VPN (IPSec) LAN-LAN-Kopplung nach Zwangstrennung stark verzögerter Reconnect zu StrongSwan-Server

[graefe]

Ziel ist eine ständige LAN-LAN-Kopplung zwischen 1) einer FRITZ!Box 7590 (Initiator, 192.168.5.1) und 2) einem Server mit StrongSwan /192.168.3.19), der hinter einem NAT-Router hängt.
Der Aufbau des Tunnels gelingt mit folgenden Konfigurationen problemlos.

1. Konfig FB (Initiator)

vpncfg {
    connections {
        enabled = yes;
        editable = no;
        conn_type = conntype_lan;
        name = “Strongswan“;
        always_renew = yes;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remotehostname = "strongswan.ddnss.de";
        remote_virtualip = 0.0.0.0;
        keepalive_ip = 192.168.2.1;
        localid {
            fqdn = „fritzbox.ddnss.de";
        }
        remoteid {
            fqdn = "strongswan.ddnss.de";
        }
        mode = phase1_mode_idp;
        phase1ss = "all/all/all";
        keytype = connkeytype_pre_shared;
        key = “geheim“;
        cert_do_server_auth = no;
        use_nat_t = yes;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = 192.168.5.0;
                mask = 255.255.255.0;
                }
            }
        phase2remoteid {
            ipnet {
                ipaddr = 192.168.2.0;
                mask = 255.255.254.0;
                }
            }
        phase2ss = "esp-all-all/ah-none/comp-all/pfs";
        accesslist = "permit ip any 192.168.2.0 255.255.254.0";
        }
    ice_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF

1. Konfig Strongswan (Server)

connections {
   fritzbox {
      local_addrs = 192.168.3.19
      remote_addrs = 0.0.0.0/0
      local {
          auth = psk
          id = fqdn:strongswan.ddnss.de
          }
      remote {
          auth = psk
          id = fqdn:fritzbox.ddnss.de
          }
      children {
          net {
              local_ts = 192.168.2.0/23
              remote_ts = 192.168.5.0/24
              esp_proposals = aes256-sha512,aes256-sha512-modp1024,aes256-sha1,aes256-sha1-modp1024
              }
          }
       version = 1
       proposals = aes256-sha512-modp1024,aes256-sha1-modp1024
   }
}
secrets {
ike-1 {
      id = fqdn:fritzbox.ddnss.de
      secret = „geheim“
     }
}

Problem: nach der 24h-DSL-Zwangstrennung des StrongSwan-Servers, benötigt die FB ca. 30min, um den Tunnel wieder aufzubauen.
Ich habe für die IP 192.168.2.1 einen Loopback eingerichtet. Aber offensichtlich erkennt die FB den Verlust des Tunnels trotzdem erst so spät.

Hat jemand (@PeterPawn) noch eine Idee, wo das Problem liegen könnte?

Vielen Dank
Graefe

 

[frank_m24]

Ich habe für die IP 192.168.2.1 einen Loopback eingerichtet. Aber offensichtlich erkennt die FB den Verlust des Tunnels trotzdem erst so spät.

Woher weißt du, dass die Box den Verlust des Tunnels nicht bemerkt? Und woran sollte sie den Verlust bemerken?

Vielleicht kennt die Gegenseite nicht die korrekte neue IP und es ist ein DNS Problem.

 

[graefe]

Hm, die Fritzbox ist der Initiator. Der VPN-Tunnel geht verloren, wenn die DSL-Verbindung des StrongSwan-Servers zwangsgetrennt wird, wie ich oben geschrieben habe. Die Zwangstrennung der Fritzbox findet zu einem anderen Zeitpunkt statt und macht keine Probleme. Die Fritzbox sollte den Verlust des Tunnels über die keepalive_ip = 192.168.2.1 auf Seiten des StrongSwan-Servers bemerken, auf der ein Loopback eingerichtet ist.

 

[PeterPawn]

Was steht denn im VPN-Protokoll (in den Supportdaten, nicht nur im Event-Log) zu dem Zeitpunkt, wo die Verbindung verloren geht?

Bis auf die verwendete Netzwerkmaske sehe ich keine Besonderheiten, auch wenn ich glaube, daß die gezeigte Konfigurationsdatei auf der FRITZ!Box so nicht funktionieren kann/wird, denn ice_forward_rules dürfte ein unbekannter Name für eine(n) Wert(egruppe) sein. Mit viel Glück wird das allerdings einfach ignoriert seit einiger Zeit.

 

[frank_m24]

Die Fritzbox sollte den Verlust des Tunnels über die keepalive_ip = 192.168.2.1 auf Seiten des StrongSwan-Servers bemerken

Ja, dafür müssen aber beide Seiten über die jeweils gültigen IPs verfügen, um miteinander kommunizieren zu können. Deshalb bin ich wieder beim DNS Problem: Wenn die Box aufgrund von TTL oder irgendwelchen DNS-Caches die IP der Gegenseite falsch auflöst, dann läuft der Verbindungsaufbau ins Leere. dyndns kann halt auch Verzögerungen haben. Der Umstand, dass es irgendwann klappt, zeigt ja, dass es grundsätzlich funktioniert.

auf der ein Loopback eingerichtet ist.

Was genau bedeutet das?

Bis auf die verwendete Netzwerkmaske sehe ich keine Besonderheiten,

Es werden an einigen Stellen ungültige Character verwendet, aber das kann auch ein Darstellungsproblem des Forums oder beim Anonymisieren passiert sein.

 

[graefe]

Was steht denn im VPN-Protokoll (in den Supportdaten, nicht nur im Event-Log) zu dem Zeitpunkt, wo die Verbindung verloren geht?

Ich habe die "erweiterten Supportdaten" der Fritzbox heruntergeladen und nach dem Namen der VPN-Verbindung gesucht. Ich habe dort viele Einträge um ca. 7.45 Uhr gefunden (der Zeitpunkt der Zwangstrennung der Fritzbox) aber keinen einzigen Eintrag um 6 Uhr (zum problematischen Zeitpunkt der Zwangstrennung des StronSwan-Servers).

ice_forward_rules

Ups, ja, das werde ich korrigieren! EDIT: War in der Original-Config korrekt, k.A. woher diese Änderung kommt.

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

a) Ja, dafür müssen aber beide Seiten über die jeweils gültigen IPs verfügen, um miteinander kommunizieren zu können. Deshalb bin ich wieder beim DNS Problem: Wenn die Box aufgrund von TTL oder irgendwelchen DNS-Caches die IP der Gegenseite falsch auflöst, dann läuft der Verbindungsaufbau ins Leere. dyndns kann halt auch Verzögerungen haben. Der Umstand, dass es irgendwann klappt, zeigt ja, dass es grundsätzlich funktioniert.


b) Was genau bedeutet das?


c) Es werden an einigen Stellen ungültige Character verwendet, aber das kann auch ein Darstellungsproblem des Forums oder beim Anonymisieren passiert sein.

b)

auto lo
iface lo inet loopback
iface lo inet static
address 192.168.2.1
netmask 255.255.255.255

c) Ja genau, die Autokorrektur hat mir beim Anonymisieren typographische Anführungszeichen hingesetzt.

a) Ok, wenn es an der verzögerten Aktualisierung der DNS-Einträge liegt, dann gibt es natürlich keine Lösung, oder?

 

[frank_m24]

Und wofür dieses Loopback? Nimm doch einfach die IP des Standard-Interfaces des Servers im Zielsubnetz als Ziel fürs keep-alive.

Ok, wenn es an der verzögerten Aktualisierung der DNS-Einträge liegt, dann gibt es natürlich keine Lösung, oder?

Das müsste man sehen. Zunächst müsste man schauen, ob es wirklich daran liegt.

 

[graefe]

@frank_m24 : Ok. Ich habe die keepalove_ip auf 192.168.3.1 gewechselt. Reconnect braucht immer noch 30min.

Das Zeitprotokoll:
Um 5.57 Uhr logt der Router vor dem StrongSwan-Server die Zwangstrennung.
Um 5.59 Uhr logt ddnss.de den Wechsel der IP von 93.131.32.132 auf 2.243.250.254

Die Fritzbox logt in der Support-Datei in der IKEv1-Sektion (StrongSwan ist der Name der VPN-Verbindung) folgendes:

2024-05-09 05:46:22 avmike:<<< 4500 infomode[93.131.32.132:4500] StrongSwan: V1.0 124 IC 587f67f73de9635f RC 85e932681a81cafe 46cb894e HASH flags=e
2024-05-09 05:56:26 avmike:>r> infomode 4500[93.131.32.132:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe a327f799 HASH flags=e
2024-05-09 05:56:26 avmike:<<< 4500 infomode[93.131.32.132:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe e7b993b5 HASH flags=e
2024-05-09 05:56:54 avmike:>r> infomode 4500[93.131.32.132:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 7830ac0b HASH flags=e
2024-05-09 05:56:54 avmike:<<< 4500 infomode[93.131.32.132:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe e188c6d HASH flags=e
2024-05-09 05:57:23 avmike:>r> infomode 4500[93.131.32.132:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe cc5b459 HASH flags=e
2024-05-09 05:57:23 avmike:<<< 4500 infomode[93.131.32.132:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 8a49a03b HASH flags=e
2024-05-09 05:57:49 avmike:StrongSwan: nat_t_port changed from 2.243.250.254:4500 to 93.131.32.132:4500
2024-05-09 05:59:53 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe a0638c11 HASH flags=e
2024-05-09 05:59:53 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe e81048b7 HASH flags=e
2024-05-09 06:01:14 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 1adf8272 HASH flags=e
2024-05-09 06:01:14 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 7fabffd0 HASH flags=e
2024-05-09 06:01:54 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 19f4813d HASH flags=e
2024-05-09 06:01:54 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 789d8957 HASH flags=e
2024-05-09 06:02:23 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 1ef3e07d HASH flags=e
2024-05-09 06:02:23 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 5ad48ee3 HASH flags=e
2024-05-09 06:03:14 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe a436be68 HASH flags=e
2024-05-09 06:03:14 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 5ee634cb HASH flags=e
2024-05-09 06:03:54 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 559e7f2d HASH flags=e
2024-05-09 06:03:54 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe e144be2 HASH flags=e
2024-05-09 06:05:14 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 1941654 HASH flags=e
2024-05-09 06:05:14 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 8ba8792b HASH flags=e
2024-05-09 06:09:54 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe cdfa389 HASH flags=e
2024-05-09 06:09:54 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe eea247e9 HASH flags=e
2024-05-09 06:11:14 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 3caa5840 HASH flags=e
2024-05-09 06:11:14 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 6658504d HASH flags=e
2024-05-09 06:11:54 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 692cd4f1 HASH flags=e
2024-05-09 06:11:54 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 635913fa HASH flags=e
2024-05-09 06:14:34 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 91f78189 HASH flags=e
2024-05-09 06:14:34 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 52ecdfb2 HASH flags=e
2024-05-09 06:19:54 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe b972f8dd HASH flags=e
2024-05-09 06:19:54 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe bbc71b6d HASH flags=e
2024-05-09 06:21:14 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 75996ee8 HASH flags=e
2024-05-09 06:21:14 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 6489e15a HASH flags=e
2024-05-09 06:23:14 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe f8272548 HASH flags=e
2024-05-09 06:23:14 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 2de9ef42 HASH flags=e
2024-05-09 06:25:14 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 7d26ee34 HASH flags=e
2024-05-09 06:25:14 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 519753d HASH flags=e
2024-05-09 06:28:22 avmike:wolke_neighbour_renew_sa 1 SAs
2024-05-09 06:28:22 avmike:>>> identity protection mode 4500[93.131.32.132:4500] StrongSwan: V1.0 532 IC 438c3082126b8083 RC 00000000 0000 SA flags=
2024-05-09 06:28:22 avmike:< create_sa(appl=vpnd,cname=StrongSwan)
2024-05-09 06:28:22 avmike:StrongSwan: Phase 2 waiting
2024-05-09 06:28:24 avmike:>r> identity protection mode 4500[93.131.32.132:4500] StrongSwan: V1.0 532 IC 438c3082126b8083 RC 00000000 0000 SA flags=
2024-05-09 06:28:28 avmike:>r> identity protection mode 4500[93.131.32.132:4500] StrongSwan: V1.0 532 IC 438c3082126b8083 RC 00000000 0000 SA flags=
2024-05-09 06:28:36 avmike:StrongSwan: Phase 1 failed (initiator): timeout, checking ip address
2024-05-09 06:29:03 avmike:>r> infomode 4500[93.131.32.132:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe d0b5d277 HASH flags=e
2024-05-09 06:30:40 avmike:StrongSwan: Warning: source changed from 93.131.32.132:4500 to 2.243.250.254:4500
2024-05-09 06:30:40 avmike:<<< 4500 quickmode[2.243.250.254:4500] StrongSwan: V1.0 396 IC 587f67f73de9635f RC 85e932681a81cafe 282f7e1a HASH flags=e
2024-05-09 06:30:40 avmike:WARNING !!! local id differs from received id
2024-05-09 06:30:41 avmike:>>> quickmode 4500[2.243.250.254:4500] StrongSwan: V1.0 364 IC 587f67f73de9635f RC 85e932681a81cafe 282f7e1a HASH flags=e
2024-05-09 06:30:41 avmike:StrongSwan: Warning: source changed from 93.131.32.132:4500 to 2.243.250.254:4500
2024-05-09 06:30:41 avmike:<<< 4500 quickmode[2.243.250.254:4500] StrongSwan: V1.0 108 IC 587f67f73de9635f RC 85e932681a81cafe 282f7e1a HASH flags=e
2024-05-09 06:30:41 avmike:StrongSwan: Phase 2 ready
2024-05-09 06:30:41 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 279EA0F7 LT: 3600 I/O: IN
2024-05-09 06:30:41 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: CCFEACAB LT: 3600 I/O: OUT
2024-05-09 06:30:41 avmike:StrongSwan stop_vpn_keepalive to 192.168.3.1
2024-05-09 06:30:41 avmike:StrongSwan: start waiting connections
2024-05-09 06:30:41 avmike:StrongSwan: NO waiting connections
2024-05-09 06:30:41 avmike:StrongSwan: nat_t_port changed from 2.243.250.254:4500 to 93.131.32.132:4500
2024-05-09 06:30:51 avmike:>>>4500 nat-t-keepalive[2.243.250.254:4500]
2024-05-09 06:31:14 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe b2c6b2b0 HASH flags=e
2024-05-09 06:31:14 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe abebef0f HASH flags=e
2024-05-09 06:32:36 avmike:dyndnscheck StrongSwan: ip address changed to 93.131.32.132, removing SAs
2024-05-09 06:32:36 avmike:FreeIPsecSA: spi=279EA0F7        protocol=3 iotype=1
2024-05-09 06:32:36 avmike:FreeIPsecSA: spi=CCFEACAB        protocol=3 iotype=2
2024-05-09 06:32:36 avmike:< delete_sa(appl=vpnd,cname=StrongSwan,id=8,what=2,reason=IKE server)
2024-05-09 06:32:36 avmike:< delete_sa(appl=vpnd,cname=StrongSwan,id=8,what=1,reason=IKE server)
2024-05-09 06:32:38 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe e49d1804 HASH flags=e
2024-05-09 06:32:38 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 201c9e33 HASH flags=e
2024-05-09 06:34:22 avmike:StrongSwan: del phase 1 SA 7
2024-05-09 06:34:22 avmike:< delete_sa(appl=vpnd,cname=StrongSwan,id=7,what=7,reason=Lifetime expired)
2024-05-09 06:34:22 avmike:FreeIPsecSA: spi=7F6CED6A        protocol=3 iotype=1
2024-05-09 06:34:22 avmike:FreeIPsecSA: spi=C9E71099        protocol=3 iotype=2
2024-05-09 06:34:23 avmike:< create_sa(appl=vpnd,cname=StrongSwan)
2024-05-09 06:34:23 avmike:StrongSwan: Phase 1 starting
2024-05-09 06:34:23 avmike:>>> identity protection mode [93.131.32.132] StrongSwan: V1.0 532 IC 37b31caf4760805a RC 00000000 0000 SA flags=
2024-05-09 06:34:25 avmike:>r> identity protection mode [93.131.32.132] StrongSwan: V1.0 532 IC 37b31caf4760805a RC 00000000 0000 SA flags=
2024-05-09 06:34:29 avmike:>r> identity protection mode [93.131.32.132] StrongSwan: V1.0 532 IC 37b31caf4760805a RC 00000000 0000 SA flags=
2024-05-09 06:34:37 avmike:StrongSwan: Phase 1 failed (initiator): timeout, checking ip address
2024-05-09 06:34:37 avmike:dyndnscheck timeout StrongSwan: ip address changed to 2.243.250.254, removing SAs
2024-05-09 06:34:37 avmike:wolke_neighbour_renew_sa 0 SAs
2024-05-09 06:34:37 avmike:>>> identity protection mode [2.243.250.254] StrongSwan: V1.0 532 IC 3f83a378eb09e43 RC 00000000 0000 SA flags=
2024-05-09 06:34:38 avmike:StrongSwan: Warning: source changed from 93.131.32.132:500 to 2.243.250.254:500
2024-05-09 06:34:38 avmike:<<<  identity protection mode[2.243.250.254] StrongSwan: V1.0 136 IC 3f83a378eb09e43 RC 422cca9b26fbef6 0000 SA flags=
2024-05-09 06:34:38 avmike:identity protection mode StrongSwan: selected lifetime: 3600 sec(no notify)
2024-05-09 06:34:38 avmike:StrongSwan receive VENDOR ID Payload: XAUTH
2024-05-09 06:34:38 avmike:StrongSwan receive VENDOR ID Payload: DPD
2024-05-09 06:34:38 avmike:StrongSwan receive VENDOR ID Payload: NAT-T RFC 3947
2024-05-09 06:34:38 avmike:>>> identity protection mode [2.243.250.254] StrongSwan: V1.0 316 IC 3f83a378eb09e43 RC 422cca9b26fbef6 0000 KEY flags=
2024-05-09 06:34:38 avmike:StrongSwan: Warning: source changed from 93.131.32.132:500 to 2.243.250.254:500
2024-05-09 06:34:38 avmike:<<<  identity protection mode[2.243.250.254] StrongSwan: V1.0 332 IC 3f83a378eb09e43 RC 422cca9b26fbef6 0000 KEY flags=
2024-05-09 06:34:38 avmike:StrongSwan: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:8
2024-05-09 06:34:38 avmike:StrongSwan: switching to NAT-T (Initiator)
2024-05-09 06:34:38 avmike:>>> identity protection mode 4500[2.243.250.254:4500] StrongSwan: V1.0 156 IC 3f83a378eb09e43 RC 422cca9b26fbef6 0000 IDENTIFICATION flags=e
2024-05-09 06:34:38 avmike:StrongSwan: Warning: source changed from 93.131.32.132:500 to 2.243.250.254:4500
2024-05-09 06:34:38 avmike:<<< 4500 identity protection mode[2.243.250.254:4500] StrongSwan: V1.0 124 IC 3f83a378eb09e43 RC 422cca9b26fbef6 0000 IDENTIFICATION flags=e
2024-05-09 06:34:38 avmike:StrongSwan: Phase 1 ready
2024-05-09 06:34:38 avmike:StrongSwan: current=93.131.32.132 new=2.243.250.254
2024-05-09 06:34:38 avmike:StrongSwan start_vpn_keepalive 192.168.3.1
2024-05-09 06:34:38 avmike:StrongSwan: no valid sa, resetting initialcontactdone flag
2024-05-09 06:34:38 avmike:StrongSwan: remote is behind a nat
2024-05-09 06:34:38 avmike:StrongSwan: sending initial contact message
2024-05-09 06:34:38 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 124 IC 3f83a378eb09e43 RC 422cca9b26fbef6 b0629f3f HASH flags=e
2024-05-09 06:34:38 avmike:StrongSwan: start waiting connections
2024-05-09 06:34:38 avmike:StrongSwan: Phase 2 starting (start waiting)
2024-05-09 06:34:38 avmike:>>> quickmode 4500[2.243.250.254:4500] StrongSwan: V1.0 764 IC 3f83a378eb09e43 RC 422cca9b26fbef6 8fd61b4e HASH flags=e
2024-05-09 06:34:38 avmike:<<< 4500 quickmode[2.243.250.254:4500] StrongSwan: V1.0 364 IC 3f83a378eb09e43 RC 422cca9b26fbef6 8fd61b4e HASH flags=e
2024-05-09 06:34:38 avmike:WARNING !!! local id differs from received id
2024-05-09 06:34:38 avmike:>>> quickmode 4500[2.243.250.254:4500] StrongSwan: V1.0 108 IC 3f83a378eb09e43 RC 422cca9b26fbef6 8fd61b4e HASH flags=e
2024-05-09 06:34:38 avmike:StrongSwan: Phase 2 ready
2024-05-09 06:34:38 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: DB61E1DF LT: 3600 I/O: IN
2024-05-09 06:34:38 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: CC8591BF LT: 3600 I/O: OUT
2024-05-09 06:34:38 avmike:StrongSwan stop_vpn_keepalive to 192.168.3.1
2024-05-09 06:34:38 avmike:StrongSwan: start waiting connections
2024-05-09 06:34:38 avmike:StrongSwan: NO waiting connections
2024-05-09 06:34:38 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 3f83a378eb09e43 RC 422cca9b26fbef6 42bd15e9 HASH flags=e
2024-05-09 06:34:38 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 3f83a378eb09e43 RC 422cca9b26fbef6 455b9fcb HASH flags=e
2024-05-09 06:35:27 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan

Merkwürdig:
2024-05-09 05:57:49 avmike:StrongSwan: nat_t_port changed from 2.243.250.254:4500 to 93.131.32.132:4500
Eigentlich ist „from 93.131.32.132“ die alte IP und „to 2.243.250.254“ die aktuelle IP. Und auch in der Zeit danach taucht die alte 93.131.32.132 immer wieder auf.

Um 6.34 Uhr kann ich die Gegenseite wieder anpingen, der VPN-Tunnel ist wieder intakt.

Ich hoffe diese Angaben helfen. Danke!

 

[PeterPawn]

IPM funktioniert prinzipbedingt nur mit mind. einer statischen IP-Adresse oder anderen Merkmalen (z.B. Zertifikate), mit denen die Identität der Gegenstelle ermittelt werden kann, damit die passenden Keys ausgewählt werden können.

Der "aggressive mode" funktioniert zwar theoretisch GAR NICHT mit dynamischen Adressen - da aber AVM da ein eigenes Süppchen kocht und beim "aggressive mode" auch regelmäßig die Adresse des Gegenübers im DNS prüft und dann die VPN-Konfiguration entsprechend anpaßt (was auch nur aufgrund der "internen Verzahnung" der beteiligten Dienste funktioniert), klappt es mit zwei FRITZ!Boxen eben dennoch.

Vermutlich erfolgt diese wiederholte DNS-Abfrage aber tatsächlich nur für den "aggressive mode" (ansonsten ist/wäre sie ja auch nicht erforderlich, weil sich die Adresse entweder nicht ändert oder sie keine Rolle bei der Auswahl der Keys spielt) und daher bemerkt die Box erst bei der nächsten Erneuerung der SAs, daß die Gegenseite die Adresse gewechselt hat.

Die falsche Richtung bei der Ansage im Protokoll ist eher ein "Schönheitsfehler", denn danach wird ja mit der neuen Adresse kommuniziert. Der Wechsel der Gegenstelle wird zwar erkannt (für die "Verpackung" in den UDP-Paketen, die bei NAT-T verwendet werden), aber die XFRM-Regeln im Kernel werden wohl nicht angepaßt, so daß zwar die SAs noch existieren und auch alle 160 Sekunden noch Pakete dort übertragen werden können (ob das jetzt DPD- oder Keepalive-Pakete sind, müßte man ggf. per Mitschnitt ermitteln), aber die Pakete (lokal von der FRITZ!Box) nicht mehr den SAs zugeordnet werden können und damit auch nicht mehr die Transformation durchlaufen. Eigentlich müßten die in dieser Zeitspanne unverschlüsselt über das dev dsl gehen, wenn meine Annahme stimmt.

Eine StrongSwan-Instanz muß man (falls diese auch mit dynamischen Adressen und "aggressive mode" arbeiten soll) bei einem Wechsel der IP-Adresse des Peers (wenn sie auch Initiator sein soll) sogar neu starten (afaik), denn dort findet die DNS-Auflösung nur einmalig statt und es gibt m.W. keinen anderen Weg, eine erneute Auflösung zu forcieren. Aber das nur am Rande, denn hier soll ja wohl die FRITZ!Box der Initiator sein (was wg. der AVM-Implementierung auch deutlich Sinn macht).

 

[frank_m24]

Um 5.59 Uhr logt ddnss.de den Wechsel der IP von 93.131.32.132 auf 2.243.250.254

Wo genau wird das geloggt? Beim ddns Dienst? Und wenn du auf Seiten der Fritzbox diesen Hostnamen auflöst (z.B. mit nslookup), dann kommt auch die neue IP?

da aber AVM da ein eigenes Süppchen kocht und beim "aggressive mode" auch regelmäßig die Adresse des Gegenübers im DNS prüft und dann die VPN-Konfiguration entsprechend anpaßt (was auch nur aufgrund der "internen Verzahnung" der beteiligten Dienste funktioniert), klappt es mit zwei FRITZ!Boxen eben dennoch.
[...]
Die falsche Richtung bei der Ansage im Protokoll ist eher ein "Schönheitsfehler", denn danach wird ja mit der neuen Adresse kommuniziert.

Aber genau da vermute ich das Problem. Die Box bemerkt aufgrund der veränderten Absender-Adresse der Gegenseite die IP-Änderung. Die turnusmäßige Auflösung über DNS liefert aber noch die alte Adresse, daraus resultiert diese Meldung:

2024-05-09 05:57:49 avmike:StrongSwan: nat_t_port changed from 2.243.250.254:4500 to 93.131.32.132:4500

Also bleibt intern bei AVM die alte Adresse gültig, und entsprechend scheitert die VPN Kommunikation. Bis DNS endlich richtig aufgelöst wird, dauert es.

2024-05-09 06:32:36 avmike:dyndnscheck StrongSwan: ip address changed to 93.131.32.132, removing SAs

Um 06:32 ergibt ein dyndnscheck immer noch die alte IP. Erst um 06:34 wird die korrekte IP aufgelöst.

2024-05-09 06:34:37 avmike:dyndnscheck timeout StrongSwan: ip address changed to 2.243.250.254, removing SAs

Und ab dann funktioniert alles wieder.

 

[PeterPawn]

Die Box bemerkt aufgrund der veränderten Absender-Adresse der Gegenseite die IP-Änderung.

Das sind zwei unterschiedliche Mechanismen - wäre das nicht NAT-T bei IPSec, würden die Pakete nach der Änderung der Absenderadresse gar nicht erst weiter dekodiert werden. Hier wird lediglich "registriert", daß die Pakete für eine IPSec-Verbindung jetzt eben über einen anderen Weg beim Empfänger eintreffen - das könnte (aber eben nur bei NAT-T) ja auch durch vollkommen andere Umstände als den Wechsel der (externen) IP-Adresse auf der Gegenseite erfolgen, denn die Verbindung besteht hier ja nicht mit dem Router selbst, sondern mit einem "nachgelagerten" Gerät, das selbst gar keine Ahnung hat (und auch keine haben muß), welche externe IP-Adresse gerade (als "Absender") verwendet wird und ob/wann sich diese ändert.

Die turnusmäßige Auflösung über DNS liefert aber noch die alte Adresse

Genau DIESE turnusmäßige Abfrage stelle ich ja meinerseits in Frage im "identity protection mode" (oder auch "main mode" genannt: https://de.wikipedia.org/wiki/IPsec) ... denn dabei ergibt sie per se ja keinen Sinn. Wenn die Identität der Gegenstelle über eine statische IP-Adresse und/oder andere Mechanismen "festgelegt" ist (und nicht nur auf der "Ansage" der Gegenstelle, welche Identitäten verwendet werden sollen und den Hashes über die jeweils verwendeten PSK, basiert), dann braucht es auch keine regelmäßigen Abfragen mehr, ob sich diese Identität geändert hat.

daraus resultiert diese Meldung

Schaut man genau hin, wird aber danach in der Kommunikation (in der Sicherungsschicht für IPSec, in der auch die "dead peer detection" läuft und das ist NICHT der zu tunnelnde Traffic) mit der Gegenseite aber durchaus ERFOLGREICH die neue Adresse (2.243.irgendwas) verwendet, denn die aufeinanderfolgenden Protokolleinträge:

2024-05-09 05:57:23 avmike:>r> infomode 4500[93.131.32.132:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe cc5b459 HASH flags=e
2024-05-09 05:57:23 avmike:<<< 4500 infomode[93.131.32.132:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 8a49a03b HASH flags=e
2024-05-09 05:57:49 avmike:StrongSwan: nat_t_port changed from 2.243.250.254:4500 to 93.131.32.132:4500
2024-05-09 05:59:53 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe a0638c11 HASH flags=e
2024-05-09 05:59:53 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe e81048b7 HASH flags=e
2024-05-09 06:01:14 avmike:>r> infomode 4500[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 1adf8272 HASH flags=e
2024-05-09 06:01:14 avmike:<<< 4500 infomode[2.243.250.254:4500] StrongSwan: V1.0 140 IC 587f67f73de9635f RC 85e932681a81cafe 7fabffd0 HASH flags=e

kennzeichnen jeweils sowohl empfangene (mit "<" als Richtung ) als auch gesendete (mit ">") Pakete - vor dem Wechsel der Adresse mit der "alten" IP (93.131.something) und im Anschluß mit der neuen.

Da fanden/finden gar keine DNS-Auflösungen statt in diesem Moment - auch keine "zusätzlichen", die von AVM da in den Ablauf beim "aggresive mode" eingebaut werden.

Erst als um 06:28:22 dann die SAs erneuert werden sollen, versucht die FRITZ!Box (immer noch ohne erneute DNS-Auflösung und daher auch noch mit der alten IP) wieder, die Gegenseite zu diesem Zweck zu kontaktieren und hat damit aber keinen Erfolg ("timeout" um 06:28:34). Derweil leben die alten SAs aber weiter, denn alles das, was da an Paketen mit den identischen Angaben bei "IC" und "RC" (das könnten die "session keys" für die (symmetrische) Verschlüsselung sein) protokolliert wird, gehört noch zur alten "Verbindung".

Erst um 06:32:36 stellt das FRITZ!OS dann fest (weil jetzt eben DOCH eine erneute DNS-Auflösung erfolgte, nachdem die Identifikation der Gegenstelle beim erneuten Versuch einer Aushandlung für Phase 1 nicht dem entsprach, was erwartet wurde), daß sich die IP-Adresse bei der DNS-Auflösung geändert hat und räumt dann erst mal ALLES ab, damit ein komplett neuer Aufbau der Verbindung erfolgen kann. Nur wird hier offenbar eine "normale" DNS-Auflösung versucht (oder auch hier noch KEINE neue Abfrage bei einem Forwarder gestartet) und daher wird erst einmal wieder die alte IP-Adresse (die aber 30 Minutren nach dem DynDNS-Update wohl eher nicht mehr aus einer AKTUELLEN Abfrage resultiert) verwendet, womit das dann noch einmal in ein Timeout läuft (06:34:39). Erst DANACH erfolgt dann offenbar doch eine neue DNS-Abfrage und JETZT wird auch der Wechsel der IP-Adresse erkannt und mit der neuen Adresse der Gegenstelle gelingt dann auch ein (komplett NEUER) Verbindungsaufbau.

Das alles klappt eben mit dem "aggressive mode" bei AVM deutlich besser, weil dort die Häufigkeit der DNS-Abfragen höher ist (und vermutlich sogar Caches im FRITZ!OS umgangen werden) und somit Wechsel der dynamischen Adressen viel schneller festgestellt werden können. Wenn hier beim DynDNS-Anbieter um 05:58 Uhr die Änderung der IP-Adresse protokolliert wird (was ja auch mit dem Wechsel der IP-Adresse in den "infomode"-Messages korreliert), dann müßte schon ein "authoritative name server" eine für DynDNS vollkommen ungewöhnliche TTL liefern, damit Änderungen erst nach über 34 Minuten (denn um 06:32:36 soll da ja dann noch die alte IP-Adresse genannt worden sein) wirksam werden (hier dann aber plötzlich innerhalb von weniger als zwei Minuten). Überprüfen läßt sich das ja relativ simpel mit einer direkten Abfrage des SOA für ddns.de - dort sollte die (max. mögliche) TTL (denn alle Caches können nur kleinere Werte liefern) zu sehen sein.

Man darf nicht aus den Augen verlieren, daß das alles tatsächlich keine "linearen" Abläufe sind und der Aufbau der Verbindung (ISAKMP) und der "Betrieb" (zusätzliche Kapselung bei NAT-T und "dead peer detection") zwei getrennte Tasks bleiben - die SAs für die Verschlüsselung werden vom vpnd ausgehandelt und eingerichtet und die aktiven Transformationen verwaltet AVM mittlerweile (seit einigen Versionen, zuvor lief das alles im kdsld von AVM, also im Kernel-Treiber für den AVM-(WAN-)Stack) direkt mit den vom Linux-Kernel gebotenen Funktionen (nur dann funktioniert das auch mit dem Hardware-Support für die AES-Verschlüsselung im Kernel).

Die permanente (bzw. "schubweise") DNS-Auflösung beim "aggressive mode" dürfte ebenfalls eine solche, parallel laufende Aufgabe sein und wenn dabei dann tatsächlich ein Wechsel der Adresse erkannt wird, wird dann ein neuer Verbindungsaufbau (diesmal eben in Folge dieser Adressänderung und nicht durch den Ablauf einer SA) angestoßen. Wird kein "aggressive mode" verwendet, findet wohl (zumindest würde ich das anhand des Protokolls so lesen) diese zusätzliche Aufgabe nicht statt (zumindest nicht für DIESE Verbindung) und somit wird das Problem eben erst beim Ablauf der SA bemerkt.

 

[graefe]

Vielen Dank Euch beiden, dass Ihr Euch so ausführlich mit meinem Problem beschäftigt habt und für die ausführlichen und sehr sehr interessanten Erklärungen! Ich denke der nächste Schritt wird für mich sein, dass ich die Verbindung auf aggressive Mode umstelle.

 

[graefe]

Der Verlauf mit Aggressive Mode:
5.59 Uhr Zwangstrennung
6.36 Uhr Gegenseite wieder anpingbar

FRITZ!Box erkennt den Wechsel der IP, dies führt jedoch wiederum nicht zum AufBau einer neuen Verbindung. Dies erfolgt erst nach Ablauf der SAs.

Schade, ich hatte mich schon so gefreut…

2024-05-11 05:50:03 avmike:<<< 4500 infomode[93.131.15.91:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 8247546 HASH flags=e
2024-05-11 05:54:33 avmike:<<< 4500 infomode[93.131.15.91:4500] StrongSwan: V1.0 124 IC 86a0c20b1c688e13 RC b1dba454793afc99 865ae0e8 HASH flags=e
2024-05-11 05:55:06 avmike:>r> infomode 4500[93.131.15.91:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 f06a3a2e HASH flags=e
2024-05-11 05:55:07 avmike:<<< 4500 infomode[93.131.15.91:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 7b69191f HASH flags=e
2024-05-11 05:58:08 avmike:StrongSwan: nat_t_port changed from 93.131.100.97:4500 to 93.131.15.91:4500
2024-05-11 05:59:44 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 b26c5037 HASH flags=e
2024-05-11 05:59:44 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 8d0383b4 HASH flags=e
2024-05-11 06:02:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 682cdee0 HASH flags=e
2024-05-11 06:02:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 124edcb1 HASH flags=e
2024-05-11 06:02:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 15c602af HASH flags=e
2024-05-11 06:02:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 3279d10c HASH flags=e
2024-05-11 06:03:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 94cede00 HASH flags=e
2024-05-11 06:03:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 d6431ca HASH flags=e
2024-05-11 06:04:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 e3987e1e HASH flags=e
2024-05-11 06:04:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 ba0e79a HASH flags=e
2024-05-11 06:06:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 149c5d3b HASH flags=e
2024-05-11 06:06:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 a5f57e17 HASH flags=e
2024-05-11 06:06:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 475a2f2a HASH flags=e
2024-05-11 06:06:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 3c6ccff HASH flags=e
2024-05-11 06:07:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 7fb12b4f HASH flags=e
2024-05-11 06:07:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 dde1ed18 HASH flags=e
2024-05-11 06:08:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 d605b340 HASH flags=e
2024-05-11 06:08:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 81c4fc91 HASH flags=e
2024-05-11 06:09:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 ac1e4cc HASH flags=e
2024-05-11 06:09:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 e92b59c5 HASH flags=e
2024-05-11 06:10:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 e89f5f86 HASH flags=e
2024-05-11 06:10:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 62cbf85e HASH flags=e
2024-05-11 06:11:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 1eb40580 HASH flags=e
2024-05-11 06:11:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 12421319 HASH flags=e
2024-05-11 06:12:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 5072dca9 HASH flags=e
2024-05-11 06:12:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 3b14be12 HASH flags=e
2024-05-11 06:13:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 1c465528 HASH flags=e
2024-05-11 06:13:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 387d1cee HASH flags=e
2024-05-11 06:14:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 dd3586 HASH flags=e
2024-05-11 06:14:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 b118f880 HASH flags=e
2024-05-11 06:16:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 f24c6989 HASH flags=e
2024-05-11 06:16:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 1953ff6a HASH flags=e
2024-05-11 06:16:32 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 91bcaaba HASH flags=e
2024-05-11 06:16:32 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 7f446fb5 HASH flags=e
2024-05-11 06:17:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 71962f3d HASH flags=e
2024-05-11 06:17:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 c915f6eb HASH flags=e
2024-05-11 06:18:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 8a68e356 HASH flags=e
2024-05-11 06:18:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 923110a9 HASH flags=e
2024-05-11 06:19:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 340f280 HASH flags=e
2024-05-11 06:19:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 fa456e8e HASH flags=e
2024-05-11 06:20:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 32b759da HASH flags=e
2024-05-11 06:20:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 5306c385 HASH flags=e
2024-05-11 06:22:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 78845ec8 HASH flags=e
2024-05-11 06:22:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 b378454e HASH flags=e
2024-05-11 06:23:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 4574200 HASH flags=e
2024-05-11 06:23:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 6498e48d HASH flags=e
2024-05-11 06:24:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 ebe3e193 HASH flags=e
2024-05-11 06:24:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 d12c2335 HASH flags=e
2024-05-11 06:24:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 73cba83 HASH flags=e
2024-05-11 06:24:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 d956fde HASH flags=e
2024-05-11 06:25:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 ebdc0c55 HASH flags=e
2024-05-11 06:25:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 24257958 HASH flags=e
2024-05-11 06:26:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 3129f720 HASH flags=e
2024-05-11 06:26:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 b6824b6 HASH flags=e
2024-05-11 06:26:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 3fcfa463 HASH flags=e
2024-05-11 06:26:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 55e80201 HASH flags=e
2024-05-11 06:27:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 75b923e1 HASH flags=e
2024-05-11 06:27:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 cccec3d5 HASH flags=e
2024-05-11 06:28:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 1ac3ce1d HASH flags=e
2024-05-11 06:28:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 8a2b465e HASH flags=e
2024-05-11 06:28:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 339eb04c HASH flags=e
2024-05-11 06:28:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 84e4635c HASH flags=e
2024-05-11 06:29:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 3e43c2c1 HASH flags=e
2024-05-11 06:29:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 dd438374 HASH flags=e
2024-05-11 06:30:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 93a8c5d1 HASH flags=e
2024-05-11 06:30:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 7c88508f HASH flags=e
2024-05-11 06:30:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 ab23e8a9 HASH flags=e
2024-05-11 06:30:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 288a9018 HASH flags=e
2024-05-11 06:31:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 a263a56e HASH flags=e
2024-05-11 06:31:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 4d73dc66 HASH flags=e
2024-05-11 06:32:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 51ab130a HASH flags=e
2024-05-11 06:32:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 2ae29102 HASH flags=e
2024-05-11 06:32:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 bebd3cf0 HASH flags=e
2024-05-11 06:32:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 714ac14e HASH flags=e
2024-05-11 06:33:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 88d3b34 HASH flags=e
2024-05-11 06:33:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 2345ae97 HASH flags=e
2024-05-11 06:34:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 ad09e55f HASH flags=e
2024-05-11 06:34:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 8058d98c HASH flags=e
2024-05-11 06:34:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 4131b45d HASH flags=e
2024-05-11 06:34:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 1d0399f1 HASH flags=e
2024-05-11 06:35:22 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 1fa1f49b HASH flags=e
2024-05-11 06:35:22 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 7a704de9 HASH flags=e
2024-05-11 06:36:02 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 e75cc810 HASH flags=e
2024-05-11 06:36:02 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 fbaaeffd HASH flags=e
2024-05-11 06:36:28 avmike:wolke_neighbour_renew_sa 1 SAs
2024-05-11 06:36:28 avmike:>>> aggressive mode 4500[93.131.100.97:4500] StrongSwan: V1.0 710 IC f653c9ead992f67b RC 00000000 0000 SA flags=
2024-05-11 06:36:28 avmike:<<< 4500 aggressive mode[93.131.100.97:4500] StrongSwan: V1.0 530 IC f653c9ead992f67b RC 25f3efd3915dd84d 0000 SA flags=
2024-05-11 06:36:28 avmike:aggressive mode StrongSwan: selected lifetime: 3600 sec(no notify)
2024-05-11 06:36:28 avmike:StrongSwan receive VENDOR ID Payload: XAUTH
2024-05-11 06:36:28 avmike:StrongSwan receive VENDOR ID Payload: DPD
2024-05-11 06:36:28 avmike:StrongSwan receive VENDOR ID Payload: NAT-T RFC 3947
2024-05-11 06:36:28 avmike:StrongSwan: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:18
2024-05-11 06:36:28 avmike:>>> aggressive mode 4500[93.131.100.97:4500] StrongSwan: V1.0 236 IC f653c9ead992f67b RC 25f3efd3915dd84d 0000 HASH flags=e
2024-05-11 06:36:28 avmike:StrongSwan: Phase 1 ready
2024-05-11 06:36:28 avmike:StrongSwan: current=93.131.100.97 new=93.131.100.97
2024-05-11 06:36:28 avmike:StrongSwan: local is behind a nat
2024-05-11 06:36:28 avmike:StrongSwan: remote is behind a nat
2024-05-11 06:36:28 avmike:StrongSwan: start waiting connections
2024-05-11 06:36:28 avmike:StrongSwan: NO waiting connections
2024-05-11 06:36:34 avmike:< create_sa(appl=vpnd,cname=StrongSwan)
2024-05-11 06:36:34 avmike:StrongSwan: Phase 2 starting
2024-05-11 06:36:34 avmike:>>> quickmode 4500[93.131.100.97:4500] StrongSwan: V1.0 764 IC f653c9ead992f67b RC 25f3efd3915dd84d b772e56b HASH flags=e
2024-05-11 06:36:34 avmike:<<< 4500 quickmode[93.131.100.97:4500] StrongSwan: V1.0 364 IC f653c9ead992f67b RC 25f3efd3915dd84d b772e56b HASH flags=e
2024-05-11 06:36:34 avmike:WARNING !!! local id differs from received id
2024-05-11 06:36:34 avmike:>>> quickmode 4500[93.131.100.97:4500] StrongSwan: V1.0 108 IC f653c9ead992f67b RC 25f3efd3915dd84d b772e56b HASH flags=e
2024-05-11 06:36:34 avmike:StrongSwan: Phase 2 ready
2024-05-11 06:36:34 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 69883E0C LT: 3600 I/O: IN
2024-05-11 06:36:34 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: C2660390 LT: 3600 I/O: OUT
2024-05-11 06:36:34 avmike:StrongSwan stop_vpn_keepalive to 192.168.3.1
2024-05-11 06:36:34 avmike:StrongSwan: start waiting connections
2024-05-11 06:36:34 avmike:StrongSwan: NO waiting connections
2024-05-11 06:36:38 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC 86a0c20b1c688e13 RC b1dba454793afc99 7eb2dad9 HASH flags=e
2024-05-11 06:36:38 avmike:StrongSwan: del phase 1 SA 17
2024-05-11 06:36:42 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC f653c9ead992f67b RC 25f3efd3915dd84d c37b5523 HASH flags=e
2024-05-11 06:36:42 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC f653c9ead992f67b RC 25f3efd3915dd84d a9719173 HASH flags=e
2024-05-11 06:36:44 avmike:>>>4500 nat-t-keepalive[93.131.100.97:4500]
2024-05-11 06:42:34 avmike:< delete_sa(appl=vpnd,cname=StrongSwan,id=17,what=7,reason=Lifetime expired)
2024-05-11 06:42:34 avmike:FreeIPsecSA: spi=79866B51        protocol=3 iotype=1
2024-05-11 06:42:34 avmike:FreeIPsecSA: spi=C86F5406        protocol=3 iotype=2
2024-05-11 06:42:43 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 140 IC f653c9ead992f67b RC 25f3efd3915dd84d a67c3608 HASH flags=e
2024-05-11 06:42:43 avmike:<<< 4500 infomode[93.131.100.97:4500] StrongSwan: V1.0 140 IC f653c9ead992f67b RC 25f3efd3915dd84d 6a1b6b21 HASH flags=e

 

[PeterPawn]

Hast Du die Box nach der Konfigurationsänderung komplett neu gestartet oder nur die geänderte Konfiguration importiert?

Auch wenn die Protokolldatei sicherlich wegen der ganzen "infomode"-Messages sehr lang ist ... es wäre schon nützlich, auch mal den Beginn zu zeigen (einfach die Supportdatei zeitnah zum ERSTEN Verbindungsaufbau erstellen lassen - die erweiterte Fassung ist gar nicht erforderlich), wo die Verbindungen zum vpnd hinzugefügt und erstmalig die Namen aufgelöst werden.

Merkwürdigerweise haben sich ja die Abstände zwischen den "infomode"-Messages auch deutlich verkürzt - wobei das wohl immer Vielfache von 40 Sekunden sind, aber ohne für mich erkennbare Gründe, warum es mal 40, 80 oder auch 160 Sekunden sind.

Außerdem würde ich in der StrongSwan-Instanz mal die Protokollierung für die IKE-Phase einschalten, denn irgendetwas stimmt offenbar nicht mit deren gesendeter Identifikation … eigentlich sollte das ja der FQDN sein und sich nicht ändern.

Bei Verbindungen zwischen zwei FRITZ!Boxen sieht man im Protokoll, wenn die Verbindung wegen des Wechsels der IP-Adresse der Gegenstelle (auf der Basis einer aktuellen DNS-Abfrage) neu aufgebaut wird.

Was ich mir gerade nicht so richtig erklären kann - die Verteilung der "infomode"-Messages am Beginn des gezeigten Protokollausschnitts ist (in meinen Augen jedenfalls) extrem merkwürdig. Erst kommt eine an um 05:50:03, ohne daß darauf geantwortet wird und dann nach 270 Sekunden eine weitere, die ebenfalls keine (protokollierte) Antwort erhält (der nächste Austausch - durch die FRITZ!Box angestoßen - erfolgt erst um 05:55:06).

Hast Du auch DPD von der StrongSwan-Seite aktiviert? Falls ja, wozu? Wenn ich das richtig verstanden habe, arbeitet ja IMMER nur die FRITZ!Box als Initiator. Für die StrongSwan-Seite ist also der Erkenntnisgewinn durch DPD begrenzt, weil die Verbindung ohnehin nicht neu aufgebaut werden kann. Solche Pakete, die die Box mit der "neuen" Verpackung erreichen, ändern aber offensichtlich die Adresse für die Kommunikation mit der Gegenstelle.

Ob das ein Fehler in der Implementierung ist, mag ich nicht beurteilen - da die ganze Handhabung des "aggressive mode" bei AVM ohnehin "speziell" ist, gibt es m.E. auch keine "allgemeingültigen" Regeln, wie so ein Fall zu behandeln wäre.

Ohne solche Pakete von der StrongSwan-Instanz würde sich aber deren IP-Adresse in der Box nicht ändern (regulärer VPN-Traffic ist ja wegen der alten SAs ohnehin nicht möglich) und die von ihr selbst gesendeten DPD-Messages gingen ins Leere, was dann nach kürzerer Zeit zum Neuaufbau führen sollte. Ich kann mir jedenfalls die "infomode"-Messages am Beginn des Ausschnitts eben nur als DPD seitens StrongSwan erklären - sofern Du da nichts ausgelassen hast. Wo dann die Antworten der FRITZ!Box auf die ersten beiden Pakete geblieben sind (sofern die ESP-Inhalte erfolgreich dekodiert werden konnten), bleibt aber auch irgendwie rätselhaft.

Der Wechsel der IP-Adresse um 05:58:08 wird ja - zumindest nach meiner Ansicht - NICHT durch eine DNS-Abfrage ausgelöst - wobei ich auch nicht wirklich verstehe (siehe Anfang), warum da keine (zeitnahe) Abfrage des DynDNS-Servers zu sehen ist … da wäre jetzt wieder eine andere Stelle in den Supportdaten interessant, wo die DNS-Abfragen und die Einträge im Cache protokolliert werden. Regelmäßige Abfragen sollten durch entsprechend kleine TTL-Werte im Cache zu erkennen sein.

Setz doch mal irgendwo einen automatischen Prozess auf, der zu den fraglichen Zeitpunkten (05:50, 05:55, 06:00 und 06:40) jeweils die Supportdaten sichert (wie schon angemerkt, reichen die "normalen", die man auch ohne 2FA mit einfachem HTTP-Zugriff abrufen kann) - die Angaben im DNS-Cache und auch in der VPN-Protokollierung sind eben nicht allzu lange gültig bzw. vernünftig miteinander zu vergleichen. Dabei sei auch noch mal an den "Beginn" des VPN-Protokolls nach einem Start des vpnd erinnert, aus dem man dann erst erkennen kann, mit welchen Einstellungen eine Verbindung zur Konfiguration (die aus der vpn.cfg erzeugt wird) des Daemons hinzugefügt wurde.

Oder du führst einfach mal den IP-Wechsel auf der StrongSwan-Seite manuell herbei - dann mußt Du nicht immer bis zum nächsten Morgen warten und es bräuchte auch keinen Automatismus zum Extrahieren der Supportdaten.

 

[graefe]

Ok, ich habe die Fritzbox neu gestartet. DPD habe ich bei swanctl nie aktiviert. Übrigen: Ein Problem gab es bei der Einrichtung des ESP-Forwarding, weil dies Unifi gar nicht anbietet (aber angeblich erkennt das System das ESP automatisch).

Nun also der Trace output von swanctl bei Erstaufbau eines VPN-Tunnels (ausgelöst durch Neustart der Fritzbox):

10[NET] received packet: from 2.243.39.175[500] to 192.168.3.19[500] (710 bytes)
10[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
10[IKE] received XAuth vendor ID
10[IKE] received DPD vendor ID
10[IKE] received NAT-T (RFC 3947) vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
10[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
10[IKE] 2.243.39.175 is initiating a Aggressive Mode IKE_SA
10[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
10[CFG] looking for pre-shared key peer configs matching 192.168.3.19...2.243.39.175[fritzbox.ddnss.de]
10[CFG] selected peer config "fritzbox"
10[ENC] generating AGGRESSIVE response 0 [ SA KE No ID V V V NAT-D NAT-D HASH ]
10[NET] sending packet: from 192.168.3.19[500] to 2.243.39.175[500] (530 bytes)
09[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (268 bytes)
09[ENC] parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D N(INITIAL_CONTACT) ]
09[IKE] IKE_SA fritzbox[3] established between 192.168.3.19[strongswan.ddnss.de]...2.243.39.175[fritzbox.ddnss.de]
09[IKE] scheduling rekeying in 13890s
09[IKE] maximum IKE_SA lifetime 15330s
09[IKE] local host is behind NAT, sending keep alives
09[IKE] remote host is behind NAT
05[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (124 bytes)
05[ENC] parsed INFORMATIONAL_V1 request 3713992936 [ HASH N(INITIAL_CONTACT) ]
15[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (764 bytes)
15[ENC] parsed QUICK_MODE request 2265769095 [ HASH SA No KE ID ID ]
15[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_1024/NO_EXT_SEQ
15[IKE] received 3600s lifetime, configured 3960s
15[ENC] generating QUICK_MODE response 2265769095 [ HASH SA No KE ID ID ]
15[NET] sending packet: from 192.168.3.19[4500] to 2.243.39.175[4500] (364 bytes)
06[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (108 bytes)
06[ENC] parsed QUICK_MODE request 2265769095 [ HASH ]
06[IKE] CHILD_SA net{2} established with SPIs c13a27de_i 2f3adc4c_o and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
07[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (124 bytes)
07[ENC] parsed INFORMATIONAL_V1 request 475669528 [ HASH D ]
07[IKE] received DELETE for ESP CHILD_SA with SPI 2f3adc4c
07[IKE] closing CHILD_SA net{2} with SPIs c13a27de_i (9392 bytes) 2f3adc4c_o (1135 bytes) and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
13[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (124 bytes)
13[ENC] parsed INFORMATIONAL_V1 request 2570535820 [ HASH D ]
13[IKE] received DELETE for ESP CHILD_SA with SPI c13a27de
13[IKE] CHILD_SA not found, ignored
07[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (124 bytes)
07[ENC] parsed INFORMATIONAL_V1 request 2927392002 [ HASH D ]
07[IKE] received DELETE for IKE_SA fritzbox[3]
07[IKE] deleting IKE_SA fritzbox[3] between 192.168.3.19[strongswan.ddnss.de]...2.243.39.175[fritzbox.ddnss.de]
13[NET] received packet: from 2.243.39.175[500] to 192.168.3.19[500] (710 bytes)
13[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
13[IKE] received XAuth vendor ID
13[IKE] received DPD vendor ID
13[IKE] received NAT-T (RFC 3947) vendor ID
13[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
13[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
13[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
13[IKE] 2.243.39.175 is initiating a Aggressive Mode IKE_SA
13[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
13[CFG] looking for pre-shared key peer configs matching 192.168.3.19...2.243.39.175[fritzbox.ddnss.de]
13[CFG] selected peer config "fritzbox"
13[ENC] generating AGGRESSIVE response 0 [ SA KE No ID V V V NAT-D NAT-D HASH ]
13[NET] sending packet: from 192.168.3.19[500] to 2.243.39.175[500] (530 bytes)
10[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (268 bytes)
10[ENC] parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D N(INITIAL_CONTACT) ]
10[IKE] IKE_SA fritzbox[4] established between 192.168.3.19[strongswan.ddnss.de]...2.243.39.175[fritzbox.ddnss.de]
10[IKE] scheduling rekeying in 13363s
10[IKE] maximum IKE_SA lifetime 14803s
10[IKE] local host is behind NAT, sending keep alives
10[IKE] remote host is behind NAT
16[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (124 bytes)
16[ENC] parsed INFORMATIONAL_V1 request 2535229561 [ HASH N(INITIAL_CONTACT) ]
10[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (764 bytes)
10[ENC] parsed QUICK_MODE request 635129631 [ HASH SA No KE ID ID ]
10[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_1024/NO_EXT_SEQ
10[IKE] received 3600s lifetime, configured 3960s
10[ENC] generating QUICK_MODE response 635129631 [ HASH SA No KE ID ID ]
10[NET] sending packet: from 192.168.3.19[4500] to 2.243.39.175[4500] (364 bytes)
11[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (108 bytes)
11[ENC] parsed QUICK_MODE request 635129631 [ HASH ]
11[IKE] CHILD_SA net{3} established with SPIs c53fd00e_i 34aa3961_o and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
15[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (124 bytes)
15[ENC] parsed INFORMATIONAL_V1 request 3682157438 [ HASH D ]
15[IKE] received DELETE for ESP CHILD_SA with SPI 34aa3961
15[IKE] closing CHILD_SA net{3} with SPIs c53fd00e_i (128 bytes) 34aa3961_o (128 bytes) and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
08[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (124 bytes)
08[ENC] parsed INFORMATIONAL_V1 request 1047923603 [ HASH D ]
08[IKE] received DELETE for ESP CHILD_SA with SPI c53fd00e
08[IKE] CHILD_SA not found, ignored
06[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (124 bytes)
06[ENC] parsed INFORMATIONAL_V1 request 339009936 [ HASH D ]
06[IKE] received DELETE for IKE_SA fritzbox[4]
06[IKE] deleting IKE_SA fritzbox[4] between 192.168.3.19[strongswan.ddnss.de]...2.243.39.175[fritzbox.ddnss.de]
08[NET] received packet: from 2.243.39.175[500] to 192.168.3.19[500] (710 bytes)
08[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
08[IKE] received XAuth vendor ID
08[IKE] received DPD vendor ID
08[IKE] received NAT-T (RFC 3947) vendor ID
08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
08[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
08[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
08[IKE] 2.243.39.175 is initiating a Aggressive Mode IKE_SA
08[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
08[CFG] looking for pre-shared key peer configs matching 192.168.3.19...2.243.39.175[fritzbox.ddnss.de]
08[CFG] selected peer config "fritzbox"
08[ENC] generating AGGRESSIVE response 0 [ SA KE No ID V V V NAT-D NAT-D HASH ]
08[NET] sending packet: from 192.168.3.19[500] to 2.243.39.175[500] (530 bytes)
16[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (268 bytes)
16[ENC] parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D N(INITIAL_CONTACT) ]
16[IKE] IKE_SA fritzbox[5] established between 192.168.3.19[strongswan.ddnss.de]...2.243.39.175[fritzbox.ddnss.de]
16[IKE] scheduling rekeying in 13296s
16[IKE] maximum IKE_SA lifetime 14736s
16[IKE] local host is behind NAT, sending keep alives
16[IKE] remote host is behind NAT
13[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (124 bytes)
13[ENC] parsed INFORMATIONAL_V1 request 4192983586 [ HASH N(INITIAL_CONTACT) ]
16[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (764 bytes)
16[ENC] parsed QUICK_MODE request 1002919570 [ HASH SA No KE ID ID ]
16[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_1024/NO_EXT_SEQ
16[IKE] received 3600s lifetime, configured 3960s
16[ENC] generating QUICK_MODE response 1002919570 [ HASH SA No KE ID ID ]
16[NET] sending packet: from 192.168.3.19[4500] to 2.243.39.175[4500] (364 bytes)
07[NET] received packet: from 2.243.39.175[4500] to 192.168.3.19[4500] (108 bytes)
07[ENC] parsed QUICK_MODE request 1002919570 [ HASH ]
07[IKE] CHILD_SA net{4} established with SPIs c352adc6_i befc3938_o and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24

Und das komplette Support-Log der Fritzbox bei Erstaufbau der VPN-Verbindung:

VPN IKEv1
---------
ls: /var/tmp/ike.old: No such file or directory
-rw-r--r--    1 root     root         13260 May 11 23:36 /var/tmp/ike.log
1970-01-01 01:02:15 avmike:< add(appl=vpnd,cname=andere_VPN-Verbindung,localip=2a02:3100:3202:5292:cece:1eff:feb3:2ea, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:02:15 avmike:new neighbour andere_VPN-Verbindung:  dynamic  user  every-id  nat_t
1970-01-01 01:02:15 avmike:< add(appl=vpnd,cname=StrongSwan,localip=2.243.39.175, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.3.1 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:02:15 avmike:new neighbour StrongSwan:  nat_t
1970-01-01 01:02:15 avmike:StrongSwan keepalive enabled
1970-01-01 01:02:15 avmike:StrongSwan start_vpn_keepalive 192.168.3.1
1970-01-01 01:02:15 avmike:< create_sa(appl=vpnd,cname=StrongSwan)
1970-01-01 01:02:15 avmike:StrongSwan: Phase 1 starting
1970-01-01 01:02:15 avmike:>>> aggressive mode [93.131.100.97] StrongSwan: V1.0 710 IC c0e03eb4525d82da RC 00000000 0000 SA flags=
1970-01-01 01:02:15 avmike:StrongSwan: Warning: source changed from <illegal INADDR> to 93.131.100.97:500
1970-01-01 01:02:15 avmike:<<<  aggressive mode[93.131.100.97] StrongSwan: V1.0 530 IC c0e03eb4525d82da RC 79a5ce3a62ca85f 0000 SA flags=
1970-01-01 01:02:15 avmike:aggressive mode StrongSwan: selected lifetime: 3600 sec(no notify)
1970-01-01 01:02:15 avmike:StrongSwan receive VENDOR ID Payload: XAUTH
1970-01-01 01:02:15 avmike:StrongSwan receive VENDOR ID Payload: DPD
1970-01-01 01:02:15 avmike:StrongSwan receive VENDOR ID Payload: NAT-T RFC 3947
1970-01-01 01:02:16 avmike:StrongSwan: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:1
1970-01-01 01:02:16 avmike:StrongSwan: sending embedded initial contact message (0,93.131.100.97,<illegal INADDR>)
1970-01-01 01:02:16 avmike:StrongSwan: switching to NAT-T (Initiator)
1970-01-01 01:02:16 avmike:>>> aggressive mode 4500[93.131.100.97:4500] StrongSwan: V1.0 268 IC c0e03eb4525d82da RC 79a5ce3a62ca85f 0000 HASH flags=e
1970-01-01 01:02:16 avmike:StrongSwan: Phase 1 ready
1970-01-01 01:02:16 avmike:StrongSwan: current=<illegal INADDR> new=93.131.100.97
1970-01-01 01:02:16 avmike:StrongSwan start_vpn_keepalive already running
1970-01-01 01:02:16 avmike:StrongSwan: no valid sa, resetting initialcontactdone flag
1970-01-01 01:02:16 avmike:StrongSwan: remote is behind a nat
1970-01-01 01:02:16 avmike:StrongSwan: sending initial contact message
1970-01-01 01:02:16 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 124 IC c0e03eb4525d82da RC 79a5ce3a62ca85f dd5f08e8 HASH flags=e
1970-01-01 01:02:16 avmike:StrongSwan: start waiting connections
1970-01-01 01:02:16 avmike:StrongSwan: Phase 2 starting (start waiting)
1970-01-01 01:02:16 avmike:>>> quickmode 4500[93.131.100.97:4500] StrongSwan: V1.0 764 IC c0e03eb4525d82da RC 79a5ce3a62ca85f 870ce487 HASH flags=e
1970-01-01 01:02:16 avmike:<<< 4500 quickmode[93.131.100.97:4500] StrongSwan: V1.0 364 IC c0e03eb4525d82da RC 79a5ce3a62ca85f 870ce487 HASH flags=e
1970-01-01 01:02:16 avmike:WARNING !!! local id differs from received id
1970-01-01 01:02:16 avmike:>>> quickmode 4500[93.131.100.97:4500] StrongSwan: V1.0 108 IC c0e03eb4525d82da RC 79a5ce3a62ca85f 870ce487 HASH flags=e
1970-01-01 01:02:16 avmike:StrongSwan: Phase 2 ready
1970-01-01 01:02:16 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 2F3ADC4C LT: 3600 I/O: IN
1970-01-01 01:02:16 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: C13A27DE LT: 3600 I/O: OUT
1970-01-01 01:02:16 avmike:StrongSwan stop_vpn_keepalive to 192.168.3.1
1970-01-01 01:02:16 avmike:StrongSwan: start waiting connections
1970-01-01 01:02:16 avmike:StrongSwan: NO waiting connections
2024-05-11 23:36:03 avmike:< ikeconn_delete called for cname=andere_VPN-Verbindung
2024-05-11 23:36:03 avmike:free_connection called for cname=andere_VPN-Verbindung
2024-05-11 23:36:03 avmike:< ikeconn_delete called for cname=StrongSwan
2024-05-11 23:36:03 avmike:free_connection called for cname=StrongSwan
2024-05-11 23:36:03 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 124 IC c0e03eb4525d82da RC 79a5ce3a62ca85f 1c5a2418 HASH flags=e
2024-05-11 23:36:03 avmike:FreeIPsecSA: spi=2F3ADC4C        protocol=3 iotype=1
2024-05-11 23:36:03 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 124 IC c0e03eb4525d82da RC 79a5ce3a62ca85f 9937438c HASH flags=e
2024-05-11 23:36:03 avmike:FreeIPsecSA: spi=C13A27DE        protocol=3 iotype=2
2024-05-11 23:36:03 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 124 IC c0e03eb4525d82da RC 79a5ce3a62ca85f ae7c7502 HASH flags=e
2024-05-11 23:36:03 avmike:StrongSwan: del phase 1 SA 1
2024-05-11 23:36:03 avmike:< add(appl=vpnd,cname=andere_VPN-Verbindung,localip=2a02:3100:3202:5292:cece:1eff:feb3:2ea, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
2024-05-11 23:36:03 avmike:new neighbour andere_VPN-Verbindung:  dynamic  user  every-id  nat_t
2024-05-11 23:36:03 avmike:< add(appl=vpnd,cname=StrongSwan,localip=2.243.39.175, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.3.1 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2024-05-11 23:36:03 avmike:new neighbour StrongSwan:  nat_t
2024-05-11 23:36:03 avmike:StrongSwan keepalive enabled
2024-05-11 23:36:03 avmike:StrongSwan start_vpn_keepalive 192.168.3.1
2024-05-11 23:36:03 avmike:< create_sa(appl=vpnd,cname=StrongSwan)
2024-05-11 23:36:03 avmike:StrongSwan: Phase 1 starting
2024-05-11 23:36:03 avmike:>>> aggressive mode [93.131.100.97] StrongSwan: V1.0 710 IC c774083b1438efd3 RC 00000000 0000 SA flags=
2024-05-11 23:36:03 avmike:StrongSwan: Warning: source changed from <illegal INADDR> to 93.131.100.97:500
2024-05-11 23:36:03 avmike:<<<  aggressive mode[93.131.100.97] StrongSwan: V1.0 530 IC c774083b1438efd3 RC 8c0c537b695d16c0 0000 SA flags=
2024-05-11 23:36:03 avmike:aggressive mode StrongSwan: selected lifetime: 3600 sec(no notify)
2024-05-11 23:36:03 avmike:StrongSwan receive VENDOR ID Payload: XAUTH
2024-05-11 23:36:03 avmike:StrongSwan receive VENDOR ID Payload: DPD
2024-05-11 23:36:03 avmike:StrongSwan receive VENDOR ID Payload: NAT-T RFC 3947
2024-05-11 23:36:03 avmike:StrongSwan: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:1
2024-05-11 23:36:03 avmike:StrongSwan: sending embedded initial contact message (0,93.131.100.97,<illegal INADDR>)
2024-05-11 23:36:03 avmike:StrongSwan: switching to NAT-T (Initiator)
2024-05-11 23:36:03 avmike:>>> aggressive mode 4500[93.131.100.97:4500] StrongSwan: V1.0 268 IC c774083b1438efd3 RC 8c0c537b695d16c0 0000 HASH flags=e
2024-05-11 23:36:03 avmike:StrongSwan: Phase 1 ready
2024-05-11 23:36:03 avmike:StrongSwan: current=<illegal INADDR> new=93.131.100.97
2024-05-11 23:36:03 avmike:StrongSwan start_vpn_keepalive already running
2024-05-11 23:36:03 avmike:StrongSwan: no valid sa, resetting initialcontactdone flag
2024-05-11 23:36:03 avmike:StrongSwan: remote is behind a nat
2024-05-11 23:36:03 avmike:StrongSwan: sending initial contact message
2024-05-11 23:36:03 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 124 IC c774083b1438efd3 RC 8c0c537b695d16c0 971c8879 HASH flags=e
2024-05-11 23:36:03 avmike:StrongSwan: start waiting connections
2024-05-11 23:36:03 avmike:StrongSwan: Phase 2 starting (start waiting)
2024-05-11 23:36:03 avmike:>>> quickmode 4500[93.131.100.97:4500] StrongSwan: V1.0 764 IC c774083b1438efd3 RC 8c0c537b695d16c0 25db4f1f HASH flags=e
2024-05-11 23:36:03 avmike:<<< 4500 quickmode[93.131.100.97:4500] StrongSwan: V1.0 364 IC c774083b1438efd3 RC 8c0c537b695d16c0 25db4f1f HASH flags=e
2024-05-11 23:36:03 avmike:WARNING !!! local id differs from received id
2024-05-11 23:36:03 avmike:>>> quickmode 4500[93.131.100.97:4500] StrongSwan: V1.0 108 IC c774083b1438efd3 RC 8c0c537b695d16c0 25db4f1f HASH flags=e
2024-05-11 23:36:03 avmike:StrongSwan: Phase 2 ready
2024-05-11 23:36:03 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 34AA3961 LT: 3600 I/O: IN
2024-05-11 23:36:03 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: C53FD00E LT: 3600 I/O: OUT
2024-05-11 23:36:03 avmike:StrongSwan stop_vpn_keepalive to 192.168.3.1
2024-05-11 23:36:03 avmike:StrongSwan: start waiting connections
2024-05-11 23:36:03 avmike:StrongSwan: NO waiting connections
2024-05-11 23:36:08 avmike:< ikeconn_delete called for cname=andere_VPN-Verbindung
2024-05-11 23:36:08 avmike:free_connection called for cname=andere_VPN-Verbindung
2024-05-11 23:36:08 avmike:< ikeconn_delete called for cname=StrongSwan
2024-05-11 23:36:08 avmike:free_connection called for cname=StrongSwan
2024-05-11 23:36:08 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 124 IC c774083b1438efd3 RC 8c0c537b695d16c0 db79437e HASH flags=e
2024-05-11 23:36:08 avmike:FreeIPsecSA: spi=34AA3961        protocol=3 iotype=1
2024-05-11 23:36:08 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 124 IC c774083b1438efd3 RC 8c0c537b695d16c0 3e760b93 HASH flags=e
2024-05-11 23:36:08 avmike:FreeIPsecSA: spi=C53FD00E        protocol=3 iotype=2
2024-05-11 23:36:08 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 124 IC c774083b1438efd3 RC 8c0c537b695d16c0 1434e190 HASH flags=e
2024-05-11 23:36:08 avmike:StrongSwan: del phase 1 SA 1
2024-05-11 23:36:08 avmike:< add(appl=vpnd,cname=andere_VPN-Verbindung,localip=2a02:3100:3202:5292:cece:1eff:feb3:2ea, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
2024-05-11 23:36:08 avmike:new neighbour andere_VPN-Verbindung:  dynamic  user  every-id  nat_t
2024-05-11 23:36:08 avmike:< add(appl=vpnd,cname=StrongSwan,localip=2.243.39.175, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.3.1 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2024-05-11 23:36:08 avmike:new neighbour StrongSwan:  nat_t
2024-05-11 23:36:08 avmike:StrongSwan keepalive enabled
2024-05-11 23:36:08 avmike:StrongSwan start_vpn_keepalive 192.168.3.1
2024-05-11 23:36:08 avmike:< create_sa(appl=vpnd,cname=StrongSwan)
2024-05-11 23:36:08 avmike:StrongSwan: Phase 1 starting
2024-05-11 23:36:08 avmike:>>> aggressive mode [93.131.100.97] StrongSwan: V1.0 710 IC e7f6fdec329248f1 RC 00000000 0000 SA flags=
2024-05-11 23:36:08 avmike:StrongSwan: Warning: source changed from <illegal INADDR> to 93.131.100.97:500
2024-05-11 23:36:08 avmike:<<<  aggressive mode[93.131.100.97] StrongSwan: V1.0 530 IC e7f6fdec329248f1 RC fd02d19beb648386 0000 SA flags=
2024-05-11 23:36:08 avmike:aggressive mode StrongSwan: selected lifetime: 3600 sec(no notify)
2024-05-11 23:36:08 avmike:StrongSwan receive VENDOR ID Payload: XAUTH
2024-05-11 23:36:08 avmike:StrongSwan receive VENDOR ID Payload: DPD
2024-05-11 23:36:08 avmike:StrongSwan receive VENDOR ID Payload: NAT-T RFC 3947
2024-05-11 23:36:08 avmike:StrongSwan: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:1
2024-05-11 23:36:08 avmike:StrongSwan: sending embedded initial contact message (0,93.131.100.97,<illegal INADDR>)
2024-05-11 23:36:08 avmike:StrongSwan: switching to NAT-T (Initiator)
2024-05-11 23:36:08 avmike:>>> aggressive mode 4500[93.131.100.97:4500] StrongSwan: V1.0 268 IC e7f6fdec329248f1 RC fd02d19beb648386 0000 HASH flags=e
2024-05-11 23:36:08 avmike:StrongSwan: Phase 1 ready
2024-05-11 23:36:08 avmike:StrongSwan: current=<illegal INADDR> new=93.131.100.97
2024-05-11 23:36:08 avmike:StrongSwan start_vpn_keepalive already running
2024-05-11 23:36:08 avmike:StrongSwan: no valid sa, resetting initialcontactdone flag
2024-05-11 23:36:08 avmike:StrongSwan: remote is behind a nat
2024-05-11 23:36:08 avmike:StrongSwan: sending initial contact message
2024-05-11 23:36:08 avmike:>r> infomode 4500[93.131.100.97:4500] StrongSwan: V1.0 124 IC e7f6fdec329248f1 RC fd02d19beb648386 f9ebda22 HASH flags=e
2024-05-11 23:36:08 avmike:StrongSwan: start waiting connections
2024-05-11 23:36:08 avmike:StrongSwan: Phase 2 starting (start waiting)
2024-05-11 23:36:08 avmike:>>> quickmode 4500[93.131.100.97:4500] StrongSwan: V1.0 764 IC e7f6fdec329248f1 RC fd02d19beb648386 3bc75692 HASH flags=e
2024-05-11 23:36:08 avmike:<<< 4500 quickmode[93.131.100.97:4500] StrongSwan: V1.0 364 IC e7f6fdec329248f1 RC fd02d19beb648386 3bc75692 HASH flags=e
2024-05-11 23:36:08 avmike:WARNING !!! local id differs from received id
2024-05-11 23:36:08 avmike:>>> quickmode 4500[93.131.100.97:4500] StrongSwan: V1.0 108 IC e7f6fdec329248f1 RC fd02d19beb648386 3bc75692 HASH flags=e
2024-05-11 23:36:08 avmike:StrongSwan: Phase 2 ready
2024-05-11 23:36:08 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: BEFC3938 LT: 3600 I/O: IN
2024-05-11 23:36:08 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: C352ADC6 LT: 3600 I/O: OUT
2024-05-11 23:36:08 avmike:StrongSwan stop_vpn_keepalive to 192.168.3.1
2024-05-11 23:36:08 avmike:StrongSwan: start waiting connections
2024-05-11 23:36:08 avmike:StrongSwan: NO waiting connections

Ich hoffe das ist das, wonach Du gefragt hattest.
Grüße

 

[PeterPawn]

In Teilen - was es jetzt halt noch bräuchte, wäre der Zeitpunkt, wo der Router auf der StrongSwan-Seite die IP-Adresse wechselt.

Wobei der Start auch komisch aussieht in der FRITZ!Box - die erste Verbindung wird schon versucht, als die Box noch gar keine aktuelle Zeit hat (eine RTC gibt es dort ja nicht, aber die WAN-Verbindung muß schon funktionieren, denn der Verbindungsversuch kommt ja auf der Gegenseite an) und danach erfolgen offenbar noch zwei "Neustarts" des vpnd, bei denen das alles noch einmal ganz von vorne beginnt. Das konnte AVM tatsächlich auch schon mal besser, womöglich wurde das im Zuge von WireGuard® verschlimmbessert.

Daher muß man auch das Protokoll vom swanctl mit Vorsicht genießen - da kommen natürlich dann auch drei Versuche von der FRITZ!Box an, bevor dann irgendwann mal die "richtige" Verbindung zustande kommt, die für die Lifetime der SAs aufrecht erhalten bleibt.

Ob/wie die FRITZ!Box beim Wechsel der entfernten IP-Adresse dann reagiert, ist aufgrund der Kürze des Protokolls ja nicht zu sehen, ebenso wenig, ob da weitere DNS-Abfragen erfolgen und in welchen Intervalllen. Auch die von der AVM-Seite gesendeten "infomode"-Messages sind da ja (noch) nicht enthalten - insgesamt also nicht wirklich das alles, was man da anschauen müßte.

Solange im VPN-Protokoll nichts von DNS-Abfragen steht (abseits von den "avmike:StrongSwan: Warning: source changed from X to Y"-Einträgen, die aber auch das Ergebnis einer abweichenden DNS-Auflösung oder einer NAT-T-Umschaltung sind), muß man halt an anderer Stelle in den Supportdaten nachschauen (bei den DNS-Sachen) nach regelmäßigen Versuchen, die dynamischen Adressen neu aufzulösen.

Was mir hier aber auffällt - die StrongSwan-Seite sendet ihrerseits Keepalive-Messages, um ihren vermeintlichen Tunnel durch die Firewall aufrechtzuerhalten (local host is behind NAT, sending keep alives). Das sollte nicht notwendig sein (und kann natürlich auch die Ursache für die Erkennung der neuen IP-Adresse aus den vorherigen Protokollen sein), denn damit der StrongSwan-Server erreicht werden kann, ist ja ohnehin eine Portfreigabe für UDP 4500 erforderlich (UDP 500 muß nicht freigegeben werden, der kann - eben wg. NAT-T - ohnehin nicht genutzt werden).

Ich bin mir noch nicht sicher, was der Grund für diese Nachricht ist:

avmike:WARNING !!! local id differs from received id

- offenbar bezieht sich das ja auf Phase2 und damit dann eher auf die beiden Subnetze in den phase2…id-Einträgen bei der FRITZ!Box. Das würde ich daher erst mal in den Skat drücken, denn daran liegt es vermutlich nicht, daß der Reconnect nicht erkannt wird.

---

Wobei ich insgesamt den Verdacht nicht loswerde, daß AVM wg. der WireGuard®-Integration da unter der Haube doch deutlich mehr geändert hat, als man landläufig vermuten würde (und jetzt kommt ja wohl noch das Tunneln von IPv6 hinzu). Da ich schon länger keine IPSec-Verbindungen mehr zwischen FRITZ!Boxen nutze (die Performance war vor der Nutzung der Hardware-Unterstützung für AES einfach grottig und ist es bei verbreiteten Modellen ohne diesen Support im Chipsatz ja immer noch), bin ich vielleicht auch nicht mehr auf dem neuesten Stand, was die Besonderheiten der AVM-Implementierung anbelangt.

 

[graefe]

Ok, hast Du denn noch Lust, Dich mit diesem Problem auseinanderzusetzen? Wenn ja, was brauchst Du noch?
1) Das AVM-Support-Datei bei Zwangstrennung des Strom-Servers, aber mit allen vpnd IKE1-Angaben bis infomode?
2) Das gleiche von StrongSwan, bis im Trace nichts mehr kommt?
Danke für die Mühe!

 

[PeterPawn]

was brauchst Du noch

Das Protokoll von beiden Seiten zum Zeitpunkt des Wechsels der IP-Adresse (der kann ja auch manuell ausgelöst werden) plus und minus jeweils 10 Minuten. Wird der Wechsel auch dabei nicht innerhalb der nächsten 10 Minuten erkannt (dazu sollte natürlich der nächste turnusmäßige Wechsel der SAs noch ausreichend lange nicht erfolgen, aber den Zeitpunkt des letzten Wechsels kann man ja auch vorher im Protokoll nachlesen und 54 Minuten draufrechnen), dann die Protokolle bis zur nächsten Erneuerung der SAs (inkl. stabilem Neuaufbau, nicht nur bis zum Abräumen).

Und mal den Abschnitt zum DNS-Server in der Supportdatei - ich bin aber nicht sicher, ab dort tatsächlich auch all die Daten enthalten sind, die AVM so protokolliert. Notfalls kann man dann auch mal versuchen, den multid direkt zu befragen (mit aicmd), wenn man sich Shell-Zugriff verschafft - aber erst mal prüfen, welche Angaben in der (einfachen) Supportdatei bereits enthalten sind. Die zu klärende Frage wäre es halt, ob/wann das FRITZ!OS tatsächlich die geänderte Adresse "bemerkt" und ob das dann sofortige Auswirkungen auf die IPSec-Verbindung hat oder nicht.

Und die Beschreibung, welche Ports vom Router an den Server mit StrongSwan weitergeleitet werden - ich muß mich dann erst mal mit den Angaben in der strongswan.conf befassen, denn bisher kam ich eigentlich immer mit den "legacy settings" zu Potte.

Wobei Du eine Einstellung gleich noch vor weiteren Protokollen ändern solltest - wie Du hier: https://docs.strongswan.org/docs/5.9/features/natTraversal.html#_nat_t_keepalives nachlesen kannst, braucht es die erwähnten Keepalive-Pakete in Deinem Fall nicht (letzter Satz in der Klammer) und dort steht dann auch, wie man sie abschaltet.

 

[graefe]

Ok, ich habe mir heute den Wecker gestellt... Zuvor die charon.conf des StrongSwans mit dem Eintrag keep_alive = 0 ergänzt.

Um 5.45 habe ich einen VPN-Tunnel durch Neustart der Fritzbox aufgebaut (dabei Wechsel der IP von 77.177.61.171 zu 78.48.145.75)

Swanctl -T ergibt:

root@StrongSwan:/etc/strongswan.d# swanctl -T
10[NET] received packet: from 77.177.61.171[4500] to 192.168.3.19[4500] (124 bytes)
10[ENC] parsed INFORMATIONAL_V1 request 1974683971 [ HASH D ]
10[IKE] received DELETE for ESP CHILD_SA with SPI 73721cbf
10[IKE] closing CHILD_SA net{133} with SPIs cf23899d_i (762694 bytes) 73721cbf_o (273834 bytes) and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
11[NET] received packet: from 77.177.61.171[4500] to 192.168.3.19[4500] (124 bytes)
11[ENC] parsed INFORMATIONAL_V1 request 4093174840 [ HASH D ]
11[IKE] received DELETE for ESP CHILD_SA with SPI cf23899d
11[IKE] CHILD_SA not found, ignored
05[NET] received packet: from 77.177.61.171[4500] to 192.168.3.19[4500] (124 bytes)
05[ENC] parsed INFORMATIONAL_V1 request 4059005279 [ HASH D ]
05[IKE] received DELETE for IKE_SA fritzbox[269]
05[IKE] deleting IKE_SA fritzbox[269] between 192.168.3.19[strongswan.ddnss.de]...77.177.61.171[fritzbox.ddnss.de]
12[NET] received packet: from 77.177.61.171[500] to 192.168.3.19[500] (710 bytes)
12[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
12[IKE] received XAuth vendor ID
12[IKE] received DPD vendor ID
12[IKE] received NAT-T (RFC 3947) vendor ID
12[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
12[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
12[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
12[IKE] 77.177.61.171 is initiating a Aggressive Mode IKE_SA
12[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
12[CFG] looking for pre-shared key peer configs matching 192.168.3.19...77.177.61.171[fritzbox.ddnss.de]
12[CFG] selected peer config "fritzbox"
12[ENC] generating AGGRESSIVE response 0 [ SA KE No ID V V V NAT-D NAT-D HASH ]
12[NET] sending packet: from 192.168.3.19[500] to 77.177.61.171[500] (530 bytes)
15[NET] received packet: from 77.177.61.171[4500] to 192.168.3.19[4500] (268 bytes)
15[ENC] parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D N(INITIAL_CONTACT) ]
15[IKE] IKE_SA fritzbox[270] established between 192.168.3.19[strongswan.ddnss.de]...77.177.61.171[fritzbox.ddnss.de]
15[IKE] scheduling rekeying in 13817s
15[IKE] maximum IKE_SA lifetime 15257s
15[IKE] local host is behind NAT, sending keep alives
15[IKE] remote host is behind NAT
05[NET] received packet: from 77.177.61.171[4500] to 192.168.3.19[4500] (124 bytes)
05[ENC] parsed INFORMATIONAL_V1 request 3949045627 [ HASH N(INITIAL_CONTACT) ]
08[NET] received packet: from 77.177.61.171[4500] to 192.168.3.19[4500] (764 bytes)
08[ENC] parsed QUICK_MODE request 1005836304 [ HASH SA No KE ID ID ]
08[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_1024/NO_EXT_SEQ
08[IKE] received 3600s lifetime, configured 3960s
08[ENC] generating QUICK_MODE response 1005836304 [ HASH SA No KE ID ID ]
08[NET] sending packet: from 192.168.3.19[4500] to 77.177.61.171[4500] (364 bytes)
16[NET] received packet: from 77.177.61.171[4500] to 192.168.3.19[4500] (108 bytes)
16[ENC] parsed QUICK_MODE request 1005836304 [ HASH ]
16[IKE] CHILD_SA net{134} established with SPIs ceb92b1a_i 497cee6c_o and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
13[NET] received packet: from 78.48.145.75[500] to 192.168.3.19[500] (710 bytes)
13[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
13[IKE] received XAuth vendor ID
13[IKE] received DPD vendor ID
13[IKE] received NAT-T (RFC 3947) vendor ID
13[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
13[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
13[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
13[IKE] 78.48.145.75 is initiating a Aggressive Mode IKE_SA
13[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
13[CFG] looking for pre-shared key peer configs matching 192.168.3.19...78.48.145.75[fritzbox.ddnss.de]
13[CFG] selected peer config "fritzbox"
13[ENC] generating AGGRESSIVE response 0 [ SA KE No ID V V V NAT-D NAT-D HASH ]
13[NET] sending packet: from 192.168.3.19[500] to 78.48.145.75[500] (530 bytes)
06[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (268 bytes)
06[ENC] parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D N(INITIAL_CONTACT) ]
06[IKE] IKE_SA fritzbox[271] established between 192.168.3.19[strongswan.ddnss.de]...78.48.145.75[fritzbox.ddnss.de]
06[IKE] scheduling rekeying in 14204s
06[IKE] maximum IKE_SA lifetime 15644s
06[IKE] local host is behind NAT, sending keep alives
06[IKE] remote host is behind NAT
13[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (124 bytes)
13[ENC] parsed INFORMATIONAL_V1 request 1366381271 [ HASH N(INITIAL_CONTACT) ]
09[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (764 bytes)
09[ENC] parsed QUICK_MODE request 2208509905 [ HASH SA No KE ID ID ]
09[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_1024/NO_EXT_SEQ
09[IKE] received 3600s lifetime, configured 3960s
09[ENC] generating QUICK_MODE response 2208509905 [ HASH SA No KE ID ID ]
09[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (364 bytes)
12[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (108 bytes)
12[ENC] parsed QUICK_MODE request 2208509905 [ HASH ]
12[IKE] CHILD_SA net{135} established with SPIs cd8f0544_i 4fdaaa5a_o and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
09[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (124 bytes)
09[ENC] parsed INFORMATIONAL_V1 request 265958628 [ HASH D ]
09[IKE] received DELETE for ESP CHILD_SA with SPI 4fdaaa5a
09[IKE] closing CHILD_SA net{135} with SPIs cd8f0544_i (3821 bytes) 4fdaaa5a_o (1072 bytes) and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
08[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (124 bytes)
08[ENC] parsed INFORMATIONAL_V1 request 3581270175 [ HASH D ]
08[IKE] received DELETE for ESP CHILD_SA with SPI cd8f0544
08[IKE] CHILD_SA not found, ignored
10[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (124 bytes)
10[ENC] parsed INFORMATIONAL_V1 request 2367123528 [ HASH D ]
10[IKE] received DELETE for IKE_SA fritzbox[271]
10[IKE] deleting IKE_SA fritzbox[271] between 192.168.3.19[strongswan.ddnss.de]...78.48.145.75[fritzbox.ddnss.de]
16[NET] received packet: from 78.48.145.75[500] to 192.168.3.19[500] (710 bytes)
16[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
16[IKE] received XAuth vendor ID
16[IKE] received DPD vendor ID
16[IKE] received NAT-T (RFC 3947) vendor ID
16[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
16[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
16[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
16[IKE] 78.48.145.75 is initiating a Aggressive Mode IKE_SA
16[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
16[CFG] looking for pre-shared key peer configs matching 192.168.3.19...78.48.145.75[fritzbox.ddnss.de]
16[CFG] selected peer config "fritzbox"
16[ENC] generating AGGRESSIVE response 0 [ SA KE No ID V V V NAT-D NAT-D HASH ]
16[NET] sending packet: from 192.168.3.19[500] to 78.48.145.75[500] (530 bytes)
01[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (268 bytes)
01[ENC] parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D N(INITIAL_CONTACT) ]
01[IKE] IKE_SA fritzbox[272] established between 192.168.3.19[strongswan.ddnss.de]...78.48.145.75[fritzbox.ddnss.de]
01[IKE] scheduling rekeying in 13574s
01[IKE] maximum IKE_SA lifetime 15014s
01[IKE] local host is behind NAT, sending keep alives
01[IKE] remote host is behind NAT
13[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (124 bytes)
13[ENC] parsed INFORMATIONAL_V1 request 437909719 [ HASH N(INITIAL_CONTACT) ]
10[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (764 bytes)
10[ENC] parsed QUICK_MODE request 2142730687 [ HASH SA No KE ID ID ]
10[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_1024/NO_EXT_SEQ
10[IKE] received 3600s lifetime, configured 3960s
10[ENC] generating QUICK_MODE response 2142730687 [ HASH SA No KE ID ID ]
10[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (364 bytes)
10[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (108 bytes)
10[ENC] parsed QUICK_MODE request 2142730687 [ HASH ]
10[IKE] CHILD_SA net{136} established with SPIs c84b9788_i 14e8d803_o and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
10[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (124 bytes)
10[ENC] parsed INFORMATIONAL_V1 request 48273117 [ HASH D ]
10[IKE] received DELETE for ESP CHILD_SA with SPI 14e8d803
10[IKE] closing CHILD_SA net{136} with SPIs c84b9788_i (264 bytes) 14e8d803_o (264 bytes) and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
13[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (124 bytes)
13[ENC] parsed INFORMATIONAL_V1 request 3523417115 [ HASH D ]
13[IKE] received DELETE for ESP CHILD_SA with SPI c84b9788
13[IKE] CHILD_SA not found, ignored
08[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (124 bytes)
08[ENC] parsed INFORMATIONAL_V1 request 3478089809 [ HASH D ]
08[IKE] received DELETE for IKE_SA fritzbox[272]
08[IKE] deleting IKE_SA fritzbox[272] between 192.168.3.19[strongswan.ddnss.de]...78.48.145.75[fritzbox.ddnss.de]
07[NET] received packet: from 78.48.145.75[500] to 192.168.3.19[500] (710 bytes)
07[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V ]
07[IKE] received XAuth vendor ID
07[IKE] received DPD vendor ID
07[IKE] received NAT-T (RFC 3947) vendor ID
07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
07[ENC] received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
07[IKE] 78.48.145.75 is initiating a Aggressive Mode IKE_SA
07[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
07[CFG] looking for pre-shared key peer configs matching 192.168.3.19...78.48.145.75[fritzbox.ddnss.de]
07[CFG] selected peer config "fritzbox"
07[ENC] generating AGGRESSIVE response 0 [ SA KE No ID V V V NAT-D NAT-D HASH ]
07[NET] sending packet: from 192.168.3.19[500] to 78.48.145.75[500] (530 bytes)
06[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (268 bytes)
06[ENC] parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D N(INITIAL_CONTACT) ]
06[IKE] IKE_SA fritzbox[273] established between 192.168.3.19[strongswan.ddnss.de]...78.48.145.75[fritzbox.ddnss.de]
06[IKE] scheduling rekeying in 13606s
06[IKE] maximum IKE_SA lifetime 15046s
06[IKE] local host is behind NAT, sending keep alives
06[IKE] remote host is behind NAT
15[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (124 bytes)
15[ENC] parsed INFORMATIONAL_V1 request 386051461 [ HASH N(INITIAL_CONTACT) ]
10[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (764 bytes)
10[ENC] parsed QUICK_MODE request 2949629307 [ HASH SA No KE ID ID ]
10[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_1024/NO_EXT_SEQ
10[IKE] received 3600s lifetime, configured 3960s
10[ENC] generating QUICK_MODE response 2949629307 [ HASH SA No KE ID ID ]
10[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (364 bytes)
05[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (108 bytes)
05[ENC] parsed QUICK_MODE request 2949629307 [ HASH ]
05[IKE] CHILD_SA net{137} established with SPIs c222c50a_i 7ae33908_o and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24

Um 5.59 erfolgte die Zwangstrennung. Dadurch Wechsel der IP auf der StrongSwan-Seite von 2.243.177.176 auf 80.171.206.236.
Um 6.45 stand der VPN-Tunnel wieder.

Swanctl -T ca. 5.50 Uhr (kurz vor der Zwangstrennung) bis 6.45 Uhr (funktionierender Tunnel):

07[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
07[ENC] parsed INFORMATIONAL_V1 request 2125154826 [ HASH N(DPD) ]
07[ENC] generating INFORMATIONAL_V1 request 1198237173 [ HASH N(DPD_ACK) ]
07[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
16[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
16[ENC] parsed INFORMATIONAL_V1 request 3913232443 [ HASH N(DPD) ]
16[ENC] generating INFORMATIONAL_V1 request 2289864369 [ HASH N(DPD_ACK) ]
16[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
16[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
16[ENC] parsed INFORMATIONAL_V1 request 3457701662 [ HASH N(DPD) ]
16[ENC] generating INFORMATIONAL_V1 request 2938804768 [ HASH N(DPD_ACK) ]
16[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
15[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
15[ENC] parsed INFORMATIONAL_V1 request 3567190323 [ HASH N(DPD) ]
15[ENC] generating INFORMATIONAL_V1 request 3933524934 [ HASH N(DPD_ACK) ]
15[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
05[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
05[ENC] parsed INFORMATIONAL_V1 request 2755863320 [ HASH N(DPD) ]
05[ENC] generating INFORMATIONAL_V1 request 2827998584 [ HASH N(DPD_ACK) ]
05[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
16[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
16[ENC] parsed INFORMATIONAL_V1 request 4025320840 [ HASH N(DPD) ]
16[ENC] generating INFORMATIONAL_V1 request 381009917 [ HASH N(DPD_ACK) ]
16[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
09[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
09[ENC] parsed INFORMATIONAL_V1 request 2499445655 [ HASH N(DPD) ]
09[ENC] generating INFORMATIONAL_V1 request 3949029970 [ HASH N(DPD_ACK) ]
09[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
11[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
11[ENC] parsed INFORMATIONAL_V1 request 3396945232 [ HASH N(DPD) ]
11[ENC] generating INFORMATIONAL_V1 request 2119571199 [ HASH N(DPD_ACK) ]
11[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
11[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
11[ENC] parsed INFORMATIONAL_V1 request 1799814304 [ HASH N(DPD) ]
11[ENC] generating INFORMATIONAL_V1 request 3825688325 [ HASH N(DPD_ACK) ]
11[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
09[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
09[ENC] parsed INFORMATIONAL_V1 request 1128099795 [ HASH N(DPD) ]
09[ENC] generating INFORMATIONAL_V1 request 737960964 [ HASH N(DPD_ACK) ]
09[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
13[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
13[ENC] parsed INFORMATIONAL_V1 request 2747993117 [ HASH N(DPD) ]
13[ENC] generating INFORMATIONAL_V1 request 2086754125 [ HASH N(DPD_ACK) ]
13[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
10[KNL] creating rekey job for CHILD_SA ESP/0xceb92b1a/192.168.3.19
10[ENC] generating QUICK_MODE request 2591155188 [ HASH SA No KE ID ID ]
10[NET] sending packet: from 192.168.3.19[4500] to 77.177.61.171[4500] (396 bytes)
11[IKE] sending retransmit 1 of request message ID 2591155188, seq 1
11[NET] sending packet: from 192.168.3.19[4500] to 77.177.61.171[4500] (396 bytes)
05[IKE] sending retransmit 2 of request message ID 2591155188, seq 1
05[NET] sending packet: from 192.168.3.19[4500] to 77.177.61.171[4500] (396 bytes)
16[IKE] sending retransmit 3 of request message ID 2591155188, seq 1
16[NET] sending packet: from 192.168.3.19[4500] to 77.177.61.171[4500] (396 bytes)
11[KNL] creating delete job for CHILD_SA ESP/0xcafc006c/192.168.3.19
11[JOB] CHILD_SA ESP/0xcafc006c/192.168.3.19 not found for delete
05[IKE] sending retransmit 4 of request message ID 2591155188, seq 1
05[NET] sending packet: from 192.168.3.19[4500] to 77.177.61.171[4500] (396 bytes)
06[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (140 bytes)
06[ENC] parsed INFORMATIONAL_V1 request 120125176 [ HASH N(DPD) ]
06[ENC] generating INFORMATIONAL_V1 request 1718638369 [ HASH N(DPD_ACK) ]
06[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (140 bytes)
01[IKE] sending retransmit 5 of request message ID 2591155188, seq 1
01[NET] sending packet: from 192.168.3.19[4500] to 77.177.61.171[4500] (396 bytes)
05[KNL] creating rekey job for CHILD_SA ESP/0x497cee6c/77.177.61.171
11[KNL] creating rekey job for CHILD_SA ESP/0xc222c50a/192.168.3.19
11[ENC] generating QUICK_MODE request 2937831332 [ HASH SA No KE ID ID ]
11[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (396 bytes)
06[NET] received packet: from 78.48.145.75[4500] to 192.168.3.19[4500] (364 bytes)
06[ENC] parsed QUICK_MODE response 2937831332 [ HASH SA No KE ID ID N((24576)) ]
06[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_512_256/MODP_1024/NO_EXT_SEQ
06[IKE] CHILD_SA net{139} established with SPIs cd5c384b_i 4b09b40c_o and TS 192.168.3.1..192.168.3.255 === 192.168.5.0/24
06[ENC] generating QUICK_MODE request 2937831332 [ HASH ]
06[NET] sending packet: from 192.168.3.19[4500] to 78.48.145.75[4500] (108 bytes)
06[IKE] giving up after 5 retransmits
06[IKE] initiating Aggressive Mode IKE_SA fritzbox[274] to 77.177.61.171
06[ENC] generating AGGRESSIVE request 0 [ SA KE No ID V V V V V ]
06[NET] sending packet: from 192.168.3.19[500] to 77.177.61.171[500] (406 bytes)
15[IKE] sending retransmit 1 of request message ID 0, seq 1
15[NET] sending packet: from 192.168.3.19[500] to 77.177.61.171[500] (406 bytes)
15[IKE] sending retransmit 2 of request message ID 0, seq 1
15[NET] sending packet: from 192.168.3.19[500] to 77.177.61.171[500] (406 bytes)
11[IKE] sending retransmit 3 of request message ID 0, seq 1
11[NET] sending packet: from 192.168.3.19[500] to 77.177.61.171[500] (406 bytes)
07[KNL] creating rekey job for CHILD_SA ESP/0x7ae33908/78.48.145.75
11[IKE] sending retransmit 4 of request message ID 0, seq 1
11[NET] sending packet: from 192.168.3.19[500] to 77.177.61.171[500] (406 bytes)
01[IKE] sending retransmit 5 of request message ID 0, seq 1
01[NET] sending packet: from 192.168.3.19[500] to 77.177.61.171[500] (406 bytes)
08[IKE] giving up after 5 retransmits
08[IKE] establishing IKE_SA failed, peer not responding

Fritzbox-Support-Datei (von Neustart bis zum vollständigen Tunnel-Aufbau nach Zwangstrennung):

VPN IKEv1
---------
ls: /var/tmp/ike.old: No such file or directory
-rw-r--r--    1 root     root         18238 May 18 06:45 /var/tmp/ike.log
1970-01-01 01:02:21 avmike:< add(appl=vpnd,cname=strongswan,localip=2a02:3100:3205:3874:cece:1eff:feb3:2ea, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:02:21 avmike:new neighbour strongswan:  dynamic  user  every-id  nat_t
1970-01-01 01:02:21 avmike:< add(appl=vpnd,cname=StrongSwan,localip=78.48.145.75, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.3.1 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
1970-01-01 01:02:21 avmike:new neighbour StrongSwan:  nat_t
1970-01-01 01:02:21 avmike:StrongSwan keepalive enabled
1970-01-01 01:02:21 avmike:StrongSwan start_vpn_keepalive 192.168.3.1
1970-01-01 01:02:21 avmike:< create_sa(appl=vpnd,cname=StrongSwan)
1970-01-01 01:02:21 avmike:StrongSwan: Phase 1 starting
1970-01-01 01:02:22 avmike:>>> aggressive mode [2.243.177.176] StrongSwan: V1.0 710 IC 699b3377ae572bb RC 00000000 0000 SA flags=
1970-01-01 01:02:22 avmike:StrongSwan: Warning: source changed from <illegal INADDR> to 2.243.177.176:500
1970-01-01 01:02:22 avmike:<<<  aggressive mode[2.243.177.176] StrongSwan: V1.0 530 IC 699b3377ae572bb RC 853612ac92239a01 0000 SA flags=
1970-01-01 01:02:22 avmike:aggressive mode StrongSwan: selected lifetime: 3600 sec(no notify)
1970-01-01 01:02:22 avmike:StrongSwan receive VENDOR ID Payload: XAUTH
1970-01-01 01:02:22 avmike:StrongSwan receive VENDOR ID Payload: DPD
1970-01-01 01:02:22 avmike:StrongSwan receive VENDOR ID Payload: NAT-T RFC 3947
1970-01-01 01:02:22 avmike:StrongSwan: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:1
1970-01-01 01:02:22 avmike:StrongSwan: sending embedded initial contact message (0,2.243.177.176,<illegal INADDR>)
1970-01-01 01:02:22 avmike:StrongSwan: switching to NAT-T (Initiator)
1970-01-01 01:02:22 avmike:>>> aggressive mode 4500[2.243.177.176:4500] StrongSwan: V1.0 268 IC 699b3377ae572bb RC 853612ac92239a01 0000 HASH flags=e
1970-01-01 01:02:22 avmike:StrongSwan: Phase 1 ready
1970-01-01 01:02:22 avmike:StrongSwan: current=<illegal INADDR> new=2.243.177.176
1970-01-01 01:02:22 avmike:StrongSwan start_vpn_keepalive already running
1970-01-01 01:02:22 avmike:StrongSwan: no valid sa, resetting initialcontactdone flag
1970-01-01 01:02:22 avmike:StrongSwan: remote is behind a nat
1970-01-01 01:02:22 avmike:StrongSwan: sending initial contact message
1970-01-01 01:02:22 avmike:>r> infomode 4500[2.243.177.176:4500] StrongSwan: V1.0 124 IC 699b3377ae572bb RC 853612ac92239a01 517152d7 HASH flags=e
1970-01-01 01:02:22 avmike:StrongSwan: start waiting connections
1970-01-01 01:02:22 avmike:StrongSwan: Phase 2 starting (start waiting)
1970-01-01 01:02:23 avmike:>>> quickmode 4500[2.243.177.176:4500] StrongSwan: V1.0 764 IC 699b3377ae572bb RC 853612ac92239a01 83a32fd1 HASH flags=e
1970-01-01 01:02:23 avmike:<<< 4500 quickmode[2.243.177.176:4500] StrongSwan: V1.0 364 IC 699b3377ae572bb RC 853612ac92239a01 83a32fd1 HASH flags=e
1970-01-01 01:02:23 avmike:WARNING !!! local id differs from received id
1970-01-01 01:02:23 avmike:>>> quickmode 4500[2.243.177.176:4500] StrongSwan: V1.0 108 IC 699b3377ae572bb RC 853612ac92239a01 83a32fd1 HASH flags=e
1970-01-01 01:02:23 avmike:StrongSwan: Phase 2 ready
1970-01-01 01:02:23 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 4FDAAA5A LT: 3600 I/O: IN
1970-01-01 01:02:23 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: CD8F0544 LT: 3600 I/O: OUT
1970-01-01 01:02:23 avmike:StrongSwan stop_vpn_keepalive to 192.168.3.1
1970-01-01 01:02:23 avmike:StrongSwan: start waiting connections
1970-01-01 01:02:23 avmike:StrongSwan: NO waiting connections
2024-05-18 05:49:05 avmike:< ikeconn_delete called for cname=strongswan
2024-05-18 05:49:05 avmike:free_connection called for cname=strongswan
2024-05-18 05:49:05 avmike:< ikeconn_delete called for cname=StrongSwan
2024-05-18 05:49:05 avmike:free_connection called for cname=StrongSwan
2024-05-18 05:49:05 avmike:>r> infomode 4500[2.243.177.176:4500] StrongSwan: V1.0 124 IC 699b3377ae572bb RC 853612ac92239a01 fda34e4 HASH flags=e
2024-05-18 05:49:05 avmike:FreeIPsecSA: spi=4FDAAA5A        protocol=3 iotype=1
2024-05-18 05:49:05 avmike:>r> infomode 4500[2.243.177.176:4500] StrongSwan: V1.0 124 IC 699b3377ae572bb RC 853612ac92239a01 d575d89f HASH flags=e
2024-05-18 05:49:05 avmike:FreeIPsecSA: spi=CD8F0544        protocol=3 iotype=2
2024-05-18 05:49:05 avmike:>r> infomode 4500[2.243.177.176:4500] StrongSwan: V1.0 124 IC 699b3377ae572bb RC 853612ac92239a01 8d177048 HASH flags=e
2024-05-18 05:49:05 avmike:StrongSwan: del phase 1 SA 1
2024-05-18 05:49:05 avmike:< add(appl=vpnd,cname=strongswan,localip=2a02:3100:3205:3874:cece:1eff:feb3:2ea, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
2024-05-18 05:49:05 avmike:new neighbour strongswan:  dynamic  user  every-id  nat_t
2024-05-18 05:49:05 avmike:< add(appl=vpnd,cname=StrongSwan,localip=78.48.145.75, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.3.1 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2024-05-18 05:49:05 avmike:new neighbour StrongSwan:  nat_t
2024-05-18 05:49:05 avmike:StrongSwan keepalive enabled
2024-05-18 05:49:05 avmike:StrongSwan start_vpn_keepalive 192.168.3.1
2024-05-18 05:49:05 avmike:< create_sa(appl=vpnd,cname=StrongSwan)
2024-05-18 05:49:05 avmike:StrongSwan: Phase 1 starting
2024-05-18 05:49:05 avmike:>>> aggressive mode [2.243.177.176] StrongSwan: V1.0 710 IC 89a0afd045457056 RC 00000000 0000 SA flags=
2024-05-18 05:49:05 avmike:StrongSwan: Warning: source changed from <illegal INADDR> to 2.243.177.176:500
2024-05-18 05:49:05 avmike:<<<  aggressive mode[2.243.177.176] StrongSwan: V1.0 530 IC 89a0afd045457056 RC 217fa67130274e69 0000 SA flags=
2024-05-18 05:49:05 avmike:aggressive mode StrongSwan: selected lifetime: 3600 sec(no notify)
2024-05-18 05:49:05 avmike:StrongSwan receive VENDOR ID Payload: XAUTH
2024-05-18 05:49:05 avmike:StrongSwan receive VENDOR ID Payload: DPD
2024-05-18 05:49:05 avmike:StrongSwan receive VENDOR ID Payload: NAT-T RFC 3947
2024-05-18 05:49:05 avmike:StrongSwan: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:1
2024-05-18 05:49:05 avmike:StrongSwan: sending embedded initial contact message (0,2.243.177.176,<illegal INADDR>)
2024-05-18 05:49:05 avmike:StrongSwan: switching to NAT-T (Initiator)
2024-05-18 05:49:05 avmike:>>> aggressive mode 4500[2.243.177.176:4500] StrongSwan: V1.0 268 IC 89a0afd045457056 RC 217fa67130274e69 0000 HASH flags=e
2024-05-18 05:49:05 avmike:StrongSwan: Phase 1 ready
2024-05-18 05:49:05 avmike:StrongSwan: current=<illegal INADDR> new=2.243.177.176
2024-05-18 05:49:05 avmike:StrongSwan start_vpn_keepalive already running
2024-05-18 05:49:05 avmike:StrongSwan: no valid sa, resetting initialcontactdone flag
2024-05-18 05:49:05 avmike:StrongSwan: remote is behind a nat
2024-05-18 05:49:05 avmike:StrongSwan: sending initial contact message
2024-05-18 05:49:05 avmike:>r> infomode 4500[2.243.177.176:4500] StrongSwan: V1.0 124 IC 89a0afd045457056 RC 217fa67130274e69 1a19f8d7 HASH flags=e
2024-05-18 05:49:05 avmike:StrongSwan: start waiting connections
2024-05-18 05:49:05 avmike:StrongSwan: Phase 2 starting (start waiting)
2024-05-18 05:49:05 avmike:>>> quickmode 4500[2.243.177.176:4500] StrongSwan: V1.0 764 IC 89a0afd045457056 RC 217fa67130274e69 7fb779bf HASH flags=e
2024-05-18 05:49:05 avmike:<<< 4500 quickmode[2.243.177.176:4500] StrongSwan: V1.0 364 IC 89a0afd045457056 RC 217fa67130274e69 7fb779bf HASH flags=e
2024-05-18 05:49:05 avmike:WARNING !!! local id differs from received id
2024-05-18 05:49:06 avmike:>>> quickmode 4500[2.243.177.176:4500] StrongSwan: V1.0 108 IC 89a0afd045457056 RC 217fa67130274e69 7fb779bf HASH flags=e
2024-05-18 05:49:06 avmike:StrongSwan: Phase 2 ready
2024-05-18 05:49:06 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 14E8D803 LT: 3600 I/O: IN
2024-05-18 05:49:06 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: C84B9788 LT: 3600 I/O: OUT
2024-05-18 05:49:06 avmike:StrongSwan stop_vpn_keepalive to 192.168.3.1
2024-05-18 05:49:06 avmike:StrongSwan: start waiting connections
2024-05-18 05:49:06 avmike:StrongSwan: NO waiting connections
2024-05-18 05:49:10 avmike:< ikeconn_delete called for cname=strongswan
2024-05-18 05:49:10 avmike:free_connection called for cname=strongswan
2024-05-18 05:49:10 avmike:< ikeconn_delete called for cname=StrongSwan
2024-05-18 05:49:10 avmike:free_connection called for cname=StrongSwan
2024-05-18 05:49:10 avmike:>r> infomode 4500[2.243.177.176:4500] StrongSwan: V1.0 124 IC 89a0afd045457056 RC 217fa67130274e69 2e096dd HASH flags=e
2024-05-18 05:49:10 avmike:FreeIPsecSA: spi=14E8D803        protocol=3 iotype=1
2024-05-18 05:49:10 avmike:>r> infomode 4500[2.243.177.176:4500] StrongSwan: V1.0 124 IC 89a0afd045457056 RC 217fa67130274e69 d203141b HASH flags=e
2024-05-18 05:49:10 avmike:FreeIPsecSA: spi=C84B9788        protocol=3 iotype=2
2024-05-18 05:49:10 avmike:>r> infomode 4500[2.243.177.176:4500] StrongSwan: V1.0 124 IC 89a0afd045457056 RC 217fa67130274e69 cf4f7051 HASH flags=e
2024-05-18 05:49:10 avmike:StrongSwan: del phase 1 SA 1
2024-05-18 05:49:10 avmike:< add(appl=vpnd,cname=strongswan,localip=2a02:3100:3205:3874:cece:1eff:feb3:2ea, remoteip=0.0.0.0, p1ss=LT8h/all/all/all, p2ss=LT8h/esp-all-all/ah-none/comp-all/no-pfs p1mode=4 keepalive_ip=0.0.0.0 flags=0x803f tunnel xauth cfgmode nat_t no_certsrv_server_auth)
2024-05-18 05:49:10 avmike:new neighbour strongswan:  dynamic  user  every-id  nat_t
2024-05-18 05:49:10 avmike:< add(appl=vpnd,cname=StrongSwan,localip=78.48.145.75, remoteip=255.255.255.255, p1ss=all/all/all, p2ss=esp-all-all/ah-none/comp-all/pfs p1mode=4 keepalive_ip=192.168.3.1 flags=0x48001 tunnel no_xauth no_cfgmode nat_t no_certsrv_server_auth)
2024-05-18 05:49:10 avmike:new neighbour StrongSwan:  nat_t
2024-05-18 05:49:10 avmike:StrongSwan keepalive enabled
2024-05-18 05:49:10 avmike:StrongSwan start_vpn_keepalive 192.168.3.1
2024-05-18 05:49:10 avmike:< create_sa(appl=vpnd,cname=StrongSwan)
2024-05-18 05:49:10 avmike:StrongSwan: Phase 1 starting
2024-05-18 05:49:10 avmike:>>> aggressive mode [2.243.177.176] StrongSwan: V1.0 710 IC 47f28c2ab7da8ea8 RC 00000000 0000 SA flags=
2024-05-18 05:49:10 avmike:StrongSwan: Warning: source changed from <illegal INADDR> to 2.243.177.176:500
2024-05-18 05:49:10 avmike:<<<  aggressive mode[2.243.177.176] StrongSwan: V1.0 530 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 0000 SA flags=
2024-05-18 05:49:10 avmike:aggressive mode StrongSwan: selected lifetime: 3600 sec(no notify)
2024-05-18 05:49:10 avmike:StrongSwan receive VENDOR ID Payload: XAUTH
2024-05-18 05:49:10 avmike:StrongSwan receive VENDOR ID Payload: DPD
2024-05-18 05:49:10 avmike:StrongSwan receive VENDOR ID Payload: NAT-T RFC 3947
2024-05-18 05:49:10 avmike:StrongSwan: add phase 1 SA: DH2/AES-256/SHA2-512/3600sec id:1
2024-05-18 05:49:10 avmike:StrongSwan: sending embedded initial contact message (0,2.243.177.176,<illegal INADDR>)
2024-05-18 05:49:10 avmike:StrongSwan: switching to NAT-T (Initiator)
2024-05-18 05:49:10 avmike:>>> aggressive mode 4500[2.243.177.176:4500] StrongSwan: V1.0 268 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 0000 HASH flags=e
2024-05-18 05:49:10 avmike:StrongSwan: Phase 1 ready
2024-05-18 05:49:10 avmike:StrongSwan: current=<illegal INADDR> new=2.243.177.176
2024-05-18 05:49:10 avmike:StrongSwan start_vpn_keepalive already running
2024-05-18 05:49:10 avmike:StrongSwan: no valid sa, resetting initialcontactdone flag
2024-05-18 05:49:10 avmike:StrongSwan: remote is behind a nat
2024-05-18 05:49:10 avmike:StrongSwan: sending initial contact message
2024-05-18 05:49:10 avmike:>r> infomode 4500[2.243.177.176:4500] StrongSwan: V1.0 124 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 1702ad85 HASH flags=e
2024-05-18 05:49:10 avmike:StrongSwan: start waiting connections
2024-05-18 05:49:10 avmike:StrongSwan: Phase 2 starting (start waiting)
2024-05-18 05:49:10 avmike:>>> quickmode 4500[2.243.177.176:4500] StrongSwan: V1.0 764 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 afcfc57b HASH flags=e
2024-05-18 05:49:10 avmike:<<< 4500 quickmode[2.243.177.176:4500] StrongSwan: V1.0 364 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 afcfc57b HASH flags=e
2024-05-18 05:49:10 avmike:WARNING !!! local id differs from received id
2024-05-18 05:49:10 avmike:>>> quickmode 4500[2.243.177.176:4500] StrongSwan: V1.0 108 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 afcfc57b HASH flags=e
2024-05-18 05:49:10 avmike:StrongSwan: Phase 2 ready
2024-05-18 05:49:10 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 7AE33908 LT: 3600 I/O: IN
2024-05-18 05:49:10 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: C222C50A LT: 3600 I/O: OUT
2024-05-18 05:49:10 avmike:StrongSwan stop_vpn_keepalive to 192.168.3.1
2024-05-18 05:49:10 avmike:StrongSwan: start waiting connections
2024-05-18 05:49:10 avmike:StrongSwan: NO waiting connections
2024-05-18 05:58:59 avmike:StrongSwan: nat_t_port changed from 80.171.206.236:4500 to 2.243.177.176:4500
2024-05-18 06:00:56 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 7eab4a0a HASH flags=e
2024-05-18 06:00:56 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 476ba5f5 HASH flags=e
2024-05-18 06:12:56 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 e93f303b HASH flags=e
2024-05-18 06:12:56 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 887c8eb1 HASH flags=e
2024-05-18 06:14:16 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 ce18571e HASH flags=e
2024-05-18 06:14:16 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 af2a9a20 HASH flags=e
2024-05-18 06:17:36 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 d49f0133 HASH flags=e
2024-05-18 06:17:36 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 ea74d3c6 HASH flags=e
2024-05-18 06:21:36 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 a4432318 HASH flags=e
2024-05-18 06:21:36 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 a88fd578 HASH flags=e
2024-05-18 06:25:24 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 efed8588 HASH flags=e
2024-05-18 06:25:24 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 16b5bffd HASH flags=e
2024-05-18 06:25:34 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 94fa8397 HASH flags=e
2024-05-18 06:25:34 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 eb616a52 HASH flags=e
2024-05-18 06:30:16 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 ca794550 HASH flags=e
2024-05-18 06:30:16 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 7e5616ff HASH flags=e
2024-05-18 06:34:06 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 6b46fca0 HASH flags=e
2024-05-18 06:34:06 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 e4075f05 HASH flags=e
2024-05-18 06:38:57 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 433d6fd3 HASH flags=e
2024-05-18 06:38:57 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 2bfc6404 HASH flags=e
2024-05-18 06:42:48 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 a3cb0c1d HASH flags=e
2024-05-18 06:42:48 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 7c61574d HASH flags=e
2024-05-18 06:43:10 avmike:wolke_neighbour_renew_sa 1 SAs
2024-05-18 06:43:10 avmike:< create_sa(appl=vpnd,cname=StrongSwan)
2024-05-18 06:43:10 avmike:StrongSwan: Phase 1 starting
2024-05-18 06:43:10 avmike:StrongSwan: Phase 1 failed (initiator): IKE-Error 0x202c
2024-05-18 06:44:17 avmike:>r> infomode 4500[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 728f6f8 HASH flags=e
2024-05-18 06:44:17 avmike:<<< 4500 infomode[80.171.206.236:4500] StrongSwan: V1.0 140 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 66705721 HASH flags=e
2024-05-18 06:45:43 avmike:<<< 4500 quickmode[80.171.206.236:4500] StrongSwan: V1.0 396 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 af1bbfa4 HASH flags=e
2024-05-18 06:45:43 avmike:WARNING !!! local id differs from received id
2024-05-18 06:45:44 avmike:>>> quickmode 4500[80.171.206.236:4500] StrongSwan: V1.0 364 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 af1bbfa4 HASH flags=e
2024-05-18 06:45:44 avmike:<<< 4500 quickmode[80.171.206.236:4500] StrongSwan: V1.0 108 IC 47f28c2ab7da8ea8 RC 3e1cc38f777d2066 af1bbfa4 HASH flags=e
2024-05-18 06:45:44 avmike:StrongSwan: Phase 2 ready
2024-05-18 06:45:44 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: 4B09B40C LT: 3600 I/O: IN
2024-05-18 06:45:44 avmike:NEW Phase 2 SA: ESP-AES-256/SHA2-512 SPI: CD5C384B LT: 3600 I/O: OUT
2024-05-18 06:45:44 avmike:StrongSwan stop_vpn_keepalive to 192.168.3.1
2024-05-18 06:45:44 avmike:StrongSwan: start waiting connections
2024-05-18 06:45:44 avmike:StrongSwan: NO waiting connections

Bez. der von Dir gewünschten DNS-Einträge: Ich habe in der Support-Datei nach der neuen IP des StrongServers gesucht, fand aber (außer im VPN-Teil) keine weitere Log-Einträge mit Zeitstempel, bei denen die neue IP stand.

Es werden die Ports 500 und 4500 auf die Adresse des StrongSwan-Routers weitergeleitet. Ein Protokoll-Forwarding für ESP (Destination-NAT) unterstützt mein Router nicht.
Ferner eine statische Route (next hop) für das entfernte Fritzbox-Subnetz (192.168.5.0/24) auf die lokale IP des StronSwan-Servers (192.168.3.19).

Ich hoffe das hilft erstmal. Vielen Dank!

 

[PeterPawn]

Ok, ich habe mir heute den Wecker gestellt

Warum das? Was hindert Dich daran, den Wechsel der IP-Adresse auf der Seite des StrongSwan-Servers manuell heibeizuführen zu einem passenden Zeitpunkt? Egal was dort als Router arbeitet - das sollte sich ja auch irgendwie dazu überreden lassen.

Die Protokolle sehen ja jetzt DEUTLICH anders aus, vor dem Wechsel der IP-Adresse werden in der FRITZ!Box keine weiteren "infomode"-Messages mehr protokolliert. Danach dann aber doch wieder, wobei ich nicht verstehe, WODURCH die Box dann das Paket von der neuen Adresse erhält (welches dann die Meldung mit dem Portwechsel für NAT-T auslöst) - als These würde ich da zu tunnelnden Traffic annehmen.

Aber leider bringt das jetzt - trotz aller Deiner Bemühungen - noch nicht so richtigen Zuwachs an Erkenntnissen. Dazu müßte man schon auch die StrongSwan-Protokolle besser den jeweiligen Geschehnissen zuordnen können … und StrongSwan bietet dafür ja auch die passenden Mechanismen an: https://docs.strongswan.org/docs/5.9/config/logging.html

Für Deine Situation erscheint mir das Beispiel hier: https://docs.strongswan.org/docs/5.9/config/logging.html#_example mit der Protokollierung in eine Datei durchaus passend - eventuell könnte man noch über die append-Einstellung dort nachdenken oder auch noch das Loglevel hinzufügen lassen (log_level = yes).

Durch das generell erhöhte Loglevel (2 statt 1 als Standard) dürfte dann auch klarer werden, welches die ersten Pakete sind, die nach dem Wechsel der Adresse an die FRITZ!Box gesendet werden und dort die "Erkenntnis" auslösen, daß die Gegenstelle die Adresse gewechselt hat … und ein Zeitstempel schadet genauso wenig wie ein Präfix mit der Connection in den Zeilen.

Ich würde auch die Weiterleitung von UDP 500 an den StrongSwan-Server abschalten - wenn die Box beim Verbindungsversuch auf UDP 500 keine Antwort erhält (also ein Timeout auftritt), sollte sie selbständig auf UDP 4500 umschalten und einen weiteren Anlauf nehmen, die IKE-Phase zu starten.

Was genau ist das denn für ein Router auf der StrongSwan-Seite? Hat der irgendwelche anderen (zusätzlichen) Optionen - jenseits einer Aktualisierung von DynDNS-Einträgen - auf den Wechsel der IP-Adresse durch die Zwangstrennung zu reagieren? Ich frage deshalb, weil ein Restart der StrongSwan-Instanz danach das Problem vermutlich ebenfalls lösen könnte - wenn die Box nach dem Wechsel gar keine Antworten mehr erhält (ihre eigenen Pakete gehen ja dann ins Leere und die StrongSwan-Seite sendet auch nichts mehr), wird sie die Verbindung ja auch neu aufbauen wollen.

EDIT: Wenn die Protokolle dann eine sinnvolle Größe überschreiten, kann man sie auch als Anhang hinzufügen und nur die relevanten Teile noch zusätzlich in CODE-Boxen im Text verwenden - anonyme Benutzer (ohne eigenes Konto), zu denen auch Suchmaschinen und Web-Archive zählen, haben keinen Zugriff auf Anhänge.