IPSec funktioniert nicht mehr nach Providerwechsel, Hilfe benötigt.

[pumpi]

Hallo zusammen,
mein IP Sec VPN funktioniert nicht mehr, nachdem ich von Provider A zu Provider B gewechselt bin. Beim dem Wechsel bin ich von einer 7430 auf eine 7590ax umgesteigen. Ich habe so gut es geht alle Einstellungen von der 7430 auf die 7590 übertragen. Die VPN Config habe ich auch von Box zu Box kopiert.
Die Einstellungen bzw. die config auf dem Android Handy sind unverändert.
Eine feste IP, die über einen Dyndns Anbieter geht, habe ich auch vom Provider erhalten.

SW Stand 7590: 8.02

Android Handy Pixel 9 Pro mit Android 16

Config Datei Client für Win

/*
 *
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "name";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.0.251;
                remoteip = 0.0.0.0;
                remotehostname = "name";
                localid {
                        user_fqdn = "lala@lala.de";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.0.251;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0",
                             "reject udp any any eq 53",
                             "reject udp any any eq 500",
                             "reject udp any any eq 4500",
                             "permit ip any any";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

Config Datei Fritzbox

/*
 *
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "name";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.0.251;
                remoteid {
                        user_fqdn = "lala@lala.de";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.0.251;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist =
                             "permit ip any 192.168.0.251 255.255.255.255";
        }{
enabled = yes;
                conn_type = conntype_user;
                name = "name2";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.0.250;
                remoteid {
key_id = "name2";
}
mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
key = "geheim";
cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                use_cfgmode = no;
xauth {
valid = yes;
username = "nutzername";
passwd = "passwort";
}
phase2localid {
                        ipnet {
                                ipaddr = 0.0.0.0;
                                mask = 0.0.0.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.0.250;
                }
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
                accesslist =
                             "permit ip any 192.168.0.250 255.255.255.255";
}

        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Als VPN Client auf dem Handy nutze ich VPN Cilla in der Vollversion.

Ein erfolgreicher Connect auf die FB ist möglich mit dem Handy und ich bekomme in der FB ein grünes Lämpchen. Eine Adresse im Internet sehe ich auch in der FB, also die des Handys und bei virt. Adresse steht 0.0.0.0. Ob das bei aktiver VPN Verbindung richtig ist, weiß ich nicht mehr.
Ich kann nun aber kein rdp mit dem Handy auf den Rechner machen und ich kann die FB auch nicht ansurfen. Es läuft immer auf einen Timeout raus bzw. es kann nichts im LAN erreicht werden.

Was mich wundert ist, dass VPN Cilla nach dem Trennen immer noch aktiv ist, Symbol wird angezeigt und ich kann immer noch auf nichts im LAN zugreifen. Erst wen ich VPN Cilla abschieße geht es wieder.

Was mich aus sehr vrewundert ist, dass im Output von VPN Cilla im Log steht, dass kein DNS Server vom VPN Server definiert wurde. Ob das bei der 7430 auch so war, da bin ich mir nicht sicher. Es hatte jedenfalls immer funktioniert. Liegt hier vielleicht ein Fehler?
Edit: Gerade mit 8.8.8.8 und IP der FB getestet. Geht auch nicht

Neustart Handy, FB hat alles nichts gebracht. VPN Config auf der FB habe ich acuh schon neu importiert. Auch damit hatte ich keinen Erfolg.

Vielen Dank für eure Hilfe, ich weiß echt nicht mehr weiter

VG

Pumpi

 

[Loxley]

Versuch vielleicht einmal ob Wireguard besser funktioniert.

 

[pumpi]

Versuch vielleicht einmal ob Wireguard besser funktioniert.

Würde ungern etwas Neues probieren, zumal ich mich hier auch erst mal kundig machen müsste. Irgendwo muss es ja klemmen, weil theoretisch wurde ja nichts verändert.

 

[Loxley]

Noch eine Frage: Du bist sicher dass Dein DDNS funktioniert?

 

[pumpi]

Noch eine Frage: Du bist sicher dass Dein DDNS funktioniert?

Ja, in der FB steht erfolgreich angemeldet. Wie kommst du darauf? habe ich in der config vielleicht was falsch "ausgeblendet"?

 

[Barungar]

Bei Providerwechsel ist immer die erste Frage: "Hast Du noch eine (echte) öffentliche IPv4?"

 

[pumpi]

Bei Providerwechsel ist immer die erste Frage: "Hast Du noch eine (echte) öffentliche IPv4?"

Ja. deswegen dachte ich gestern, dass der VPN deswegen nicht funktioniert. Das hatten die vergessen. wenn ist jetzt meinen Dyndns abfrage und die Ip Adresse in der FB vergleiche sind die identisch. Der erfolgreiche VPN Connect käme dann ja auch nicht zustande

 

[Loxley]

@Barungar hat absolut Recht. Wenn Deine (öffentliche) Adresse im Bereich 100.64.0.0/10 (100.64.0.0 - 100.127.255.255) liegt dann hast Du keine echte öffentliche IP.
Den Vorschlag es mit Wireguard mal zu testen habe ich gemacht weil es leicht und schnell einzurichten ist und Du damit auch eine Chance hast wenn Du auf IPv6 ausweichen musst.

 

[pumpi]

Aktuell ist meine IP 176.126.73.X. Der Provider lässt sich das ja auch extra bezahlen. Gestern nach der ersten Inbetriebnahme hatte ich einer 109er Adresse aus seinem Pool. So dass er praktisch ein PAT gemacht hat. Jetzt bin ich in einem "dynamischen" Pool, in dem zwar in regelmäßigen Abständen die IP wechselt, aber es kein PAT mehr gibt.

@Loxley: Wenn ich wireguard konfiguriere werden die IPSec Einstellungen auf der FB überschrieben oder nur deaktviert oder kann IPSec und Wireguard nebeneinander existieren und braiche ich für Wireguard auch eine feste IP? oder kann die auch aus einem PAT Pool kommen?

 

[Stationary]

Wenn ich wireguard konfiguriere werden die IPSec Einstellungen auf der FB überschrieben

Nein, man kann beides nebeneinander konfiguriert haben. Es empfiehlt sich aber, dann IPSec zu deaktivieren, wenn WG verwendet wird. Wireguard läuft genauso über DynDNS. Wenn also DynDNS in der Fritzbox korrekt konfiguriert ist, kann WG es nutzen.

 

[Stationary]

Ich habe so gut es geht alle Einstellungen von der 7430 auf die 7590 übertragen

Und der Schlüssel/SharedSecret, den die FB generiert hat, den hast Du natürlich auf den Endgeräten gegen den neuen Schlüssel ausgetauscht?

 

[pumpi]

Nein, man bei kann beides nebeneinander konfiguriert haben. Es empfiehlt sich aber, dann IPSec zu deaktivieren, wenn WG verwendet wird. Wireguard läuft genauso über DynDNS. Wenn also DynDNS in der Fritzbox korrekt konfiguriert ist, kann WG es nutzen.

Ok, das wäre kein Problem. Reicht dem wireguard ein dyndns aus einem PAT Pool oder nicht?

 

[Stationary]

Nein, man kann beides nebeneinander konfiguriert haben.

Der Unterschied zwischen Wireguard und IPSec liegt darin, daß IPSec eine per-user Verbindung herstellt, d.h. ein Nutzer kann auf mehreren Geräten die gleiche Konfiguration (Nutzername + SharedSecret) verwenden, während Wireguard eine per-Gerät Verbindung herstellt, d.h. hat ein Nutzer mehrere Geräte, so hat jedes seine eigene Konfiguration, seinen eigenen Schlüssel. Mit IPsec kann ein Nutzer eine VPN-Verbindung herstellen, mit WG auch mehrere gleichzeitig, wenn er mehrere entsprechend konfigurierte Geräte besitzt.

 

[pumpi]

Und der Schlüssel/SharedSecret, den die FB generiert hat, den hast Du natürlich auf den Endgeräten gegen den neuen Schlüssel ausgetauscht?

Auf dem Handy habe ich nichts geändert. Ich habe alle Daten von der alten FB gesichert und dann auf der neuen FB eingespielt. Um wirklich den letzten Fehler bei der Übernahme auszuschließen habe ich vorhin meine die aktuelle VPN config für die FB von meinem PC aus dem Backup importiert.
Letzendlich findet ja ein erfolgreicher Connect auf der FB statt. Nur dann passiert nichts mehr, weder rdp noch https auf die FB. Entweder, würde ich sagen, da sind Ports geblockt, oder die Rückroute stimmt nicht am VPN GW. Aber wie soll das sein?

 

[Stationary]

Reicht dem wireguard ein dyndns aus einem PAT Pool oder nicht?

wenn die Fritzbox Folgendes anzeigt, sollte es wohl funktionieren:

 

[Stationary]

Auf dem Handy habe ich nichts geändert. Ich habe alle Daten von der alten FB gesichert und dann auf der neuen FB eingespielt. Um wirklich den letzten Fehler bei der Übernahme auszuschließen habe ich vorhin meine die aktuelle VPN config für die FB von meinem PC aus dem Backup importiert.

Ich würde mal eine neue Verbindung einrichten und das testen. Die alte inaktiv stellen und eine neue Konfiguration mit einem anderen Namen in der FB erstellen. IPSec-Konfig-Dateien wie oben gezeigt, habe ich mein Leben auch noch nicht benutzt. Es reichen doch für gewöhnlich die Daten, die die FB anzeigt:

 

[pumpi]

wenn die Fritzbox Folgendes anzeigt, sollte es wohl funktionieren:
Anhang anzeigen 11453

Bei mir steht V6 ist unbekannt, was ja nicht schlimm ist. Aber ansonsten passt es ja

 

[Loxley]

@Stationary hat bereits alle Fragen beantwortet. Danke.
Dem hab ich nichts weiter hinzuzufügen

 

[pumpi]

Ich würde mal eine neue Verbindung einrichten und das testen. Die alte inaktiv stellen und eine neue Konfiguration mit einem anderen Namen in der FB erstellen. IPSec-Konfig-Dateien wie oben gezeigt, habe ich mein Leben auch noch nicht benutzt. Es reichen doch für gewöhnlich die Daten, die die FB anzeigt:
Anhang anzeigen 11454

Werde ich mal testen. Die config ist auch schon steinalt. Die habe ich erstellt, da hatte avm noch kein tool um so bequem die config zu erstellen. Seither schleppe ich die config mit mir mit