VPN Verbindung aufbauen / debuggen

PascalTurbo

New member
Hallo Zusammen,

ich möchte gerne über meine Fritz!Box eine permanente VPN-Verbindung per IPSec aufbauen. Das habe ich in der Oberfläche eingerichtet, es ist für mich aber nicht ersichtlich, dass die Fritz!Box hier irgendwas tut. Der Status sieht aus wie auf dem angehängten Foto. Unter "Ereignisse" sehe ich lediglich den Eintrag, dass die Verbindung eingerichtet wurde. "VPN-Verbindung dauerhaft halten" ist aktiviert.

Muss man noch irgendwas machen, um die Fritz!Box zum Verbindungsaufbau zu bewegen? Und falls nicht: Wie finde ich heraus, was dem Gerät nicht passt? Ich konnte nirgends eine Option zur Änderung des LogLevel finden und das Debug-File ist um Welten zu Umfangreich, um da vernünftig Infos rauslesen zu können.

Wäre cool, wenn mir jemand helfen könnte.

VG
PascalTurbo
 

Anhänge

  • Bildschirmfoto 2024-05-19 um 19.00.06.png
    Bildschirmfoto 2024-05-19 um 19.00.06.png
    16,8 KB · Aufrufe: 6
Hi,

was ist es für eine Gegenstelle?


Was sagt die Fritzbox denn bei den Ereignissen und was sagen die Logs der Gegenstelle?

Anschlüsse haben öffentliche IPs in Form von... IPv4/IPv6?
Hi, danke für deine Antwort :)

ist ein Unifi Security Gateway.

Die FritzBox sagt bei den Ereignis nichts. Und auf der Gegenseite scheint ebenfalls nichts anzukommen.
Habe testweise mal ne Verbindung direkt von meinem Mac hergestellt - das hat auf Anhieb funktioniert (und erscheint auch im Log des USG).

Ja, die IP des USG ist public.
 
Ja, die IP des USG ist public.
Darum geht es nicht und wenn "nur" die IP der USG öffentlich ist, wird es sowieso schwierig.

Die Frage wäre erstmal: Was für öffentliche IP-Adressen haben die beiden Anschlüsse (bzw. VPN-Endpunkte)? Beide nur IPv4? Beide Dualstack? Einer Dualstack, der andere nur DS-Lite? Dazu die Frage, was dann "intern" bei den jeweiligen Netzen gefahren wird (4/6).

Mal als Hinweis: https://avm.de/service/wissensdaten...-die-FRITZ-Box-IPv6-Netzwerkverkehr-uber-VPN/.

Wenn Du hingehst und via z.B. DynDNS-FQDN eine Verbindung herstellen möchtest und eine Seite a) die eigene IPv6-Adresse offeriert, aber b) ggf. auch die CGNAT-IP (vom Provider), dann ist die Frage, über was (v4/v6) die Gegenseite versucht die Verbindung aufzubauen. Es muss also schon klar sein, welche IP-Version "beide" Standorte sprechen :)

Die FritzBox sagt bei den Ereignis nichts.
"Garnichts"? Hast Du den Haken in der Fritzbox gesetzt, dass die Verbindung "aktiv" ist? 😁
 
Scheint komplizierter zu sein als angenommen. Verwirrend ist, dass die Verbindung vom Mac sofort funktioniert. Aber der Reihe nach:

Die Frage wäre erstmal: Was für öffentliche IP-Adressen haben die beiden Anschlüsse (bzw. VPN-Endpunkte)? Beide nur IPv4? Beide Dualstack? Einer Dualstack, der andere nur DS-Lite? Dazu die Frage, was dann "intern" bei den jeweiligen Netzen gefahren wird (4/6).
Das "Ziel" spricht extern ausschließlich IPv4. Intern auch v6, wobei das nur aktiv ist, weil ich es nicht deaktiviert habe.
Auf der Fritz!Box Seite habe ich nen Telekom Glasfaser Anschluss. (Dualstack)

"Garnichts"? Hast Du den Haken in der Fritzbox gesetzt, dass die Verbindung "aktiv" ist? 😁
Habe den Haken zwar jetzt erst entdeckt, aber ja, er war per Default gesetzt.
Was man sieht: Wenn ich an der Config was ändere (oder den Haken entferne und wieder setze), wird die Internetverbindung einmal neu aufgebaut.
 
Das "Ziel" spricht extern ausschließlich IPv4
Na dann sollte das via IPv4 passen (auch entsprechend etwas auftauchen in irgendwelchen Logs). Selbst wenn die USG alle Pakete der Fritzbox verwerfen würde, sollte im USG-Firewall-Log entsprechendes zu sehen sein und ebenso in der Fritzbox.

Wie hast Du denn die Fritzbox-Seite konfiguriert? Einfach über die Fritzbox irgendwas erstellt, oder händisch eine Config gebastelt und importiert? Falls es letztere Variante war, versuch es mal mit:

1) "remotehostname = <Remote-FQDN>" (oder bei statischer IP ggf. auch "remoteip")
2) always_renew = yes
3) keepalive_ip = <IP im Remotenetz>

Davon ab, kannst Du den Modus auch auf "phase1_mode_idp ändern" (Main, nicht aggressive, k.A. ob eine USG damit umgehen kann, müsstest Du ggf. in der USG-Doku nachlesen) und kannst auch die Phasen nach Deinen Vorstellungen konfigurieren.

EDIT: Noch als kleiner Nachtrag, falls Du es so auf der Fritzbox eingerichtet haben solltest:
  • Die FRITZ!Box unterstützt VPN-Verbindungen nach dem IPSec-Standard mit ESP, IKEv1 und Pre-Shared Keys. Authentication Header (AH) und Perfect Forward Security (PFS) werden nicht unterstützt.
(Quelle: https://avm.de/service/wissensdaten...ITZ-Box-mit-einem-Firmen-VPN-IPSec-verbinden/)
 
Zuletzt bearbeitet:
Danke dir. Ich hatte einfach die Oberfläche genutzt. Habe dann mal ne Config-Datei erstellt - auch damit leider kein Erfolg.

Ich werd mal ein Support-Ticket bei AVM aufmachen. Das evtl. was nicht geht kann ich nachvollziehen, das mir die Box keinerlei Fehlermeldungen um die Ohren haut, nicht.
 
Hast Du mal ein Paket von einem ins andere Netz geschickt bzw. es versucht? Sofern kein keepalive, etc. definiert ist, kann es halt gut sein, dass der Tunnel nur bei Traffic aufgebaut wird (und bei Inaktivität auch wieder abgebaut wird).

Hattest Du bei Dir denn die Sache diese Sache mit drin?
1) "remotehostname = <Remote-FQDN>" (oder bei statischer IP ggf. auch "remoteip")
Alternativ halt auf der USG-Seite die aktive Einwahl festlegen. Wenn beide Seiten auf eine eingehende Verbindung warten, können sie halt lange warten und dann wird auch nix in den Logs zu sehen sein. Am einfachsten wäre es vermutlich über die USG-Shell, einfach mal einen Ping auf die interne Fritzbox-IP abzusetzen.
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
4.796
Beiträge
48.630
Mitglieder
4.456
Neuestes Mitglied
Fahren
Zurück
Oben