.