[Gelöst] VPN Tunel zwischen Fritzbox 7490 und iPhone (iOS9) funktioniert nicht mehr

Ich würde keine Referenz angeben, umso schneller ist der Report auf "Closed (Duplicated)". Lass das mal die Junx selber heraus finden.

@HabNeFritzbox: bugreport und die Beta-Feedback-App sind zwei paar Schuhe. unterschiedliche!
 
Ich bin mir nicht sicher, ob es in dem Thread (obwohl ich alles mindestens überflogen habe ) bereits thematisiert wurde.

PPTP-VPN funktioniert zu einem UM-Ziel
IPSec-VPN funktioniert, wie aus leidiger Erfahrung, nicht! Die Fritz!Box macht IPSec, wie alle wissen.

Also hängt es wohl NUR an der Behandlung von UPD Paketen mit ECN. TCP basierte Protokolle (ssh, ftp, pptp) funktionieren. Ich hoffe, dass mit meinem Report über den AdvancedNetworkDebug hilft Apple das Problem kurzfristig zu beseitigen.

Trotzdem halte ich das ECN, das von UM gesetzt wird, für sehr fragwürdig!
 
OpenVPN funktioniert übrigens auch einwandfrei. Trotz UDP und ECN.
 
OpenVPN funktioniert übrigens auch einwandfrei. Trotz UDP und ECN.

Hm. Biker73 hat in Beitrag #23 was anderes berichtet. Ist der OpenVPN-Server am UM-Anschluss? Was ist zwischen ihm und der UM-Buchse?
 
Unterschied bei mir ist, dass ich keine Fritzbox nutze, EPC3208 und daran pfSense. Das System macht auch den OpenVPN-Server. Die Pakete kommen am iPhone mit den ECN-Flags gesetzt an. Aber alles funktioniert.

Wundert mich auch, vor allem weil ich im pfSense Forum gelesen hatte, dass das Problem auch mit OpenVPN auftritt. Deswegen habe ich das selber getestet. Hat da evtl. die Fritzbox noch einen Einfluss?
 
Vielleicht eher ein Unterschied in der OpenVPN-Konfiguration...
 
Keine Veränderung mit iOS 9.0.2. Geht weiterhin nicht...
 
Hallo Zusammen,

also ich hatte mein Problem an Apple, AVM und Unitymedia gemeldet.

Jeder schiebt das Problem von sich weg:
1.) Apple sagt es gehe nur nicht mit Unitymedia nicht - alle anderen Provider würden gehen => Verantwortung Unitymedia (Zitat Apple "...die setzen zu alte Protokolle ein")
2.) Unitymedia sagt mit allen anderen Geräten außer Apple und auch mit Apple vor iOS9 geht alles => Verantwortung Apple nicht UM
3.) AVM Zitat: "[FONT=Lucida Sans Unicode, Lucida Grande, Tahoma, Verdana, sans-serif]Das beschriebene Problem, dass unter iOS 9 zwar die VPN-Verbindung zur FRITZ!Box erfolgreich hergestellt werden kann, dann jedoch keine Daten mehr im Tunnel übertragen werden ist uns bekannt und wir untersuchen derzeit die Ursachen. Aktuell stellt Apple ein Update auf iOS 9.1 bereit, das diverse Bugfixes enthalten soll. Ob damit auch das VPN-Problem behoben werden kann lässt sich noch nicht beurteilen; sollte sich im Rahmen unserer Untersuchungen ergeben, dass sich FRITZ!Box-seitig etwas zur Problembehebung beitragen lässt, dann werden wir dies in Form eines künftigen FRITZ!OS-Updates tun."[/FONT]

[FONT=Lucida Sans Unicode, Lucida Grande, Tahoma, Verdana, sans-serif]Heute habe ich ein Rückruf von einem Apple Senior Advisor erhalten, der mir durch die Blume sagte, dass der Kreis der User mit solchen Problemen zu gering sei und daher in der Liste der Apple To Do's so weit unten stehen würde, dass er mich nicht viel Hoffnung machen könne. Ich habe Ihn auf diesen Thread hingewiesen und auch auf den Umstand dass etliche User davon betroffen sind, dies hat Ihn jedoch nicht wirklich überzeugen können.

Ich selbst glaub auch nicht mehr an eine schnelle Problemlösung...

P.S. das neue iOS 9.0.2 bring leider auch keine Abhilfe :-(
[/FONT]
 
Mein Bugreport wurde gerade geschlossen. Doppelt mit einem der in der Nummerierung 191441 Reports vor meinem liegt.

Hoffnung nie aufgeben und dran bleiben. Die in iOS 7 verschwundenen Funktionen in den Hörbüchern kommen seit iOS 8.4.0 auch langsam wieder zurück. :mad:

Mit regelmäßigen Reports den Status bzw. die Wichtigkeit anheben? Die Presse greift das Thema aber auch nicht auf ... Da stehen wir ziemlich dumm da, wir wenigen User ...


EDIT: Ich frage mich, ob OS X "El Capitan" das selbe Problem hat, immerhin teilen sich iOS und OS X grundlegende Funktionalitäten, wie Netzwerk-Funktionen ...
 
Zuletzt bearbeitet:
Unterschied bei mir ist, dass ich keine Fritzbox nutze, EPC3208 und daran pfSense. Das System macht auch den OpenVPN-Server. Die Pakete kommen am iPhone mit den ECN-Flags gesetzt an. Aber alles funktioniert.

Wundert mich auch, vor allem weil ich im pfSense Forum gelesen hatte, dass das Problem auch mit OpenVPN auftritt. Deswegen habe ich das selber getestet. Hat da evtl. die Fritzbox noch einen Einfluss?

Nein, Fritzbox spielt hier keine Rolle. Ich habe eine Fortigate Firewall an meiner Fritzbox angeschlossen, und dahinter meinem Heimnetz. Das Problem tritt auf sowohl mit der Fritzbox als auch mit dem Fortigate als VPN Gegenstelle. Ist ein zusammenspiel mit dem ECN 0x03 Flag und das IPSec Stack im iOS.

Ausführliche Diagnose habe ich heute bei Apple eingereicht. Sie wollten, dass ich meinem iPhone an einem Mac anschließe, um mit dem Mac die Pakete direkt vom iPhone zu tracen. Gleiches Fehlerbild. Hoffentlich bewegt sich hier was.
 
Hier mal eine Übergangs-Alternative:

Ich habe etwas rumgegoogelt und mich entschieden mal zu versuchen eine VPN Verbindung über ein Raspberry Pi einzurichten.
Zunächst gehe ich mal davon aus, dass die Fritz Box nur das IPsec-VPN kann und IPSEC ist das, was Unitymedia mit IOS9 nicht mehr kann - also musste ein anderes VPN her, welches auch im Standard von IOS aktivierbar ist.
Schlussendlich habe ich mich für PPTP entschieden - aber ACHTUNG: PPTP gilt seit einiger Zeit als unsicher!!! Wobei "unsicher" relativ ist: Es ist - IMHO - nach wie vor einiges an Aufwand nötig um die Verschlüsselung zu knacken - hier muss bitte jeder für sich selbst ergoogeln und je nach Anwendungsfall abwägen, ob es das Sicherheitsrisiko wert ist!!!

Ich habe mein Raspberry Pi, die Portfreigabe auf der Fritzbox und mein iPhone gemäß der folgenden Anleitung eingerichtet:
http://andydunkel.net/raspberry/linux/2014/02/11/raspberry_pi_als_vpn_server_einrichten.html
Vorsicht: Im verlinkten Artikel ist ein Schreibfehler. Es heisst nicht:
sudo nano /etc/pptdp.conf
sondern:
sudo nano /etc/pptpd.conf

--> Es ist definitiv langsamer als das VPN der Fritzbox, aber ich habe wenigstens wieder eine Chance überhaupt irgendwie wieder auf mein Zuhause zuzugreifen.
 
Also, falls es jemandem etwas bringt, oder das jemand teilweise(!!!!!) übernehmen möchte, ich hab folgende Mail an [email protected] geschrieben:


Kundennummer: XXXXXXXXXXXXXXXX

ich bin bereits seit einigen Jahren ein treuer Kunde von KabelBW bzw. Unitymedia, dementsprechend habe ich glücklicherweise auch noch einen IPv4-Anschluss daheim auf den ich (normalerweise) von außen per VPN zugreifen kann.
- blablabla -

Eben kam die Antwort von Unitymedia:

[bla]
vielen Dank für Ihr Schreiben vom 28.09.2015.Wir danken Ihnen für die ausführliche Erläuterung der Störung. Wir haben dies entsprechend zur Prüfung an dieFachabteilung weitergegeben. Hier werden wir mit dem Hersteller Apple in Verbindung treten um eine Lösungzu finden.Wir bitten Sie daher um ein wenig Geduld und stehen Ihnen bei Fragen auch gerne telefonisch zur Verfügung.Wir entschuldigen uns für die Unannehmlichkeiten und den entstandenen Aufwand.
[bla]

Na da bin ich ja mal gespannt... :verdaech:

Sorry für Doppelpost!
 
Ich habe mich entschlossen, sowohl Unitymedia als auch Apple noch ein Weilchen zu nerven. Mein Bugreport an Apple ist gerade raus (auch wenn er bestimmt als Duplicate geschlossen wird - wenn die Zahl steigt, tut sich ja vielleicht doch noch was). In ein oder zwei Tagen werde ich Unitymedia auffordern, mein Ticket noch einmal zu öffnen um mir eine Lösung anzubieten. Wenn alles nicht hilft, müssen wir im Office eben auf 50/5-Leitung verzichten und zurück zum DSL. Das ist dann zwar viel langsamer, aber immer noch besser als eine schnelle, aber tote Leitung...
 
Das bekommen wir mit dem IPSec Problem wohl nicht hin: [h=1]Da muss der Chef ran: Tim Cook ruft deutsche Unitymedia-Kunden an[/h]http://www.ifun.de/da-muss-der-chef-ran-tim-cook-entschuldigt-sich-fuer-verschmutztes-iphone-82328/

Halte es aber eh für eine Ente ...
 
Unter El Capitan besteht das gleiche Problem
 
Unter El Capitan besteht das gleiche Problem
Das ist sehr traurig zu hören, ich habe das gleich mal aufgegriffen, da ich heute nochmals eine Antwort von Unitymedia bekommen habe:
[bla]
Sie teilten mit, dass Sie seit dem Upgrade auf iOS 9.0 von Ihrem I-Phone keine VPN-Verbindung zu Ihrem Heimnetzwerk herstellen können.

Unsere Recherche hat ergeben, dass dies kein auf Unitymedia begrenztes Problem, sondern ein Bug in der Namensauflösung der DNS, der bisher von Apple nicht behoben wurde.

Weitere Informationen entnehmen Sie bitte folgendem Online-Artikel:

http://www.heise.de/mac-and-i/meldung/iOS-9-Bug-sorgt-fuer-VPN-Probleme-2823133.html

Daraus geht unter anderem hervor, dass die Firma Cisco, von der auch das bei Ihnen installierte Modem hergestellt wurde, dieses Problem bereits an Apple gemeldet hat.

Aktuell können wir Ihnen keine andere Lösung vorschlagen, als das Downgrade zurück auf iOS 8.4.1.

Vielen Dank für Ihr Verständnis.
[/bla]

Meine Antwort darauf:

Hallo Unitymedia Team,


vielen Dank für ihre Recherche.

Aber mit Verlaub, wenn man den von Ihnen Artikel genauer liest, dann stellt man fest, dass es nicht um Cisco Hardware oder Router geht, sondern lediglich um eine Cisco-App namens "AnyConnect". Recherchiert man dann weiter, dann stellt man auch fest, dass es innerhalb von AnyConnect um das SplitTunneling geht, welches aber bei IPSec mit einem Iphone (im Standard) sicher keine Anwengung findet. Außerdem hat Cisco inzwischen bei Apple eine neue Version ihrer App bei Apple zur Revision eingereicht. Siehe hier: https://www.facebook.com/anyconnect/posts/1057261091012530



Cisco hat hier also gehandelt um die App wieder lauffähig zu machen. (Nicht Apple.)

Überträgt man dieses Beispiel - so wie Sie es begonnen haben - auf den Router, der ebenfalls von Cisco hergestellt wird, dann müsste man auf diesem Router vermutlich eine neue Firmware installieren. Leider habe ich ja keinen administrativen Zugriff auf den Router, was diese Sache wieder in den Bereich von Unitymedia schiebt.



Ich bitte Sie, weiter an diesem Problem dran zu bleiben. Vielleicht wirklich in Kontakt mit Apple treten um an einem praktischen Beispiel unter Laborbedingungen festzustellen was passiert. Und ganz evtl. dieses Problem hier an einen Mitarbeiter in einem höheren Supportlevel weiterreichen (nicht böse gemeint).



Um nochmal etwas technischer zu werden, hier noch ein paar weitere Fakten:- Der Fehler tritt scheinbar nur beim VPN Verfahren IPSec auf - eine PPTP-Verbindung konnte ich erfolgreich herstellen (leider gilt PPTP seit ca. 3 Jahren als unsicher, sonst würde ich dieses VPN-Verfahren dauerhaft benutzen)

- IPSec benutzt soweit ich das verstehe UDP als Kommunikation, im Gegensatz zu TCP von PPTP. Das mit ios9 eingeführte ECN bei Apple scheint mit ECN-behafteten Informationen an UDP Paketen nicht umgehen zu können bzw. - und jetzt kommts - man findet keine konkrete Standardisierung zum Thema ECN mit UDP, weder in RFC3168 (https://tools.ietf.org/html/rfc3168), noch an einer sonstigen validen Stelle : Das man das mit dem UDP Verfahren macht ist also nirgendwo definiert und UM scheint hier von einem anderen Sachverhalt/einer anderen Definition/Philosophie auszugehen als Apple (und alle anderen ISP's weltweit) dies tun - deshalb bitte ich sie nochmals, an dem Problem dranzubleiben.


Noch eine wichtige Info: Das Problem betrifft auch das gestern erschienene OSX El Capitan! Inzischen sind also auch MAC's mit dem aktuellen Betriebssystem betroffen. Ich denke Apple wird nach und nach sein komplettes Portfolio durch Updates mit ECN ausstatten - falls UM eine IPSec Verbindung für Apple Kunden nicht generell unmöglich machen will solltet ihr tätig werden.



Vielen Dank im Voraus,

Bitte Bescheid geben, wenn ich da irgendwo Mist geschrieben habe :p
 
Ich nochmal zusammen!

Ich habe gute und schlechte Nachrichten. Die schlechte Nachrichten zuerst: Bis jetzt habe ich weder von Apple noch von UM weiteres gehört.

Jetzt die "gute" Nachrichten: Mein Kollege und ich konnten einen Lab bauen und die ankommende IP Pakete von Unitymedia haben wir gesäubert gekriegt. Das haben wir mit einem Linux-basierenden Router geschafft. Folgende Befehle haben wir benutzt, um den ECN Flag auf 00 zu setzen:

Code:
iptables -t mangle -N ecn-remove
iptables -t mangle -A PREROUTING -j ecn-remove
iptables -t mangle -A ecn-remove -j TOS --set-tos 0x0

Ergebnis: Mit ECN 0x03 funktioniert die Verbindung nicht, mit ECN 0x00 funktioniert die gleiche Verbindung tadellos!

Ich habe traces erzeugt vorher und nachher und diese an Apple geschickt, und gleichzeitig im Ticket erwähnt, dass El Capitan vom Bug betroffen werden soll.
 
Zuletzt bearbeitet:
Verstehe ich es recht - ihr habt die Pakete vor dem Client modifiziert? Also da wo das iPhone am WAN hängt? Und nur da?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.