[Gelöst] VPN Tunel zwischen Fritzbox 7490 und iPhone (iOS9) funktioniert nicht mehr

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
sirin schrieb:
Eigentlich kommt aber nur der Provider als Ursache in Frage.

Weil:

- Das Problem trifft sowohl mit der Fritz!Box als auch mit pfSense als Router auf
- Grundsätzliche Probleme mit dem VPN in iOS würde ich als unwahrscheinlich einstufen
- Nutzer mit Telekom oder 1&1 als ISP haben das Problem bisher nicht

Vielleicht ist es auch eine unschöne Kombination aus "iOS 9 Änderung" und "Einstellung beim ISP" die gemeinsam dazu führt, dass das interne Netz nicht mehr erreichbar ist.

Lässt sich leider schwer debuggen da ich leider nicht mehrere WAN Interfaces bei unterschiedlichen Anbietern auf dem Router zur Verfügung habe :(
Zum Vergrößern anklicken....

Sehe ich auch so. Einzige Gemeinsamkeiten sind Apple iOS 9 und Unitymedia, und iOS 9 kann überall funktionierenden IPSec Tunneln aufbauen, nur nicht richtung Unitymedia Kunden.

Ich bin beruflich Netzwerkadministrator und baue jeden Tag VPN Verbindungen auf. Hier ist definitiv was faul, da ich weiß 100%, dass iOS 9 eine VPN Verbindung aufbauen kann.

Zuhause habe ich einen Fortigate Firewall hinter meiner FritzBox, und auf der Arbeit habe ich mehrere Fortigates die ich für Testzwecke "missbrauchen" kann. Die gleiche Konfiguration funktioniert außerhalb des UM Netzes, aber innerhalb nicht.

Ich konnte sogar das WLAN an meiner FritzBox einschalten und mich direkt mit der Firewall im FritzBox LAN verbinden: funktioniert Tadellos.

Auch von hinter meiner Firewall gegen der WAN IP geht das einwandfrei (natürlich, weil das geht in der FritzBox rein, wird dort bearbeitet, da die FritzBox der Besitzer der WAN IP ist, und wieder zurück ins LAN. Kein UM Netz angefasst.)

Ich habe einen Ticket bei denen aufgemacht. Mal sehen wie oft mir gesagt wird, ich soll mein Telefon neustarten.
 
Zuletzt bearbeitet:
Ich bin gerade auch auf der Fehlersuche. Sowohl zuhause als auch im Büro habe ich eine 7390. Zuhause habe ich nach einem Update auf 6.30 eine Verbindung hinbekommen. Dort habe ich O2 DSL. Im Büro KabelBW/Unitymedia - da hat auch das Update nicht geholfen. Im Moment komme ich auch mit dem MacBook nicht mehr drauf, was eben noch ging. :-(

Nachtrag: im Büro haben wir natürlich einen Business-Anschluss. Also an DSlite liegt es nicht.
 
Ich habe genau das selbe Problem mit iOS9 und Unitymedia. Eine schon ewig eingerichtete VPN Verbindung zu meiner privaten FritzBox 6490 funktioniert seit dem Update auf iOS9 nicht mehr (zunächst liegt die Vermutung nahe es liegt an Apple) - eine zweite, ebenfalls schon länger bestehende VPN Verbindung zu einer 7490 hinter 1&1 funktioniert tadellos (die erste Vermutung fängt an zu wackeln).

Ich habe am Freitag bereits Unitymedia und Apple kontaktiert, beide Male würde ich mit der Aussage abgespeist, ich sei der erste der sich meldet.... Keine der beiden Firmen wollte sich den Schuh so richtig anziehen, aber haben zumindestt ein Ticket eröffnet...

Ich glaube wir sollten alle - sowohl bei Apple, als auch bei Unitymedia das Problem schildern, so dass die merken, es handelt sich um mehrere betroffene Kunden und nicht nur um einige wenige Extremfälle. Ich glaube das ist die einzige Lösung...
 
Kann denn noch jemand mit iOS 8 oder kleiner zu Unitymedia-Anschlüssen eine Verbindung aufbauen?
 
Kann ich morgen mal testen.
 
thtomate12 schrieb:
Kann denn noch jemand mit iOS 8 oder kleiner zu Unitymedia-Anschlüssen eine Verbindung aufbauen?
Zum Vergrößern anklicken....

Ja, mein iPad hat mit 8.4 und kann die VPN Verbindung tadellos aufbauen und benutzen.

Eine andere Frage: könnt ihr Unitymedia Kunden auf imore.com zugreifen? Wenn ich von Zuhause aus versuche, kommt es immer zu timeouts, aber per Mobilfunk geht es einwandfrei.
 
Hier auch VPN mit iOS8 problemlos möglich. Hat mal jemand versucht, die DNS-Server zu ändern?
 
salamihawk schrieb:
Eine andere Frage: könnt ihr Unitymedia Kunden auf imore.com zugreifen? Wenn ich von Zuhause aus versuche, kommt es immer zu timeouts, aber per Mobilfunk geht es einwandfrei.
Zum Vergrößern anklicken....

Same here. Übers VPN und somit Zugriff über Unitymedia geht diese Website nicht. Ohne VPN und somit über O2 DSL kein Problem.
 
Da auch bei mir auf iPhone 4S und Ipad Air 2 das Problem seit dem Update auf iOS9 besteht,
habe ich mal versucht das Thema einzugrenzen. (Und für mich mit Hilfe eines Tricks gelöst. Wenn auch unschön...)

Aktuelles Problem:
- VPN Tunnel kann aufgebaut werden.
- Nach der VPN Verbindung kann auf kein Device hinter den VPN Servern zugegriffen werden.

Ausgangssituation:
- An ein und dem selben Anschluß hängen 2 VPN Server.
1x Fritzbox 7390 mit Firmware 6.30 (hinter der 6360 Cable von Unitymedia die allen Traffic blind auf die FB7390 durchroutet).
Und hinter der 7390 eine Synology DiskStation mit OpenVPN (dazu habe ich auf der FB7390 ein Portforwarding für Port 1194 UDP eingerichet ).
Ich kann mich also entweder auf den einen oder den anderen Server verbinden.
- Provider: Unitymedia Business
- Standort: BW (Südwestlich von Stuttgart)
- iPhone 4s, iPhone 5 und iPad Air 2 hatten iOS 8.4.1 Auf allen Geräten war es möglich, über eine 3G Verbindung auf die Fritzbox 7390 und
auf den OpenVPN Server zuzugreifen. => Auf allen 3 Geräten liefen die Verbindungen seit Monaten vollkommen stabil.

Aktuelle Situation
- iPhone 4s und iPad Air 2 wurden auf iOS 9 upgedatet. iPhone 5 hat weiterhin 8.4.1.
- iPhone 4s und iPad Air 2 kommen nach dem VPN Tunnel nicht mehr weiter.
Egal ob ich einen VPN Tunnel zur Fritzbox oder zum OpenVPN auf der Diskstation aufbaue !
Das iPhone 5 funktioniert weiterhin problemlos.

Da ich schon mehrfach gelesen habe, daß vermutet wird, daß es am Unitymedia Netzwerk liegt, habe ich nun versucht, über einen Umweg an den Unitymedia Anschluß zu kommen.

Hier der "Versuchsaufbau":
Ich habe in NRW bei der Telekom noch Zugriff auf eine Fritzbox 3370. Diese Fritzbox hat seit Jahren eine VPN Verbindung zu meiner Fritzbox in BW.
Mit dem iPhone 4s oder dem iPad Air2 (beide iOS9) baue ich eine VPN Verbindung zur Fritzbox 3370 (FW 6.20) am Telekom Anschluß in NRW auf. Die Fritzbox 3370 baut danach eine VPN Verbindung mit der Fritzbox 7390 in BW auf.
Und siehe da: Ich komme wieder in das Netz in BW hinter der Fritzbox 7390. Yepeeehhh ...

Das Spiel habe ich gerade mehrfach mit beiden iOS9 Geräten über 3G versucht, damit es sich nicht doch irgendwie um einen Zufallstreffer handelt.

Schlußfolgerung aus meiner Sicht:
Da die direkte Verbindung zur Fritzbox 7390 und zum OpenVPN Server weiterhin über das iPhone 5 mit iOS8.4.1 über 3G funktioniert, mit den iOS9 Geräten jedoch nicht, kann das Problem nicht an der Fritzbox 7390 und dem OpenVPN Server liegen.
Sofern sich zwischen der Fritzbox Firmware 6.20 (FB in NRW) und 6.30 (FB in BW) nichts geändert hat, was zu einem Problem mit iOS9 VPN führt, kann es eigentlich nur am Unitymedia Netzwerk liegen, welches nicht mit dem iOS9 VPN klar kommt.


P.S.:
Nicht das wir uns hier falsch verstehen. Ich bin bisher mit dem Service von KabelBW / Unitymedia immer sehr zufrieden
gewesen und hoffe, daß man auch das Thema in den Griff bekommt.
 
Zuletzt bearbeitet:
Da hilft wohl nur Paketmitschnitt, das hilft auch dem UM-Support

PS: Kann jemand (Mod oder TE) mal den Titel anpassen?
 
Der heise-Bericht ist leider einfach abgeschrieben. Das von Cisco berichtete Problem scheint mir noch mal ein anderes zu sein. Cisco bezieht sich auf die AnyConnect App mit Split-Tunneling. Das in iOS eingebaute IPSec kann meines Wissens gar kein Split-Tunneling (zumindest nicht bei der Standard-Einrichtung auf dem iPhone).

Edit: ups, Sirin war schneller.
 
...wobei eine gemeinsame Fehlerursache nicht auszuschließen ist. In beiden Fällen gibt es ja offensichtlich Probleme mit dem DNS.
 
Naja beim "Heise-Cisco" Fall lassen sich die Maschinen nicht mehr auflösen, sprich da gibt es ein Problem mit dem DNS. Außerdem setzen die die Verbindungen wohl aus.

Im "Unitymedia-iOS9" Fall lässt sich eine stabile Verbindung zum VPN aufbauen, allerdings kann keine interne Maschine und man selbst angepingt werden.
Dadurch funktioniert die interne Namensauflösung auch nicht mehr, da nichts in diesem lokalen/eigenen Netz erreichbar ist.
 
Zuletzt bearbeitet:
Ok, aber auch hier im Thread werft Ihr dann die Probleme munter durcheinander (oder habt mit dem UM-Problem einen Thread "gekapert", der mal anders begonnen hat) und auch die Feststellung
sirin schrieb:
- Grundsätzliche Probleme mit dem VPN in iOS würde ich als unwahrscheinlich einstufen
Zum Vergrößern anklicken....
ist angesichts der Meldung (egal ob die von heise.de nur von Cisco abgeschrieben wurde, wenn die dort berichteten Fakten - u.a. auch zum Fortbestehen in 9.1(Beta) - stimmen) dann sicherlich nicht so ganz richtig.

Dann trennt das in "VPN bei UM funktioniert nicht" (Ihr seid hier auch noch unterhalb von AVM und habt inzwischen ja festgestellt, daß es eigentlich kein AVM-Problem sein kann, wenn es mit einer pfSense auch auftritt) und "DNS-Problem bei VPN mit iOS 9", wenn Ihr tatsächlich in der Lage seid, das so klar abzugrenzen. Aber auch die Aussage
salamihawk schrieb:
Einzige Gemeinsamkeiten sind Apple iOS 9 und Unitymedia, und iOS 9 kann überall funktionierenden IPSec Tunneln aufbauen, nur nicht richtung Unitymedia Kunden.
Zum Vergrößern anklicken....
wird durch den Bericht von Cisco/heise.de eben relativiert.

Auch ansonsten berichtet jeder hier von seinen eigenen Erfahrungen und wechselweise ist es mal eindeutig UM (schließlich geht es ja mit iOS9 bei anderen Providern) oder iOS9 (schließlich klappt es ja mit iOS 8.4.1 und/oder MacOS X). Macht einfach mal bei stehender VPN-Verbindung von/zu einer FRITZ!Box (Ihr seid hier schließlich im AVM-Forum) einen parallelen Packetdump für den verschlüsselten und unverschlüsselten VPN-Traffic ("1. Internetverbindung" und "Routing-Schnittstelle") und vergleicht als Basis für weitere Interpretationen doch einfach, ob da überhaupt entsprechende Pakete sichtbar sind. Auch die Nutzung eines iOS9-Gerätes im WLAN einer FRITZ!Box mit einer VPN-Verbindung zu einer anderen (da iOS-Geräte ohne JB ja eher keinen Packetdump preisgeben) kann ja bei der "Paketzählung" helfen. Wenn dabei dann irgendwelche Merkwürdigkeiten (z.B. Paketwiederholungen) auftreten, weiß man wenigstens, wo man weiter suchen soll.

Wenn hier auch noch jemand Netzwerk-Admin ist, sollte es ja kein Problem darstellen, das auch mal gegen eine racoon- oder StrongSwan-Installation über eine UM-Verbindung zu verifizieren, ob dabei ebenfalls diese Probleme auftreten. Dort könnte man dann mit geeigneten Mitteln (passenden Proposals ohne PFS, für die man dann den verschlüsselten Traffic auch durch die WireShark-Dissektoren analysieren lassen kann) versuchen, das Problem weiter einzugrenzen. Auch habe ich bisher noch von niemandem etwas dazu gelesen, ob beim Auftreten des Fehlers nun "natives IPSec" mit UDP/500 und ESP/AH oder NAT-Traversal mit UDP/4500 benutzt wird oder ob es bei beiden Varianten auftritt. Jeder berichtet nur davon, daß "es nicht geht" und weiß auch - für sich - genau, wer vermeintlich die Ursache ist (wahlweise eben UM oder iOS9), aber von Systematik bei der Eingrenzung ist (nach meinem Empfinden) bisher wenig zu beobachten.
 
Wohl wurden hier mehrere Probleme diskutiert, aber letztlich mit dem Ziel, sie auseinander zu fieseln bzw. Gemeinsamkeiten zu finden. Immerhin ist das Problem jetzt sicher reproduzierbar geworden. Das ist ja immer ein erster Schritt.

Was für eine Art von IPSec und UDP das ist, was iPhone und Fritzbox einrichten, weiß ich nicht. Ich bin kein Netzadmin, und habe gar nicht die erforderlichen Tools, versuche aber dennoch im Rahmen meiner Möglichkeiten zu einer Erhellung beizutragen. Mir haben die Beiträge in diesem Thread jedenfalls weitergeholfen. Dank an alle erst mal!
 
sirin schrieb:
Naja beim "Heise-Cisco" Fall lassen sich die Maschinen nicht mehr auflösen, sprich da gibt es ein Problem mit dem DNS. Außerdem setzen die die Verbindungen wohl aus.

Im "Unitymedia-iOS9" Fall lässt sich eine stabile Verbindung zum VPN aufbauen, allerdings kann keine interne Maschine und man selbst angepingt werden.
Dadurch funktioniert die interne Namensauflösung auch nicht mehr, da nichts in diesem lokalen/eigenen Netz erreichbar ist.
Zum Vergrößern anklicken....

Sorry, du hast natürlich recht. Direkt über die IP-Adresse erreicht man auch nichts und niemanden mehr.
 
Lieber Peter,

besten Dank für deinen Post und ein aufrichtiges sorry das wir uns zwischenzeitlich im falschen Forum befinden. Hat sich aber eben so ergeben.
Wenn du aufmerksam lesen würdest, was als nicht betroffener zugegeben schwierig ist, dann würdest du schon auch feststellen das alles auf ein Problem und eine Ursache hinausläuft.

Ehrlich gesagt fehlt mir was IPsec angeht das Know-How und auch etwas der Mut am Gateway zu spielen während alle nicht iOS9 Benutzer problemlos arbeiten können.
Wenn du mit deinem offensichtlichen Know-How etwas zu dem Thema beitragen kannst dann freue ich mich und sicherlich auch alle anderen betroffenen.
 
sirin schrieb:
Wenn du aufmerksam lesen würdest, was als nicht betroffener zugegeben schwierig ist, dann würdest du schon auch feststellen das alles auf ein Problem und eine Ursache hinausläuft.
Zum Vergrößern anklicken....
Ohne jetzt auf die Annahme, ich hätte nicht gelesen und/oder verstanden, was hier geschrieben wurde, näher einzugehen (glücklicherweise hast Du nicht auch noch gefragt, was ich als Außenstehender so zum Thema Intelligenz zu sagen hätte) ... es dreht sich in diesem Thread eben nicht nur um das von "sirin" und "salamihawk" festgestellte Problem.

Wie erklärst Du dann z.B. die Feststellung
sTaNy schrieb:
Ich kann allerdings sämtliche IP-Adressen im Internet anpingen (getestet mit der App Free Ping).
Zum Vergrößern anklicken....
?

Insofern sind es vielleicht wirklich zwei unterschiedliche Probleme (ein anderer kann den Google-DNS auch erreichen, suche ich jetzt aber nicht, wer es wissen will, muß eben selbst noch mal ab #1 lesen) und ich sehe - offenbar im Gegensatz zu Dir - eher nicht, daß
sirin schrieb:
alles auf ein Problem und eine Ursache hinausläuft
Zum Vergrößern anklicken....
.

sirin schrieb:
Ehrlich gesagt fehlt mir was IPsec angeht das Know-How
Zum Vergrößern anklicken....
Nimm's mir nicht übel, aber dann ist die Feststellung
sirin schrieb:
der Artikel beschreibt einen völlig anderen Sachverhalt.
Zum Vergrößern anklicken....
als unmittelbarer Schnellschuß schon etwas gewagt.

BTW @amatör: Der heise.de-Artikel beschreibt, daß die "Cisco AnyConnect"-App bei der Verwendung von "Split Tunneling" von dem iOS-Bug betroffen ist. Wo ist in diesem Falle der Zusammenhang zur Feststellung
amatör schrieb:
Das in iOS eingebaute IPSec kann meines Wissens gar kein Split-Tunneling (zumindest nicht bei der Standard-Einrichtung auf dem iPhone).
Zum Vergrößern anklicken....
? Die AnyConnect-App rüstet natürlich keinen eigenen IPSec-Stack im iOS nach (das ließe Apple wohl nicht einmal Cisco durchgehen) und basiert damit ebenfalls auf dem IPSec-Stack, den Apple ins iOS eingebaut hat. Hat der also einen Fehler, der die Arbeit von Cisco's AnyConnect-Client beeinflußt, existiert dieser Bug auch für die Apple-eigene Implementierung (des Frontends).

sirin schrieb:
Wenn du mit deinem offensichtlichen Know-How etwas zu dem Thema beitragen kannst dann freue ich mich und sicherlich auch alle anderen betroffenen.
Zum Vergrößern anklicken....
Eigentlich gerne, aber fröhliches Raten ist eher nicht so sehr "meins". Entweder es fertigt jemand entsprechende Mitschnitte an oder stellt wenigstens die IKE-Protokolle einer FRITZ!Box oder noch besser die Debug-Protokolle einer pfSense (keine Ahnung, welche IPSec-Implementierung für FreeBSD da hinter den Kulissen werkelt, schmeiße ich auch immer mit IPFire durcheinander) zur Verfügung, dann helfe ich gerne bei der Analyse und Interpretation ... auch mit Tipps zur weiteren Eingrenzung. Ansonsten bin ich aber eben "nicht betroffen" und kann nichts selbst testen ... zum Kaffeesatz-Lesen habe ich mich schon geäußert.

EDIT: Um noch einmal etwas zum Thema "stabile Verbindung" zu bemerken ... eine IPSec-VPN-"Verbindung" ist nichts weiter als ein ausgehandelter Schlüssel, der für eine begrenzte Zeit und/oder Datenmenge zwischen den Peers vereinbart wurde. Wenn da gar keine Daten über eine solche Verbindung "übertragen" werden (können), kann man die "Stabilität" einer solchen Verbindung (ja, sogar ihren weiteren Bestand, wenn da nicht andere Techniken wie "dead peer detection" zu Einsatz kommen - die aber eine Ebene darunter schon ansetzen) gar nicht beurteilen. Im schlechtesten Falle verfällt einfach die SA nach Ablauf ihrer "lifetime" und die Verbindung ist wieder "zu". Solange so ein "VPN-Client" für eine IPSec-Verbindung kein dediziertes "virtuelles Interface" (wie z.B. der ShrewSoft-Client für Windows und Linux) verwendet, gibt es keine "Signalisierung" einer funktionierenden "Leitung".
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 755 (Mitglieder: 30, Gäste: 725)

Neueste Beiträge

Statistik des Forums

Themen
246,109
Beiträge
2,246,267
Mitglieder
373,590
Neuestes Mitglied
dmobi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück