[Gelöst] VPN Tunel zwischen Fritzbox 7490 und iPhone (iOS9) funktioniert nicht mehr

Prima. Problem gelöst und ich sitze hier immer noch mit einem nicht mehr funktionierenden DS-Lite-Anschluss. Seit der versehentlichen Abschaltung hat UM es nicht geschafft, meinen alten Vertrag wieder aufleben zu lassen. Meine Fritzbox hat nur noch Fernzugriffe verzeichnet nach über einer Woche haben die es immer noch nicht geregelt.


Weiss jemand ob die Telekom IPv4 bei Entertain schaltet?
 
Ich meine, dass es eine dynamische IPv4 noch überall außer bei den Kabelanbietern gibt. Wie lange noch, das ist offen. Eine echte IPv4 mit Garantie wird es auf lange Sicht wohl nur noch bei Business-Anschlüssen geben.
 
Weiss jemand ob die Telekom IPv4 bei Entertain schaltet?
Ja, die Telekom schaltet zur Zeit bei VoIP beides.

Ich meine, dass es eine dynamische IPv4 noch überall außer bei den Kabelanbietern gibt.
"RWE Highspeed" ist VDSL und man bekommt nur gegen Aufpreis IPv4 ohne NAT, bei komDSL eine Mail an den Kundenservice, Deutsche Glasfaser unklar
 
Gestern Geräte zu UM geschickt - heute telefonisch Kündigung bestätigt bekommen.

Hab bei der Telekom eine sehr gute telefonische Beratung bekommen. Ist wohl echtes DualStack. Da ich hier max. VDSL25 bekommen werde, habe ich einige Angebote verglichen, aber Telekom scheint mir am seriösesten. Die anderen versprechen Dinge wie VDSL100, VDSL50 usw... und ich weiß, dass hier im Haus einige reingefallen sind und denen entweder storniert oder einfach ein anderes Produkt untergeschoben wurde.

Ich verstehe das mit DS so, dass ich zwei IP-Adressen habe und es wohl mit DynDNS auch weiter funktioniert, oder? Oder muss ich dazu in der FB das IPv6 deaktivieren?
 
Die anderen versprechen Dinge wie VDSL100, VDSL50 usw...
Bei 1&1 ist alles zwischen 16,7 und 50 VDSL50. Vodafone bietet 50er-Tarif eigentlich nur an, wenn möglich, da in Teilen eigene Technik in manchen Bereichen mehr möglich. Bei Telefonica (nicht über o2) gibt es so viel wie möglich, keine Limitierung wegen komischen Berechnungen.

Ich verstehe das mit DS so, dass ich zwei IP-Adressen habe und es wohl mit DynDNS auch weiter funktioniert, oder?
Du hast eine IPv4-Adresse und ein IPv6-Netz, ob DynDNS funktioniert, liegt am DynDNS-Anbieter, das Update der IPv4 sollte immer funktionieren.
 
Leider ist hier nur Vorleistungs-VDSL verfügbar über die Telekom und ich bin leider 10m außerhalb des Vectorings...da Unitymedia hier schon viel abgegraben hat, wird die Telekom den einen Verteiler in unserem Viertel nicht so schnell ausbauen - ist jetzt mal meine Vermutung. Und die anderen wohl auch nicht so schnell. Ein neuer DSLAM mit Vectoring steht um die Ecke, versorgt aber ein anderes Gebiet.

Derzeit brauche ich nur endlich mal wieder Zugriff auf VPN - das sollte ja dann mittels IPv4 auch mein alter DynDNS via spdns können.

Nachtrag 4.11. 17:04
Heute Post von UM aus dem Briefkasten geholt. Kündigungsbestätigung zum Juli 2016 - am Montag telefonisch 23.10.2015 genannt bekommen. Ich bin sprachlos. Man sollte als Privatperson auch jedes Telefongespräch aufzeichnen. Jetzt besteht UM auf Fortführung des Vertrages - allerdings würde dieser jetzt aufgrund der Neueinrichtung wieder 24 Monate laufen und Aktivierungsgebühr kosten.
Mittlerweile gerät dieser VPN-Bug zur Lebensaufgabe.
 
Zuletzt bearbeitet:
Also für mich ist das ja alles "Works as designed".

Unitymedia manipuliert die Pakete durch (höchstwahrscheinlich unnötiges) dauerhaftes Setzen des ECN CE Flags und Apple verwirft diese äußeren Tunnelpakete vollkommen korrekt nach RFC6040, 4.2. Dort steht nämlich drin:
If the inner ECN field is Not-ECT and the outer ECN field is CE, the decapsulator MUST drop the packet.
Heißt: im Tunnelinneren kein ECN gesetzt, im Tunneläußeren CE gesetzt -> Ab nach /dev/null
Da allerdings kaum (oder auch nie) Pakete ohne CE Flag kommen (wie es nach Auflösung der Congestion normal wäre) werden nahezu 100% dieser Pakete verworfen.

Das Gleiche kann man übrigens auch bei Linux GRE Tunneln beobachten. Die Funktionieren von und nach Unitymedia auch nicht.

Dass es tatsächlich an der Implementierung nach RFC6040 liegt kann man mit einem Linux GRE Tunnel sehr leicht testen, indem man nämlich für die Pakete innerhalb des Tunnels auf dem Endpunkt auf Unitymedia-Seite das ECN Flag auf CE setzt. Laut RFC6040 müssten diese Pakete dann mit CE Flag innen und außen beim Empfänger ankommen. Meine Tests zeigen: Dies ist der Fall.

Schuld ist aus meiner Sicht also ganz klar Unitymedia, die die Pakete manipulieren.
Von einem Bug in Apple's VPN Implementierung kann man unter Berücksichtigung von RFC6040 nicht sprechen.
 
Genau so ist es. Apple scheint ein Workaround eingebaut zu haben mit iOS 9.2, damit IPSec Pakete nicht verworfen werden, da das RFC eigentlich eher eine Empfehlung ist, aber Fakt ist, dass UM hier die große scheiße gebaut hat. Wenn andere Hersteller ECN einschalten werden wir immer wieder das Gleiche sehen, so lange UM die CE Wert setzt.

Als sie mich angerufen haben, hatten sie davon gesprochen, dass sie neue Konfigurationen für die CPEs bis Ende November ausrollen wollten. Daher tippe ich auf eine falsche QoS Konfiguration. Das würde aber heißen, dass sie nicht nur die FritzBox Konfigurationen bereinigen müssen, sondern auch alles was sie an CPEs in den letzen mind. 10 Jahren angeboten haben. (Horizon Box, Motorola Modems, etc...)

In diesem Moment würde ich auf gar kein Fall Netzwerktechniker bei Unitymedia sein wollen :p
 
Hat Unitymedia was gemacht? Ich habe gerade meine Fritzbox neu gestartet, und nun scheint der Tunnel von IOS 9.1 (provider o2) zur Fritzbox (Unitymedia) zu funktionieren. Ping nach internen und externen Adressen. Ich hoffe, ich habe mich nicht geirrt.
 
Also hier selbe Konstellation, aber immer noch kaputt.
 
Bei mir geht VPN nach einem Neustart der FB nun auch wieder :)
 
Bei mir funktioniert es immer noch nicht. Seid ihr sicher, dass ihr WLAN ausgeschaltet habt, und nicht von "hinter" der FritzBox kommen? Das hat nämlich die ganze Zeit funktioniert...
 
Ja, ich habe es nochmal probiert. Auf dem iPhone sowohl WLAN wie auch Bluetooth ausgeschaltet, VPN eingeschaltet, und es ging. Nach ausschalten von VPN keine Verbindung mehr.
 
Hab eine FB7490 als exposed host an meiner FB6340 Cable.
Vor dem Reboot der 6340 gingen noch keine Daten durch den Tunnel, nach dem Reboot funktioniert VPN wieder problemlos.
 

Anhänge

  • screenshot.jpg
    screenshot.jpg
    102.7 KB · Aufrufe: 17
Zuletzt bearbeitet:
Hat Unitymedia was gemacht? Ich habe gerade meine Fritzbox neu gestartet, und nun scheint der Tunnel von IOS 9.1 (provider o2) zur Fritzbox (Unitymedia) zu funktionieren. Ping nach internen und externen Adressen. Ich hoffe, ich habe mich nicht geirrt.

Bei mir brachte auch ein Neustart der FritzBox nichts. Tunnelaufbau Ja, Datenverkehr Nein.
 
..., nach dem Reboot funktioniert VPN wieder problemlos.

BTW: Was hat das Reboot deiner FritzBox-cable, geändert/bewirkt? Hast Du jetzt eine andere Firmware oder eine andere Konfigurationsdatei in deiner FritzBox-cable?
 
FritzBox auch neugestartet?

Ja. Ohne und mit Neustart weiterhin kaputt. Davor hängt aber noch ein Cisco Kabelmodem, das ich nicht remote neustarten kann.

Nachtrag:
Vielleicht ist das Problem bislang in Teilen des Netzes behoben?
 
Die FW ist noch die gleiche (6.04). Im Systemprotokoll habe ich auch nichts "verdächtiges" gefunden. Ich vermute mal, Unitymedia hinterlegt auf deren Server einfach eine neue Config und die Endgeräte ziehen die sich von dort.
 
Diese Vermutung ist aber völlig unbegründet, speziell, wenn nichts dergleichen in den Ereignissen der Box auftaucht.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.