Willkommen in der Business Community

Marco83_83 · ‎03.06.2020

Hallo zusammen,
ich habe folgende Konfiguration. Und bis vor kurzem hat die VPN Verbindung von einem Laptop zur Digibox Premium auch funktioniert.

Ich habe zwei Hosts bei spdyn.de angelegt. (Namen sind als Beispiel)
- work.spdyn.de
- home.spdyn.de

Die Accounts habe ich jeweils einmal in der Fritzbox (home) und einmal in der Digibox (work) hinterlegt. IP Adressen werden auch aktualisiert.

Dann hab ich zwei VPN Verbindungen:
1. LAN zu LAN Verbindung (Fritzbox zur Digibox Premium). Die Verbindung steht und geht auch alles.
2. VPN Verbindung zur Digibox über Shrew Soft von einem Laptop aus. Das habe ich nach Anleitung von bintec vor 3 Monaten eingerichtet und hat auch funktioniert. Aber jetzt auf einmal nicht mehr.

Was ich bisher herausgefunden / getestet habe:
- Ping auf home.spdyn.de (Fritzbox) wird zur IP Aufgelöst und ich bekomme eine Antwort (so sollte es sein)
- Ping auf work.spdyn.de (Digibox) wird zur IP Aufgelöst, aber ich bekomme keine Antwort (Zeitüberschreitung)

Die Pings habe ich von einem anderen Netzwerk (anderen Ort) durchgeführt. Auch von einem Server, also zwei örtlich getrennte Netze. Hier die gleiche Zeitüberschreitung.

Das komische ist nun, wenn ich einen Ping auf work.spdyn.de von einem Rechner (der im gleichen Netz ist wie die Digibox) mache, bekomme ich eine Antwort.

Irgendwie sieht es so aus als ob die Digibox etwas blocken würde. Allerdings wurde an der Konfiguration der Digibox eigentlich nichts geändert.

Hat vielleicht irgendjemand einen Tipp was ich machen kann?

MfG

wari1957 · ‎04.06.2020

@Marco83_83

Was passiert, wenn du VPN Laptop an Prio 1 schiebst?

Lösung in ursprünglichem Beitrag anzeigen

wari1957 · ‎03.06.2020

Hallo @Marco83_83

- Ping auf work.spdyn.de (Digibox) wird zur IP Aufgelöst, aber ich bekomme keine Antwort (Zeitüberschreitung)

Wenn das nicht freigegeben ist, funktioniert das auch nicht.

Shrewsoft hat auch ein Trace-Modul.

Vielleicht sieht man dort die Ursache.

Marco83_83 · ‎03.06.2020

@wari1957

Wenn das nicht freigegeben ist, funktioniert das auch nicht.

Wie meinst du das?

wari1957 · ‎03.06.2020

@Marco83_83

Ein ping auf die öffentliche IPv4-Adresse der DB muß eingerichtet sein.

Standardmäßig ist der gesperrt.

Marco83_83 · ‎03.06.2020

@wari1957

Ist freigegeben. Schon die ganze Zeit und hat ja auch schon funktioniert...

wari1957 · ‎03.06.2020

@Marco83_83

Wenn du meinst, dann wird es schon so sein.

Marco83_83 · ‎04.06.2020

@wari1957

Hast du vielleicht noch ne Idee an was es liegen könnte?

wari1957 · ‎04.06.2020

@Marco83_83

Was steht denn in den Systemmeldungen der DB wenn du mit Shrewsoft eine Verbindung herstellen möchtest?

Was zeigt Shrewsoft selbst als Fehler an?

- Ping auf work.spdyn.de (Digibox) wird zur IP Aufgelöst, aber ich bekomme keine Antwort (Zeitüberschreitung)

Wenn du das von einem anderen Anschluß aus durchführst brauchst du einen Haken beim Ping (Administrativen Zugriff) der WAN-Schnittstelle, einen NAT-Eintrag (echo-req auf 127.0.0.1) und eine Firewallregel.

Marco83_83 · ‎04.06.2020

@wari1957
hier mal ein paar Infos...

VPN Trace:

20/06/04 08:34:39 ii : rebuilding vnet device list ...
20/06/04 08:34:39 ii : device ROOT\VNET\0000 disabled
20/06/04 08:34:39 ii : network process thread begin ...
20/06/04 08:34:39 ii : pfkey process thread begin ...
20/06/04 08:34:39 ii : ipc server process thread begin ...
20/06/04 08:34:42 ii : ipc client process thread begin ...
20/06/04 08:34:42 <A : peer config add message
20/06/04 08:34:42 <A : proposal config message
20/06/04 08:34:42 <A : proposal config message
20/06/04 08:34:42 <A : client config message
20/06/04 08:34:42 <A : local id 'VPN Laptop' message
20/06/04 08:34:42 <A : remote id 'Digitalisierungsbox Premium' message
20/06/04 08:34:42 <A : preshared key message
20/06/04 08:34:42 <A : peer tunnel enable message
20/06/04 08:34:42 DB : peer added ( obj count = 1 )
20/06/04 08:34:42 ii : local address 192.168.178.48 selected for peer
20/06/04 08:34:42 DB : tunnel added ( obj count = 1 )
20/06/04 08:34:42 DB : new phase1 ( ISAKMP initiator )
20/06/04 08:34:42 DB : exchange type is aggressive
20/06/04 08:34:42 DB : 192.168.178.48:500 <-> 93.xxx.xxx.xxx:500
20/06/04 08:34:42 DB : fc27f898de6f61a3:0000000000000000
20/06/04 08:34:42 DB : phase1 added ( obj count = 1 )
20/06/04 08:34:42 >> : security association payload
20/06/04 08:34:42 >> : - proposal #1 payload 
20/06/04 08:34:42 >> : -- transform #1 payload 
20/06/04 08:34:42 >> : key exchange payload
20/06/04 08:34:42 >> : nonce payload
20/06/04 08:34:42 >> : identification payload
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local supports nat-t ( draft v00 )
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local supports nat-t ( draft v01 )
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local supports nat-t ( draft v02 )
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local supports nat-t ( draft v03 )
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local supports nat-t ( rfc )
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local supports FRAGMENTATION
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local supports DPDv1
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local is SHREW SOFT compatible
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local is NETSCREEN compatible
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local is SIDEWINDER compatible
20/06/04 08:34:42 >> : vendor id payload
20/06/04 08:34:42 ii : local is CISCO UNITY compatible
20/06/04 08:34:42 >= : cookies fc27f898de6f61a3:0000000000000000
20/06/04 08:34:42 >= : message 00000000
20/06/04 08:34:42 -> : send IKE packet 192.168.178.48:500 -> 93.xxx.xxx.xxx:500 ( 602 bytes )
20/06/04 08:34:42 DB : phase1 resend event scheduled ( ref count = 2 )
20/06/04 08:34:42 <- : recv IKE packet 93.xxx.xxx.xxx:500 -> 192.168.178.48:500 ( 102 bytes )
20/06/04 08:34:42 DB : phase1 found
20/06/04 08:34:42 ii : processing informational packet ( 102 bytes )
20/06/04 08:34:42 =< : cookies fc27f898de6f61a3:a2baf0e68a54592a
20/06/04 08:34:42 =< : message 141eb010
20/06/04 08:34:42 << : notification payload
20/06/04 08:34:42 ii : received peer NO-PROPOSAL-CHOSEN notification
20/06/04 08:34:42 ii : - 93.xxx.xxx.xxx:500 -> 192.168.178.48:500
20/06/04 08:34:42 ii : - isakmp spi = fc27f898de6f61a3:a2baf0e68a54592a
20/06/04 08:34:42 ii : - data size 46
20/06/04 08:34:47 -> : resend 1 phase1 packet(s) [0/2] 192.168.178.48:500 -> 93.xxx.xxx.xxx:500
20/06/04 08:34:47 <- : recv IKE packet 93.xxx.xxx.xxx:500 -> 192.168.178.48:500 ( 102 bytes )
20/06/04 08:34:47 DB : phase1 found
20/06/04 08:34:47 ii : processing informational packet ( 102 bytes )
20/06/04 08:34:47 =< : cookies fc27f898de6f61a3:a2baf0e68a54592a
20/06/04 08:34:47 =< : message 141eb010
20/06/04 08:34:47 << : notification payload
20/06/04 08:34:47 ii : received peer NO-PROPOSAL-CHOSEN notification
20/06/04 08:34:47 ii : - 93.xxx.xxx.xxx:500 -> 192.168.178.48:500
20/06/04 08:34:47 ii : - isakmp spi = fc27f898de6f61a3:a2baf0e68a54592a
20/06/04 08:34:47 ii : - data size 46
20/06/04 08:34:52 -> : resend 1 phase1 packet(s) [1/2] 192.168.178.48:500 -> 93.xxx.xxx.xxx:500
20/06/04 08:34:52 <- : recv IKE packet 93.xxx.xxx.xxx:500 -> 192.168.178.48:500 ( 102 bytes )
20/06/04 08:34:52 DB : phase1 found
20/06/04 08:34:52 ii : processing informational packet ( 102 bytes )
20/06/04 08:34:52 =< : cookies fc27f898de6f61a3:a2baf0e68a54592a
20/06/04 08:34:52 =< : message 141eb010
20/06/04 08:34:52 << : notification payload
20/06/04 08:34:52 ii : received peer NO-PROPOSAL-CHOSEN notification
20/06/04 08:34:52 ii : - 93.xxx.xxx.xxx:500 -> 192.168.178.48:500
20/06/04 08:34:52 ii : - isakmp spi = fc27f898de6f61a3:a2baf0e68a54592a
20/06/04 08:34:52 ii : - data size 46
20/06/04 08:34:57 -> : resend 1 phase1 packet(s) [2/2] 192.168.178.48:500 -> 93.xxx.xxx.xxx:500
20/06/04 08:34:57 <- : recv IKE packet 93.xxx.xxx.xxx:500 -> 192.168.178.48:500 ( 102 bytes )
20/06/04 08:34:57 DB : phase1 found
20/06/04 08:34:57 ii : processing informational packet ( 102 bytes )
20/06/04 08:34:57 =< : cookies fc27f898de6f61a3:a2baf0e68a54592a
20/06/04 08:34:57 =< : message 141eb010
20/06/04 08:34:57 << : notification payload
20/06/04 08:34:57 ii : received peer NO-PROPOSAL-CHOSEN notification
20/06/04 08:34:57 ii : - 93.xxx.xxx.xxx:500 -> 192.168.178.48:500
20/06/04 08:34:57 ii : - isakmp spi = fc27f898de6f61a3:a2baf0e68a54592a
20/06/04 08:34:57 ii : - data size 46
20/06/04 08:35:02 ii : resend limit exceeded for phase1 exchange
20/06/04 08:35:02 ii : phase1 removal before expire time
20/06/04 08:35:02 DB : phase1 deleted ( obj count = 0 )
20/06/04 08:35:02 DB : policy not found
20/06/04 08:35:02 DB : policy not found
20/06/04 08:35:02 DB : policy not found
20/06/04 08:35:02 DB : policy not found
20/06/04 08:35:02 DB : removing tunnel config references
20/06/04 08:35:02 DB : removing tunnel phase2 references
20/06/04 08:35:02 DB : removing tunnel phase1 references
20/06/04 08:35:02 DB : tunnel deleted ( obj count = 0 )
20/06/04 08:35:02 DB : removing all peer tunnel references
20/06/04 08:35:02 DB : peer deleted ( obj count = 0 )
20/06/04 08:35:02 ii : ipc client process thread exit ..

Marco83_83 · ‎04.06.2020

Anbei die VPN Einstellungen

Marco83_83 · ‎04.06.2020

Und die Digibox Einstellungen

wari1957 · ‎04.06.2020

@Marco83_83

Ich sehe in der Konfiguration keinen Fehler.

No Proposals chosen dürfte in deinem Fall eigentlich nicht sein.

Dein Laptop befindet sich an einem separaten Internetanschluß?

Was steht denn in den Systemmeldungen der DB (Home -> Monitoring -> Internes Protokoll, Subsystem IPSec)?

Marco83_83 · ‎04.06.2020

@wari1957

Im Protokoll steht kein Eintrag... Und ja, der Laptop befindet sich an einem separaten Internetanschluß.

wari1957 · ‎04.06.2020

@Marco83_83

Du solltest die Anzahl der Einträge von 50 auf 1000 erhöhen (Globale Einstellungen).

Der Verbindungsversuch muß im Log der DB zu sehen sein.

Marco83_83 · ‎04.06.2020

@wari1957
Ok ich glaub langsam kommen wir dem ganzen näher... Im Screenshot Protokoll2 sind die Einträge. Ich habe die Beschreibung unkenntlich gemacht. Aber hier stimmt was nicht. Normal sollte die VPN Verbindung vom Laptop doch über "VPN Laptop" gehen und nicht über das unkenntlich gemachte.

IKEv1 >> Prio1 >> VPN (unkenntlich): das ist die LAN zu LAN Verbindung von der Digibox zu einer Fritzbox

wari1957 · ‎04.06.2020

@Marco83_83

Was passiert, wenn du VPN Laptop an Prio 1 schiebst?

Marco83_83 · ‎04.06.2020

@wari1957

unglaublich. Daran lag es! Jetzt steht die VPN Verbindung.

Warum ist das so? Hast du dafür eine Erklärung?

wari1957 · ‎04.06.2020

@Marco83_83

Softwerker.

Marco83_83 · ‎04.06.2020

@wari1957

Ouh man. Vielen vielen Dank für die Hilfe!! Da wäre ich nie drauf gekommen!

Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

VPN Verbindung vom Laptop zur Digibox Premium über Shrew Soft und spdns