VPN LAN-LAN Kopplung funktioniert nicht
Nicht anwendbar
Hallo zusammen,

da ich bisher keine Lösung für das Problem gefunden habe versuche ich es mal hier.
Ich habe zwei Fritzbox 6490 (UM-Mietmodell) an zwei verschiedenen UM Anschlüssen im Betrieb.
Der Fehler trat mit FritzOS 6.52 auf und ist jetzt nach dem Update auf 6.88 weiterhin vorhanden.

Ein Anschluss läuft auf DS-Lite und der andere bekommt noch eine IPv4-Adresse zugewiesen.
Als Dyndns ist auf beiden Boxen MyFritz eingerichtet.
Die DS-Lite-Box hat ein 192.168.10.0/24 und die IPv4-Box ein 192.168.178.0/24 Netz.

Laut AVM sind also die Anforderungen gegeben (https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/5_VPN-Verbindung-zwischen-zwei-FRITZ-Box-Netzwerken-einrichten/).

Funktionieren tut es leider trotzdem nicht.
Bei beiden Boxen wird die korrekte öffentliche IP der Gegenseite angezeigt und auch das korrekte entfernte Netz.

Die DS-Lite-Box wirft bei jedem Verbindunsversuch IKE-Error 0x2027 (timeout).
An der IPv4-Box wird derTunnel wohl immer wieder aufgebaut und bricht in der selben Sekunde aber wieder zusammen.

Hat da jemand vielleicht einen Tipp um weiter zu kommen?
Danke!
10 Antworten 10
chris86_UM
Datenguru
Datenguru
Ja. Die IPv4-Box darf die Verbindung nicht aufbauen! Das muss immer die DSLite-Box machen!
Achte darauf, dass der Haken für Verbindung automatisch herstellen nur bei der DSLite-Box Gesetz gesetzt ist.
Zudem: Wenn MyFritz eingerichtet ist, dann MUSS die MyFritz-Adresse fürs VPN genutzt werden.
Außerdem muss die MTU so konfiguriert sein, dass die Pakete inkl. IPv6-Header in ein Frame passen.
Dann müsste es eigentlich klappen. Schwierig wird, wenn ein IP-Wechsel der DSLite-Box auftritt. Wird dein DynDNS dann aktualisiert?
Gelöschter User
Nicht anwendbar
Leider ist das mit der MTU-Size so eine Sache.
Bei Kabel kann diese max 1500 betragen.
Nach meiner Logik müsste demnach die MTU auf der IPv4-Seite reduziert werden.
Allerdings habe ich da keinerlei Erfahrungen. Ich habe überall DS.

Vielleicht hilft auch eine Anfrage bei AVM.
Nicht anwendbar

Danke für die Tipps.

Als Adresse der Gegenseite kommt jeweils auch die MyFritz-Adresse zum Einsatz.

Wo finde ich denn die Einstellung mit dem Aufbauen?
Ich habe nur die Option "VPN-Verbindung dauerhaft erhalten".
Wenn ich von der DS-Lite-Seite einen Ping zur anderen mache sollte doch die DS-Lite-Box auch die Verbindung initiieren oder?
Die MTU-Sitze kann leider in der Fritzbox 6490 laut AVM auch nicht angepasst werden (https://avm.de/service/fritzbox/fritzbox-6490-cable/wissensdatenbank/publication/show/432_MTU-Size-in-FRITZ-Box-anpassen/).
Eine Support-Anfrage bei AVM hat sinngemäß folgendes ergeben: Wir wissen auch nicht woran es liegt. Warten Sie auf eine neues FritzOS, da klappt das dann bestimmt. Die Anfrage habe ich aber noch mit dem alten FritzOS gestellt.
Hat denn jemand Erfahrungen im UM-Netz mit dem Aufbau?

Blockt UM da vielleicht irgendetwas?

P.S.: Ob der Myfritz DynDNS aktualisiert weiß ich nicht, weil ich dort ständig die gleiche IP habe und die nur bei einem Hardwarewechsel getauscht wurde.


Gelöschter User
Nicht anwendbar
Mit IPv4 tut es. Ich habe 3 Fritzboxen verknüpft. 2x UM, 1x 1und1
und die laufen seit Jahren stabil.
6340 <> 7390 von Anfang 2009 bis Ende 2017
Dann wollte die 6340 nicht mehr, wegen Firmware und ich habe sie im April gegen eine eigene 6490 ausgetauscht. Als ich schon dabei war, habe ich auch gleich die 7390 gegen eine 7560 getauscht.
Seit Ende 2013 hängt noch eine 6360 mit dran. Dass mein Schwager die nicht gegen eine 6490 tauschen will, ist halt so. Da mache ich mir schon lange keinen Kopf mehr.

Also aktuell
7560 <> 6490
7560 <> 6360
6490 <> 6360
chris86_UM
Datenguru
Datenguru
Das war aber nicht für Frage @Plumper.
Die Einstellung "dauerhaft halten" meine ich. Die darf auf der IPv4-Box nicht aktiv sein!
Die MyFritz-Adresse muss natürlich auf die richtige IP verweisen! Das kannst du z.B. über wieistmeineip.de testen.
Ansonsten, kannst du mal einen Ausschnitt aus dem FritzBox-Log posten?
Ich hatte das von dir beschriebene Setup jahrelang erfolgreich am Laufen. Würde mich also wundern, wenn es jetzt nicht mehr ginge...
chris86_UM
Datenguru
Datenguru
Oh, und kannst du von der DSLite-Box aus die IPv4-Box über ihre myfritz-Adresse anpingen?
Wenn nicht, ist entweder die IP falsch, oder eine Firewall funkt dazwischen
Gelöschter User
Nicht anwendbar
chris86:
Oh, und kannst du von der DSLite-Box aus die IPv4-Box über ihre myfritz-Adresse anpingen?
Wenn nicht, ist entweder die IP falsch, oder eine Firewall funkt dazwischen

Es ist eine der Eigenschaften von DS-Lite, dass genau das nicht funktionieren kann.
Mehrere Geräte sharen sich ja diese IP. Welche soll denn nun gemeint sein.
Nicht anwendbar
Also der Haken ist jetzt raus. Funktionieren tut es trotzdem nicht.
Die MyFritz-Adressen verweisen auf die jeweils richtige IP-Adresse.
Von dem DS-Lite-Anschluss aus kann ich auch erfolgreich die MyFritz-Adresse der IPv4-Box anpingen. Dort habe ich auch eine Freigabe eingerichtet, die ich ebenfalls ohne Probleme erreiche.
Eine Firewall ist in dem Konstrukt auch nicht verbaut.
Anbei noch die Logs. In der VPN-Übersicht werden jetzt merkwürdigerweise auch nicht mehr die Adresse des lokalen und des entfernten Netzes angezeigt.
chris86_UM
Datenguru
Datenguru
Was mich wundert: Warum wird deine Internet-Verbindung so oft getrennt? Ist das normal?

Kannst du das ganze VPN in beiden Boxen nochmal löschen, und neu einrichten? Eigentlich müsste es so gehen.
Das Problem mit den 3 IKE Servern deutet aber darauf hin, dass doch beide Boxen die Verbindung aufbauen wollen...

Hier ist das korrekte Vorgehen für DSLite beschrieben
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/5_VPN-Verbindung-zwischen-zwei-FRITZ-Box-Netzwerken-einrichten/