L2TP / Tunneldigger funktionieren nicht an einer FB 7270

Moin,

wir haben hier an zwei Standorten unabhängig von einander beobachtet, dass L2TP nicht durch eine FritzBox 7270 funktioniert. Zwei defekte Geräte halte ich für unwahrscheinlich, zumal sie ansonsten ganz normal funktionieren.

Vermutlich blockt oder filtert die irgendwie die UDP-Pakete, weil eine Floodding-Erkennung läuft oder so.

Hat da schon jemand Details zu? Symptom ist, dass extrem viele Pakete verloren gehen. Wir versuchen mal bei AVM nachzufragen.

Grüße
Matthias

1 Like

Auch wenn es vermutlich nicht direkt hilft:

„7270 und Paketverlust“ kannte ich bislang nur aus dem Szenario „Fastd-Link instabil“ (große Domain) bis „rebootet alle 10-30 Minuten“ (MeshOnWan versehentlich aktiviert)

Will sagen: Ich unterstelle, dass bei diesem modell (keine Ahnung ob jetzt nur 7270v2 oder auch 7270v1) irgendetwas massiv im Argen ist, was auch mit aktueller AVM-Firmware nicht behoben wird.

Könnte genau das selbe Problem sein?:

FalsePositives bei „Plasterouter-Firewalls“ kannte ich bislang nur für UM/LCI-Modems (TC/Alcatel, SA/Cisco).
Wo dann schlussendlich nur komplettes Ausschalten der vom Provider (ohne Rücksprache und ohne Info installierten) Firewall-Funktion zum faktischen Freifunk-Aus geführt hat. (vgl. https://forum.freifunk.net/t/stoerungsmeldungen-ge-intern/5046/237 - GE-Intern)

@stefan, weißt du, wie man diesen Teredo-Filter abschalten kann?

Interessant, das hatten wir bisher garnicht, haben allerdings auch maximale Domängrößen von ~350 Knoten.

Bei uns steht L2TP dadurch etwas schlecht da, weil es eine Handvoll Standorte gibt, wo mit Fastd alles super lief und dann mit L2TP die Probleme kamen.

Also L2TP würde ich dabei nicht die Schuld geben, zumindest nicht ohne die Situation mit Wireshark und Co überprüft zu haben.
Es wäre interessant zu wissen ob generell L2TP an solche Standorten schlecht läuft oder ob es z.b. nur an Tunneldigger liegt.

1 Like

Google „site:avm.de teredo 7270“
gib hier eine Link-Beschreibung ein

oder „site:avm.de l2tp“
VPN-Lösung eines anderen Herstellers im FRITZ!Box-Heimnetz

oder „fritzbox l2tp passthrough“
VPN in der FB aktiv? Ports freischalten und VPN Konfiguration löschen. VPN IPSEC-L2TP hinter einer Fritzbox 7490 geht nicht - administrator.de
und VPN mit Fritzbox7390 mit dahinter liegenden VPN Router Tp-link er6020 fuer ms-basierende mobile endgeräet - administrator.de

Dir ist schon klar, das Tunneldigger L2TP <> L2TP/IPSEC ist?

1 Like

Kann das Phänomen auch bei uns mit der 7270 bestätigen. Hat schon jemand eine Lösung?

Wir hatten mal bei AVM angefragt, aber haben nur eine patzige Antwort erhalten, dass das Modell nicht mehr unterstützt wird.

Durch einen Tipp von @paulinsche konnten wir das Problem eingrenzen: Mit einer v2015.1.5er Firmware und dem alten Tunneldigger funktioniert es tadellos.

Entweder hat sich zwischen Kernel 3.10 und 3.18 etwas geändert, was das Problem verursacht, oder es ist durch den Rewrite des Tunneldiggers entstanden.

Weitere Analysen stehen noch aus. Ggfs. mal probieren den neuen Tunneldigger unter der alten Gluon-Version zum laufen zu bringen oder mal Kernellogs lesen, ob sich an der L2TP-Implementierung etwas geändert hat.

Da der TD nur die Rahmenbedingungen schafft, tippe ich hier stark auf den Kernel.

2 Likes

Also beim Client hat sich nicht viel getan außer dass das Usage-Feature eingebaut wurde.
Wir nutzen z.b. noch den alten Tunneldigger Broker da die Rewrite-Version zu viel CPU Last verursacht.

Wurde in beiden Testfällen der Teredo Filter in der Firewall deaktiviert? Es gab Berichte das dieser bei der FB 7270 Games mit Online-Funktion beeinträchtigt (Welche ebenfalls UDP nutzen).

Wie wäre es wenn ihr einfach beide Düsseldorfer Firmwares an einer FB 7270 testet?
Einmal die Stable Version (2015.1.2):
https://images.freifunk-duesseldorf.de/gluon/stable/sysupgrade/

Und ein mal die Unstable/Beta (2016.2):
https://images.freifunk-duesseldorf.de/gluon/beta/sysupgrade/

Dann können wir auch noch den Broker ausschließen bzw den Rewrite an sich.

2 Likes

Der lässt sich bei einer 7270 nicht abschalten. Weder per manipulierter und rückeingespielter Sicherung, noch über die Weboberfläche.

Die beiden Firmware-Versionen, die du verlinkt hast, werde ich mal hier an den Kollegen weiter geben.

Habt ihr mal einen Link zu Eurer Site.conf (und ggf. site.mk)?

Münsterland wäre hier: GitHub - FreiFunkMuenster/site-ffms-old at Domäne-01
(auf den Zweig aufpassen, das springt manchmal zurück auf Master)

Ich hab dann die einfach wieder in die 2015er Syntax zurückgemodelt und den alten Commit vom Tunneldigger eingetragen, dann lief es. So wie es dort steht, ist es kaputt und die 7270 und ein paar andere FritzBoxen machen den Tunnel kaputt.

?                    

@wusel, ich meinte damit, dass die site.conf, die ich verlinkt habe, zu einer Firmware führt, die nicht mit den 7270 und Konsorten funktioniert.

Sie muss dann noch auf v2015.1.5 und den alten Tunneldigger umgemodelt werden.

Ich hab das nochmal etwas analysiert. Also die Firmware, die funktioniert und die, die nicht geht, haben beide Tunneldigger 4.7. Daran kann es also nicht liegen.

Entweder ist es eine Kernel-Regression von 2015.X auf 2016.X oder das Problem wird von irgendwelchen Zusatzpaketen verursacht, die ich größten teils weggelassen hatte.

Nächster Test wäre ein minimalistisches 2016 zu bauen.

1 Like

Hmm. Ich muß notgedrungen unsere gut abgehangene 2015.1+841v10-Basis verlassen, da die neukaufbare HW ausgeht. Und der Umstieg auf Tunneldigger auch schon überfällig ist.
Besteht das Problem Deiner Wahrnehmung nach auch mit 7490, 7362 (die habe ich hier an meinen beiden VDSL100-Anschlüssen)? 7270er habe ich zwar noch ein halbes Dutzend rumfliegen, nur keine ADSL2-Strecke zum Testen mehr im Zugriff, nur VDSL2 oder UM. Tritt das Problem auch an einer 7270 als IP-Router auf (also bei „Internet via LAN1“)?

Moin,

7362 nicht, die hab ich selbst. Aber man muss bei vielen FBoxen den Teredo-Filter ausschalten, weil die erkennt, dass das ein V6-Tunnel ist. Insbesondere an Kabelanschlüssen ist das negativ aufgefallen.

Macht leider die Installation komplizierter, weil man Zugriff auf die Box braucht.

Grüße
Matthias