VPN LANtoLAN (DS-Lite/IPv4)

Alle Themen zum Angebot "Surf&Fon-Flat / Surf-Flat" .

Moderatoren: Yusuf, Florian S., Sven

till1969
Aufsteiger
Aufsteiger
Beiträge: 364
Registriert: 19.02.2014, 11:06

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon till1969 » 26.03.2016, 12:32

Evtl. liegt es auch an den verschienden Fritz´en:

Ich betreibe einen VServer mit StrongSwan als IPSEC-Server:

Mit meiner 7490 mit v6.51 (150mbit DSLite): kein Problem
2x 7362 SL an Anschlüssen ohne DSLite: kein Problem
Zwangs-7360 mit v6.30 vom Nachbarn(50mbit DSLite): kein Tunnelaufbau

Ich werde beim Nachbarn jetzt eine 7362SL testen. Wenn die nicht geht eine 7430.

till1969
Aufsteiger
Aufsteiger
Beiträge: 364
Registriert: 19.02.2014, 11:06

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon till1969 » 28.03.2016, 20:09

Kommando zurück ... am DSLite Anschluss ist auch bei mir mit der 7490 kein Tunnelaufbau möglich ... habe mich durch den grünen Punkt der Fritzbox täuschen lassen. Eine .cfg ohne NAT-T baut zwar den Tunnel erfolgreich auf, es gehen aber keine Daten durch (was auch logisch ist, da ja CGN im Spiel ist). Mit NAT-T wird kein Tunnel komplett aufgebaut, weder von Fritz->Fritz, Fritz->StrongSwan oder ShrewSoftClient->Fritz/StrongSwan

Fazit: IPSEC ausgehend am DSLite Anschluss geht bei M-Net noch immer nicht, seltsam das M-Net hier das Gegenteil behauptet.

TobiasKunz
Junior - Member
Junior - Member
Beiträge: 19
Registriert: 15.07.2015, 22:58

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon TobiasKunz » 22.05.2016, 12:38

Hallo zusammen,

ich habe aktuell auch ein Problem mit dem Aufbau einer VPN-Verbindung zwischen zwei Fritzboxen (im M-Net-Netz).
Dazu habe ich mir extra die IPv4 Optionen dazu gebucht damit dies endlich funktioniert, aber so einfach scheint das doch nicht zusein.
Eingerichtet habe ich das Ganze gem. Anleitung AVM, so mit unterschiedlichen Netzen usw....

Die Konstellation ist wie folgt:

Fritzbox A (IPv4-Anschluss) meldet laufend (jede Sekunde) folgenden Fehler:
VPN-Verbindung zu FritzboxB.myfritz.net wurde getrennt. Ursache: 3 IKE server
VPN-Verbindung zu FritzboxB.myfritz.net wurde erfolgreich hergestellt.

Fritzbox B (DS-Lite-Anschluss) meldet alle 30sek oder mehr:
VPN-Fehler: FritzboxA.myfritz.net, IKE-Error 0x2027

Die Verbindung in den Fritzboxen wie auch bei myFritz habe ich bereits mehrfach neu eingerichtet.
Woran könnte es liegen das eine Verbindung nicht möglich ist??

Ich hoffe mir kann jemand weiterhelfen, sonst bring mir die kostenpflichtige IPv4-Optin gar nichts!

Danke schon mal!

Gruß
Tobias

TobiasKunz
Junior - Member
Junior - Member
Beiträge: 19
Registriert: 15.07.2015, 22:58

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon TobiasKunz » 27.07.2016, 19:47

Wie schaut's aus??
Gibt es hier von M-Net noch eine Reaktion ??

Benutzeravatar
Yusuf
Admin
Admin
Beiträge: 7746
Registriert: 23.11.2006, 15:22

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon Yusuf » 28.07.2016, 07:54

TobiasKunz hat geschrieben:Wie schaut's aus??
Gibt es hier von M-Net noch eine Reaktion ??


Guten Morgen TobiasKunz,

habs mal an unsere Technik weitergegeben.

Gruß,
Yusuf

rosch100
Junior - Member
Junior - Member
Beiträge: 6
Registriert: 25.06.2014, 13:42

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon rosch100 » 15.11.2016, 11:12

Ich habe mal mit AVM in den letzten Tagen intensiv an der Fehleranalyse gearbeitet. Auch mit VPN-Tunnel zu AVM in Berlin. Jetzt weiß selbst der AVM-support nicht mehr weiter...

Fazit (siehe auch @till1969): Wenn in der FritzBox config die Option "use_nat_t = no" gesetzt wird, dann wird ein Tunnel aufgebaut. Beide FBs zeigen das an; im Syslog gibt es nur den Hinweis über einen erfolgreich aufgebauten Tunnel.
Jedoch können die beiden internen Netze nicht kommunizieren, es werden keine Daten über den Tunnel übertragen.

Hier ist nun wirklich m-net gefragt! Bitte klärt und löst das Problem, damit man endlich LAN-LAN VPNs im m-net Netz nutzen kann. Seit Monaten ist das Problem schließlich bekannt. @Yusuf, gibt es Fortschritte?

Zitat AVM:
Der Flag mit NAT_T muss nicht an jedem DSLite Anschluss gesetzt sein. Es ist also nicht Natur der Sache, dass NAT Traversal bei DSL Lite deaktiviert wird. Daher ist der Kontakt zum AVN Partner MNet unsererseits hier nicht zielführend, auch leider nicht Aufgabe des technischen Supports. Das Deaktivieren von NAT T war lediglich ein Gedankengang in meiner Ratlosigkeit bei diesem Fehlerbild.

Leider können wir Ihnen zu dem beschriebenen Fehlerbild keine weiteren Lösungsmöglichkeiten nennen. Wir haben die möglichen Ursachen für die von Ihnen geschilderten Probleme eingehend untersucht und Ihnen Lösungsvorschläge unterbreitet. Darüber hinaus sind uns keine weiteren Ursachen bzw. Lösungen für dieses Fehlerbild bekannt. Deshalb können wir Ihnen leider auch keine konkreten Tipps aus unserer Supporterfahrung zu möglichen externen Fehlerursachen geben.

Freundliche Grüße aus Berlin


Grüße,
Roland

Benutzeravatar
Yusuf
Admin
Admin
Beiträge: 7746
Registriert: 23.11.2006, 15:22

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon Yusuf » 15.11.2016, 11:20

rosch100 hat geschrieben:@Yusuf, gibt es Fortschritte?


Hallo,

der Kollege aus der Technik konnte Dich zum damaligen Zeitpunkt nicht erreichen. Auch auf die SMS mit der Bitte um Rückruf vom 28.07. um 11:13 Uhr kam keine Rückmeldung. Der Kollege hat das Ticket dann nach knapp einem Monat geschlossen.
Gerne kannst Du Dich an unsere Hotline wenden um das Ticket genauer zu besprechen.

Gruß,
Yusuf

rosch100
Junior - Member
Junior - Member
Beiträge: 6
Registriert: 25.06.2014, 13:42

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon rosch100 » 15.11.2016, 12:29

Yusuf hat geschrieben:der Kollege aus der Technik konnte Dich zum damaligen Zeitpunkt nicht erreichen. Auch auf die SMS mit der Bitte um Rückruf vom 28.07. um 11:13 Uhr kam keine Rückmeldung.


??? Ich habe nie ein solches Ticket aufgemacht. Kann es sein, dass du mich hier mit @TobiasKunz verwechselst?

Das ist ja auch kein "persönliches", sondern ein grundsätzliches Problem, das jeden Kunden von m-net mit DS-Lite betrifft.
Falls sinnvoll, kann sich der Kollege aus der Technik ja auch gern mit mir in Verbindung setzen. Meine Kundennummer steht im Profil und darüber sollte meine Telefonnummer bekannt sein.

Viele Grüße,
Roland

Benutzeravatar
Yusuf
Admin
Admin
Beiträge: 7746
Registriert: 23.11.2006, 15:22

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon Yusuf » 15.11.2016, 12:42

rosch100 hat geschrieben:??? Ich habe nie ein solches Ticket aufgemacht. Kann es sein, dass du mich hier mit @TobiasKunz verwechselst?


Richtig. Sorry war mein Fehler :oops:

Zu Deiner Frage. Mir liegen hierzu keine anderen infos vor, als durch Florian S. kommuniziert.

Gruß,
Yusuf

rosch100
Junior - Member
Junior - Member
Beiträge: 6
Registriert: 25.06.2014, 13:42

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon rosch100 » 15.11.2016, 12:51

Sir_Vival hat geschrieben:
Florian S. hat geschrieben:die Behebung des Problems wurde bereits hier im Forum mitgeteilt


wo den? Habe mit der Suche nix finden können.


@Yusuf, dem kann ich mich nur anschließen. Kennst du den fraglichen Beitrag?
Ausserdem funktioniert es ja noch (oder wieder) nicht?

Benutzeravatar
Florian S.
Admin
Admin
Beiträge: 2399
Registriert: 18.06.2014, 21:12

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon Florian S. » 16.11.2016, 09:00

rosch100 hat geschrieben:
Sir_Vival hat geschrieben:
Florian S. hat geschrieben:die Behebung des Problems wurde bereits hier im Forum mitgeteilt


wo den? Habe mit der Suche nix finden können.


@Yusuf, dem kann ich mich nur anschließen. Kennst du den fraglichen Beitrag?
Ausserdem funktioniert es ja noch (oder wieder) nicht?



Hallo rosch100,

das uns bekannte Problem wurde gelöst. Du bist auch der erste Kunde der sich wieder zu diesem Thema wieder meldet. Ich sehe hier nicht das Problem seitens M-net. Es gibt einen Unterschied zwischen dem Aufbau einer VPN-Verbindung via Client auf ein Firmennetzwerk und der VPN-Tunnelung zwischen zwei regulären Anschlüssen ohne Clientnutzung.

Ich weiß nicht was Dir der AVM Support genau sagt, aber selbst in den entsprechenden Anleitungen teilt AVM mit, dass eine LAN zu LAN VPN zwischen zwei FritzBoxen bei einem DS-Lite Anschluss generell nicht möglich ist. Siehe in diesem Link: https://avm.de/service/fritzbox/fritzbo ... inrichten/


"Voraussetzungen / Einschränkungen

Mindestens eine der beiden FRITZ!Boxen muss vom Internetanbieter eine öffentliche IPv4-Adresse erhalten.

Wichtig:Wenn beide FRITZ!Boxen an einem Internetzugang mit DS-Lite ("Dual Stack Lite") betrieben werden, ist keine VPN-Verbindung möglich. Bei aktivem DS-Lite wird in der FRITZ!Box-Benutzeroberfläche auf der Seite "Übersicht" unter "Verbindungen" der Status "IPv4 über DS-Lite" angezeigt."


Hast Du also zwei DS-Lite Anschlüsse funktioniert einfach nicht was Du gerne möchtest.
Viele Grüße

Florian Schmeilzl
M-net Support

till1969
Aufsteiger
Aufsteiger
Beiträge: 364
Registriert: 19.02.2014, 11:06

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon till1969 » 16.11.2016, 13:51

Florian S. hat geschrieben:das uns bekannte Problem wurde gelöst.

Aha, welches? Wann?

Florian S. hat geschrieben:Du bist auch der erste Kunde der sich wieder zu diesem Thema wieder meldet.

Weil wohl alle aufgegeben haben in Sachen IPSEC ausgehend mit DS-Lite

Florian S. hat geschrieben:Ich sehe hier nicht das Problem seitens M-net.

Völlig überraschend :roll:

Florian S. hat geschrieben:Ich weiß nicht was Dir der AVM Support genau sagt, aber selbst in den entsprechenden Anleitungen teilt AVM mit, dass eine LAN zu LAN VPN zwischen zwei FritzBoxen bei einem DS-Lite Anschluss generell nicht möglich ist.

Falsch, AVM sagt: Zwischen ZWEI DS-Lite Anschlüssen nicht möglich, was ja logisch ist.

M-Net sagt: Ausgehende Verbindung von DS-Lite Anschluss zu IPv4 Anschluss geht.

Tatsache ist aber leider: Es geht nicht, und ich gehe nicht davon aus, dass sich daran was ändert, denn die Theoretiker aus der Technik sagen: Sollte funktionieren :roll:

Florian S. hat geschrieben:Es hing mit einem Update in unserem System zusammen wodurch via DS-Lite keine VPN-Verbindungen aufgebaut werden konnten. Dieses Update wurde überarbeitet und uns die Rückmeldung gegeben, dass die Verbindungen wieder sauber funktionieren.

Ähm, nein, taten sie nicht, und jetzt, 1 Jahr später, auch nicht, zumindest keine IPSEC Verbindungen ;)

TobiasKunz hat geschrieben:Fritzbox A (am IPv4-Anschluss) meldet laufend (jede Sekunde) folgenden Fehler:
VPN-Verbindung zu FritzboxB.myfritz.net wurde getrennt. Ursache: 3 IKE server
VPN-Verbindung zu FritzboxB.myfritz.net wurde erfolgreich hergestellt.

Genau so ist es, gerade getestet mit Fritz-OS 6.50 am DS-Lite Anschluss und Fritz-OS 6.30 am IPv4-Anschluss.

Benutzeravatar
Florian S.
Admin
Admin
Beiträge: 2399
Registriert: 18.06.2014, 21:12

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon Florian S. » 16.11.2016, 14:36

till1969 hat geschrieben:
Florian S. hat geschrieben:das uns bekannte Problem wurde gelöst.

Aha, welches? Wann?

Florian S. hat geschrieben:Du bist auch der erste Kunde der sich wieder zu diesem Thema wieder meldet.

Weil wohl alle aufgegeben haben in Sachen IPSEC ausgehend mit DS-Lite

Florian S. hat geschrieben:Ich sehe hier nicht das Problem seitens M-net.

Völlig überraschend :roll:

Florian S. hat geschrieben:Ich weiß nicht was Dir der AVM Support genau sagt, aber selbst in den entsprechenden Anleitungen teilt AVM mit, dass eine LAN zu LAN VPN zwischen zwei FritzBoxen bei einem DS-Lite Anschluss generell nicht möglich ist.

Falsch, AVM sagt: Zwischen ZWEI DS-Lite Anschlüssen nicht möglich, was ja logisch ist.

M-Net sagt: Ausgehende Verbindung von DS-Lite Anschluss zu IPv4 Anschluss geht.

Tatsache ist aber leider: Es geht nicht, und ich gehe nicht davon aus, dass sich daran was ändert, denn die Theoretiker aus der Technik sagen: Sollte funktionieren :roll:

Florian S. hat geschrieben:Es hing mit einem Update in unserem System zusammen wodurch via DS-Lite keine VPN-Verbindungen aufgebaut werden konnten. Dieses Update wurde überarbeitet und uns die Rückmeldung gegeben, dass die Verbindungen wieder sauber funktionieren.

Ähm, nein, taten sie nicht, und jetzt, 1 Jahr später, auch nicht, zumindest keine IPSEC Verbindungen ;)

TobiasKunz hat geschrieben:Fritzbox A (am IPv4-Anschluss) meldet laufend (jede Sekunde) folgenden Fehler:
VPN-Verbindung zu FritzboxB.myfritz.net wurde getrennt. Ursache: 3 IKE server
VPN-Verbindung zu FritzboxB.myfritz.net wurde erfolgreich hergestellt.

Genau so ist es, gerade getestet mit Fritz-OS 6.50 am DS-Lite Anschluss und Fritz-OS 6.30 am IPv4-Anschluss.



Es gab Probleme bei der Nutzung von VPN Verbindungen via Client diese wurden aufgrund eines Systemfehlers verursacht. Dies wurde aber bereits behoben. Du nutzt aber keinen Clienten also somit komplett anderes Thema.

Ich kann Dir anbieten, dass wir einmal telefonieren und ich dann versuche Dein Anliegen besser zu verstehen und entsprechend Hilfestellung zu leisten. Dabei ist aber nicht zu vergessen, dass die VPN verbindung generell in beide Richtungen aufgebaut wird nachdem eine Trennung stattgefunden hat. Vom DS-Lite Anschluss auf den IPv4 sollte das kein Problem sein, trennt sich aber der IPv4 AS versucht auch dieser die Verbindung auf den DS-Lite erneut aufzubauen und das geht nicht.

Auch wenn Du es nicht glauben möchtest, es ist keine Störung oder ein Fehler auf M-net Seite.

Wenn Du ein telefonisches Gespräch möchtest, sende mir bitte eine PN mit der gewünschten Uhrzeit und einer Rufnummer. Ich muss Dir allerdings sagen, dass ich selbst die Woche nur bis ca. 17 Uhr im Hause bin.
Viele Grüße

Florian Schmeilzl
M-net Support

till1969
Aufsteiger
Aufsteiger
Beiträge: 364
Registriert: 19.02.2014, 11:06

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon till1969 » 16.11.2016, 15:09

Danke :) Aber ich habe ja meine VPN Lösung mit OpenVPN über V-Server usw.

Ihr solltet halt einfach kommunizieren: FritzBox VPN (LAN2LAN) geht mit DS-Lite nicht, auch nicht ausgehend :wink:

rosch100
Junior - Member
Junior - Member
Beiträge: 6
Registriert: 25.06.2014, 13:42

Re: VPN LANtoLAN (DS-Lite/IPv4)

Beitragvon rosch100 » 16.11.2016, 15:12

Hallo @Florian S,

es ist natürlich klar, dass es nur von DS-Lite zu IP4 gehen sollte. Das ist nicht das Problem.

Das Problem, das eben auch AVM nicht lösen konnte ist, dass VPN-Verbindungen zwischen zwei FritzBoxen (eine im m-Net DS-Lite Netz, eine in einem anderen Netz mit IP4-Adresse) NICHT funktionieren. Egal, ob die FritzBoxen per Oberfläche "Ihr Heimnetzwerk mit einem anderen FRITZ!Box-Netzwerk verbinden (LAN-LAN-Kopplung)" oder per AVM-VPN Tool "Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren" konfiguriert werden.

Das Fehlerbild ist identisch dem von @till1969 und @TobiasKunz beschriebenen und für jeden leicht nachzuvollziehen. Einfach mal versuchen, von einer FritzBox am m-Net DS-Lite-Anschluss ein LAN-LAN VPN zu einer anderen FritzBox mit IPv4-Adresse einzurichten. Dann gibt's die beschriebenen Probleme.

Ich kann dir den ganzen email-Verkehr mit dem netten AVM-Support gern weiterleiten. Wie schon bisher geschrieben - das Problem kann AVM eindeutig nachvollziehen (mit dem Versuch, ein VPN zu einer FritzBox bei AVM in Berlin herzustellen), aber sie haben keinen Lösungsvorschlag.

Ich bin da gern bereit, weiter zu testen. Meine Tel-Nr. ist über meine Kunden-Nr. zu finden. Kann sie gern auch nochmal als PN posten.


Zurück zu „Surf&Fon-Flat / Surf-Flat“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste