[Gelöst] VPN LAN2LAN per DYNDNS geht nicht [Grund: Myfritz]

[felixdacat]

Hallo,
sitze jetzt schon einige Tage an folgendem Problemchen:

Ausgangssituation:
-Site1 : FB7490 OS 7.01 - (Telekom via Netcologne) öffentliche IP OK
-Site2 : FB7590 OS 7.01 - Hinter Telekom Hybrid -
-Site3 : Testweise DSL Teil vom Hybrid gekapert - FB7390 Os 6.85 öffentliche IP
-Site4: Spiel/NotfallBox - FB7362SL OS 7.01 mit Telekom LTE Stick ( öffentliche IP!)

Alle Verbindungen wurden per Weboberfläche eingerichtet.

Sooo
VPN L2L 7390 <=> 7490 funzt
VPN L2L 7390 <=> 7590 funzt
VPN L2L 7390 <=> 7362Sl funzt

VPN L2L 7490 <=> 7362SL funzt
VPN L2L 7490 <=> 7390 funzt
VPN L2L 7490 <=> 7590 GEHT NICHT

Kurzum alle Boxen haben Lan2Lan Kopplung am laufen BIS auf die 7490<=>7590 ,
passenderweise is das natürlich die wichtigste Verbindung :-(

btw Userzugänge (Android => Fritz Boxen) gehen auch problemlos auf allen Boxen
Hab die 7490 extra neu aufgesetzt une keine Einstellungen der anderen 7390 die dort stand importiert.
Mit der 7390 gings noch perfekt ...

Soo was ich gemacht hab:
- alle Verbindungen x- mal neu gemacht , passw variiert ... nix immer noch haufen IKE errors

Auszug ausm Supportfile der 7490 bzgl der VPN Verbindung zur 7590:

2019-02-19 21:05:39 avmike:######.de: Phase 1 failed (initiator): IKE-Error 0x1c
2019-02-19 21:05:39 avmike:wolke_neighbour_renew_sa 0 SAs
2019-02-19 21:05:39 avmike:>>> aggressive mode [87.######.144] ######.de: V1.0 720 IC e54f1d0ba6fd912e RC 00000000 0000 SA flags=
2019-02-19 21:05:39 avmike:<<<  aggressive mode[87.######.144] ######.de: V1.0 720 IC 7f0ac8f210cac200 RC 00000000 0000 SA flags=
2019-02-19 21:05:39 avmike:######.de: no valid sa, reseting initialcontactdone flag
2019-02-19 21:05:39 avmike:aggressive mode ######.de: selected lifetime: 3600 sec(no notify)
2019-02-19 21:05:39 avmike:######.de: Error: id mismatch
2019-02-19 21:05:39 avmike:######.de: mainmode.cpp:363: IKE-Error 0x1c
2019-02-19 21:05:39 avmike:>r> infomode [87.######.144] ######.de: V1.0 56 IC 7f0ac8f210cac200 RC 6330f413fd734224 b199f22 NOTIFICATION flags=
2019-02-19 21:05:39 avmike:######.de: Phase 1 failed (responder): IKE-Error 0x1c
2019-02-19 21:05:40 avmike:<<<  infomode[87.######.144] ######.de: V1.0 56 IC e54f1d0ba6fd912e RC 9cc135fa1406a686 c5a7c04e NOTIFICATION flags=
2019-02-19 21:05:40 avmike:######.de: Phase 1 failed (initiator): IKE-Error 0x1c

Auszug der 7590 zur 7490:

2019-02-19 21:05:48 avmike:######.de: Phase 1 failed (initiator): IKE-Error 0x1c
2019-02-19 21:05:48 avmike:wolke_neighbour_renew_sa 0 SAs
2019-02-19 21:05:48 avmike:>>> aggressive mode [###.###.54.67] ######.de: V1.0 720 IC d33452941885fb9c RC 00000000 0000 SA flags=
2019-02-19 21:05:48 avmike:######.de: Warning: source changed from ###.###.22.188:500 to ###.###.54.67:500
2019-02-19 21:05:48 avmike:<<<  infomode[###.###.54.67] ######.de: V1.0 56 IC d33452941885fb9c RC 31142549d62a4d2d b89e4ab1 NOTIFICATION flags=

Any ideas jemand ???

Vielen Dank im Voraus

Felix

 

[PeterPawn]

Error: id mismatch

Die Verzweiflung greift offenbar auf die FRITZ!Boxen über bei jedem Verbindungsversuch ... oder ist "Verzweiflung" der Name einer Verbindung und nicht nur eine Ausschmückung des Problems? Zur "Einordnung" des Themas trägt dieser Thread-Titel jedenfalls auch nur bedingt bei (wobei er natürlich verlockend klingt für jemanden, der sich an dieser Verzweiflung weiden will) und vielleicht solltest Du mal diese Empfehlungen lesen: https://tty1.net/smart-questions_de.html#bespecific

Dem Fehlercode nach passen die IDs für P1 in den beiden Boxen nicht zueinander. Da wäre es natürlich wahnsinnig hilfreich, wenn man diese mal sehen könnte ... nur verwenden per GUI erstellte Verbindungen da gerne die MyFRITZ!-.Adresse als FQDN-formatierte ID (so sie eine haben) und die willst Du vermutlich nicht zeigen. Aber man kann ja auch einfach mal selbst einen Blick in diese Dateien (auf jeder Seite in eine) werfen und sich die entsprechenden Abschnitte für die P1-IDs ansehen.

Ich weiß bei der 07.01 auch nicht mehr genau, wie sich der GUI-Assistent für VPN-Verbindungen bei der eigenen P1-ID entscheidet ... früher war das mal so, daß der immer die MyFRITZ!-Adresse als "local ID" verwendet hat (wie schon mal bemerkt, sofern er eine hatte) und wenn man dann für die VPN-Verbindung eine DynDNS-Adresse (als "Ziel") verwenden wollte, paßte das nicht so richtig zueinander, weil diese gleichzeitig als "remote ID" für P1 verwendet wurde und nicht nur als "remotehostname". Schaut man sich die Reste des Peernamens in den Protokoll-Splittern an ("Auszug" finde ich da schon sehr optimistisch als Umschreibung), sind hier vermutlich auch DynDNS-Konten bzw. -Namen im Spiel, denn eine MyFRITZ!-Adresse endet ja für gewöhnlich auf "myfritz.net" und nicht auf "###.de".

 

[Shirocco88]

@felixdacat
die bereitgestellten Information sind nicht umfassend, um eine belastbare Diagnose abzugeben
hierzu sind folgende Abschnitte aus den Supportdaten der beiden Fritzboxen erforderlich:http://fritz.box/?lp=support
http://fritz.box/?lp=support

##### BEGIN SECTION vpn VPN
...
##### END SECTION vpn


##### BEGIN SECTION dyndns DynDNS
...
##### END SECTION dyndns


##### BEGIN SECTION Networking Supportdata networking
...
##### END SECTION Networking Supportdata networking


##### BEGIN SECTION Events Events
...
##### END SECTION Events

ggf. bei vpn.cfg die Zeilen key, remoteip, remotehostname anonymisieren;
das ike.log sollte die Zeile "avmike:< add(appl=dsld,cname=" beginnend enthalten;
alles in CODE-Tags und dann kann man weiteres sagen.

 

[felixdacat]

Hallo ,
Vielen Dank für Eure Antworten!

@peter ich geb Dir recht bzgl des Titels, das hätte ich deutlich besser machen können - gelobe Besserung!

Mit den myfritz adressen ist ein guter Ansatz, da sowohl die 7590, wie auch die 7490 ne myfritz haben, ich diese jedoch nicht verwende sondern meine eigenen "dyndns" im Format subdomain.meinedomain.de ...
Ich könnte ja mal testen als Gegenstelle jeweils die Myfritz addressen einzutragen.
Die anderen Boxen im Verbund haben alle keine Myfritz ID's.

@ shirocco88 Restliche Sections liefere ich nach - Hoffe heute Abend Zeit dazu zu finden, sonst morgen Abend.

Vielen Dank nochmal

Gruss
Felix

 

[PeterPawn]

Ich könnte ja mal testen als Gegenstelle jeweils die Myfritz addressen einzutragen.

Erstelle Dir lieber die eigenen Konfigurationsdateien anhand der automatisch generierten (exportieren und dekodieren) ... dann kannst Du bei den P1-IDs auch das eintragen, was Du für richtig hältst und das müssen nicht einmal tatsächlich existierende Namen sein.

Ich würde jedenfalls MyFRITZ! ohnehin nur für unkritische Boxen verwenden oder wenn es unumgänglich ist, wie z.B. bei einer IPv6-Freigabe für ein Gerät im LAN. Wenn Du die MyFRITZ!-Konten bei der Einrichtung der VPN-Verbindung über das GUI deaktiviert hast, sollte die Firmware aber auch die Adresse aus der "DynDNS"-Seite verwenden und die MyFRITZ!-Konten kann man hinterher wieder aktivieren.

Allerdings darf man dann eben auch die VPN-Konfigurationen nicht noch einmal editieren mit dem GUI ... daher nimmt man tatsächlich besser gleich eigene Textdateien, die kriegen beim Import i.d.R. direkt das "editable=no" verpaßt und man riskiert hier keine weitere Änderung über das GUI, auch keine versehentliche.

 

[felixdacat]

Erstelle Dir lieber die eigenen Konfigurationsdateien anhand der automatisch generierten (exportieren und dekodieren) ... dann kannst Du bei den P1-IDs auch das eintragen, was Du für richtig hältst und das müssen nicht einmal tatsächlich existierende Namen sein.

Werd ich wohl in Zukunft so machen

Ich würde jedenfalls MyFRITZ! ohnehin nur für unkritische Boxen verwenden oder wenn es unumgänglich ist, wie z.B. bei einer IPv6-Freigabe für ein Gerät im LAN. Wenn Du die MyFRITZ!-Konten bei der Einrichtung der VPN-Verbindung über das GUI deaktiviert hast, sollte die Firmware aber auch die Adresse aus der "DynDNS"-Seite verwenden und die MyFRITZ!-Konten kann man hinterher wieder aktivieren.

Ok - wandert auch in meine Knowledgesammlung Wer weiss wann der nächste IPV6 only oder Ds-Lite Anschluss aufschlägt. Vermutlich
wird dann AVM leider immernoch kein VPN via IPV6 können *g* ( den konnt ich mir nicht verkneifen ;-) )


Danke für die wertvollen Tipps!

Im Endeffekt brachte mich das Myfritz auf den richtigen Weg ;-) Nutze ich statt meiner domains die myfritz-adressen geht das VPN sofort...
Also sollte wer das gleiche Problem haben, dass er myfritz auf beiden Boxen konfiguriert hat und
als Adresse Dyndns nutzen mag, so scheint zwingend entweder wie Peter erläutert hat manuelle Konfiguration erforderlich oder aber man muss die Myfritz adressen der beiden Boxen nutzen.

Finds ne tolle Sache von AVM :-/ muss man erstmal wissen
Hatte myfritz als fallback, falls mal irgendwelche Probleme mit dem Dyn-Service beim Provider aufkommen - werde aber davon ab sofort erstmal Abstand nehmen ...

Manuell hab ich früher btw viel konfiguriert hatte aber damals als es dann auch per GUI möglich wurde irgendwann mal massiv Probleme mit den selbst erstellten Files
weshalb ichs ab da dann immer über die Gui gemacht hatte.

Würd ja gern weiterexperimentieren aber abschiessen darf ich mir die 7490 nicht da sie ca 7 Autostunden entfernt steht ... da komm ich so schnell nich ran ^^
Deswegen aktuell erstmal - Never touch a runnning system - übers VPN läuft nen Teil der Telefonie -
Auch wenn mir die myfritzadressen als Verbindungsname schon ein
massiver Dorn im Auge sind - Man wills ja schön klar geordnet haben.
Dass AVM da nicht ne Möglichkeit macht nen Namen zu vergeben der dann
angezeigt wird ... naja nicht zuende durchdacht. (Meine Meinung)

Vielen Dank nochmal !

Edit: hab dann auch mal den Titel angepasst ;-)

 

[andilao]

Bei den aktuellen Labors kann man übrigens den VPNs eigene Namen zuordenen, womit die Hemmschwelle für den Einsatz vom MyFritz-DynDNS in der Zukunft gewaltig sinken dürfte.

 

[felixdacat]

Gute Neuikgeiten - andilao ! Danke für die Info