VPN-Problem zu AVM Fritzbox 7590 (Fritz!OS 7.20)

[mcgege]

Hallo Community,

kurze Info bzw. Nachfrage, ob hier jemand vielleicht eine Lösungsidee hat:

Ich hatte seit einigen Monaten einen VPN-Tunnel zwischen einem LANCOM 1783VAW (Firmware 10.20.0298RU2) und einer AVM Fritzbox 7590 (Fritz!OS 7.12) am laufen, war auch größtenteils stabil. Konfiguriert hatte ich den Tunnel nach dieser Anleitung:
https://support.lancom-systems.com/know ... RITZ%21Box

Seit dem Update der Fritzbox auf Fritz!OS 7.20 funktioniert der Tunnel leider nicht mehr, im Log findet sich:

20.07.20 08:45:06 VPN-Fehler: LANCOM_FB, IKE-Error 0x2027
20.07.20 08:44:52 VPN-Fehler: LANCOM_FB, IKE-Error 0x11
20.07.20 08:44:52 VPN-Fehler: LANCOM_FB, IKE-Error 0x203d
20.07.20 08:44:39 VPN-Verbindung zu LANCOM_FB [x.x.x.x] IKE SA: DH14/AES-256/SHA1 IPsec SA: ESP-AES-256/SHA1/LT-3600 wurde erfolgreich hergestellt.

... und dann wieder von vorne ...


Viele Grüße

Michael

[MB2020]

Hallo Michael,

nach Udpate meiner FB7590 auf Fritz!OS 7.20 beobachte ich ähnliche Probleme bzgl. meines Tunnels zu einem Lancom 1711+VPN:

Ich hatte zur Einrichtung des VPN-Tunnels die gleiche Anleitung verwendet, wie Du. Seit einem Jahr lief das System im wesentlichen problemlos.

Die VPN-Verbindung wird nach Neustart der FB sofort aufgebaut, bleibt etwa 1-2 Stunden so erhalten, dass man über den VPN-Tunnel arbeiten kann (z.B. über Remote-Desktop-Sitzung am Server, der am Lancom hängt, Zugriff auf alle Laufwerke am Lancom etc.

Dann wird die Remote-Desktop-Sitzung abgebrochen. Aber: Sowohl die FB als auch der Lancom zeigen die VPN-Verbindung weiterhin als funktionierend und fehlerfrei an. Tatsächlich sind aber alle Laufwerke weg und eine Remote-Desktop-Sitzung nicht mehr möglich.

Das einzige, was dann hilft, ist, die VPN-Verbindung manuell über die FB neu zu aktivieren oder die FB neu zu starten. Eine Wiederherstellung der VPN-Verbindung über den Lancom scheitert dagegen.

Zum Glück habe ich noch eine 2. FB mit altem Fritz!OS 7.12. Das läuft weiter einwandfrei. Also liegt es am Fritz!OS 7.20.

Hast Du schon eine Lösung?

Für eine kurze Nachricht wäre ich sehr dankbar.

Gruß MB2020

[mcgege]

Kurzes Update: Ich habe vor ein paar Tagen eine Beta-Firmware von AVM erhalten, die das Problem für mich löst.
Im nächsten Release ist hoffentlich dieser Fix enthalten ...

[eagle1900]

Hallo zusammen,

was für eine Beta ist das denn ? Tritt das Problem auch noch mit der 7.21 auf, oder ist der Fix in der 7.21-FW von AVM mit enthalten,

über eine kurze Rückinfo würde ich mich freuen,

schönen Start in das Wochenende,

Grüße

[medenz]

Bei 7.2x auf der Fritzbox kann man mal an den Parametern schrauben.
Hier baut die Box so auf:
"VPN-Verbindung zu VPN-Gateway [8.7.6.5] IKE SA: DH15/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt."

[MB2020]

Bei 7.2x auf der Fritzbox kann man mal an den Parametern schrauben.
Hier baut die Box so auf:
"VPN-Verbindung zu VPN-Gateway [8.7.6.5] IKE SA: DH15/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt."

Kannst Du das bitte präzisieren? Danke.

Ich kämpfe nun seit rund 1,75 Jahren mit diesem Problem der wiederkehrenden VPN-Zusammenbrüche.

Dabei zweigen beide Router eine funktionierende Verbindung an, die aber plötzlich nicht mehr funktioniert.

Dieses Problem besteht seit Fritz!OS 7.20. D.h. auch heute unter Fritz!OS 7.29.

Bis Fritz!OS 7.12 gab es zwar ebenfalls gelegentlich VPN-Abbrüche, die sich aber nach wenigen Minuten selbsttätig beseitigten.

Ich vermute, dass die Ursache eine von der Fritzbox durchgeführte fehlerhafte Korrektur von Leitungsfehlern ist.

Offenbar wurde beim Versionswechsel von 7.12 zu 7.20 (und höher) eine geänderte und/oder zusätzliche Fehlerkorrektur von DTUs eingearbeitet - s. Fehlerzähler "korrigierte DTU" und "unkorrigierte DTU".

Bei einem VPN-Zusammenbruch finden sich immer mehrere "korrigierte DTU" im Zähler.

Vermutlich sind Bündelfehler auf der Leitung und werden von der Fritzbox nun falsch korrigiert.

Falls jemand weiß, wie man diese DTU Fehlerkorrektur abschalten kann, ließe sich der Sache auf den Grund gehen.

Hat jemand eine Idee?

[Dr.Einstein]

Hey MB2020,

kannst du das Problem nicht ein wenig umgehen, indem du im Lancom Router ein Linepolling auf die VPN Verbindung anlegst? Das verhindert zwar nicht die Unterbrechung, jedoch sorgt es dafür, dass der Lancom die tote Verbindung erkennt, trennt und aktiv versucht, sie wieder neu aufzubauen.

Was medenz damals meinte, du kannst in der Konfigdatei abweichen vom Automatischem Aushandeln zu festen Werten, siehe z.B.

https://weberblog.net/fritzos-ab-06-23- ... erweitert/

Auch kannst du auf den Main-Mode wechseln:

https://burth-online.de/cms/pages/dokum ... sdatei.php

Quasi darum geht es:

Code: Alles auswählen

mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
phase2ss = "esp-all-all/ah-none/comp-all/pfs";

Gruß Dr.Einstein