Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
Ich3003

VPN LAN-LAN Kopplung funktioniert nicht

Hallo zusammen,

da ich bisher keine Lösung für das Problem gefunden habe versuche ich es mal hier.
Ich habe zwei Fritzbox 6490 (UM-Mietmodell) an zwei verschiedenen UM Anschlüssen im Betrieb.
Der Fehler trat mit FritzOS 6.52 auf und ist jetzt nach dem Update auf 6.88 weiterhin vorhanden.

Ein Anschluss läuft auf DS-Lite und der andere bekommt noch eine IPv4-Adresse zugewiesen.
Als Dyndns ist auf beiden Boxen MyFritz eingerichtet.
Die DS-Lite-Box hat ein 192.168.10.0/24 und die IPv4-Box ein 192.168.178.0/24 Netz.


Funktionieren tut es leider trotzdem nicht.
Bei beiden Boxen wird die korrekte öffentliche IP der Gegenseite angezeigt und auch das korrekte entfernte Netz.

Die DS-Lite-Box wirft bei jedem Verbindunsversuch IKE-Error 0x2027 (timeout).
An der IPv4-Box wird derTunnel wohl immer wieder aufgebaut und bricht in der selben Sekunde aber wieder zusammen.

Hat da jemand vielleicht einen Tipp um weiter zu kommen?
Danke!
Speichern Abbrechen
Konnte dir geholfen werden?
  • Ja
Dieser Beitrag wurde geschlossen.
Es ist nicht möglich, Kommentare zu schreiben. Du kannst aber jederzeit eine Frage stellen.
Frage stellen
9 Kommentare
2018-11-15T09:07:03Z
  • Donnerstag, 15.11.2018 um 10:07 Uhr
Ja. Die IPv4-Box darf die Verbindung nicht aufbauen! Das muss immer die DSLite-Box machen!
Achte darauf, dass der Haken für Verbindung automatisch herstellen nur bei der DSLite-Box Gesetz gesetzt ist.
Zudem: Wenn MyFritz eingerichtet ist, dann MUSS die MyFritz-Adresse fürs VPN genutzt werden.
Außerdem muss die MTU so konfiguriert sein, dass die Pakete inkl. IPv6-Header in ein Frame passen.
Dann müsste es eigentlich klappen. Schwierig wird, wenn ein IP-Wechsel der DSLite-Box auftritt. Wird dein DynDNS dann aktualisiert?
2018-11-15T10:29:52Z
  • Donnerstag, 15.11.2018 um 11:29 Uhr
Leider ist das mit der MTU-Size so eine Sache.
Bei Kabel kann diese max 1500 betragen.
Nach meiner Logik müsste demnach die MTU auf der IPv4-Seite reduziert werden.
Allerdings habe ich da keinerlei Erfahrungen. Ich habe überall DS.

Vielleicht hilft auch eine Anfrage bei AVM.
2018-11-15T14:57:41Z
  • Donnerstag, 15.11.2018 um 15:57 Uhr

Danke für die Tipps.

Als Adresse der Gegenseite kommt jeweils auch die MyFritz-Adresse zum Einsatz.

Wo finde ich denn die Einstellung mit dem Aufbauen?
Ich habe nur die Option "VPN-Verbindung dauerhaft erhalten".
Wenn ich von der DS-Lite-Seite einen Ping zur anderen mache sollte doch die DS-Lite-Box auch die Verbindung initiieren oder?
Die MTU-Sitze kann leider in der Fritzbox 6490 laut AVM auch nicht angepasst werden (https://avm.de/service/fritzbox/fritzbox-6490-cable/wissensdatenbank/publication/show/432_MTU-Size-in-FRITZ-Box-anpassen/).
Eine Support-Anfrage bei AVM hat sinngemäß folgendes ergeben: Wir wissen auch nicht woran es liegt. Warten Sie auf eine neues FritzOS, da klappt das dann bestimmt. Die Anfrage habe ich aber noch mit dem alten FritzOS gestellt.
Hat denn jemand Erfahrungen im UM-Netz mit dem Aufbau?

Blockt UM da vielleicht irgendetwas?

P.S.: Ob der Myfritz DynDNS aktualisiert weiß ich nicht, weil ich dort ständig die gleiche IP habe und die nur bei einem Hardwarewechsel getauscht wurde.


2018-11-15T15:17:07Z
  • Donnerstag, 15.11.2018 um 16:17 Uhr
Mit IPv4 tut es. Ich habe 3 Fritzboxen verknüpft. 2x UM, 1x 1und1
und die laufen seit Jahren stabil.
6340 <> 7390 von Anfang 2009 bis Ende 2017
Dann wollte die 6340 nicht mehr, wegen Firmware und ich habe sie im April gegen eine eigene 6490 ausgetauscht. Als ich schon dabei war, habe ich auch gleich die 7390 gegen eine 7560 getauscht.
Seit Ende 2013 hängt noch eine 6360 mit dran. Dass mein Schwager die nicht gegen eine 6490 tauschen will, ist halt so. Da mache ich mir schon lange keinen Kopf mehr.

Also aktuell
7560 <> 6490
7560 <> 6360
6490 <> 6360
2018-11-18T21:59:15Z
  • Sonntag, 18.11.2018 um 22:59 Uhr
Das war aber nicht für Frage @Plumper.
Die Einstellung "dauerhaft halten" meine ich. Die darf auf der IPv4-Box nicht aktiv sein!
Die MyFritz-Adresse muss natürlich auf die richtige IP verweisen! Das kannst du z.B. über wieistmeineip.de testen.
Ansonsten, kannst du mal einen Ausschnitt aus dem FritzBox-Log posten?
Ich hatte das von dir beschriebene Setup jahrelang erfolgreich am Laufen. Würde mich also wundern, wenn es jetzt nicht mehr ginge...
2018-11-18T22:00:26Z
  • Sonntag, 18.11.2018 um 23:00 Uhr
Oh, und kannst du von der DSLite-Box aus die IPv4-Box über ihre myfritz-Adresse anpingen?
Wenn nicht, ist entweder die IP falsch, oder eine Firewall funkt dazwischen
2018-11-20T10:23:20Z
  • Dienstag, 20.11.2018 um 11:23 Uhr
Also der Haken ist jetzt raus. Funktionieren tut es trotzdem nicht.
Die MyFritz-Adressen verweisen auf die jeweils richtige IP-Adresse.
Von dem DS-Lite-Anschluss aus kann ich auch erfolgreich die MyFritz-Adresse der IPv4-Box anpingen. Dort habe ich auch eine Freigabe eingerichtet, die ich ebenfalls ohne Probleme erreiche.
Eine Firewall ist in dem Konstrukt auch nicht verbaut.
Anbei noch die Logs. In der VPN-Übersicht werden jetzt merkwürdigerweise auch nicht mehr die Adresse des lokalen und des entfernten Netzes angezeigt.
2018-11-20T23:07:28Z
  • Mittwoch, 21.11.2018 um 00:07 Uhr
Was mich wundert: Warum wird deine Internet-Verbindung so oft getrennt? Ist das normal?

Kannst du das ganze VPN in beiden Boxen nochmal löschen, und neu einrichten? Eigentlich müsste es so gehen.
Das Problem mit den 3 IKE Servern deutet aber darauf hin, dass doch beide Boxen die Verbindung aufbauen wollen...

Hier ist das korrekte Vorgehen für DSLite beschrieben https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/5_VPN-Verbindung-zwischen-zwei-FRITZ-Box-Netzwerken-einrichten/
2018-11-21T06:01:21Z
  • Mittwoch, 21.11.2018 um 07:01 Uhr
Das die Verbindung so oft getrennt wird liegt daran, dass die Verbindung jedes mal getrennt wird, wenn man an dem VPN was verändert/zur Sicherheit nochmal einträgt.
Ich habe tatsächlich schon mehrfach das ganze VPN aus beiden Boxen gelöscht und wieder hinzugefügt.
Das ganze zu Beginn immer nach der von dir velinkten Anleitung, inzwischen nachher aus dem Kopf.
Auch in allen erdenklichen Reihenfolgen (erst Box A dann Box B, erst Box B dann Box A und auch möglichst gleichzeitg per Fernzugriff).
Leider immer mit dem bekannten Problem.
Bei meinen weiteren Suche bin ich darauf gestoßen, dass es doch ein Problem mit der MTU sein könnte.
Dadruch, dass in die MTU noch die IPv6-Info (40 Bytes) gepackt wird beträgt die restliche MTU-Länge an der DS-Lite-Box nur noch 1460 Bytes. An der IPv4-Box beträgt diese aber die vollen 1500 Bytes.
Was ich da dann nicht verstehe ist, dass es ja sowohl offiziell funktionieren soll, als auch bei dir funktioniet hat.