Fritz 7570 VPN-setting import maakt webinterface later kapot

benny · 23 apr 2013, 20:15

Gek probleem hier.
Fritzbox 7570 van 1&1, aangepast met ruKernelTool naar firmware 75.04.91 van AVM.
Alles ok en werkend.

VPN configureren met volgende guide van avm:
http://service.avm.de/support/nl/SKB/FR ... -verbinden

Daarna importeer ik de VPN settings. Geen probleem, dit lukt. En een VPN verbinding kan gemaakt worden door de externe client. Dus op zich alles goed, maar.... na een reboot(*) werkt de webinterface niet meer. De eerste inlog pagina komt wel, maar na het ingeven van het wachtwoord blijft de box hangen, een minuut later gaat die herstarten. Stroom eraf, en terug aanzetten helpt ook niet. Geraak niet meer in webinterface. Telnet werkt wel nog. Internet blijft ook werken.

Opnieuw flashen met rukerneltool lost het probleem op.

(*) de eerste keer had ik dit probleem na enkele uren later zonder reboot. Met een reboot kan ik het probleem echter simuleren.

Waarschijnlijk is er dus iets met de gegenereerde config file van het "FRITZ!Box VPN Connection" programma.
Misschien moet ik een oudere versie van dit programma hebben omdat er geen nieuwe firmwares beschikbaar zijn voor de 7570, maar welk en waar downloaden ???

Ziehier mijn config, de fritz heeft ip 192.168.1.1

Code: Selecteer alles

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "xxx";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.1.201;
                remoteid {
                        user_fqdn = "xxx";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.1.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.1.0 255.255.255.0 192.168.1.201 255.255.255.255", 
                             "permit ip any 192.168.1.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

23 apr 2013, 23:26

Hieronder ter vergelijking mijn vpn.cfg (er staan VPN accounts in mijn FritzBox)

Code: Selecteer alles

/*
 * /var/flash/vpn.cfg
 * Mon Apr 22 09:55:26 2013
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "user1";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.202;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        user_fqdn = "xxxx";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxxxxxx";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.202 255.255.255.255";
        } {
                enabled = yes;
                conn_type = conntype_user;
                name = "user2";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                keepalive_ip = 0.0.0.0;
                remoteid {
                        user_fqdn = "yyyyyyyy";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "yyyyyyyyy";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255", 
                             "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF

benny · 24 apr 2013, 01:22

Bedankt, buiten de keepalive_ip = 0.0.0.0; (syntax error op de 7570 firmware) is er geen verschil.
Na wat verschillende zaken geprobeerd te hebben met FBEditor vertrekkende vanuit jouw config een keer per toeval ontdekt dat een langere gebruikersnaam blijkbaar wel goed gaat. ( name =, user_fqdn= ). Eerst was dit maar 3 tekens bij mij.
Tot nu toe geen probleem meer in de webinterface. Morgen remote nog zien of ik mijn vpn client ook nog terug werkend krijg.

( Nog goed nieuws : mijn packet loss bij voip calls naar ovh is blijkbaar nu ook weg, door de vele reboots ben ik namelijk teruggevallen naar 16/2. Komende van 25/2 DLM. Waarschijnlijk ben ik de eerste userbase gebruiker die blij is met terugval van profiel

)

24 apr 2013, 08:32

benny schreef:Na wat verschillende zaken geprobeerd te hebben met FBEditor vertrekkende vanuit jouw config een keer per toeval ontdekt dat een langere gebruikersnaam blijkbaar wel goed gaat. ( name =, user_fqdn= ). Eerst was dit maar 3 tekens bij mij.

De tool verwacht in principe een gebruikersnaam in de vorm van een e-mail adres. Dit kan nooit 3 tekens zijn ([email protected])

benny schreef:( Nog goed nieuws : mijn packet loss bij voip calls naar ovh is blijkbaar nu ook weg, door de vele reboots ben ik namelijk teruggevallen naar 16/2. Komende van 25/2 DLM. Waarschijnlijk ben ik de eerste userbase gebruiker die blij is met terugval van profiel )

Dit laatste bewijst nog eens dat je beter bent met een stabiele lijn die wat lager synct, dan een hoger sync met veel errors.