[Gelöst] VPN Tunel zwischen Fritzbox 7490 und iPhone (iOS9) funktioniert nicht mehr

[sirin]

Also ich habe den Thread ab #1 gelesen und kann guten Gewissens wie folgt zusammenfassen:

"iOS9 Geräte können eine VPN Verbindung zu einem Router der Unitymedia als WAN hat zwar aufbauen, allerdings werden keine Daten/Pakete ins lokale Netz geroutet. Benutzer mit iOS9 Geräten aber einem anderen Provider (speziell Telekom und 1&1) haben dieses Problem nicht."

Das deckt sich als betroffener mit meinen beiden pfSense Routern die sich jeweils hinter einem Unitymedia Anschluss befinden.
Außerdem kann ich hinzufügen, dass die IP Adresse die man aus dem virtuellen Adresspool nach Verbindungsaufbau erhält sich ebenfalls nicht anpingen lässt. Und das finde ich seltsam.
Die Tests von Biker73 und salamihawk bestärken eben zusätzlich meine Meinung das Unitymedia irgendwas verwirft oder blockiert.

Ich gebe zu, dass meine Aussage "Grundsätzliche Probleme mit dem VPN in iOS würde ich als unwahrscheinlich einstufen" speziell auch nach dem heise-Bericht komplett falsch war.
Ich bleibe aber dabei, dass beim heise-Bericht ein ganz anderer Sachverhalt beschrieben wird. Nämlich der, dass nur interne Ressourcen erreichbar sind und die VPN Verbindung instabil ist - was bei uns nicht der Fall ist. Ich möchte ja eben die internen Sachen erreichen was nun nicht mehr möglich ist.

Wollte jetzt auch keine Grundsatzdiskussion starten wer wie in welcher Form recht hat. Ich denke es handelt sich hierbei um ein klassisches Missverständnis. Die Frage ist nur wie geht man am besten vor ohne jetzt die Riesenarbeit mit dem Thema zu haben.

 

[thtomate12]

wie geht man am besten vor ohne jetzt die Riesenarbeit mit dem Thema zu haben

Irgendwer muss die machen, entweder UM oder jemand mit iOS9 und UM-WAN.
Die Antwort von UM wird sein, dass bei FB-Problemen (außer kein Internet oder Telefon) AVM zuständig ist, die auch eine Paketdump brauchen.
Da UM hoffentlich keine VPN-Pakete entpacken kann, reicht sogar ein Mitschnitt auf WAN.


Ein 1+1-Anschluss ist so unvergleichbar

 

[KunterBunter]

Laut Heise ohne Riesenarbeit mit dem Thema: Momentan gibt es für betroffene User unter iOS 9 keine direkte Abhilfe. Wer auf die Funktion angewiesen ist, kann daher nur auf iOS 8.4.1 downgraden.

 

[hitman]

Kann das etwas mit IPv6 zu tun haben?
ich habe IPv6 aktiviert und die Option "Immer eine native IPv4-Anbindung nutzen (empfohlen)" in Benutzung,
Das ist für mich momentan das Einzige, was logisch in Frage käme; bin aber sehr gespannt, woran es liegt.....
Bekommt die Box keine IPv4 Adresse mehr?

Hast du bei dir zusätzlich bei "Weitere Einstellungen" die Option "MTU manuell einstellen xyz Byte" aktiviert.

Könnte nämlich ein klassisches MTU-Problem sein.

 

[KunterBunter]

Warum sollte JensemannWF das machen? Der hat das Problem doch gar nicht. :?

 

[hitman]

Eben drum, bei ihm geht es ja. Und da er in dem Bereich was aktiviert hat, könnte es vielleicht daran liegen.

 

[amatör]

Steht eigentlich jemand in Kontakt mit UM zu dem Thema?

 

[PeterPawn]

Wollte jetzt auch keine Grundsatzdiskussion starten wer wie in welcher Form recht hat. Ich denke es handelt sich hierbei um ein klassisches Missverständnis. Die Frage ist nur wie geht man am besten vor ohne jetzt die Riesenarbeit mit dem Thema zu haben.

Um das "recht behalten" geht es mir nicht mal im Ansatz (von zwei unterschiedlichen Meinungen muß immer eine falsch sein und ohne solche Gegensätze wäre jede Diskussion sinnlos, ich empfinde es nicht im Geringsten als "Makel", auch mal eine falsche Meinung zu vertreten, die wird dann eben revidiert) ... ich habe nur Probleme mit Leuten, die so absolut in der Lage sind, solche Threads genau so zu lesen und zu deuten, daß die eigene Weltsicht unmittelbar bestätigt wird und dabei alle Beiträge, die nicht zu diesem Weltbild passen, einfach ignorieren. Dabei fallen dann nämlich in aller Regel entscheidende Aspekte unter den Tisch und man rennt mit Vollgas in die falsche Richtung.

Wie Du es in 2 Minuten nach meinem Beitrag geschafft hast, die Irrelevanz bzw. den fehlenden Zusammenhang zwischen den Problemen zu diagnostizieren (selbst der heise.de-Beitrag war erst 10 Minuten alt, ich nehme mal zu Deinen Gunsten an, daß Du den schon gelesen hattest und auch das erste Verständnis des Gelesenen sich langsam zu manifestieren begann), geht (ging) mir in diesem Zusammenhang allerdings schon gegen den Strich, weil das eben reiner "Beißreflex" war und Du Dich nicht mal zu einer substantiierten Erklärung dieses Standpunkts herabgelassen hast.

Immerhin stimme ich den letzten Mutmaßungen weitgehend zu und es handelt sich bei den jüngsten Beiträgen (und auch bei Deiner nunmehr nicht mehr zu beanstandenden Zusammenfassung) offensichtlich um eine Kombination aus zwei Faktoren, die zusammen ein Problem mit dem VPN ergeben. Nur wenn die Faktoren "iOS 9" und "Unitymedia" zusammentreffen, gibt es Probleme mit VPN-Gegenstellen (bei den hier versammelten Diskutanten). Andere haben zusätzliche Probleme mit dem VPN, die auch dann auftreten, wenn UM (mit einiger Wahrscheinlichkeit) gar nicht involviert ist (ich glaube jedenfalls nicht, daß die Cisco-Netzwerker - allgemein nicht unbedingt als unfähig verschrien, wenn es nicht gerade um Security und Backdoors in deren IOS geht - den Fehler über eine Unitymedia-Verbindung festgestellt haben) und das iOS von Apple stellt einen internen IPSec-Stack bereit, den nun einmal alle VPN-Implementierungen benutzen müssen, denn an die Systemebene des Netzwerks läßt Apple keine App heran. Wenn also dieser IPSec-Stack ein generelles Problem hat, betrifft das alle VPN-"Frontends", denn diese bilden nur eine eigene "Oberfläche" für die Konfiguration der für IKE/ISAKMP notwendigen Daten. Am Ende greift (vermutlich!) jede IPSec-"Verbindung" (mein Nachtrag in #40 erklärt die Gänsefüßchen) auf den Apple-eigenen Stack zurück.

Außerdem kann ich hinzufügen, dass die IP Adresse die man aus dem virtuellen Adresspool nach Verbindungsaufbau erhält sich ebenfalls nicht anpingen lässt. Und das finde ich seltsam.

Und schon die Beschreibung ist seltsam ... heißt das jetzt, daß auf dem iOS-Gerät selbst die "eigene" Adresse nicht angepingt werden kann oder kann von der pfSense aus diese Adresse nicht erreicht werden? Kommt die "Frage" (echo request) überhaupt an? Oder wird nur das "echo reply" vom iOS nicht richtig übertragen? Gibt es überhaupt ein gekapseltes Paket für diese Requests? Kommt das nicht an oder kann dieses nur nicht richtig dekodiert werden? Alles offene Fragen, die für jemanden mit ein wenig Netzwerk-Knowhow eigentlich problemlos zu beantworten sein sollten. Eine reine Feststellung "ping geht nicht" ist eben wenig hilfreich, wenn die möglichen Ursachen noch so vielfältig sind. Man kann ja durchaus "in der Mitte des Problems" mit einem Ping-Test beginnen ... der ist aber alles andere als "atomar" und wenn schon der nicht klappt, muß man eben tiefer graben.

Die Tests von Biker73 und salamihawk bestärken eben zusätzlich meine Meinung das Unitymedia irgendwas verwirft oder blockiert.

Das Statement von SLind in #12 ignorierst Du dabei dann aber mindestens in Teilen. Dieser Aussage zufolge ist mindestens iOS9 eine weitere Komponente in diesem Puzzle, denn einem IPSec-Paket sieht man nicht an, ob es von einer bestimmten OS-Version gesendet wurde oder nicht. Wenn also UM da irgendetwas verwirft oder blockiert, dann offenbar nur deshalb, weil die Pakete anders aufgebaut und/oder adressiert sind. Auch hier wieder die Frage, ob denn nun IPSec-NAT-T (RFC 3947) benutzt wird oder nicht ... wenn beide Peers unterschiedliche Ideen in dieser Hinsicht haben, reden sie aneinander vorbei und eine "stabile Verbindung" gibt es bei IPSec eben gar nicht - insofern ist diese von Dir getroffene Aussage ohne nähere Beschreibung, was damit gemeint sein soll, auch ziemlich "wertlos" (extra in Gänsefüßchen gesetzt, damit Du das nicht persönlich nimmst). Ohne zusätzliche Maßnahmen ("dead peer detection" - RFC 3706) kriegt man gar nicht mit, ob so eine Verbindung besteht, geschweige denn, daß sie "stabil" ist. Funktioniert DPD denn bei Deinen pfSense-Geräten tatsächlich weiterhin? Da das auf der IKE-Ebene läuft, würde es zumindest schon mal die (öffentliche) Übertragung von Paketen zwischen den Peers bestätigen.

Ich bleibe aber dabei, dass beim heise-Bericht ein ganz anderer Sachverhalt beschrieben wird.

Warum das nichts heißen muß, habe ich versucht oben darzulegen ... aber es kommt offenbar auch darauf an, unter welchem Aspekt man den heise.de-Beitrag liest.

Warum am Ende niemand in der Lage ist, diese ganzen hier geäußerten Vermutungen und Beobachtungen einfach mal mit Fakten in Form von substantiellen Tests und/oder Protokollen und/oder Mitschnitten zu untermauern, wird mir aber wohl trotzdem ein Rätsel bleiben, ebenso die Frage, warum man für eine Fehlersuche

auch etwas der Mut am Gateway zu spielen während alle nicht iOS9 Benutzer problemlos arbeiten können.

irgendetwas für andere Benutzer ändern müßte. Ein wenig Netzwerk-Knowhow und sogar recht rudimentäre Kenntnisse sollten ja nun ausreichen, um eine systematische Suche zu starten ...

 

[sirin]

... ich habe nur Probleme mit Leuten, die so absolut in der Lage sind, solche Threads genau so zu lesen und zu deuten, daß die eigene Weltsicht unmittelbar bestätigt wird und dabei alle Beiträge, die nicht zu diesem Weltbild passen, einfach ignorieren. Dabei fallen dann nämlich in aller Regel entscheidende Aspekte unter den Tisch und man rennt mit Vollgas in die falsche Richtung.

In diesem Punkt hast du ein falsches Bild von mir.

Wie Du es in 2 Minuten nach meinem Beitrag geschafft hast, die Irrelevanz bzw. den fehlenden Zusammenhang zwischen den Problemen zu diagnostizieren (selbst der heise.de-Beitrag war erst 10 Minuten alt, ich nehme mal zu Deinen Gunsten an, daß Du den schon gelesen hattest und auch das erste Verständnis des Gelesenen sich langsam zu manifestieren begann), geht (ging) mir in diesem Zusammenhang allerdings schon gegen den Strich, weil das eben reiner "Beißreflex" war und Du Dich nicht mal zu einer substantiierten Erklärung dieses Standpunkts herabgelassen hast.

Okay das ist also der Auslöser... Ich habe das hier besprochene Problem heise gemeldet gehabt, da die eher einen Draht zu unitymedia haben als jeder User der am "Level 1" verzweifelt. Der Redakteur hat mir daraufhin den Link zugeschickt und mir geschrieben das das Problem schon bekannt ist.
Bedeutet ich hatte mich davor schon mit dem Artikel auseinandergesetzt in dem steht das nur lokale Netzwerkressourcen verfügbar sind. Bei uns allen sind diese aber eben nicht verfügbar. Man erkannt also sehr schnell das der Artikel auf ein anderes Problem zielt.

Immerhin stimme ich den letzten Mutmaßungen weitgehend zu und es handelt sich bei den jüngsten Beiträgen (und auch bei Deiner nunmehr nicht mehr zu beanstandenden Zusammenfassung) offensichtlich um eine Kombination aus zwei Faktoren, die zusammen ein Problem mit dem VPN ergeben. Nur wenn die Faktoren "iOS 9" und "Unitymedia" zusammentreffen, gibt es Probleme mit VPN-Gegenstellen (bei den hier versammelten Diskutanten).

Danke.

Andere haben zusätzliche Probleme mit dem VPN, die auch dann auftreten, wenn UM (mit einiger Wahrscheinlichkeit) gar nicht involviert ist (ich glaube jedenfalls nicht, daß die Cisco-Netzwerker - allgemein nicht unbedingt als unfähig verschrien, wenn es nicht gerade um Security und Backdoors in deren IOS geht - den Fehler über eine Unitymedia-Verbindung festgestellt haben) und das iOS von Apple stellt einen internen IPSec-Stack bereit, den nun einmal alle VPN-Implementierungen benutzen müssen, denn an die Systemebene des Netzwerks läßt Apple keine App heran. Wenn also dieser IPSec-Stack ein generelles Problem hat, betrifft das alle VPN-"Frontends", denn diese bilden nur eine eigene "Oberfläche" für die Konfiguration der für IKE/ISAKMP notwendigen Daten. Am Ende greift (vermutlich!) jede IPSec-"Verbindung" (mein Nachtrag in #40 erklärt die Gänsefüßchen) auf den Apple-eigenen Stack zurück.

Diese "anderen" gibt es in diesem Thread aber bisher noch nicht? Oder habe ich diesen übersehen? Haben doch alle die selben Symptome bisher oder? Einwahl möglich, internes Netz nicht erreichbar.

Und schon die Beschreibung ist seltsam ... heißt das jetzt, daß auf dem iOS-Gerät selbst die "eigene" Adresse nicht angepingt werden kann oder kann von der pfSense aus diese Adresse nicht erreicht werden? Kommt die "Frage" (echo request) überhaupt an? Oder wird nur das "echo reply" vom iOS nicht richtig übertragen? Gibt es überhaupt ein gekapseltes Paket für diese Requests? Kommt das nicht an oder kann dieses nur nicht richtig dekodiert werden? Alles offene Fragen, die für jemanden mit ein wenig Netzwerk-Knowhow eigentlich problemlos zu beantworten sein sollten. Eine reine Feststellung "ping geht nicht" ist eben wenig hilfreich, wenn die möglichen Ursachen noch so vielfältig sind. Man kann ja durchaus "in der Mitte des Problems" mit einem Ping-Test beginnen ... der ist aber alles andere als "atomar" und wenn schon der nicht klappt, muß man eben tiefer graben.

Diese Fragen kann ich dir nicht beantworten. Ich habe nämlich keine Ahnung wo ich den Traffic mitsniffen kann. Über den Tunnel fließt kein Traffic ins interne Netz wo ich sniffen könnte.
Der VPN Endpunkt am IOS Gerät erhält eine IP Adresse die nichts mit beiden Netzwerken zu tun hat und als Transit(?) dient. Und diese IP Adresse kann ich weder von der Firewall noch im iOS Gerät anpingen. Und wenn ich an einem Gerät meine "eigene IP Adresse" (in Anführungszeichen, da diese ja eigentlich auf der Firewall liegt als Tunnel Startpunkt) nicht anpingen kann, dann ist was im Argen.

Das Statement von SLind in #12 ignorierst Du dabei dann aber mindestens in Teilen. Dieser Aussage zufolge ist mindestens iOS9 eine weitere Komponente in diesem Puzzle, denn einem IPSec-Paket sieht man nicht an, ob es von einer bestimmten OS-Version gesendet wurde oder nicht. Wenn also UM da irgendetwas verwirft oder blockiert, dann offenbar nur deshalb, weil die Pakete anders aufgebaut und/oder adressiert sind. Auch hier wieder die Frage, ob denn nun IPSec-NAT-T (RFC 3947) benutzt wird oder nicht ... wenn beide Peers unterschiedliche Ideen in dieser Hinsicht haben, reden sie aneinander vorbei und eine "stabile Verbindung" gibt es bei IPSec eben gar nicht - insofern ist diese von Dir getroffene Aussage ohne nähere Beschreibung, was damit gemeint sein soll, auch ziemlich "wertlos" (extra in Gänsefüßchen gesetzt, damit Du das nicht persönlich nimmst). Ohne zusätzliche Maßnahmen ("dead peer detection" - RFC 3706) kriegt man gar nicht mit, ob so eine Verbindung besteht, geschweige denn, daß sie "stabil" ist. Funktioniert DPD denn bei Deinen pfSense-Geräten tatsächlich weiterhin? Da das auf der IKE-Ebene läuft, würde es zumindest schon mal die (öffentliche) Übertragung von Paketen zwischen den Peers bestätigen.

Das Statement von SLind in #12 versteht einer von uns falsch. Ich verstehe das so, dass er einen VPN Zugang hat und diesen auf seinem Macbook und iPhone gleichermaßen eingerichtet hat. Auf dem Macbook funktioniert es, auf dem iPhone aber nicht.
Ich denke: Weil iPhone iOS9 bereits released und installiert und OS X El Capitan nicht. Das wird erst am 30.9. offiziell released werden. Apple scheint also den von dir besagten Stack ab iOS9 oder El Capitan geändert zu haben was prinzipiell funktioniert ... mit "UM" aber leider nicht mehr. Vielleicht funktioniert es ja auch nur zufällig mit der Telekom und den anderen. Man weiß es eben noch nicht.

Warum das nichts heißen muß, habe ich versucht oben darzulegen ... aber es kommt offenbar auch darauf an, unter welchem Aspekt man den heise.de-Beitrag liest. Warum am Ende niemand in der Lage ist, diese ganzen hier geäußerten Vermutungen und Beobachtungen einfach mal mit Fakten in Form von substantiellen Tests und/oder Protokollen und/oder Mitschnitten zu untermauern, wird mir aber wohl trotzdem ein Rätsel bleiben, ebenso die Frage, warum man für eine Fehlersuche irgendetwas für andere Benutzer ändern müßte. Ein wenig Netzwerk-Knowhow und sogar recht rudimentäre Kenntnisse sollten ja nun ausreichen, um eine systematische Suche zu starten ...

Vielleicht kann ich heute Abend einen Verbindungsaufbau am WAN Port einmal mit iOS9 und mit iOS < 9 meines alten iPads mitschneiden und dann gucken wir uns das gemeinsam an.

By the way hast du eine ziemlich überhebliche Art und das ganze "Fachgesimpel" ist oft nicht nur suspekt sondern was ich so bisher erlebt habe immer ein großer Indikator für blablabla. Das Ding ist du hast es hier mit Endandwendern zu tun bei denen sich mit Glück der ein oder andere vielleicht etwas besser auskennt. Hier so in die vollen zu Preschen als wären wir bei der Diskussion unter Cisco Ingenieuren ist einfach fehl am Platz sorry.

 

[sirin]

Kurz zur Klarstellung da das aus der ganzen Diskussion vielleicht nicht sauber hervorgeht.

Es hätte original auch die Telekom oder jeden anderen ISP treffen können. Das UM das Ganze an der Backe hat ist nun natürlich ärgerlich. Vielleicht erledigt sich das Problem auch mit iOS9.1 wieder; aber UM muss sich im eigenen Interesse darum kümmern. Sonst werden sich die Leute die keine andere Möglichkeit haben einen ISP suchen mit dem die VPN Geschichte eben funktioniert.

 

[PeterPawn]

In diesem Punkt hast du ein falsches Bild von mir.

Denke ich - gerade nach dem letzten Beitrag - eher nicht ... aber ich mische mich im Anschluß auch hier raus, sonst geraten wir definitiv noch weiter aneinander.

Ich habe das hier besprochene Problem heise gemeldet gehabt, da die eher einen Draht zu unitymedia haben als jeder User der am "Level 1" verzweifelt. Der Redakteur hat mir daraufhin den Link zugeschickt und mir geschrieben das das Problem schon bekannt ist.
Bedeutet ich hatte mich davor schon mit dem Artikel auseinandergesetzt in dem steht das nur lokale Netzwerkressourcen verfügbar sind. Bei uns allen sind diese aber eben nicht verfügbar. Man erkannt also sehr schnell das der Artikel auf ein anderes Problem zielt.

Das liegt aber auch nur daran, wie Du Deinerseits die Aussage

Nicht betroffen sind offenbar lokale Ressourcen im internen Netz.

interpretierst (wobei eben auch die heise.de-Meldung da nicht gerade präzise ist). Schon die Frage, was denn nun "lokale Ressourcen im internen Netz" sind, ist ja nicht eindeutig. Sind das Ressourcen in einem WLAN, in dem sich das iOS-Gerät befindet und über das es die Verbindung mit der VPN-Gegenstelle betreibt oder sind das lokale Ressourcen im internen Netz der VPN-Gegenstelle?

Auch Deine Angabe, heise.de hätte Dir einen Link zugeschickt (wohin zeigte der denn) und Du hättest Dich bereits vorher damit "auseinandergesetzt", ist eben nicht sehr präzise. Wenn Du damit den Link auf den von mir ebenfalls verlinkten heise.de-Artikel von 11:03 Uhr meinen solltest und mit dem hattest Du Dich dann um 11:16 Uhr schon so weit "auseinandergesetzt", daß Du die Feststellung in #32 für notwendig und opportun gehalten hast (hast Du den originalen Text von Cisco bei Facebook dazu ebenfalls gelesen?), dann stimme ich Dir eben immer noch nicht zu, weil ich den anders interpretiere als Du. Damit kann freilich auch ich daneben liegen, aber das juckt mich nicht im Geringsten.

Diese "anderen" gibt es in diesem Thread aber bisher noch nicht? Oder habe ich diesen übersehen? Haben doch alle die selben Symptome bisher oder? Einwahl möglich, internes Netz nicht erreichbar.

Nachdem wir vor einiger Zeit "gelernt" haben, daß beim iOS bei aktivierter IPSec-VPN-Verbindung (das meint ab Etablieren einer gültigen SA) automatisch der komplette Traffic über diese VPN-Verbindung geht, wird es dann eben mysteriös, wenn gerade der Traffic, der nur die Hälfte der Hürden zu bewältigen hat, nicht funktionieren will. Es gibt am Beginn nur zwei mögliche Knackpunkte ... entweder die Requests für "lokale" Adressen im Netz des VPN-Peers werden gar nicht über die IPSec-Verbindung gesendet, weil das lokale Routing/die Encapsulation beim iOS nicht klappt, zumindest nicht bei UM-Verbindungen - oder die Daten "sterben" auf der IPSec-Strecke oder dahinter. Erst wenn geklärt ist, daß da vom iOS tatsächlich die Daten auch gesendet werden, kommt UM überhaupt ins Spiel. Schon eine abweichende PMTU-Discovery bei UM, weil das iOS u.U. die Paketgrößen bei der Encapsulation falsch berechnet (und die anderen Provider ohnehin eine kleinere MTU verwenden wegen anderer Technologien), kann die Ursache des Problems sein.

Apple scheint also den von dir besagten Stack ab iOS9 oder El Capitan geändert zu haben was prinzipiell funktioniert ... mit "UM" aber leider nicht mehr.

Und schon diese Aussage ist eben - nach Deinen "Frechheiten" halte ich mich jetzt auch nicht mehr zurück - "bullshit" ... wenn auch Cisco unter vollkommen anderen Voraussetzungen Probleme mit der IPSec-Implementierung im iOS hat, kann die nicht "prinzipiell funktionieren" und nur bei Unitymedia nicht.

Der VPN Endpunkt am IOS Gerät erhält eine IP Adresse die nichts mit beiden Netzwerken zu tun hat und als Transit(?) dient.

Das ist dann schon mal eine vollkommen andere Konfiguration als bei einer FRITZ!Box und nachdem Du hier der Einzige mit einer pfSense bist, bist ja vielleicht Du der "Exot" in diesem Thread? Ich weiß es auch nicht und Du hast ja offenbar keinen Plan, wie Du an weitere Informationen gelangen könntest.

By the way hast du eine ziemlich überhebliche Art und das ganze "Fachgesimpel" ist oft nicht nur suspekt sondern was ich so bisher erlebt habe immer ein großer Indikator für blablabla.

Und hier hast Du jetzt für mein Empfinden den Bogen eindeutig überspannt und ich klinke mich aus.

Nachdem ich Dir in #40 im ersten Punkt noch eine Art "Welpenschutz" zuerkannt habe, ist das mir jetzt doch etwas zu heftig und ich habe es (jedenfalls für mein Ego nicht) auch nicht nötig, hier etwas zu beweisen.

Ich denke, ich habe mit einigem Blabla schon genug Leuten hier bei VPN-Problemen geholfen und Dich tue ich mir an dieser Stelle dann nicht mehr an.

Du hast mir auf einen ganz simplen Beitrag (#32, dann erst nach Deiner prompten und wohlbegründeten Antwort kam meinerseits #36) hin zu verstehen gegeben, daß ich praktisch nicht lesen kann/will und/oder das alles ohnehin nicht verstehe. Dann will ich Dich auch nicht länger mit meinem Blabla quälen ... das hat auch nichts mit "jetzt bin ich beleidigt" zu tun, es ist nur vollkommen sinnfrei, sich über einen längeren Zeitraum hier derart auseinanderzusetzen. Es kostet zwar immer wieder etwas Überwindung, aber man muß auch mal zurückstecken können ... ich werde also etwaige Repliken durchaus noch lesen, aber nicht mehr reagieren.

Nur noch als Abschluß ein Beispiel, warum mein Eindruck von Dir meines Erachtens eben doch richtig ist. Aus dem Text des heise.de-Artikels

Demnach kommt es unter Umständen nach der Herstellung einer Verbindung zu Aussetzern.

Grund scheint ein Bug bei der Namensauflösung per DNS zu sein – Websites lassen sich daher ebensowenig aufrufen wie andere externe Dienste.

wird bei Dir dann umgehend die Feststellung

Naja beim "Heise-Cisco" Fall lassen sich die Maschinen nicht mehr auflösen, sprich da gibt es ein Problem mit dem DNS. Außerdem setzen die die Verbindungen wohl aus.

Das ist nun mal ein vollkommen anderer Zusammenhang und wenn Deine "Auseinandersetzung" mit den Texten anderer immer in dieser Präzision und Treffsicherheit erfolgt, dann trügt mein Eindruck eben doch nicht.

 

[sirin]

Also wie man sich so in das Thema reinsteigern kann nur weil ich geschrieben habe, dass das bei heise ein ganz anderer Sachverhalt ist ist mir wirklich ein Rätsel.

Natürlich hat beides irgendwie etwas mit VPN zu tun aber entweder ich erreiche nach einer Verbindung die Geräte im lokalen Netz auf der anderen Seite (ich weiss nicht wie man das falsch verstehen kann) oder eben nicht. Wenn es andersherum gemeint wäre dann würde ich doch einfach keine VPN Verbindung aufbauen und hätte auch kein Problem ... also entweder drücke ich mich so unverständlich aus oder ich weiß auch nicht.

Und sorry, dass ich das VPN Protokoll nicht bis ins letzte studiert habe.

Weisst du so im richtigen Leben so von Angesicht und Angesicht würden wir uns glaube ich richtig gut verstehen und wenn du mal unten im Süden bist dann komm bei uns vorbei und wir trinken mal ein oder zwei Bier und dann passt das wieder alles. Aber hier wird das wie du schon geschrieben hast glaube ich nichts mehr.

So ich fahr jetzt nochmal ins Büro und werde die WAN Seite aufzeichnen. Einmal mit meinem "alten OS X" wo alles noch sauber funktioniert und dann mit meinem iOS 9 und dann bin ich gespannt ob man da etwas herauslesen kann.

Ansonsten gibt es eben einen neuen Einstiegspunkt bei AWS oder sonstwo der halt einen Tunnel hält zu den besagten pfSensen und fertig.

 

[thtomate12]

Kannst du auf der pfSense auch die Ausgabe des VPN-Service loggen?

 

[sirin]

Kannst du auf der pfSense auch die Ausgabe des VPN-Service loggen?

Rudimentär loggt der Dienst ohnehin bisschen was. Ich werde versuchen das in den debug Mode zu versetzen und poste alles was ich bekommen kann

 

[sirin]

So wie angekündigt habe ich mich einmal mit den unterschiedlichen Clients mit dem VPN verbunden und aufgezeichnet was so passiert. Ich habe dies miteinander verglichen und konnte nichts feststellen - soll aber erst einmal nichts bedeuten da ich bisher noch nie eine VPN Verbindung "analyisiert" habe und sich mein Know-How was das angeht in Grenzen hält.


Zunächst einmal die Logs des VPN Dienstes auf der pfSense Firewall:

pfSense IPsec log (Verbindung mit ShrewSoft VPN unter Windows 10) - verbindet und funktioniert
----------------------------------------------------------------------------------------------------------------------------
Sep 22 20:02:52    racoon: [Self]: INFO: respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500]
Sep 22 20:02:52    racoon: INFO: begin Aggressive mode.
Sep 22 20:02:52    racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Sep 22 20:02:52    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
Sep 22 20:02:52    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-01
Sep 22 20:02:52    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Sep 22 20:02:52    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Sep 22 20:02:52    racoon: INFO: received Vendor ID: RFC 3947
Sep 22 20:02:52    racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Sep 22 20:02:52    racoon: INFO: received Vendor ID: DPD
Sep 22 20:02:52    racoon: INFO: received Vendor ID: CISCO-UNITY
Sep 22 20:02:52    racoon: [xxx.xxx.xxx.xxx] INFO: Selected NAT-T version: RFC 3947
Sep 22 20:02:52    racoon: INFO: Adding remote and local NAT-D payloads.
Sep 22 20:02:52    racoon: [xxx.xxx.xxx.xxx] INFO: Hashing xxx.xxx.xxx.xxx[500] with algo #2 (NAT-T forced)
Sep 22 20:02:52    racoon: [Self]: [yyy.yyy.yyy.yyy] INFO: Hashing yyy.yyy.yyy.yyy[500] with algo #2 (NAT-T forced)
Sep 22 20:02:52    racoon: INFO: Adding xauth VID payload.
Sep 22 20:02:52    racoon: [Self]: INFO: NAT-T: ports changed to: xxx.xxx.xxx.xxx[39104]<->yyy.yyy.yyy.yyy[4500]
Sep 22 20:02:52    racoon: INFO: NAT-D payload #0 doesn't match
Sep 22 20:02:52    racoon: INFO: NAT-D payload #1 doesn't match
Sep 22 20:02:52    racoon: INFO: NAT detected: ME PEER
Sep 22 20:02:52    racoon: INFO: Sending Xauth request
Sep 22 20:02:52    racoon: [Self]: INFO: ISAKMP-SA established yyy.yyy.yyy.yyy[4500]-xxx.xxx.xxx.xxx[39104] spi:945e5d11712c126a:f5bbe5dbea45a412
Sep 22 20:02:52    racoon: [xxx.xxx.xxx.xxx] INFO: received INITIAL-CONTACT
Sep 22 20:02:52    racoon: INFO: Using port 0
Sep 22 20:02:52    racoon: user 'gerks' authenticated
Sep 22 20:02:52    racoon: INFO: login succeeded for user "gerks"
Sep 22 20:02:52    racoon: WARNING: Ignored attribute INTERNAL_ADDRESS_EXPIRY
Sep 22 20:02:52    racoon: ERROR: Cannot open "/etc/motd"
Sep 22 20:02:54    racoon: [Self]: INFO: respond new phase 2 negotiation: yyy.yyy.yyy.yyy[4500]<=>xxx.xxx.xxx.xxx[39104]
Sep 22 20:02:54    racoon: INFO: no policy found, try to generate the policy : 192.168.250.1/32[0] 0.0.0.0/0[0] proto=any dir=in
Sep 22 20:02:54    racoon: INFO: Adjusting my encmode UDP-Tunnel->Tunnel
Sep 22 20:02:54    racoon: INFO: Adjusting peer's encmode UDP-Tunnel(3)->Tunnel(1)
Sep 22 20:02:54    racoon: WARNING: authtype mismatched: my:hmac-sha peer:hmac-md5
Sep 22 20:02:54    racoon: [Self]: INFO: IPsec-SA established: ESP yyy.yyy.yyy.yyy[500]->xxx.xxx.xxx.xxx[500] spi=194560582(0xb98c246)
Sep 22 20:02:54    racoon: [Self]: INFO: IPsec-SA established: ESP yyy.yyy.yyy.yyy[500]->xxx.xxx.xxx.xxx[500] spi=4129333969(0xf620a2d1)


pfsense IPsec log (Verbindung mit OS X 10.10.5) - verbindet und funktioniert
----------------------------------------------------------------------------------------------------------------------------
Sep 22 20:13:47    racoon: [Self]: INFO: respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[62984]
Sep 22 20:13:47    racoon: INFO: begin Aggressive mode.
Sep 22 20:13:47    racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Sep 22 20:13:47    racoon: INFO: received Vendor ID: RFC 3947
Sep 22 20:13:47    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-08
Sep 22 20:13:47    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-07
Sep 22 20:13:47    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-06
Sep 22 20:13:47    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-05
Sep 22 20:13:47    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-04
Sep 22 20:13:47    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Sep 22 20:13:47    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Sep 22 20:13:47    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Sep 22 20:13:47    racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Sep 22 20:13:47    racoon: INFO: received Vendor ID: CISCO-UNITY
Sep 22 20:13:47    racoon: INFO: received Vendor ID: DPD
Sep 22 20:13:47    racoon: [xxx.xxx.xxx.xxx] INFO: Selected NAT-T version: RFC 3947
Sep 22 20:13:47    racoon: INFO: Adding remote and local NAT-D payloads.
Sep 22 20:13:47    racoon: [xxx.xxx.xxx.xxx] INFO: Hashing xxx.xxx.xxx.xxx[62984] with algo #2 (NAT-T forced)
Sep 22 20:13:47    racoon: [Self]: [yyy.yyy.yyy.yyy] INFO: Hashing yyy.yyy.yyy.yyy[500] with algo #2 (NAT-T forced)
Sep 22 20:13:47    racoon: INFO: Adding xauth VID payload.
Sep 22 20:13:47    racoon: [Self]: INFO: NAT-T: ports changed to: xxx.xxx.xxx.xxx[62985]<->yyy.yyy.yyy.yyy[4500]
Sep 22 20:13:47    racoon: INFO: NAT-D payload #0 doesn't match
Sep 22 20:13:47    racoon: INFO: NAT-D payload #1 doesn't match
Sep 22 20:13:47    racoon: [xxx.xxx.xxx.xxx] ERROR: notification INITIAL-CONTACT received in aggressive exchange.
Sep 22 20:13:47    racoon: INFO: NAT detected: ME PEER
Sep 22 20:13:47    racoon: INFO: Sending Xauth request
Sep 22 20:13:47    racoon: [Self]: INFO: ISAKMP-SA established yyy.yyy.yyy.yyy[4500]-xxx.xxx.xxx.xxx[62985] spi:9639438e8de1c712:9c8d62f014de990f
Sep 22 20:13:47    racoon: INFO: Using port 2
Sep 22 20:13:48    racoon: user 'gerks' authenticated
Sep 22 20:13:48    racoon: INFO: login succeeded for user "gerks"
Sep 22 20:13:48    racoon: WARNING: Ignored attribute INTERNAL_ADDRESS_EXPIRY
Sep 22 20:13:48    racoon: ERROR: Cannot open "/etc/motd"
Sep 22 20:13:48    racoon: WARNING: Ignored attribute 28683
Sep 22 20:13:48    racoon: [Self]: INFO: respond new phase 2 negotiation: yyy.yyy.yyy.yyy[4500]<=>xxx.xxx.xxx.xxx[62985]
Sep 22 20:13:48    racoon: INFO: no policy found, try to generate the policy : 192.168.250.3/32[0] 0.0.0.0/0[0] proto=any dir=in
Sep 22 20:13:48    racoon: INFO: Adjusting my encmode UDP-Tunnel->Tunnel
Sep 22 20:13:48    racoon: INFO: Adjusting peer's encmode UDP-Tunnel(3)->Tunnel(1)
Sep 22 20:13:48    racoon: [Self]: INFO: IPsec-SA established: ESP yyy.yyy.yyy.yyy[500]->xxx.xxx.xxx.xxx[500] spi=459235(0x701e3)
Sep 22 20:13:48    racoon: [Self]: INFO: IPsec-SA established: ESP yyy.yyy.yyy.yyy[500]->xxx.xxx.xxx.xxx[500] spi=95907819(0x5b76feb)


pfsense IPsec log (Verbindung mit iOS 9) - verbindet aber funktioniert nicht wie in diesem Thread beschrieben
----------------------------------------------------------------------------------------------------------------------------
Sep 22 20:08:43    racoon: [Self]: INFO: respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[62955]
Sep 22 20:08:43    racoon: INFO: begin Aggressive mode.
Sep 22 20:08:43    racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Sep 22 20:08:43    racoon: INFO: received Vendor ID: RFC 3947
Sep 22 20:08:43    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-08
Sep 22 20:08:43    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-07
Sep 22 20:08:43    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-06
Sep 22 20:08:43    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-05
Sep 22 20:08:43    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-04
Sep 22 20:08:43    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Sep 22 20:08:43    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Sep 22 20:08:43    racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Sep 22 20:08:43    racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Sep 22 20:08:43    racoon: INFO: received Vendor ID: CISCO-UNITY
Sep 22 20:08:43    racoon: INFO: received Vendor ID: DPD
Sep 22 20:08:43    racoon: [xxx.xxx.xxx.xxx] INFO: Selected NAT-T version: RFC 3947
Sep 22 20:08:43    racoon: INFO: Adding remote and local NAT-D payloads.
Sep 22 20:08:43    racoon: [xxx.xxx.xxx.xxx] INFO: Hashing xxx.xxx.xxx.xxx[62955] with algo #2 (NAT-T forced)
Sep 22 20:08:43    racoon: [Self]: [yyy.yyy.yyy.yyy] INFO: Hashing yyy.yyy.yyy.yyy[500] with algo #2 (NAT-T forced)
Sep 22 20:08:43    racoon: INFO: Adding xauth VID payload.
Sep 22 20:08:43    racoon: [Self]: INFO: NAT-T: ports changed to: xxx.xxx.xxx.xxx[62956]<->yyy.yyy.yyy.yyy[4500]
Sep 22 20:08:43    racoon: INFO: NAT-D payload #0 doesn't match
Sep 22 20:08:43    racoon: INFO: NAT-D payload #1 doesn't match
Sep 22 20:08:43    racoon: [xxx.xxx.xxx.xxx] ERROR: notification INITIAL-CONTACT received in aggressive exchange.
Sep 22 20:08:43    racoon: INFO: NAT detected: ME PEER
Sep 22 20:08:43    racoon: INFO: Sending Xauth request
Sep 22 20:08:43    racoon: [Self]: INFO: ISAKMP-SA established yyy.yyy.yyy.yyy[4500]-xxx.xxx.xxx.xxx[62956] spi:a2c49bf1e4e37dd9:cc9dd5abdaa0a8ef
Sep 22 20:08:43    racoon: INFO: Using port 2
Sep 22 20:08:43    racoon: user 'gerks' authenticated
Sep 22 20:08:43    racoon: INFO: login succeeded for user "gerks"
Sep 22 20:08:43    racoon: WARNING: Ignored attribute INTERNAL_ADDRESS_EXPIRY
Sep 22 20:08:43    racoon: ERROR: Cannot open "/etc/motd"
Sep 22 20:08:43    racoon: WARNING: Ignored attribute 28683
Sep 22 20:08:43    racoon: [Self]: INFO: respond new phase 2 negotiation: yyy.yyy.yyy.yyy[4500]<=>xxx.xxx.xxx.xxx[62956]
Sep 22 20:08:43    racoon: INFO: no policy found, try to generate the policy : 192.168.250.3/32[0] 0.0.0.0/0[0] proto=any dir=in
Sep 22 20:08:43    racoon: INFO: Adjusting my encmode UDP-Tunnel->Tunnel
Sep 22 20:08:43    racoon: INFO: Adjusting peer's encmode UDP-Tunnel(3)->Tunnel(1)
Sep 22 20:08:43    racoon: [Self]: INFO: IPsec-SA established: ESP yyy.yyy.yyy.yyy[500]->xxx.xxx.xxx.xxx[500] spi=144273344(0x8996fc0)
Sep 22 20:08:43    racoon: [Self]: INFO: IPsec-SA established: ESP yyy.yyy.yyy.yyy[500]->xxx.xxx.xxx.xxx[500] spi=262510485(0xfa59795)

In der Datei Anhang anzeigen pcp.zip findet ihr die aufgezeichneten Pakete je Client an und vom WAN Port, gefiltert nach der WAN IP die die Verbindung initiiert.
Habe diese einmal ins Wireshark geladen und wenn man den Verbindungsaufbau von OS X mit iOS vergleicht dann sieht das eigentlich recht identisch aus.


Eventuell kann jemand mehr damit anfangen. Meine Wireshark-Skills halten sich nämlich ebenfalls sehr in Grenzen. Werde mir als nächstes trotzdem den Verkehr ins LAN Interface näher ansehen ... vielleicht gibt es dort sachdienliche Hinweise.

 

[sirin]

Habe mich jetzt einmal mit dem VPN verbunden und versucht eine Webseite im Netz der Gegenstelle aufzurufen. Dabei habe ich die Pakete der virtuellen IP des Clients / des Tunnels aufgezeichnet. Hier sieht die Sache schon etwas anders.

Es gibt nämlich kein ACK Paket vom Client wodurch kein Verbindungsaufbau zustande kommt und die beiden Freunde sich dann scheinbar im Kreis drehen.
Links iOS, rechts OS X 10.10.5



In der folgenden zip Datei auch nochmal die beiden Dateien für Wireshark: Anhang anzeigen LAN_capture.zip

Die Frage nach dem wieso wäre aber weiterhin offen. Welcher Lump wirfts Päckle weg und wieso?

So ich düse wieder nach Hause, hoffe ich konnte euch und uns erst einmal etwas weiterhelfen.

 

[HabNeFritzbox]

Im Test kommt mit IPSec zu Fehler, keine Antwort. Da ist auch nen Ciscon Logo beim Einrichten.

Mit L2TP und PPTP kein Problem, klappt sofort.

IKEv2 kann ich wohl mangels Serverunterstützung aktuell nicht testen.

Verwende die FB nicht als VPN Server.

 

[amatör]

Steht eigentlich jemand in Kontakt mit UM zu dem Thema?

Habe jetzt einen ausführlichen Fehlerbericht eingereicht. Wichtig wäre, dass eine ausreichende Anzahl an Fehlerberichten eingeht, damit sich UM wirklich damit beschäftigt.

Ich habe auch darauf hingewiesen, dass www.imore.com aus dem Unitymedia-Netz nicht erreichbar ist. Keine Ahnung, ob das zusammenhängt, aber das ist zumindest etwas, was nicht von der Hand zu weisen und sehr einfach zu reproduzieren ist. Und vielleicht hängen die beiden Probleme ja zusammen - aus meiner Benutzersicht sieht die Symptomatik ja ähnlich aus. Wenn es noch weitere Beispiele gibt, her damit.

Zu dem Logs kann ich mangels Kenntnissen leider nichts beitragen. Aber vielleicht kann PeterPawn etwas daraus lesen?

 

[sirin]

Habe jetzt einen ausführlichen Fehlerbericht eingereicht. Wichtig wäre, dass eine ausreichende Anzahl an Fehlerberichten eingeht, damit sich UM wirklich damit beschäftigt.

An wen hast du da geschrieben? Weil dann würde ich auch einmal eine E-Mail verfassen.

 

[rv112]

Bei mir ist imore.com aus dem UM Netz zu erreichen. Ich nutze jedoch nicht die UM DNS.