Hallo,
seit dem Update der Endian von 2.5 auf 3.0 funktioniert der Tunnelaufbau zwischen der Endian und Fritz!Boxen mit dynamischen IPs nicht mehr. Die Endian sagt als, die Verbindung wird hergestellt, aber nichts passiert. In der Fritz!Box in der Übersicht steht auch VPN wird aufgebaut.
In der Endian mit Version 2.5 hat dies funktioniert.
Mit freundlichen Grüßen
Stefan Steiner
Hallo,
nach regem E-Mail Verkehr mit dem Endian Support bekam ich dort folgende Antwort:
Hallo Herr Steiner,
ich habe grade die Antwort vom Second Level Support bekommen.
Dabei handelt es sich nicht um einen Bug, oder eine Fehlkonfiguration Ihrerseits, sondern lediglich um ein Feature Request.
Die IPsec VPN der Endian unterstützt derzeit einfach keine DynDNS-Domain als Ziel-Adresse.Mit freundlichen Grüßen, Best Regards
Neue Version, ein Feature das in der Vorgängerversion funktionierte, ist auf einmal ein Feature Request. :cry:
Stefan
Hm, das kann ich aus eigener Erfahrung so nicht bestätigen. Man muss lediglich die ipsec.conf, bzw. ipsec.conf.tmpl etwas "frisieren", dann läuft's auch mit der v3.0
Genaueres hier: https://www.efw-forum.de/www/forum/viewtopic.php?f=93&t=1896
Hallo,
ich habe nun nochmal die Einstellung aus dem Beitrag in die Endian und die Fritz!Box übernommen, aber das gleiche Ergebnis. Der VPN-Tunnel wird nicht aufgebaut, der Status bleibt bei "Verbindung wird hergestellt" stehen.
Tschau,
Stefan
Was sagt das Protokoll?
Hallo,
hab mal ein Auszug aus dem Systemprotokoll hier dran gehängt.
Hast Du die ipsec.conf.tmpl bearbeitet wie in meinem verlinkten Post beschrieben?
Hallo,
welche Einträge meinst du? dpdaction & leftnexthop? Diese habe ich auskommentiert und werden nicht in die ipsec.conf geschrieben.
Tschau
Stefan
dpdaction kann drin bleiben. Leftsourceip muss raus.
Hallo,
in der ipsec.conf.tmpl gibt es keinen Eintrag mit leftsourceip. Hier mal der Ausschnitt aus der ipsec.conf.tmpl:
conn $conn.name
## dpdaction=$conn.dpd_action
#if $conn.interface == 'GREEN'
left=$GREEN_ADDRESS
#end if
#if $conn.interface == 'BLUE'
left=$BLUE_ADDRESS
#end if
#if $conn.interface == 'ORANGE'
left=$ORANGE_ADDRESS
#end if
#if $conn.interface.startswith('UPLINK:')
left=$conn.uplink.IP
## leftnexthop=$conn.uplink.GATEWAY
#end if
#if $conn.connection_type == 'l2tp'
leftprotoport=17/1701
rightprotoport=17/%any
#else
leftsubnet=$colon.join($conn.local_subnet)
#end if
#if $conn.modeconfig == 'push'
modeconfig=push
#end if
right=$conn.remote_address
#if $conn.connection_type == 'net'
rightsubnet=$colon.join($conn.remote_subnet)
#else
rightsubnet=0.0.0.0/0
#if $conn.connection_type != 'l2tp'
rightsourceip=${VIRTUAL_IP_POOL}
#end if
#end if
#if $conn.auth_type == 'cert'
leftcert=${CERT_FILENAME}
#if $conn.cert_name != '%auth-dn' and $conn.remote_peerid.find("*") < 0
#if $conn.cert_filename == ''
rightcert=${conn.name}cert.pem
#else
rightcert=${conn.cert_filename}
#end if
#end if
authby=pubkey
leftsigkey=%cert
#if $conn.remote_peerid.find("*") < 0
rightsigkey=%cert
#end if
#if $conn.connection_type == 'xauth':
rightauth2=xauth
#end if
#elif $conn.auth_type == 'hybrid':
leftauth=pubkey
rightauth=xauth-pam
leftcert=${CERT_FILENAME}
leftsigkey=%cert
#else
leftauth=psk
rightauth=psk
#if $conn.connection_type == 'xauth':
rightauth2=xauth-pam
#end if
#end if
#if $conn.local_peerid != ''
leftid="$conn.local_peerid"
#else
#if $conn.auth_type != 'cert'
#if $conn.interface == 'GREEN'
leftid=$GREEN_ADDRESS
#elif $conn.interface == 'BLUE'
leftid=$BLUE_ADDRESS
#elif $conn.interface == 'ORANGE'
leftid=$ORANGE_ADDRESS
#elif $conn.interface.startswith('UPLINK:')
leftid=$conn.uplink.IP
#end if
#end if
#end if
#if $conn.remote_peerid != ''
rightid="$conn.remote_peerid"
#else
#if $conn.auth_type != 'cert' and $conn.remote_address != '%any'
rightid=$conn.remote_address
#end if
#end if
#if $conn.ike_lifetime
ikelifetime=${conn.ike_lifetime}h
#end if
#if $conn.esp_keylife
keylife=${conn.esp_keylife}h
#end if
#if $conn.compression == 'on'
compress=yes
#end if
#if $ike
ike=$colon.join($ike)
#end if
#if $esp
esp=$colon.join($esp)
#end if
#if $conn.connection_type == 'net'
auto=$conn.auto
#else
auto=add
#end if
#if $conn.ike_version == ''
keyexchange=ike
#else
keyexchange=ikev${conn.ike_version}
#end if
#end forUnd das macht er dann draus:
conn SteinerSoft
left=80.153.177.222
leftsubnet=192.168.178.0/24
modeconfig=push
right=steinersoft.ddns.net
rightsubnet=192.168.32.0/24
leftauth=psk
rightauth=psk
leftid="@patzer"
rightid="@steinersoft"
ikelifetime=1h
keylife=8h
ike=3des-sha1-modp1024
esp=3des-sha1-modp1024
auto=start
keyexchange=ikev1Tschau,
Stefan
In meiner Originaldatei sieht der entsprechende Abschnitt so aus:
leftsubnet=$colon.join($conn.local_subnet)
#end if
#if $conn.local_sourceip and $conn.connection_type == 'net'
leftsourceip=$colon.join($conn.local_sourceip)
#end if
right=$conn.remote_address
Dafür findet sich dort kein Eintrag mit modeconfig=push.
Hallo,
gestern hab ich was entdeckt. Ich habe 5 IPSEC-VPN's. Diese sehen folgendermaßen aus:
1.) MobileZugang L2TP (PSK)
2.) SteinerSoft Net (PSK)
3.) Warngau Net (PSK)
4.) Buchenberg Net (PSK)
5.) StephanPatzer Net (PSK)
VPN Warngau hat auf der gegenseite eine feste IP und der Verbindungsaufbau funktioniert.
MobileZugang ist für iPads und iPhone und die Einwahl funktioniert auch.
Die anderen 3 VPN besitzen eine NO-IP Domain und der Verbindungsaufbau bleibt immer bei "Verbindung wird aufgebaut".
Nun habe ich mal Testweise den Presharekey der Verbindung SteinerSoft in den MobileZugang eingetragen und die Verbindung SteinerSoft neu gestartet. Und siehe da, die Verbindung wurde aufgebaut und funktionierte.
Das gleiche nochmal mit Buchenberg gemacht und auch dort funktionierte die Verbindung.
Habe dies gleich dem Support von Endian mitgeteilt und die haben Screenshots gemacht und werden es dem Second Level Support in Italien übergeben.
Ich habe nun den Presharekey in den Fritz!Boxen SteinerSoft, Buchenberg und StephanPatzer mit dem des MobilZugang ausgetauscht und seit heute morgen laufen die Verbindungen wie in der 2.5er Version.
Bin mal gespannt, was da in Italien raus kommt.
Tschau
Stefan
Mich würde mal interessieren, was eine NO-IP Domain ist? Wird da einfach nur die IP-Adresse nicht angezeigt oder steckt da mehr hinter? Beschäftige mich erstmalig mit dem Thema Domain, da ich mir auf _URL_ENTFERNT_ eine Shop Domain sichern möchte. Bin im Begriff einen kleinen Onlineshop zu implementieren und derzeit ist das noch Neuland für mich...
siehe hier: http://www.noip.com/
Hallo zusammen,
wollte mich auch mal zu dem Thema einklinken.
Ich stehe aktuell vor dem Problem, dass ich gerne ein VPN zwischen meiner Endian 3.0 und einer FritzBox 7272 aufbauen will. Die Fritzbox hat auch nur eine dyndns-Adresse... Und auch bei mir bleibt es immer beim Verbindungsaufbau stehen. Habe die Anleitungen in den vorherigen Beiträgen schon durch, leider aber ohne Erfolg. Ich bekomme keinen Tunnel aufgebaut.
Gibt es zum Thema Dyndns schon eine Rückmeldung? Wird das nachgeliefert, oder gibt es einen funktionierenden anderen Weg?
Wäre für einen Tipp dankbar!
Gruß,
Flo