Sonnenhügler_1

Habe ich bei der Einrichtung des VPN in der Digibox irgendwas übersehen oder ist es generell nicht möglich, per IPSec- VPN auf die Konfig-Oberfläche der Digibox zuzugreifen?

Doch, ist möglich. Aber vermutlich ist der Zugriff auf das Webinterface für die VPN -Verbindung nicht freigegeben. Das muss separat erfolgen (s.h. "Administrativer Zugang" in der Konfiguration der Digibox).

Danke für deine Antwort.

Leider kann ich unter "Administrativer Zugriff" die VPN -Verbindung nicht freigeben - sie taucht dort schlicht nicht auf. Die dort aufgeführten Schnittstellen sind dieselben wie ohne VPN , nämlich br0, en1-4 und en1-4-1, wobei der http- und https-Zugriff bei br0 und en1-4 gestattet und bei en1-4-1 deaktiviert ist.

In den Standardfilterregeln der Firewall ist die VPN -Verbindung dagegen vorhanden. Sie ist auf "vertrauenswürdig" gesetzt. Trotzdem komme ich nicht auf die Weboberfläche der Digibox, ich kann sie noch nicht einmal anpingen (was auch verhindert, dass meine Wake-on-LAN-Regeln funktionieren). Auf alle anderen Ressourcen im LAN habe ich dagegen Zugriff. Ich kann sie auch anpingen.

Es wäre schön, wenn jemand Licht ins Dunkel bringen könnte.

Grüße vom Sonnenhügler

Sonnenhügler_1

Leider kann ich unter "Administrativer Zugriff" die VPN -Verbindung nicht freigeben - sie taucht dort schlicht nicht auf.

Die betreffende VPN -Schnittstelle muss dort erst hinzugefügt werden! Also unten auf hinzufügen klicken und die entspr. VPN -Schnittstelle auswählen!

@NDiTFAlles klar, das war's! Vielen Dank für deinen Tipp. Ich kann die Digibox jetzt auch über VPN anpingen, d. h. meine WOL-Regeln funktionieren wieder.

Die Digibox-Bedienoberfläche ist jetzt nicht gerade ein Vorbild, was intuitive Bedienbarkeit betrifft. Bei den Firewall-Standardfilterregeln wird VPN -Schnittstelle automatisch hinzugefügt, beim administrativen Zugriff muss man sie manuell hinzufügen. Ein wenig inkonsistent, aber irgendjemand wird sich dabei schon etwas gedacht haben 😕

Es ist allerdings jetzt etwas eingetreten, was mich zweifeln lässt, ob ich das Digibox- VPN weiter verwende. Die Digibox hat heute vormittag ohne ersichtlichen Grund einen Neustart ausgeführt. Ein bisschen Recherche im Netz hat ergeben, dass das an einem Bug in IKEv2 liegen könnte. Genau das habe ich seit gestern aktiviert. Ich bin jetzt am Überlegen, ob ich im Interesse eines stabilen Betriebs der Digibox auf den IPSec-Zugriff verzichte und wieder zu Wireguard zurückkehre. Das läuft bei mir auf einem Server im LAN und funktioniert einwandfrei. Außerdem hat das Digibox- VPN noch eine Macke: es unterbricht die Verbindung nach ein paar Minuten. Auch hier bin ich am Grübeln, ob sich eine Ursachensuche lohnt oder ob ich mich nicht einfach wieder mit Wireguard zufriedengebe.

Grüße vom Sonnenhügler

Vermutlich hast du die Firmware-Ver. 11.01.03.114 installiert, da ist das Problem bekannt. Es gibt bereits 2 neuere Versionen, wo das Problem behoben ist. Ver 11.01.03.115 wurde jedoch aufgrund FW -11-01-03-115-fehlerhaft-Fehlende/td-p/6522041" target="_blank">eines anderen Fehler wieder zurückgezogen und die Ver. 11.01.03.116 noch nicht freigegeben.

Nein, bei mir ist die 115 drauf. Sie wurde bei der automatischen Einrichtung installiert.

Die Mängel bei der 115 betreffen mich nicht. Abwurf und Mini-Callcenter nutze ich nicht.

Hi Zusammen,

schaut mal unter:

EAP -MS-CHAPv2-failed-no-MD4-hasher/m-p/6809217" target="_blank">https://telekomhilft.telekom.de/t5/Hardware-IT/digi-box-Smart-2-IPSEC- EAP -MS-CHAPv2-failed-no-MD4-hasher/m-p/6809217

ich bin mit dem Telekomsupport in Kontakt, und habe vor 15 min die Info erhalten, dass es die genannten VPN Probleme 

gibt, als auch weitere und man arbeitet an einem neuen FW Update.

Ich habe die alte FW erhalte, …15.01 von Sept. 2023 und dort läuft VPN ohne Probleme..

DB2 FW : 16.40.2.15.01

https://magentacloud.de/s/N9m4epqaXPY5PTf

!!! Wichtig im Anschluss : Auto. FW Update ist AUS !! alle beide Schalter, !!!

viele Grüße 

Wolle

Nachtrag:

dies betrifft bei uns die DB Smart 2, somit auch die Premium V1.

VG

Wolle

@Wolle457Danke für die Info. Dann bin ich mal gespannt, wann das Update kommt.

Bei mir ist es allerdings nicht so dringend. Ich nutze inzwischen wieder Wireguard. Dafür gibt es neben den beschriebenen Verbindungsproblemen noch einen anderen Grund: wenn man IKEv2 nutzen möchte, lassen sich Windows-Rechner nur über einen Client von Bintec oder NCP verbinden. Beide Clients sind kostenpflichtig und beim Bintec-Client befürchte ich wegen der Bintec-Insolvenz Probleme mit der Lizensierung. Eine Alternative wäre der kostenlose Shrewsoft-Client, aber der unterstützt nur IKEv1.

Wireguard ist da erheblich problemloser, allerdings muss dafür immer ein separater Server laufen. Ich hatte gehofft, eine VPN -Verbindung ohne diesen Server herstellen zu können, aber das funktioniert vermutlich nicht so wie ich das gerne hätte.

Wenn das Update da ist, kann ich mich ja nochmal mit IPSec beschäftigen.

Eine Frage hätte ich noch: ich habe gelesen, dass man in der Digibox alle Peers löschen soll, damit die Box nicht mehr abstürzt. Ich würde die IPSec-Konfiguration aber gerne erstmal so lassen, damit ich sie nicht neu erstellen muss, wenn ich Versuche mit der neuen Firmware anstellen will. Ich habe den Peer (bisher ist es nur einer) daher erstmal nicht gelöscht, sondern nur deaktiviert. Außerdem habe ich IPSec als ganzes deaktiviert. Seither ist meine Box auch nicht mehr abgestürzt, allerdings scheint mir die CPU-Last etwas höher zu sein als früher (früher: nahe 0%, jetzt 3-5% im Leerlauf). Ist es empfehlenswert, im Interesse eines stabilen Betriebs die IPSec-Konfiguration incl. Peer und aller IKE-Profile komplett zu löschen oder kann ich das erstmal so lassen?

Grüße vom Sonnenhügler

Die Digibox Smart 2 ist ist doch eine ganz andere Hardware und Firmware, Hersteller ist hier Zyxel und nicht Bintec (nur einige Bestandteile der Firmware stammen noch von Bintec aber die basiert nicht mehr auf BOSS).

Für die Smart 2 wird es auch noch Firmware-Updates geben, für die Smart 1 und Premium 1 dagegen wohl nicht mehr (von der *.116 mal abgesehen die evtl. noch freigegeben wird), denn woher soll die Firmware noch kommen. Von daher kann man die VPN -Probleme mit der Smart 2 nicht 1:1 auf die Smart 1 oder Premium 1 übertragen.