[Gelöst] VPN Tunel zwischen Fritzbox 7490 und iPhone (iOS9) funktioniert nicht mehr

Moin,

ich teste gerade iOS 9.1beta3 (13B5130b) und habe eine funktionierende VPN IPSec Verbindung nach Hause (Unitymedia). Ich hoffe es kommt auch in die Final-Version.
Zugriff auf meinen Router: checked
Zugriff auf Rechner im Home-Netz (http,ssh,ftp): checked
Zugriff durch den IPSec-Tunnel ins Netz: checked
Prüfung meiner IP im Netz: checked
Zugriff durch den IPSec-Tunnel auf AppleStore: checked

Ich kann bestätigen, dass nichts seitens UM geändert hat. Sie taggen weiterhin alle Pakete mit ECN 0x03. Mein IPSec VPN mit iOS 9.0.2 funktioniert wie erwartet nicht.

Kommst du zufällig auf vollständigen Release Notes, oder kriegst du nur "Contains bug fixes and improvements?" Würde mich ja nicht wundern.

Von wo baust du deine Verbindung auf?
 
Ich kann bestätigen, dass nichts seitens UM geändert hat. Sie taggen weiterhin alle Pakete mit ECN 0x03. Mein IPSec VPN mit iOS 9.0.2 funktioniert wie erwartet nicht.

Kommst du zufällig auf vollständigen Release Notes, oder kriegst du nur "Contains bug fixes and improvements?" Würde mich ja nicht wundern.

Von wo baust du deine Verbindung auf?

Ok, das klingt danach als ob Apple was gemacht hätte, aber an eine vollständige Liste der Fixes oder Improvements komme ich leider nicht heran. Ich habe die öffentliche Beta und bin nicht mehr in der Developer-Gruppe.

Die Verbindung stelle ich über einen öffentlichen, verschlüsselten WLAN am Arbeitsplatz her, Telekom-Netz. Es ist der selbe Zugang, den ich auch mit 9.0 und 9.0.1 mit dem Air benutzt habe, bevor ich es wieder auf 8.4.1 gebracht habe. Parallel hatte ich auch das Mini mit 9.1beta1 dabei. In allen Fällen funktioniert die Verbindung nicht, umso überraschter war ich heute! An der FritzBox oder dem iPad habe ich (ich erwähne es mal lieber) nichts geändert.


EDIT: In den geleakten Release Notes steht nichts zu diesem Problem
 
Zuletzt bearbeitet:
Moin,

ich teste gerade iOS 9.1beta3 (13B5130b) und habe eine funktionierende VPN IPSec Verbindung nach Hause (Unitymedia). Ich hoffe es kommt auch in die Final-Version.
Zugriff auf meinen Router: checked
Zugriff auf Rechner im Home-Netz (http,ssh,ftp): checked
Zugriff durch den IPSec-Tunnel ins Netz: checked
Prüfung meiner IP im Netz: checked
Zugriff durch den IPSec-Tunnel auf AppleStore: checked

Hört sich doch sehr vielversprechend an!
 
Tja, also hier geht unter 9.1b3 nix. Außer dass man bei Änderung des SharedSecrets jetzt die ganze Verbindung im iPad neu eintragen muss, da es das Passwort offensichtlich nicht einfach austauscht und abspeichert.
Habe es jetzt in froher Hoffnung neu gestartet, die VPN-Daten neu eingetragen - aber nix. VPN-Verbindung wird aufgebaut, aber die Daten gehen nicht durch. Vielleicht kommt ja heute noch die 9.1b4 raus und wir werden feststellen: Immer noch nichts. Warum sollte Apple etwas ändern, dass auf der ganzen Welt funktioniert, außer bei einem kleinen Internetprovider in Deutschland nicht?
 
Tja, also hier geht unter 9.1b3 nix. Außer dass man bei Änderung des SharedSecrets jetzt die ganze Verbindung im iPad neu eintragen muss, da es das Passwort offensichtlich nicht einfach austauscht und abspeichert.
Habe es jetzt in froher Hoffnung neu gestartet, die VPN-Daten neu eingetragen - aber nix. VPN-Verbindung wird aufgebaut, aber die Daten gehen nicht durch. Vielleicht kommt ja heute noch die 9.1b4 raus und wir werden feststellen: Immer noch nichts. Warum sollte Apple etwas ändern, dass auf der ganzen Welt funktioniert, außer bei einem kleinen Internetprovider in Deutschland nicht?

Weil egal was Unitymedia macht ist die implementation von ECN seitens Apple fehlerhaft.
 
Tja, also hier geht unter 9.1b3 nix.

Ich komme nach wie vor mit der beta3 über IPSec nach Hause. Per ftp aktuell ca. 2,5Mbit mehr kann mein Heimanschluss auch nicht.
Alles geprüft soweit ich kann. Meine IPSec die letzte Woche nicht ging. Noch mal manuell eine weitere IPSec konfigurieren ...
 
Ich gebe langsam auf. Gerade einen Anruf von UM bekommen - die werden DEFINITIV nichts dran machen. Man hat mir eine interne Mail weitergeleitet, in der untermauert werden soll, dass das Problem in IOS9 liegt. Ganz toll.
Inhalt der Mail:


Hallo zusammen,



sollten sich Kunden melden, welche Probleme mit VPN seit IOS 9 haben, bitte an Apple verweisen.



„While the bug has been documented by Cisco, the bug itself is not Cisco-specific and affects other clients, even iOS's own built-in VPN client.

We have noticed a couple of OS regressions between iOS 8.4.1 and iOS 9 which have been reported to Apple. Most notable is that when doing Split Tunneling, the Tunnel All DNS option no longer functions as expected. This was reported to Apple under Radar # 22558059. This is not resolved in the iOS 9 release.

The current beta release of iOS 9.1 is also affected.”

Der ausführliche Artikel unter http://www.zdnet.com/article/ios-9-breaks-vpns-and-how-to-fix-it/
 
Da haben die das Problem ja verstanden!
Einfach mal mit einem Diff der Pakete und einer Erklärung von ECN (englisches Wikipedia) antworten. Auf jede Mail!
 
Mein Report wurde geschlossen mit "Duplicate of 22627532 (Open)". Der Hinweis "documented by cisco" könnte aber auch auf das Splitting-Tunnel-DNS-Problem sein.
EDIT: @thtomate12 scheinbar nicht, denn der Artikel beschreibt tatäschlich das Splitting-Tunnel-Problem, das seit 9.0.1 gefixt sein soll (das hat mir sogar Unitymedia geantwortet, obwohl es nicht zum Problem passt!)
EDIT2: Ah ok, ZDNET-Artikel ist von 21.09.2015 und iOS 9.0.1 kam 23.09.2015 ... Hat IMHO absolut nichts mit dem IPSec-ENC-Problem zu tun.

Meine zweite VPN Konfiguration meldet "VPN Server nicht erreichbar" ... Muss ich noch mal in Ruhe gucken ...

EDIT3: Ich dachte eigentlich, dass ich nicht zu blöd bin eine IPSec zu konfigurieren. Schaffe aber keine funktionierende unter beta3 einzurichten.
Mit der Methode über eine "mobileconfig" s. http://www.meintechblog.de/2015/02/vpn-on-demand-zwischen-iphone-und-fritzbox-einrichten/ geht es und diese funktioniert auch, sogar on demand, wenn man mit FQHN arbeitet.
 
Zuletzt bearbeitet:
Mein Report wurde geschlossen mit "Duplicate of 22627532 (Open)".

Kann man den Bugreport anhand der ID einsehen? Habe keine Möglichkeit dazu gefunden.

Mein Bugreport steht weiterhin auf Open.
 
Kann man den Bugreport anhand der ID einsehen? Habe keine Möglichkeit dazu gefunden.
Ich auch nicht!

Ich werde mal eine Beschwerde an die Bundesnetzagentur richten. Missbräuchliche Verwendung des ECN und Verstoß gegen die Netzneutralität. Ich denke Unitymedia will fremden Datenverkehr aus ihren Netzen heraus halten. Im Schlimmsten Fall bekomme ich halt in ein paar Monaten die Antwort man wäre nicht zuständig ...
 
Ich komme nach wie vor mit der beta3 über IPSec nach Hause. Per ftp aktuell ca. 2,5Mbit mehr kann mein Heimanschluss auch nicht.
Alles geprüft soweit ich kann. Meine IPSec die letzte Woche nicht ging. Noch mal manuell eine weitere IPSec konfigurieren ...

Habe auch gerade die Beta auf einem iPad installiert. Allerdings gab's jetzt schon die Beta 4. Leider muss ich paddyfalk zustimmen: Weiterhin funktioniert das VPN nicht.
 
Ich denke alle die es hier betrifft: es hilft, wenn überhaupt, es ElvQuant gleichzutun und alle der Bundesnetzagentur zu schreiben.
 
Werde Morgen mal mein Air mit 8.4.1, das Mini mit 9.1b3 und ein geliehenes 4 mit 9.0.2 mitnehmen. Nicht das in dem Acesspoint ohne mein Wissen was gereinigt wird.
 
Habe zu 9.1b4 auch noch nichts gelesen wegen VPN.

Leider gibt es auch noch so einige andere Punkte in 9.0.x was nicht so läuft. Da muss Apple noch so einiges fixen.

Habe grade keine Zugangsdaten zu nem VPN am UM Anschluss, so dass ich ggf. auch mal Logs über Feedback App melden kann.

Im Dev Forum hat salamihawk ja auch was zu geschrieben https://forums.developer.apple.com/thread/16699

Möglichst wohl diverse Wege nutzen, Apple und UM da was auf die Füße zu treten.
 
Zuletzt bearbeitet von einem Moderator:
Hallo,

also ich finde den Vorschlag von ELVQuant auch nicht schlecht, den Ignoranten von Unitymedia mal durch die Bundesnetzagentur auf die Finger schauen zu lassen. Je mehr Beschwerden dort eingehen, desto besser...

Ich denke aber, dass unsere Beschwerden gut und vor allem nachvollziehbar begründet sein sollten (um es so den Beamten der Bundesnetzagentur möglichst einfach zu machen - ohne große Recherchen den Verstoß gegen die Netzneutralitat zu erkennen). Wer sieht sich in der Lage ein "Musterschreiben" mit den technischen Hintergrundinformationen zu verfassen und hier zu Posten?

Ich habe heute erneut mit Apple telefoniert, aber leider scheint für Apple der betroffene Personenkreis (VPN Nutzer im einzig nicht funktionierenden Netz => Unitymedia) einfach zu klein zu sein um sich intensiv darum zu kümmern (mag evtl. auch an der Vielzahl der iOS9 Probleme liegen - die eben deutlich mehr bis alle Apple User betreffen).
 
Siehe #192 - ging leider nicht.
 
Mea culpa, mea maxima culpa!

- Über den hiesigen WLAN-Access-Point komme ich über einen IPSec Tunnel nach Hause (wie oben beschrieben)
+ 8.4.1 getestet OK
+ 9.0.2 getestet OK
+ 9.1b3 getestet OK

Über T-Mobile und Vodafone (Persönlicher Hotspot): Ich kann mit 9.0.2 und 9.1beta3 nur den Tunnel aufbauen, aber ein Datenverkehr ist nicht möglich.
Leider kann mir hier niemand sagen, ob hier oder vom Provider etwas bereinigt wird. Die Admin verstehen nicht mal was ECN sein soll (oh mein Gott, *Ahhhh*)

Mea culpa, mea maxima culpa!


EDIT: iOS 9.1beta4 identisch!




In dem hiesigen Access-Point:
< Ohne VPN .../... Mit IPSec >

IMG_0612.pngIMG_0613.png
 
Zuletzt bearbeitet:
Mea culpa, mea maxima culpa!

- Über den hiesigen WLAN-Access-Point komme ich über einen IPSec Tunnel nach Hause (wie oben beschrieben)
+ 8.4.1 getestet OK
+ 9.0.2 getestet OK
+ 9.1b3 getestet OK

Über T-Mobile und Vodafone (Persönlicher Hotspot): Ich kann mit 9.0.2 und 9.1beta3 nur den Tunnel aufbauen, aber ein Datenverkehr ist nicht möglich.
Leider kann mir hier niemand sagen, ob hier oder vom Provider etwas bereinigt wird. Die Admin verstehen nicht mal was ECN sein soll (oh mein Gott, *Ahhhh*)

Mea culpa, mea maxima culpa!

Hallo ElvQuant,

dann wurde ich sagen, dass die Pakete irgendwie bereinigt werden. Vielleicht durch einem Proxy oder so? (das war einer meiner ursprungliche Ideen, die Pakete durch nem Proxy zu jagen) Oder vielleicht werden tatsächlich ganz gezielt die DSCP, ECN oder vielleicht auch alle 8 bits (ToS [Type of Service] Feld) zurückgesetzt? Es ist "best practice," dass ein Provider solche Werte zurücksetzt. Jeder Provider soll das machen, da solche Werte von einem fremden Netz reinzulassen zu Chaos führen kann. Das Problem ist nur, dass moderne Provider-Geräten nur die ersten 6 DSCP Bits zurücksetzen können. Wenn bei Euch vielleicht nen ganz alten Router steht, könnte es (lustigerweise) sein, dass dieser Router in der Lage ist, nicht nur die ersten 6 DSCP Bits zurückzusetzen, sondern auch die letzen 2 ECN Bits, da der Router die zwei Felder immer noch als ein einziger 8-Bit ToS Feld betrachtet.

Und ich wurde nichts schlechtes über den Admins sagen; dieses ECN Problem ist wirklich ganz esoterisch. Da es aber noch nicht überall implementiert worden ist, bin ich irgendwie froh, dass "nur" wir davon betroffen sind, weil wenn wir hier wirklich was in Bewegung kriegen, könnte das zukünftig massive Problemen vermeiden. Stell dir mal vor, Unitymedia benutzt ECN richtig, und nur manche Pakete werden mit 0x03 getaggt, wenn es wirklich zu einer Verstopfung kommt. Das wird dann zu sporadische Problemen führen, die überhaupt nicht nachvollziehbar sind. Es gibt kein Supportmensch auf dieser Welt, der sich die Mühe geben wird, so ein sporadisches Problem so tief zu analysieren.
 

Statistik des Forums

Themen
246,109
Beiträge
2,246,272
Mitglieder
373,590
Neuestes Mitglied
dmobi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.