[Gelöst] VPN (IPSec) zu entfernter 7590: funktioniert weder mit ShrewSoft noch Fritz-Fernzugang (Problem Security Associations)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
I

imagomundi

IPPF-Promi
Mitglied seit
27 Okt 2006
Beiträge
3,776
Punkte für Reaktionen
17
Punkte
38
So wie ich, wenn ich in D bin, mit Shrew Soft und/oder Fritz Fernzugang eine VPN Verbindung zu meiner heimischen (Chile) 7590 aufbaue (Probleme, die ich damit hatte, hatte ich in einem anderen Thread bereits beschrieben und letztlich auch gelöst) mache ich das selbe auch umgekehrt, d.h ich baue (aus Chile) mit Shrew Soft und Fritz Fernzugang eine VPN Verbindung zu der in D stehenden 7590 auf - das hat bisher auch funktioniert.

Aus heiterem Himmel aber baut sich diese VPN Verbindung nicht mehr auf - weder mit Shrew Soft noch mit Fritz Fernzugang. Zu Shrew Soft kann ich immerhin feststellen, daß ich mit der entfernten 7590 verbunden werde (unter "network" wird "connected" und die korrekte IP der in Deutschland stehenden 7590 wird angezeigt). Der Tunnel ist aufgebaut - allerdings kann über diesen kein Traffic geschickt werden, weil die "Security Associtations" (SA) zunächst "0" anzeigen und danach eine ansteigende Zahl von Fehlversuchen ("failed")

Mit einem Android Tablet und einem Android Handy funktioniert alles problemlos. Es wäre allerdings schön, wenn dies -wie bisher ja auch- weiterhin mit meinem Surface funktionieren würde, weil ich von diesem über den Displayport alles auf den großen TV-Bildschirm "streamen" kann.

P.S: ich weiß, daß Shrew Soft veraltet ist - es hat aber immer noch bestens funktioniert - außerdem kann die Verbindung auch mit Fritz Fernzugang nicht mehr aufgebaut werden
 
imagomundi schrieb:
Aus heiterem Himmel aber baut sich diese VPN Verbindung nicht mehr auf
Zum Vergrößern anklicken....
Da gab es doch bestimmt aus heiterem Himmel ein Firmware Update auf Version 8.0 bei deinen Fritzboxen. Richte mal die VPN-Konfig in der Fritzbox mit den gleichen Daten neu ein, dann werden auch die "Security Associtations" (SA) wieder funktionieren.
 
Nein, FW ist nicht auf 8.0 aktualisiert - habe FW Version weder bei der Ausgangs -FB (Chile) noch bei der entfernten (D) geändert - eben, weil ich Probleme mit den VPNs vermeiden wollte. Die entfernte ist noch auf 7.57 und meine in Chile stehende auf 7.59 (die spielt aber ohnehin keine Rolle in der VPN Konfiguration) - ich bin grundsätzlich immer sehr zögerlich mit Updates auf neuere FW-Versionen.

Über ein drittes Netz (Tethering mit Handy) kann ich mich problemlos mit ShrewSoft und Fritz Fernzugang mit meiner hier zu Hause stehenden FB per VPN (gleiche Konfiguration) verbinden - es funktioniert nur nicht mit der in D stehenden.
 
Zuletzt bearbeitet:
HEUREKA - Problem -zumindest zur Hälfte- gelöst. Da der Tunnel in Shrew ja aufgebaut wurde habe ich mich auf die für die SA entscheidenden Einstellungen in "Phase 2" des Shrew clients konzentriert und verändert. Letztlich war es doch einfacher als gedacht.
Nachdem ich den im Shrew Client per default auf "auto" eingestellte -und bisher auch so funktionierenden Parameter "Transform Algoritm" auf "3des" gestellt hatte kann wieder traffic über den Tunnel laufen - mit der deutschen IP der in D stehenden FB.
Wenn ich noch eine Lösung für den nach wie vor nicht funktionierenden Fritz Fernzugang finde werde ich das hier auch posten.
 
"Transform Algoritm" auf "esp-aes" wäre die bessere Lösung, weil soweit ich mich entsinne "3des" unsicher und auch nicht von allen Boxen unterstützt
 
Danke für den Hinweis - habe ich auch gleich umgesetzt
Hättest Du nicht auch noch einen guten Tip wie ich auch den FritzFernzugang wiederbeleben kann? Könnte die Lösung auch in der Konfiguration der Phase 2 (ESP - AH - COMP-PFS) liegen? Try und Error ist da ja zusätzlich schwierig weil die VPN Konfig der FRITZBOX jedes Mal in der in D stehenden FB neu eingelesen werden muß.
 
Ich weiß leider nicht wie/wo FritzFernzugang seine Konfig ablegt.
Ich bin auch der festen Meinung, nicht die explizite Einstellung auf eine bestimmte Verschlüsselung ist der Rootcause, sondern du umgehst damit ein spezielles Netzwerkproblem.
Als ich die Einstellungen so festgenagelt habe war ich im Ausland in einem mehrfach genattetetn Netz und habe da näher reingeschaut.
Der Rootcause sind sehr vermutlich Netzübergänge mit unsauberen Signalisierungen und unterschiedlichen MTUs.
Durch die Festlegung der Phase2 auf einen Algorithmus werden Pakete zur aushandlung deutlich kleiner so das es keine Fragmentierung mehr gibt und dann klappt die Aushandlung.
 
  • Like
Reaktionen: KunterBunter
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 592 (Mitglieder: 17, Gäste: 575)

Neueste Beiträge

Statistik des Forums

Themen
246,149
Beiträge
2,246,967
Mitglieder
373,668
Neuestes Mitglied
Stripi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück