Feb 28, 2023

4968

9. Fritzbox baut keine VPN Verbindung zum Lancom

Hallo

ich habe einen Lancom 883+ mit einer 25er VPN Option. An diesem habe ich ein paar Fritzboxen per VPN angebunden, es laufen auch alle bis auf eine, wobei diese immer wieder auf Fehler springt. Ich hatte vorher auch eine Fritzbox bei der hat die VPN funktioniert, jetzt bei dem Lancom nicht mehr. Jetzt bekomme ich einen IKE oder IPSec Verhandlungsfehler.

Please also mark the comments that contributed to the solution of the article

Content-Key: 6163115460

Url: https://administrator.de/contentid/6163115460

Printed on: May 9, 2024 at 06:05 o'clock

27 Comments

Latest comment

In der Regel sagt eben dieser Fehler genau an was es liegt. Schau dir die Logs mal an.
Ich werf mal IKEv1 und IKEv2 in den Raum.
Aber auch dynamische IP.
Ansonsten: https://support.lancom-systems.com/knowledge/display/KB/Konfiguration+ei ...

k.

Hallo,

meine Glaskugel ist in der Werkstatt, also wären Logfiles wohl ne gute Idee.

cya

Mahlzeit,

wenn du doch einige Fritten per VPN verbunden hast, dann sollte es doch auch möglich sein, mitzuteilen, was an dieser Fritzbox und deren Umgebung anders als an den anderen ist.

Im Lanconfig kann man wunderschön Traces erstellen. Dort dann nur die VPN-relevanten Dinge eingegeben und auswerten (lassen).

Ohh ihr wart zu schnell wollte noch bearbeiten, aber das ging jetzt nicht mehr.

Bestimmt kann mir jemand sagen wie ich mehr als nur die die Fehlermeldung finden kann, wie ich die richtigen Logs, bzw. die richtigen Trace Einstellungen einstelle um mehr zu dem Fehler finden zu können. Oder man hat gar eine Idee. Was ich sagen kann, ich habe einen ping zu der Fritzbox von 50ms und ein extra Router vor der Fritzbox. (das sollte aber kein Problem sein, da diese Fritzbox zu einer anderen Fritzbox auch eine VPN aufbaut ohne Fehler) Vielleicht habe ich auch einfach ein Time Out, wo könnte ich beim Lancom die Zeit für die Verhandlungen verlängern. Ich hoffe man konnte mir folgen.

Also Unterschiede zu den anderen Boxen die 50ms und der Router

https://my.lancom-systems.de/downloads/
Syslog anzeigen lassen.

Naja, der Router vor der Fritzbox kann schon ein Problem sein, wenn du dem Lancom nicht sagst, dass der da ist, bzw. dem Router gar nicht sagts, was er mit dem machen soll, was er vom Lancom bekommt.

Ich persönlich würde alles versuchen, um diesen Router weg zu bekommen. Kaskadieren macht meistens mehr Probleme als es Vorteile bringt.

Ich werf mal IKEv1 und IKEv2 in den Raum.

Zumindestens die FritzBox kann ja nur IKEv1. Es ist nicht trivial welche Ciphers du in der Phase 1 und Phase 2 verwendest, da die FB nur bestimmte, je nach Konfig, supportet. Hier musst du also genau aufpassen das das mit denen des Lancom übereinstimmt sonst scheitert der Tunnel.
Genauere Infos gibt dir dieser dazu.
Leider hast du es versäumt hier die von dir verwendete FB Konfig Datei zu posten so das es mehr Kristallkugeln ist als zielgerichtete Hilfe.

Die Logs des Lancom und/oder FB wären, wie immer, hilfreich hier.

Hi Voosjey,

Ohh ihr wart zu schnell wollte noch bearbeiten, aber das ging jetzt nicht mehr.

Ich glaube eher Du warst zu langsam, denn bis Dato kann man auch nur raten, welchen Typ Fritzbox Du verwendest, oder habe ich da was überlesen.
Unabhängig davon stellen sich die Fritten oft recht störrig an, was VPN betrifft.
Ein wenig mehr Infos wären schon nicht ganz schlecht.
Gruß orcape

es ist eine Fritzbox 7490 diese hat 3 VPNs zwei zu Fritzboxen und eine zu dem LANCOM, alle VPNs sind mit der Oberfläche der Fritzbox konfiguriert, (also keine Config-Datei) die VPN zum LANCOM ging vorher zu einer Fritzbox, diese Fritzbox wurde nun getauscht und es ist jetzt ein LANCOM. An dem LANCOM sind insgesamt 9 Fritzboxen angeschlossen, alle Fritzboxen funktionieren bis auf diese. deshalb gehe ich eher davon aus das es Timing Probleme sind, da ja vorher die Fritzbox die VPN zu der Leitung aufgebaut hatte. Die anderen Fritzboxen zum Lancom sind auch über die Fritzboxen konfiguriert, und die laufen stabil. Und das beste ist in diesem Augenblick hat er die Verbindung einmal aufgebaut, aber leider auch wieder nach 20 min verloren.

alle VPNs sind mit der Oberfläche der Fritzbox konfiguriert

Keine gute Idee! Großer Nachteil ist das damit der unsichere Agressive Mode genutzt wird. In einem Firmennetz ein NoGo!
Konfig Datei wäre deutlich besser. Ist auch die Frage welche Firmware auf der 7490 rennt. Leider keine zielführende Aussage dazu. Timing Probleme sind bei IPsec nicht so relevant. Vermutlich sind es nicht passende Krypto Einstellungen in der Phase 1 oder Phase 2 oder beidem.
Du solltest es einmal mit einer entsprechenden Konfig Datei versuchen und etwas moderneren Kryptos und ggf. auch statt dem unischeren Agressive Mode mit dem deutlich besseren und sicheren Main Mode.
Eine entsprechende Konfig sähe dann so aus:

vpncfg {
        connections {
                enabled = yes;
                editable = no;
                conn_type = conntype_lan;
                name = "Lancom";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "<FQDN-Lancom>";
                keepalive_ip = 0.0.0.0;
                localid {
                        fqdn = "<FQDN-lokale_FritzBox>";
                }
                remoteid {
                        fqdn = "<FQDN-Lancom>";
                }
                mode = phase1_mode_idp;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "geheim1234";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.100.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 10.100.1.0 255.255.255.0",
			     "permit ip any 192.168.1.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
} 

Die Parameter phase2localid = lokales LAN Netz und phase2remoteid = remotes LAN Netz musst du auf deine beiden IP Netze anpassen!

Wichtig ist hier: mode = phase1_mode_idp; und phase1ss = "dh14/aes/sha"; was den Main Mode aktiviert und das Hashing auf SHA512 und DH14 erweitert. Alte FB Firmware lässt lediglich SHA1 zu was aktuelle Router meist nicht mehr supporten da unsicher.
Wenn du statt mit FQDN Namen mit festen IP Adressen arbeitest, dann trägst du die unter localip = 0.0.0.0; und remoteip = 0.0.0.0; ein und lässt die Hostnamen leer.

Es ist eine Schande, dass man meines Wissens die VPN-Konfig immer noch nicht aus der Fritzbox exportieren kann.
Sie wird zwar mitgesichert, aber ich weiß nicht, ob man da dann separat drauf zugreifen kann.

Auch auf der 7490 kann (und sollte auch tunlichst) das FritzOS 7.50 laufen.

Es ist eine Schande, dass man meines Wissens die VPN-Konfig immer noch nicht aus der Fritzbox exportieren kann.

Dann ist dein Wissen zu den FritzBoxen aber ziemlich schlecht oder nur rudimentär!
Das geht kinderleicht indem man schlicht und einfach im System Backup die Konfig als Backup Datei exportiert.

Diese .export Datei ist eine stinknormale Textdatei die man mit einem Editor seiner Wahl wie z.B. Notepad++ editiert.
Im unteren Viertel der Datei findet man zw. den Tags vpncfg { und } //EOF dann die dedizierte VPN Konfig der Box.

Diese kann man ganz simpel per Cut and Paste in eine separate Textdatei speichern und dann nach Belieben und Anforderung entsprechend anpassen und wieder in die FritzBox zurückspielen.
Es reicht wenn man NUR diesen VPN Abschnitt zurückimportiert und NICHT die gesamte Datei. Letzteres geht so oder so nicht wenn man die gesamte Datei anpasst weil AVM eine Checksumme drüberlegt die dann nicht mehr passt und der Import verweigert wird. Es darf also immer nur der VPN Abschnitt sein.
Wie gesagt, kinderleicht und kein Hexenwerk. 😉

Nö, das Wissen ist schon da. Und man kann eben die VPN-Konfig bis heute noch nicht exportieren. So wie ich es geschrieben hab.
Natürlich macht satz- und nicht inhaltsweises Zitieren mehr Spaß, wenn man in die Öffentlichkeit will.
Bravo dafür.

Fritzbox und IPSec funktioniert, ist aber oft ein massives Gefrickel.
In einigen Fällen muss man die exportierte Textdatei bearbeiten und wieder hochladen, damit man die von AVM "versprochenen" Sicherheitsfutures auch nutzen kann.
Bei Fritten untereinander mag es da wenig Probleme geben, aber so bald eine fremde Firewall ins Spiel kommt, wird es knifflig.
AVM macht es einem mit seinen eingebauten Sicherheitsfutures, die sich in den neueren Firmware's befinden und nicht mehr abschalten lassen, auch nicht gerade leicht dann etwas von remote aus zu administrieren.
Aber es funktioniert, auch wenn es manchmal etwas nervig ist.
Wie schaut es denn mit Deinem Internetanschluß an eben dieser "einen" Fritzbox aus, wenn Du schon sagst, das alle anderen Fritten am Lancom funktionieren?
Vielleicht ein DS-Light Anschluß? Dann kannst Du IPSec vergessen.
Gruß orcape

Mit nur einem Klick im GUI nicht, da hast du zweifelsohne Recht. Aber die 2 Klicks mehr wie oben beschrieben sind ja nun auch nicht die Welt. Das schafft auch jeder Laie auf Anhieb.
Wenn das aber schon eine zu große Hürde für dich ist dann hast du halt persönliches Pech! Zumindestens dann mit dieser Hardware. Es gibt ja aber zum Glück andere Hersteller wo man die VPN Konfig separat exportieren kann.

Mit IPsec kann man die FB eigentlich recht gut "bändigen" und sie spielt in der Regel zuverlässig mit fremder Hardware zusammen wenn man ein paar Eigenarten beachtet. Mit Wireguard sieht das in der Tat anders aus. Da macht AVM etwas völlig anderes als WG es vorgesehen hat. Die Frickelei bei WG ist da deutlich mehr. Na ja so bindet man halt auch Kunden an sein Produkt.

Nachdem gestern die VPN einen halben Tag lief, läuft Sie heute wieder nicht. Nach weiteren Test, habe ich dann gemerkt wenn ich den LANCOM neu starte dann baut er die Verbindung auf. Normal hört sich das nach einem DNS Problem an, richtig? Also scheint die Config ok, sonst würde er ja nach dem Neustart nicht die Verbindung haben, sehe ich doch auch richtig, oder?

Moin

Nachdem gestern die VPN einen halben Tag lief, läuft Sie heute wieder nicht.

Was war anders, als das VPN lief und als es dann nicht mehr lief.

Aus meiner Sicht hast du jetzt genau 2 Möglichkeiten:

1. Du wertest die Logs und Traces des Lancoms aus, wenn die Verbindung nicht steht
2. Du lässt das jemanden machen, der Ahnung von der Materie hat und nicht nur rumrät

"Der" VPN Tunnel ist ein Mann! 😉
Ein IPsec Tunnel wird immer nur dann aufgebaut wenn relevanter Traffic vorhanden ist der durch die Phase 2 definiert ist. Ein IPsec ESP Tunnel wird nicht grundlos aufgebaut. Einzige Ausnahme ist nur wenn man eine oder beide Tunnelseiten mit einem Keepalive versehen hat der dann sofort solchen Traffic generiert und damit den Tunnelaufbau triggert und dann auch hält. Ohne Keepalive baut IPsec den Tunnel nach einer entsprechenden Lifetime wieder ab bis wieder neuer relevanter Traffic kommt. Einfache VPN Logik...

Hättest du einen DNS Fehler würde der Tunnel logischerweise niemals zustandekommen. Da er das aber tut kannst du diesen Fehler aber sicher ausschliessen.

der Keepalive ist vorhanden, und ohne Neustart des LANCOM kann er den Tunnel nicht aufbauen, dann bekommt er eine Fehlermeldung: ipsec oder IKE Verhandlung fehlgeschlagen. Deswegen war auch schon meine Vermutung, das es ein Timing Problem ist.

ipsec oder IKE Verhandlung fehlgeschlagen.

Das zeigt das es sehr wahrscheinlich einen Mismatch der Crypto Credentials gibt! Hast du in der FritzBox Konfig Datei mal phase1ss = "dh14/aes/sha"; versucht?
Das erweitert die Credentials auf der FB in deutlich Modernere. Ohne aber das du weisst was auch der Lancom verlangt (Konfig) ist das nur reine Kristallkugelei.
Die FritzBox bietet mit der Default Einstellung phase1ss = "all/all/all"; nur die folgenden Credentials an:

AES CBC256, AES CBC192, AES CBC128
SHA1 und SHA512
DH Group 2 (modp 1024)

Hier muss man zwingend mit der gegenüberliegenden Seite (Lancom) klären ob er diese Credentials akzeptiert. Oftmals fehlt die schwächere DH2 Group.
Mit dem oben genannten phase1ss = "dh14/aes/sha"; supportet die FB aber auch diese

AES CBC256, AES CBC192, AES CBC128
SHA1 und SHA512
DH Group 2 und 14 (modp 1024 und 2048)

Die FritzBox quittiert das dann auch entsprechend in ihrem Log:

Bzw. dann auch die andere Tunnelseite:

fritzbox: #2, ESTABLISHED, IKEv1, f0bafbb1fb746b87_i 7b33403a8ad9283b_r*
  local  '212.1.2.3' @ 212.1.2.3[4500]
  remote '73:74:73:6f:6e:62:73:77:61:6c:40:66:72:69:73:7a:3e:62:6f:78' @ 80.1.2.3[7840]
  AES_CBC-256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048
  established 137s ago, rekeying in 3345s
  net: #1, reqid 1, INSTALLED, TUNNEL-in-UDP, ESP:AES_CBC-256/HMAC_SHA2_512_256/MODP_2048
    installed 132s ago, rekeying in 3137s, expires in 3833s
    in  cd84d7f9,    512 bytes,     4 packets,   127s ago
    out 9825c00f,    512 bytes,     4 packets,   127s ago
    local  172.25.25.0/24
    remote 192.168.178.0/24 

Leider warst du bis dato ja nicht in der Lage einmal hilfreiche Log Auszüge von beiden Seiten zu posten um sehen zu können warum diese Problem entstehen.

Stimmen diese Credentials nicht an beiden Tunnelenden überein scheitert der Tunnel.

Mit Timing hat das dann eher weniger zu tun, denn IPsec ist sehr robust und funktioniert ja bekanntlich auch auf sehr langsamen kBit/s Verbindungen oder solchen mit sehr hoher Latenz wie Satelliten usw. vollkommen fehlerlos!
Hilfreich für eine zielgerichtete Lösung wäre, wie bereits gesagt, einmal die Logs beider Seiten und die Credentials zu sehen die der Lancom verwendet und welche du auf der FritzBox eingestellt hast. Andernfalls drehen wir uns doch alle nur mit Raterei weiter unnötig im Kreis.

Zitat von @aqui:

ipsec oder IKE Verhandlung fehlgeschlagen.

Das zeigt das es sehr wahrscheinlich einen Mismatch der Crypto Credentials gibt! Hast du in der FritzBox Konfig Datei mal phase1ss = "dh14/aes/sha"; versucht?
Das erweitert die Credentials auf der FB in deutlich Modernere. Ohne aber das du weisst was auch der Lancom verlangt ist das nur reine Kristallkugelei.
Die FritzBox bietet mit der Default Einstellung phase1ss = "all/all/all"; nur die folgenden Credentials an:

AES CBC256, AES CBC192, AES CBC128
SHA1 und SHA512
DH Group 2 (modp 1024)

AES CBC256, AES CBC192, AES CBC128
SHA1 und SHA512
DH Group 2 und 14 (modp 1024 und 2048)

Lancom Router bieten die Möglichkeit, verschiedene IKE/IPSEC Proposals anzulegen und nacheinander beim Verbindungsaufbau abzuarbeiten.

Ich habe aber speziell für Fritzboxen jeweils eigene Proposals angelegt, mit denen es zuverlässig klappt.
Diese weise ich der Verbidnung zu und gut.

IKE: SHA1, AES-CBC256, PSK, Gültigkeit 3600 Sekunden
IPSEC: AES-CBC 256, SHA1, Gültigkeit 7200 Sekunden

Leider warst du bis dato ja nicht in der Lage einmal hilfreiche Log Auszüge von beiden Seiten zu posten um sehen zu können warum diese Problem entstehen.

Stimmen diese Credentials nicht an beiden Tunnelenden überein scheitert der Tunnel.

Hilfreich für eine zielgerichtete Lösung wäre, wie bereits gesagt, einmal die Logs beider Seiten und die Credentials zu sehen die der Lancom verwendet und welche du auf der FritzBox eingestellt hast. Andernfalls drehen wir uns doch alle nur mit Raterei weiter unnötig im Kreis.

Dabei ist es bei dem Lancom-Router so einfach, VPN-Traces zu erstellen und auszuwerten.

Hier der Log von der Fritzbox:
02.03.23 09:15:10
Anmeldung an der FRITZ!Box-Benutzeroberfläche von IP-Adresse 192.168.5.10.
02.03.23 09:05:53
VPN-Verbindung zu Voosjey [87.164.84.77] IKE SA: DH2/AES-256/SHA1 IPsec SA: ESP-AES-256/SHA1/LT-3600 wurde erfolgreich hergestellt.
02.03.23 09:05:47
VPN-Fehler: Voosjey, IKE-Error 0x2027 [2 Meldungen seit 02.03.23 09:05:32]
02.03.23 09:05:17
VPN-Verbindung zu Voosjey wurde getrennt. Ursache: 3 IKE server
02.03.23 09:04:57
VPN-Verbindung zu Voosjey [87.164.84.77] IKE SA: DH2/AES-256/SHA1 IPsec SA: ESP-AES-256/SHA1/LT-3600 wurde erfolgreich hergestellt.
02.03.23 09:04:41
VPN-Fehler: Voosjey, IKE-Error 0x2027 [40 Meldungen seit 02.03.23 08:54:46]
02.03.23 08:54:29
VPN-Fehler: Voosjey, IKE-Error 0x1c [4 Meldungen seit 02.03.23 08:54:03]
02.03.23 08:53:51
VPN-Fehler: Voosjey, IKE-Error 0x2027 [10 Meldungen seit 02.03.23 08:51:31]
02.03.23 08:51:14
VPN-Fehler: Voosjey, IKE-Error 0x1c [4 Meldungen seit 02.03.23 08:50:47]

an den Lancom komme ich zur Zeit nicht ran

Hi,

VPN-Verbindung zu Voosjey wurde getrennt. Ursache: 3 IKE server

Dann weiß die Fritte wohl nicht so wirklich, mit wem Sie reden soll.

an den Lancom komme ich zur Zeit nicht ran

Das Problem an sich, bei Standortvernetzung, aber genau da solltest Du wohl etwas tun, wenn Du zu einem Ergebnis kommen willst.
Gruß orcape

an den Lancom komme ich zur Zeit nicht ran

Schlecht!

Wäre hilfreich wenn man von der Seite auch einen Logauszug hat um zu sehen warum die FB die Connection verliert.
Der 2027 Error ist ein Timeout Error. Mit andern Worten die FB kann den Lancom nicht mehr mit seiner WAN IP erreichen.
An den Crypto Credentials liegt es nicht, denn du kannst sehen das du (vermutlich) wohl mit den etwas schachen FritzBox Credentials im unsicheren Agressive Mode arbeitest.
Du solltest das testweise mal in deiner VPN Konfig Datei auf den Mainmode umstellen (mode = phase1_mode_idp;) und auch testweise mal die besseren Credentials mit phase1ss = "dh14/aes/sha"; verwenden.
Solltest du aber wirklich physische Verbindungsprobleme an dieser FB haben wird auch das natürlich rein gar nichts nützen.

Das zeugt in der Regel von einer Unterbrechung der Internetverbindung. Ob nun auf Lancom Seite oder der Seite dieser FritzBox. Wenn andere FritzBoxen keinen Linkverlust auf den Lancom haben ist die Problematik eher auf der Seite dieser FritzBox zu sehen. Die hat eine instabile Internet Verbindung.
Arbeitest du bei der Tunnelverbindung mit FQDNs oder mit den direkten IPs ?

das sagt mir die syslog von Lancom

1 2023-03-02 15:52:51 AUTH Info Disconnected from peer VPN: 017 006
2 2023-03-02 15:52:51 LOCAL0 Fehler VPN: Error for peer VPN: IFC-I-Connection-timeout-IKE-IPSEC

Ich arbeite mit FQDNs da die Leitungen auch dynamische IPs haben. die Fritzbox hat aber zwei weitere VPNs die schmieren nicht ab nur die zu dem LANCOM, wobei wenn der LANCOM neu gestartet wurde baut er die Verbindung auf und hält die auch ein paar Stunden.

Error for peer VPN: IFC-I-Connection-timeout-IKE-IPSEC

Bestätigt die Connection Probleme vermutlich am Internet Port dieser FritzBox. Instabile Provider Verbindung. Wenn andere FBs auf dem Lancom ohne Fehler weiterarbeiten können.
Könnte theoretisch auch ein Lastproblem am Lancom oder FB sein. Man sollte nicht vergessen das FBs einfache Consumer Router sind die in Firmennetzen oder skalierenden VPN Umgebungen nicht wirklich etwas zu suchen haben!
Oder auch ein Routing oder Connectivity Problem zw. dem FB Provider und dem an dem der Lancom hängt. Das ist ohne weitere Troubleshooting Daten schwer zu sagen ohne ins Kristllkugeln abzudriften.

Ein Connection Timeout ist aber ganz klar ein IP Connection Verlust zw. diesen beiden Endgeräten.
Wenn das WAN IP Interface des Lancom anpingbar ist, dann wäre es sehr hilfreich wenn man aus dem lokalen LAN der betroffenen FritzBox von einem PC mal einen Dauerping auf die Lancom WAN IP macht und dann vergleicht ob diese VPN Sessionabbrüche zeitgleich mit Ping Aussetzern einher gehen was diese Theorie dann bestätigen würde. Idealerweise lässt man parallel auch einen Ping über den VPN Tunnel laufen (LAN zu LAN IP). Kommt man eigentlich auch von selbst drauf...

Es gibt auch kleine Tools die solche Pingchecks grafisch machen und protokollieren.
https://kin.klever.net/bigbrother/

Ich hab mir jetzt einen preiswerten Lancom 1781A geholt, und siehe da, es funktioniert jetzt ohne Probleme

German solved Question VPN

Hotly discussed

Wireguard with systemd and nftablesLinuxero - 9 Comments