[Problem] VPN Lancom 1780EW-3g zu FB7490

[Klema]

Hi,

ich versuche, ein Gartenhaus per VPN über UMTS an meine Fritzbox zu hause zu verbinden, das klappt teilweise ohne Probleme (die Konfiguration hat mich allerdings viel Zeit und noch mehr Nerven gekostet...), aktuell habe ich das Problem, dass die Verbindung offenbar alle 2 min gekappt wird...

24.10.16 09:15:42    VPN-Fehler: FRITZ!BOX, IKE-Error 0x2027 [2 Meldungen seit 24.10.16 09:15:11]
24.10.16 09:14:41    VPN-Verbindung zu FRITZ!BOX wurde getrennt. Ursache: 3 IKE server
24.10.16 09:12:41    VPN-Verbindung zu FRITZ!BOX wurde erfolgreich hergestellt.
24.10.16 09:12:41    VPN-Fehler: FRITZ!BOX, IKE-Error 0x203e
24.10.16 09:12:21    VPN-Fehler: FRITZ!BOX, IKE-Error 0x2027 [5 Meldungen seit 24.10.16 09:10:11]
24.10.16 09:09:38    VPN-Verbindung zu FRITZ!BOX wurde getrennt. Ursache: 3 IKE server
24.10.16 09:07:38    VPN-Verbindung zu FRITZ!BOX wurde erfolgreich hergestellt.
24.10.16 09:07:38    VPN-Fehler: FRITZ!BOX, IKE-Error 0x203e
24.10.16 09:07:11    VPN-Fehler: FRITZ!BOX, IKE-Error 0x2027 [5 Meldungen seit 24.10.16 09:05:05]
24.10.16 09:04:34    VPN-Verbindung zu FRITZ!BOX wurde getrennt. Ursache: 3 IKE server
24.10.16 09:02:34    VPN-Verbindung zu FRITZ!BOX wurde erfolgreich hergestellt.
24.10.16 09:02:34    VPN-Fehler: FRITZ!BOX, IKE-Error 0x203e
24.10.16 09:02:04    VPN-Fehler: FRITZ!BOX, IKE-Error 0x2027 [5 Meldungen seit 24.10.16 09:00:01]
24.10.16 08:59:30    VPN-Verbindung zu FRITZ!BOX wurde getrennt. Ursache: 3 IKE server

Gestern lief die Verbindung irgendwann durch bis zur Zwangstrennung, vorher die gleichen Fehler. Ich komme irgendwie nicht weiter, hat jemand einen Tipp??
Danke und Gruß
Klemens

 

[ciesla]

Da die Schuld auf IKE geschoben wird ...
Die Fritz-Box kann nur das veraltete und unsichere IKEv1. Versucht LanCom vielleicht immer wieder (eigentlich ja zu Recht) auf das moderne und sichere IKEv2 zu switchen?

 

[Klema]

Ich denke nicht, IKEv2 ist ja nicht konfiguriert. Mich wundert dieser 2min Intervall...lifetime ist auf jeden Fall höher, und manchmal läuft es ja auch.
Gruß

 

[KunterBunter]

das veraltete und unsichere IKEv1.

Cisco VPN ist mitnichten veraltet und unsicher. Ziemlich wahrscheinlich ist es sogar weit mehr in Benutzung als das neuere IKEv2.

 

[grauGolz]

IPsec mit IKEv1 ist schon deshalb veraltet weil es IKEv2 gibt. Sicherheit hatprimär nichts mit IKEvX zu tun. Die Stabilität der Verbindung schon.

Von OpenVPN als flexiblere Alternative zu IPsec ganz zu schweigen.

 

[PeterPawn]

@Klema:
Vielleicht läßt Du uns ja am Inhalt der Konfigurationsdateien teilhaben?

So ganz kann die Konfiguration ja nicht stimmen, wenn alle 2 Minuten die FRITZ!Box konstatiert, daß sich die Adresse des Peers geändert hat. Wenn das nicht ein sehr teurer UMTS-Vertrag ist, der auch eingehende Verbindungen zuläßt, dürfte die 7390 (die ist ja nach #1 die Box am Festnetzanschluß) gar nicht auf die Idee kommen, da einen Wechsel der IP-Adresse zu diagnostizieren - jedenfalls solange nicht, wie die IPSec-Pakete von der UMTS-Seite nicht mit ständig wechselnden Adressen eintreffen. Das sollte aber bereits das CGN beim (UMTS-)Provider verhindern.

Ich weiß ja nicht, was Du da konfiguriert hast und warum das so viele Nerven gekostet hat, aber solange man hier nur raten soll, was da falsch sein könnte, ist das ziemlich brotlose Kunst.

Was dabei herauskommt, kann man an einigen Antworten ablesen ... abgesehen davon, daß natürlich der Aussage: "IKEv1 ist veraltet, nimm lieber IKEv2." wenig hinzuzufügen ist.

Das gilt übrigens auch für andere Protokolle, für die es einen Nachfolger gibt.

Auch HTTP/1.0 oder HTTP/1.1 sollte man eigentlich aus Sicherheitsgründen nicht mehr verwenden, denn HTTP/2 ist dann wenigstens grundsätzlich verschlüsselt (zumindest in der Form, wie die Browserhersteller es umsetzen wollen, auch wenn theoretisch auch ein Verzicht auf TLS möglich wäre).

Leider gibt es für HTTP noch keine Ersatz-Implementierung mit vollkommen anderer Funktion, wie es bei "OpenVPN vs. IPSec" der Fall wäre ... aber bestimmt wird es in "pfSense" in naher Zukunft die erste Implementierung von "OpenHTTP 0.1" geben und auch das wird dann garantiert wesentlich flexibler sein, als das alte HTTP-Protokoll.

PS: Das ist kein Sarkasmus ... nur die Wahrheit.

@ciesla:
Habe ich die Begründung für "unsicher" auf meine Nachfrage im anderen Thread überlesen oder war das doch eher "Dampfplaudern" und es gibt gar keine?

 

[Klema]

Hallo und danke für die ausführliche Antwort/Erklärung! An die Konfigurationsdateien komme ich gerade nicht ran, reiche sie aber nach.

Viel schlimmer ist aber, dass die VPN-Verbindung seit 10.47 Uhr wieder stabil läuft...vorher im 2min Takt immer die gleichen Fehler.

Schwierig und nervenaufreibend war die gesamte Konfiguration, habe ja verschiedene Anleitungen im Detail befolgt, geklappt hat es aber nicht. Erst ein Programm zum Erstellen der Konfigurationsdateien und die händische moderate Anpassung derselben hat schließlich zu einer lauffähigen Verbindung geführt. Nun kommt es eben noch zu diesen Fehlern, die sich dann plötzlich wieder in Wohlgefallen auflösen...

Habe halt hinsichtlich VPN nicht viel Erfahrung, v.a. was die Site2Site Kopplung betrifft.

Sobald ich an die Konfigurationsdateien komme, reiche ich sie nach.

Gruß
Klemens

- - - Aktualisiert - - -

Hier die config der Fritzbox

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "FRITZ!";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "Lancom";
                localid {
                        fqdn = "xxx.dns.de";
                }
                remoteid {
                        fqdn = "Lancom";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "passwort";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.10.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.10.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

- - - Aktualisiert - - -

Und hier die Lancom config

lang English
flash No
cd /Setup/IP-Router/IP-Routing-Table 
add  192.168.1.0    255.255.255.0    0       {Peer-or-IP}  "Lancom"      {Distance}  0        {Masquerade}  No         {Active}  Yes     {Comment}  "VPN-Verbindung zu xxx.dns.de"
cd /
cd /Setup/VPN/VPN-Peers 
add  "LANCOM"      {SH-Time}  3600         {Extranet-Address}  0.0.0.0          {Remote-Gw}  ""                                                              {Rtg-tag}  0       {Layer}  "FRITZ!"      {dynamic}  No         {IKE-Exchange}  Aggressive-Mode {Rule-creation}  auto          {DPD-Inact-Timeout}  0                 {IKE-CFG}  Off     {XAUTH}  Off    {SSL-Encaps.}  No
cd /
cd /Setup/VPN/Layer 
add  "FRITZ!"      {PFS-Grp}  2        {IKE-Grp}  2        {IKE-Prop-List}  "IKE-FRITZ!"   {IPSEC-Prop-List}  "IPS-FRITZ!"   {IKE-Key}  "P-LANCOM"
cd /
cd /Setup/VPN/Proposals/IKE 
add  "PSK-FRITZ!"   {IKE-Crypt-Alg}  AES-CBC          {IKE-Crypt-Keylen}  256              {IKE-Auth-Alg}  SHA1             {IKE-Auth-Mode}  Preshared-Key    {Lifetime-Sec}  3600             {Lifetime-KB}  0
cd /
cd /Setup/VPN/Proposals/IPSEC 
add  "TN-AES-FRITZ!" {Encaps-Mode}  Tunnel           {ESP-Crypt-Alg}  AES-CBC          {ESP-Crypt-Keylen}  256              {ESP-Auth-Alg}  HMAC-SHA1        {AH-Auth-Alg}  none             {IPCOMP-Alg}  none             {Lifetime-Sec}  3600             {Lifetime-KB}  200000
cd /
cd /Setup/VPN/Proposals/IKE-Proposal-Lists 
add  "IKE-FRITZ!"   {IKE-Proposal-1}  "PSK-FRITZ!"
cd /
cd /Setup/VPN/Proposals/IPSEC-Proposal-Lists 
add  "IPS-FRITZ!"     {IPSEC-Proposal-1}  "TN-AES-FRITZ!"
cd /
cd /Setup/VPN/Certificates-and-Keys/IKE-Keys 
add  "P-LANCOM"      {Local-ID-Type}  Domain-Name        {Local-Identity}  "Lancom"  {Remote-ID-Type}  Domain-Name        {Remote-Identity}  "xxx.dns.de" {Shared-Sec}  "passwort"                           {Shared-Sec-File}  ""
cd /
flash Yes
# done
exit

 

[PeterPawn]

Hat der Lancom-Router denn nun eine öffentliche IPv4-Adresse oder nicht bzw. ist da ein CGN beim Provider dazwischen (das wäre der Normalfall) oder nicht?

Wenn ja, hat in der FRITZ!Box-Konfiguration der Eintrag "remotehostname" nichts zu suchen, weder in originaler noch in verfremdeter Form.

 

[Klema]

Okay. Der 3g hat keine bzw. keine nutzbare öffentliche IP. Ist ein schnöder 1&1 UMTS Vertrag. Kann ich den Eintrag komplett rausnehmen oder muss ich ihn leer lassen?

 

[PeterPawn]

Sowohl als auch ... der Effekt sollte derselbe sein bei beiden Varianten. Nur ein falscher Eintrag (und das daraus resultierende Unvermögen, die Adresse aufzulösen) sollte ein Problem sein. Das sollte dann auch die Fehler 0x203e abstellen, wenn die aus einer DNS-Abfrage und nicht aus einem Paket vom Peer stammen.

 

[Klema]

Gut, werde das raus nehmen und die Konfigurationsdatei neu einspielen, komme aktuell nur nicht an die FB (zumindest nicht zum Einspielen der config), sind noch ein paar Tage im Urlaub.

Selbst bei einer Verbindung mit iOS oder Android kommt eine Fehlermeldung:

24.10.16
21:44:24	VPN-Verbindung zu vpn-user wurde getrennt. Ursache: 3 IKE server
24.10.16
21:27:39	VPN-Verbindung zu vpn-user wurde erfolgreich hergestellt.

Dürfte aber dem einfachen Trennen der Verbindung vom mobilen Geräten aus entsprechen. Läuft ja sonst.
Danke & Gruß