Aktive Routen sind angehängt.

Folgende Schnittstellen sind vertrauenswürdig:

LAn_EN1-4

Bridge_Br0

und

IPSEC_Fritzbox

@Felix Sch 

Eins vorweg 2SAs sind schlecht.

Die FB hat ein Problem mit dem Rekeying nach einer Stunde.

Zu diesem Thema kannst du hier etwas nachlesen:

https://telekomhilft.telekom.de/t5/All-IP-das-digitale-Netz/be-ip-plus-IPSec-zur-Fritzbox-7390-IKEv1...

Was ich nicht verstehe, in den konfigurierten Routen heißt die IPSec-Schnittstelle IPSEC_FRITZBOX und in den aktiven Routen IPSEC_FRITZBOX-Beschreibung.

Bei meiner DB ist das derselbe Name.

Welche Firmware nutzt du in der DB?

Was meinst du nochmal mit sas ? Biede Phase? Ich kann doch gar nicht die 2, Phase abwählen.

Firmware ist 11.01.03.103 und aktuell

Der Name passt schon, der ist identisch,ich habe das nur Umbenannt und falschen Screenshot eingestellt.

Ich suche nach der nadelim Heuhaufen.

Aha,jetzt weiß ich was du meinst. Also sol sollte es richtig sein oder ? Siehe Bild?

Ping geht leider immernoch nicht.

Vielleicht ein Hinweis. Unterbreche ich den Dauerping kommt eine Antwort von der DB: Ziel nicht erreichbar. Steht der VPN Tunnel kommt beim Ping nur Zeitüberschreitung der Anforderung

@Felix Sch 

sas.png zeigt das Richtige, die Übersicht zeigt aber 2SAs.

Da passt ja was nicht.

@Felix Sch 

Ich weiß nicht, ob das eine Rolle spielt, bei mir ist eine Box der "Antwortende" in Phase1/2 und die andere Box der "Auslöser" für Phase1/2.

Das ist bei dir nicht so.

Bei Phase 1 ist der Auslöser die FB und bei Phase 2 die DB (sas.png).

Nun passt die Übersicht. ICh denke es ist egal ob ich die FB als erstes connecten lasse oder die DB. In der tat hatte ich die Fritzbox am laufen lassen bevor die DB connected hat. Hab es aber auch glaub ich anderstrum gemacht. Verbunden ist verbunden, denke ich. Vermutlich stimmt etwas mit den Regeln/Schneittstellen nicht bei mir. Hat jemand noch eine Idee ? VPN sieht bis jetzt doch ganz ok aus. Wenn gar kein Verkehr gehen würde, dann käme die Verbindung zum Schlüsselaustausch ja auch nicht zustande, also funktioniert das schonmal gut. Allerdings nix anderes

Auffällig ist auch, dass entfernte und lokale ID immer "Fritzbox ist" bei dem Setup steht bie entfernte ID aber nix. Denke das ist ok so.

Wie könnte ich hier weiterkommen ?

@Felix Sch 

Wenn ich an einem Punkt nicht mehr weiterkomme nutze ich die Möglichkeit von Netzwerkmitschnitten.

Sowohl die DB als auch die FB haben diese Möglichkeiten.

Ein ping erzeugt immer Nutzdatenverkehr, auch wenn dieser verschlüsselt ist.

 dann werd ich das später machen und hier posten Dann muss ich erst Wireshark installieren, damit ich den Record anzeigen kann.

Ich hoffe, dass ich dann weiter komme. Vielleicht kommt ja noch eine Lösung richtung Nat usw.

Ich schaue später mal ob  ich es analysieren kann.

Piekann es denn kommen dass die Db mehrere Sas an? Ohne Änderung habe ich nun 3 SAs im 2. Profil.

@Felix Sch 

Die FB hat eine Phase1 Lifetime von 3600s.

Offensichtlich klappt dann das ReKeying nicht, warum auch immer.

Die FB baut dann einen neuen Tunnel auf, der aber offensichtlich nicht korrekt funktioniert.

So kommen immer neue SAs hinzu.

Ich komme mit Wireshark nicht wirklich weiter, finde keine Ursache dass von der Fritzbox nichts durchgeht und umgekehrt

hi Wari, ich habe den Timeout verändert nun sollte es besser laufen,ich schaue mal morgen. Verkehr ist aber immernoch nicht möglich.ich habe alles ausprobiert, Firewall, Nat usw. klappt leider noch noch nicht.

Hast noch ne Idee?

Das Problem ist nun endlich, nach mehreren Tagen gelöst.

Schuld war die Digitalisierungsboxroute. Diese habe ich mehrfach neu angelegt, dann hat es funktioniert.

Weiß jemand ob es auch möglich ist auf die Digitalisierungsbox via OpenVPn zu gelangen ohne den kostenpflichtigen VPN Client des Routers?

@Felix Sch 

Für Windows gibt es den ShrewSoft Client und Android bringt IPSec ja auch direkt mit.

OpenVPN kenne ich nur dem Namen nach.