VPN-Verbindung FRITZ!Box 7330 SL zu LANCOM 1781 VA

[lennard]

​Hallo,

ich habe auf der offiziellen LANCOM Website (im Bereich der LANCOM Support Knowledgebase)
eine Anleitung zur Erstellung einer VPN-Verbindung gefunden, die ich gerne erfolgreich konfigurieren möchte:

LANCOM Support Knowledgebase
https://www2.lancom.de/kb.nsf/1275/80B757214B07D6FCC12580B200504338?OpenDocument

Leider ließ sich bisher keine VPN-Verbindung aufbauen.
Ich habe mich bei der Einrichtung der Konfiguration exakt an die in der Anleitung aufgeführten Schritte gehalten und diese Anleitung 2 Mal befolgt. Leider ohne bisherigen Erfolg.

Die einzigen Anpassungen habe ich lediglich bei den festen WAN-IP-Adressen vorgenommen, die hier aus Datenschutzgründen nicht aufgeführt werden.
Desweitern habe ich die privaten Subnetzbereiche beim LANCOM-Router von 192.168.7.0 /24 auf den Berich 192.168.1.0 /24

und den Adressbereich der

FRITZ!Box von 192.168.192.0 /24 auf 192.168.10.0 /24 geändert.

Im Einsatz sind eine FRITZ!Box 7330SL (FW aktuell) und ein LANCOM1781VA (FW aktuell)
Beide DSL-Anschlüsse weisen eine vom ISP zugewiesene statische WAN-Adresse auf (nur IPv4, KEIN IPv6) :

LANCOM1781VA = ISP ->Telekom
Vor der FRITZ!Box (HOME-OFFICE) ist noch ein Kabel-DSL-Modem anngeschlossen:

Compalhub CH7466CE = ISP -> Kabel Deutschland Firmware version 4.50.19.12
Port 500 und 4500 sind freigegeben. Firewall dort testweise deaktiviert. Beim LANCOM-Router sind die Ports ebenfalls freigegeben und alle (!) Einstellungen im Router mehrmals kontrolliert worden.

Die FRITZ!Box7330SL ist direkt an das Compalhub-Gerät im HOME-OFFICE angeschlossen, keine bekannten Einschränkungen bekannt.

Alle anderen Einstellungen sind exakt gleich!
Name der VPN-Verbindung: "FB_VPN_CONNECT"

Folgende Fehlermeldungungen gehen aus den Logfiles beim LANCOM1781VA hervor:

ActivityLogFile 3.30

43 01.11.2017 20:31:09 VPN Nicht verbunden mit FB_VPN_CONNECT - Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]
43 01.11.2017 20:31:09 VPN Verbindung zu FB_VPN_CONNECT trennen (über INTERNET) - Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]
2 01.11.2017 20:30:54 Console Konfiguration lesen erfolgreich
2 01.11.2017 20:30:54 Console Konfiguration lesen gestartet
25 01.11.2017 20:30:39 VPN Start der Protokollverhandlung mit FB_VPN_CONNECT (über INTERNET)
25 01.11.2017 20:30:39 VPN Abgehender Ruf zu FB_VPN_CONNECT (über INTERNET)
42 01.11.2017 20:24:38 VPN Nicht verbunden mit FB_VPN_CONNECT
43 01.11.2017 20:22:31 VPN Nicht verbunden mit FB_VPN_CONNECT - Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]
43 01.11.2017 20:22:31 VPN Verbindung zu FB_VPN_CONNECT trennen (über INTERNET) - Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]
25 01.11.2017 20:22:01 VPN Start der Protokollverhandlung mit FB_VPN_CONNECT (über INTERNET)
25 01.11.2017 20:22:01 VPN Abgehender Ruf zu FB_VPN_CONNECT (über INTERNET)
42 01.11.2017 19:52:28 VPN Nicht verbunden mit FB_VPN_CONNECT
43 01.11.2017 19:50:24 VPN Nicht verbunden mit FB_VPN_CONNECT - Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]
43 01.11.2017 19:50:24 VPN Verbindung zu FB_VPN_CONNECT trennen (über INTERNET) - Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]
25 01.11.2017 19:49:54 VPN Start der Protokollverhandlung mit FB_VPN_CONNECT (über INTERNET)

Folgende Fehlermeldungungen gehen aus den Logfiles bei der FRITZ!Box7330SL hervor:
"IKE-Error 0x2027"
Im Abstand von circa einer Minute kommt dieselbe Fehlermeldung hinzu.
"IKE-Error 0x2027"
"IKE-Error 0x2027"
"IKE-Error 0x2027"
.........

Ich habe beide Fehlercodes bereits gegoogelt und alle Einstellungen kontrolliert. Sowohl Firewall-Regeln als auch spezifische Portfreigaben sind gesetzt und es ist nichts bekannt, was den Verbindungsaufbau stören / beeinflussen könnte.
Technisches Grundverständnis für VPN ist vorhanden.

Sollten mehr Infos benötigt werden, teile ich diese gerne zeitnah mit.
Ich freue mich auf Lösungsansätze oder Antworten.

Lennard

 

[xexex]

Der abgehende Ruf ist absolut uninteressant. Was sagt der Lancom Router wenn die Fritzbox eine Verbindung aufzubauen versucht? Außerdem ist dein Trace unzureichend, um irgendwas erkennen zu können brauchst du einen VPN-Status Trace vom Lancom Router. Vermutlich siehst du dann auch schon selbst was nicht stimmt.

 

[chrigu]

1. sind beide vpn protokolle identisch? bei der fritzbox geht nur ipsec und das unsichere pptp
2. hast du dummerweise ipv4-ds lite (kabelinternet), dann geht es auch nicht. dazu einfach beim provider anrufen und nett nach einer richtigen ipv4 adresse verlangen.

https://avm.de/service/fritzbox/fri...es-anderen-Herstellers-im-Heimnetz-einsetzen/
https://avm.de/service/fritzbox/fri...ox-unter-Windows-einrichten-FRITZ-Fernzugang/

 

[brainDotExe]

2. hast du dummerweise ipv4-ds lite (kabelinternet), dann geht es auch nicht.

Eine öffentliche IPv4 an einem der Anschlüsse reicht aus. Die andere Seite kann CGN IPv4 sein.

 

[chrigu]

dann wäre noch:
3. das modem ist nicht im brigde modus.

 

[till69]

Eine öffentliche IPv4 an einem der Anschlüsse reicht aus. Die andere Seite kann CGN IPv4 sein.

Aber nicht bei M-Net , keine Chance

dann wäre noch:
3. das modem ist nicht im brigde modus.

Richtig, sonst keine Weiterleitung von ESP Paketen (Protocol 50)

Hier mehr zum lesen:
https://blog.webernetz.net/site-to-site-vpn-tutorials/
https://www2.lancom.de/kb.nsf/1276/83285041BDBFD9C5C12575CB002EB2A3?OpenDocument
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa1175697.html

NAT-T ist auf Lancom Seite aktiv?

 

[brainDotExe]

Aber nicht bei M-Net , keine Chance

Was hat das mit dem Provider zu tun?
Solange einer der beiden Anschlüsse eine öffentliche IPv4 Adresse hat, ist es egal ob der zweite nur eine CGN IPv4 hat.

Siehe unter "Vorraussetzungen":
https://avm.de/service/fritzbox/fri...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/

 

[till69]

Was hat das mit dem Provider zu tun?
Solange einer der beiden Anschlüsse eine öffentliche IPv4 Adresse hat, ist es egal ob der zweite nur eine CGN IPv4 hat.

In der Theorie ja, praktisch funktioniert eine LAN/LAN Verbindung bei MNet nicht, wenn CGN im Spiel ist

 

[lennard]

Hallo,

im Einsatz habe ich jetzt eine FRITZ!Box 3370, um den Fehler auf Seite der FRITZ!Box ausschließen zu können.


Ich habe einen Tracert vom LANCOM (Telekom) zur Gegenstelle (Kabel Deutschland) ausgeführt.
Folgendes Resultat:

C:\Users\VPN-Admin>tracert [91.---.---.--]
Routenverfolgung zu maxmustermannserver [84.---.---.--]

Routenverfolgung zu ip5b------.dynamic.kabel-deutschland.de [91.---.---.--]
über maximal 30 Hops:

1 1 ms <1 ms <1 ms LANCOM1781VA.praxis.local [192.168.1.1]
2 17 ms 17 ms 17 ms 62.155.240.45
3 25 ms 25 ms 25 ms 217.239.44.10
4 25 ms 24 ms 24 ms 80.157.201.146
5 32 ms 32 ms 31 ms ae12-xcr1.muc.cw.net [195.2.30.178]
6 32 ms 32 ms 32 ms kabel-gw-xcr1.muc.cw.net [62.208.95.10]
7 32 ms 35 ms 34 ms ip5886ebc0.static.kabel-deutschland.de [88.134.235.192]
8 41 ms 41 ms 41 ms ip5886ca41.static.kabel-deutschland.de [88.134.202.65]
9 40 ms 40 ms 40 ms ip5886eb21.static.kabel-deutschland.de [88.134.235.33]
10 41 ms 41 ms 42 ms ip5886c043.static.kabel-deutschland.de [88.134.192.67]
11 * * * Zeitüberschreitung der Anforderung.
12 69 ms 66 ms 52 ms ip5b------.dynamic.kabel-deutschland.de [91.---.---.--]

Ablaufverfolgung beendet.

Die IP-Adressen sind natürlich „zensiert“ „---“. 😉

Desweiteren kann ich beide WAN-Adressen gegenseitig anpingen.

Vom LANCOM Router zur Fritz!Box ohne Paketverluste, von der Fritz!Box zum LANCOM-Router mit 1 % Verlust.
Die Protokolle sind bei beiden VPN-Gateways identisch.

Ich habe eine fest zugewiesene IPv4 Adresse von Kabel Deutschland (FRITZ!Box) sowie eine statische IPv4 Adresse von der Telekom zugewiesen bekommen.

Die Subnetzbereiche sind bei beiden Gegenstellen selbstverständlich unterschiedlich konfiguriert:
LANCOM: 192.168.1.0 /24
FRITZ!Box: 192.168.10.0 /24

Firewall-Regeln im LANCOM habe ich nochmals gecheckt:
Port 500 und Port 4500 sind freigegeben und verweisen auf das entsprechende Subnetz 192.168.1.0 /24 des LANCOM.

Die FRITZ!Box ist im HOME-OFFICE an ein compalhub-Gerät angeschlossen, welches sich im Bridge-Modus befindet.

Zu Testzwecken habe ich eine weitere VPN-Verbindung auf der FRITZ!Box konfiguriert und kann problemlos mit meinem IPHONE 5s auf diese zugreifen. (Kein Hexenwerk… 😉)

Also funktionieren eingehende Anfragen zumindest schonmal.
Der LANCOM-Router gibt im syslog leider keinerlei Fehler aus, das bedeutet nach meinem Verständnis, dass dieser nicht einmal eine eingehende Verbindungsanfrage erhält.

„NAT-T ist auf Lancom Seite aktiv?“

NAT-Traversal ist auf dem LANCOM-Router aktiviert.

Hier ist nochmal ein Auszug aus meiner cfg-Datei der FRITZ!Box:

//mode = phase1_mode_aggressive;
mode = phase1_mode_idp;
//phase1ss = "all/all/all";
phase1ss = "dh14/aes/sha";
keytype = connkeytype_pre_shared;
key = "12345678";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.10.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.1.0;
mask = 255.255.255.0;
}
}
//phase2ss = "esp-all-all/ah-none/comp-all/pfs";
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.1.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF



Entschuldigt meine späte Rückmeldung, ich werde zukünftig zeitnaher antworten.

Vielen Dank für Eure bisher sehr nützlichen Antworten!
Sollten weitere Infos erforderlich sein, gebe ich diese gerne an!!!

Viele Grüße und ein entspanntes Wochenende!!

Lennard

 

[lennard]

Da die VPN-Verbindung sich mit den gewünschten Endgeräten nicht realisieren ließ, schlage ich vor, diesen Beitrag zu entfernen, da es sonst irreführend für den User sein könnte. Greetz