Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Fritz box ondersteuning van IKEv2
370 views
Skip to first unread message
Stef
Dec 15, 2021, 5:09:53 AM12/15/21
to
Sinds gisteren werkte er een VPN verbinding via Fritz Box ineens niet
meer. Mogelijk heeft de andere kant een update gehad, dat wordt nog
uitgezocht. Nu is mijn Fritz Box vrij oud, het is een 7360, en kon ik
nog een update doen van OS 06.86 naar 06.87, maar dat heeft niet
geholpen.
Omdat de log weergeeft dat er IKE-errors 0x2026 en 0x2027 zijn ben ik
wat gaan zoeken en kwam ook hier terecht:
https://nl.avm.de/service/knowledge-base/dok/FRITZ-Box-7360-int/3342_Ondersteuning-van-VPN-providers/
"De FRITZ!Box ondersteunt echter niet de methodes die worden gebruikt
door diensten om anoniem gebruik te maken van internet, zoals OpenVPN of
het IKEv2-protocol."
Is dit up-to-date informatie? En betekent dit dus dat geen enkele Fritz
Box IKEv2 ondersteund?
--
Stef
A man is like a rusty wheel on a rusty cart,
He sings his song as he rattles along and then he falls apart.
-- Richard Thompson
meer. Mogelijk heeft de andere kant een update gehad, dat wordt nog
uitgezocht. Nu is mijn Fritz Box vrij oud, het is een 7360, en kon ik
nog een update doen van OS 06.86 naar 06.87, maar dat heeft niet
geholpen.
Omdat de log weergeeft dat er IKE-errors 0x2026 en 0x2027 zijn ben ik
wat gaan zoeken en kwam ook hier terecht:
https://nl.avm.de/service/knowledge-base/dok/FRITZ-Box-7360-int/3342_Ondersteuning-van-VPN-providers/
"De FRITZ!Box ondersteunt echter niet de methodes die worden gebruikt
door diensten om anoniem gebruik te maken van internet, zoals OpenVPN of
het IKEv2-protocol."
Is dit up-to-date informatie? En betekent dit dus dat geen enkele Fritz
Box IKEv2 ondersteund?
--
Stef
A man is like a rusty wheel on a rusty cart,
He sings his song as he rattles along and then he falls apart.
-- Richard Thompson
Stef
Dec 15, 2021, 7:52:22 AM12/15/21
to
On 2021-12-15 Stef wrote in xs4all.general:
> Sinds gisteren werkte er een VPN verbinding via Fritz Box ineens niet
> meer. Mogelijk heeft de andere kant een update gehad, dat wordt nog
> uitgezocht. Nu is mijn Fritz Box vrij oud, het is een 7360, en kon ik
> nog een update doen van OS 06.86 naar 06.87, maar dat heeft niet
> geholpen.
>
> Omdat de log weergeeft dat er IKE-errors 0x2026 en 0x2027 zijn ben ik
> wat gaan zoeken en kwam ook hier terecht:
>
> https://nl.avm.de/service/knowledge-base/dok/FRITZ-Box-7360-int/3342_Ondersteuning-van-VPN-providers/
>
> "De FRITZ!Box ondersteunt echter niet de methodes die worden gebruikt
> door diensten om anoniem gebruik te maken van internet, zoals OpenVPN of
> het IKEv2-protocol."
>
> Is dit up-to-date informatie? En betekent dit dus dat geen enkele Fritz
> Box IKEv2 ondersteund?
Mogelijk is dit de oorzaak van het probleem:
> Sinds gisteren werkte er een VPN verbinding via Fritz Box ineens niet
> meer. Mogelijk heeft de andere kant een update gehad, dat wordt nog
> uitgezocht. Nu is mijn Fritz Box vrij oud, het is een 7360, en kon ik
> nog een update doen van OS 06.86 naar 06.87, maar dat heeft niet
> geholpen.
>
> Omdat de log weergeeft dat er IKE-errors 0x2026 en 0x2027 zijn ben ik
> wat gaan zoeken en kwam ook hier terecht:
>
> https://nl.avm.de/service/knowledge-base/dok/FRITZ-Box-7360-int/3342_Ondersteuning-van-VPN-providers/
>
> "De FRITZ!Box ondersteunt echter niet de methodes die worden gebruikt
> door diensten om anoniem gebruik te maken van internet, zoals OpenVPN of
> het IKEv2-protocol."
>
> Is dit up-to-date informatie? En betekent dit dus dat geen enkele Fritz
> Box IKEv2 ondersteund?
https://nl.avm.de/service/knowledge-base/dok/FRITZ-Box-7360-int/3331_FRITZ-Box-met-een-bedrijfs-VPN-verbinden/
"De FRITZ!Box gebruikt voor de sleuteluitwisseling via Diffie-Hellman
aanvankelijk 1024 bit (DH-groep 2). Maar daarna accepteert de FRITZ!Box
ook 768, 1536, 2048 en 3072 bit (DH-groep 1, 5, 14 en 15):"
Betekent dit dat de andere kant altijd DH-groep 2 moet ondersteunen?
Dat is dan een probleem, de (Cisco) router aan de andere kant heeft DH-2
verwijderd en DH-5 is depricated en gaat binnenkort weg, zouden niet
veilig genoeg meer zijn.
Het lijkt er op dat deze tekst ook voor alle Fritz boxen geldt. Dus dat
zou betekenen dat ik een andere (niet Fritz) DSL router moet gaan
zoeken? Iemand suggesties?
--
Stef
There are more dead people than living, and their numbers are increasing.
-- Eugene Ionesco
Rob
Dec 15, 2021, 9:49:15 AM12/15/21
to
Stef <m...@this.is.invalid> wrote:
> Betekent dit dat de andere kant altijd DH-groep 2 moet ondersteunen?
> Dat is dan een probleem, de (Cisco) router aan de andere kant heeft DH-2
> verwijderd en DH-5 is depricated en gaat binnenkort weg, zouden niet
> veilig genoeg meer zijn.
Tja dat is altijd een beetje een probleem met fabrikanten die voor jou
> Betekent dit dat de andere kant altijd DH-groep 2 moet ondersteunen?
> Dat is dan een probleem, de (Cisco) router aan de andere kant heeft DH-2
> verwijderd en DH-5 is depricated en gaat binnenkort weg, zouden niet
> veilig genoeg meer zijn.
besluiten dat iets onveilig is en dan maar moet worden verwijderd...
Dat kan betekenen dat andere apparatuur dan ineens waardeloos wordt.
> Het lijkt er op dat deze tekst ook voor alle Fritz boxen geldt. Dus dat
> zou betekenen dat ik een andere (niet Fritz) DSL router moet gaan
> zoeken? Iemand suggesties?
ethernet router. Dan ben je ook voorbereid op glas (DSL modem eruit
gooien, NTU gebruiken).
Ik heb zelf een ZyXEL VMG4005-B50A modem, ook een Draytek 165 kun je
gebruiken. En daarnaast dan dus een router naar keuze, afhankelijk
van je behoeften en beheercapaciteiten.
Stef
Dec 16, 2021, 2:53:08 AM12/16/21
to
On 2021-12-15 Rob wrote in xs4all.general:
> Stef <m...@this.is.invalid> wrote:
>> Betekent dit dat de andere kant altijd DH-groep 2 moet ondersteunen?
>> Dat is dan een probleem, de (Cisco) router aan de andere kant heeft DH-2
>> verwijderd en DH-5 is depricated en gaat binnenkort weg, zouden niet
>> veilig genoeg meer zijn.
>
> Tja dat is altijd een beetje een probleem met fabrikanten die voor jou
> besluiten dat iets onveilig is en dan maar moet worden verwijderd...
> Dat kan betekenen dat andere apparatuur dan ineens waardeloos wordt.
En dan nog wel in automatische updates en een systeembeheerder die daar
> Stef <m...@this.is.invalid> wrote:
>> Betekent dit dat de andere kant altijd DH-groep 2 moet ondersteunen?
>> Dat is dan een probleem, de (Cisco) router aan de andere kant heeft DH-2
>> verwijderd en DH-5 is depricated en gaat binnenkort weg, zouden niet
>> veilig genoeg meer zijn.
>
> Tja dat is altijd een beetje een probleem met fabrikanten die voor jou
> besluiten dat iets onveilig is en dan maar moet worden verwijderd...
> Dat kan betekenen dat andere apparatuur dan ineens waardeloos wordt.
blijkbaar niet bovenop zit. Dus werkt iets dat al jaren werkt ineens
(voor mij) zonder waarschuwing niet meer.
>> Het lijkt er op dat deze tekst ook voor alle Fritz boxen geldt. Dus dat
>> zou betekenen dat ik een andere (niet Fritz) DSL router moet gaan
>> zoeken? Iemand suggesties?
>
> Je zou ook kunnen kijken naar de combinatie van een DSL modem en een
> ethernet router. Dan ben je ook voorbereid op glas (DSL modem eruit
> gooien, NTU gebruiken).
>
> Ik heb zelf een ZyXEL VMG4005-B50A modem, ook een Draytek 165 kun je
> gebruiken. En daarnaast dan dus een router naar keuze, afhankelijk
> van je behoeften en beheercapaciteiten.
omdat het aansluitpunt in de woonkamer zit is 2 kastjes en extra kabels
ook niet handig. Dus voorkeur gaat uit naar alles in 1: Modem, router,
WiFi access point.
Kreeg al het aanbod om een oude (Cisco) router te gebruiken en de Fritz
dan in bridge te zetten (kan dat?). Maar dat is nog erger, dat ding
heeft geen WiFi en zit je dus met 3 kastjes waarvan eentje een stroom
slurpende Cisco (geloof wel dat het een fanless ding was, scheelt toch
weer ;-) ).
--
Stef
La-dee-dee, la-dee-dah.
Rob
Dec 16, 2021, 4:03:08 AM12/16/21
to
Stef <m...@this.is.invalid> wrote:
>> Ik heb zelf een ZyXEL VMG4005-B50A modem, ook een Draytek 165 kun je
>> gebruiken. En daarnaast dan dus een router naar keuze, afhankelijk
>> van je behoeften en beheercapaciteiten.
>
> Dan zit je wel weer met 2 kastjes, dus vaak ook dubbel stroomgebruik. En
> omdat het aansluitpunt in de woonkamer zit is 2 kastjes en extra kabels
> ook niet handig. Dus voorkeur gaat uit naar alles in 1: Modem, router,
> WiFi access point.
Tja dit kan ook een kans zijn, omdat je dan het modem direct bij de
>> Ik heb zelf een ZyXEL VMG4005-B50A modem, ook een Draytek 165 kun je
>> gebruiken. En daarnaast dan dus een router naar keuze, afhankelijk
>> van je behoeften en beheercapaciteiten.
>
> Dan zit je wel weer met 2 kastjes, dus vaak ook dubbel stroomgebruik. En
> omdat het aansluitpunt in de woonkamer zit is 2 kastjes en extra kabels
> ook niet handig. Dus voorkeur gaat uit naar alles in 1: Modem, router,
> WiFi access point.
aansluiting kunt monteren en dan met ethernet verder naar de plek waar
je de router neer wilt zetten.
(waar je de meeste apparatuur hebt die er bedraad aan moet en/of de
beste plek voor WiFi)
> Kreeg al het aanbod om een oude (Cisco) router te gebruiken en de Fritz
> dan in bridge te zetten (kan dat?). Maar dat is nog erger, dat ding
> heeft geen WiFi en zit je dus met 3 kastjes waarvan eentje een stroom
> slurpende Cisco (geloof wel dat het een fanless ding was, scheelt toch
> weer ;-) ).
Meestal traag, weinig poorten, groot, en met wat pech verbruiken ze
veel stroom. En dan ook nog veel werk cq lastig om te configureren.
Zelf gebruik ik nu MikroTik. Maar in dit segment zijn er ook andere
merken die voor een lage prijs een boel features en snelheid bieden,
en omdat dit moderne devices zijn verbruiken ze veel minder stroom.
Maar MikroTik doet niet aan DSL, dat vinden ze ouderwets en "het gaat
overal weg". Dus dat moet met een apart modem dan.
Stef
Dec 16, 2021, 4:43:35 AM12/16/21
to
On 2021-12-16 Rob wrote in xs4all.general:
> Stef <m...@this.is.invalid> wrote:
>>> Ik heb zelf een ZyXEL VMG4005-B50A modem, ook een Draytek 165 kun je
>>> gebruiken. En daarnaast dan dus een router naar keuze, afhankelijk
>>> van je behoeften en beheercapaciteiten.
>>
>> Dan zit je wel weer met 2 kastjes, dus vaak ook dubbel stroomgebruik. En
>> omdat het aansluitpunt in de woonkamer zit is 2 kastjes en extra kabels
>> ook niet handig. Dus voorkeur gaat uit naar alles in 1: Modem, router,
>> WiFi access point.
>
> Tja dit kan ook een kans zijn, omdat je dan het modem direct bij de
> aansluiting kunt monteren en dan met ethernet verder naar de plek waar
> je de router neer wilt zetten.
> (waar je de meeste apparatuur hebt die er bedraad aan moet en/of de
> beste plek voor WiFi)
Moet ik nog eens over nadenken. Maar juist in de woonkamer wil ik wel
> Stef <m...@this.is.invalid> wrote:
>>> Ik heb zelf een ZyXEL VMG4005-B50A modem, ook een Draytek 165 kun je
>>> gebruiken. En daarnaast dan dus een router naar keuze, afhankelijk
>>> van je behoeften en beheercapaciteiten.
>>
>> Dan zit je wel weer met 2 kastjes, dus vaak ook dubbel stroomgebruik. En
>> omdat het aansluitpunt in de woonkamer zit is 2 kastjes en extra kabels
>> ook niet handig. Dus voorkeur gaat uit naar alles in 1: Modem, router,
>> WiFi access point.
>
> Tja dit kan ook een kans zijn, omdat je dan het modem direct bij de
> aansluiting kunt monteren en dan met ethernet verder naar de plek waar
> je de router neer wilt zetten.
> (waar je de meeste apparatuur hebt die er bedraad aan moet en/of de
> beste plek voor WiFi)
een WiFi AP hebben (met gast netwerk). Ethernet loopt nu al van de Fritz
naar zolder, waar weer een 16-poort switch zit en een AP om overal
dekking te hebben. Door 2 betonnen vloeren werkt de WiFi blijkbaar niet
zo goed. ;-)
>> Kreeg al het aanbod om een oude (Cisco) router te gebruiken en de Fritz
>> dan in bridge te zetten (kan dat?). Maar dat is nog erger, dat ding
>> heeft geen WiFi en zit je dus met 3 kastjes waarvan eentje een stroom
>> slurpende Cisco (geloof wel dat het een fanless ding was, scheelt toch
>> weer ;-) ).
>
> Ik gooi oude Cisco's tegenwoordig gewoon weg.
> Meestal traag, weinig poorten, groot, en met wat pech verbruiken ze
> veel stroom. En dan ook nog veel werk cq lastig om te configureren.
>
> Zelf gebruik ik nu MikroTik. Maar in dit segment zijn er ook andere
> merken die voor een lage prijs een boel features en snelheid bieden,
> en omdat dit moderne devices zijn verbruiken ze veel minder stroom.
>
> Maar MikroTik doet niet aan DSL, dat vinden ze ouderwets en "het gaat
> overal weg". Dus dat moet met een apart modem dan.
2 jaar hier glas gaan aanleggen. Kan ik gelijk over naar Freedom, betaal
je voor 1 Gb/s minder dan 100 Mb/s bij xs4all. Alleen geen SIM meer.
Maar bij dat glas krijg je dan waarschijnlijk weer (optioneel) een Fritz
met directe fiber ingang (5530 Fiber bijvoorbeeld). Hopelijk kunnen die
tegen die tijd wel omgaan met alleen DH-14/15.
Op tweakers even gekeken en daar kun je bijv. een ZyXEL VMG8825-T50K
vinden die DSL en WiFi doet. Maar of die ook VPN met de juiste
parameters kan? En manuals van Zyxel krijg je blijkbaar per mail na
invullen van je gegevens. Lekker handig als je een beetje wilt
rondkijken of een modem geschikt is voor jouw toepassing.
--
Stef
It's the RINSE CYCLE!! They've ALL IGNORED the RINSE CYCLE!!
Rob
Dec 16, 2021, 6:55:58 AM12/16/21
to
Stef <m...@this.is.invalid> wrote:
> Moet ik nog eens over nadenken. Maar juist in de woonkamer wil ik wel
> een WiFi AP hebben (met gast netwerk). Ethernet loopt nu al van de Fritz
> naar zolder, waar weer een 16-poort switch zit en een AP om overal
> dekking te hebben. Door 2 betonnen vloeren werkt de WiFi blijkbaar niet
> zo goed. ;-)
Ja ik heb ook 2 WiFi punten want door beton werkt het niet goed, zeker
> Moet ik nog eens over nadenken. Maar juist in de woonkamer wil ik wel
> een WiFi AP hebben (met gast netwerk). Ethernet loopt nu al van de Fritz
> naar zolder, waar weer een 16-poort switch zit en een AP om overal
> dekking te hebben. Door 2 betonnen vloeren werkt de WiFi blijkbaar niet
> zo goed. ;-)
de 5 GHz. Het ligt er een beetje aan wat je voor faciliteiten wilt en
wat je wilt uitgeven wat de beste routers zijn. De meeste flexibiliteit
betekent ook vaak meer kennis bij de configuratie vereist.
MikroTik is voor mensen die netwerkkennis hebben, is niet zo geschikt
als je gewend bent met iets als AVM te werken. Maar er zijn ook andere
merken.
> Tja, duurt hier nog even. Kreeg wel een brief van T-mobile dat ze binnen
> 2 jaar hier glas gaan aanleggen. Kan ik gelijk over naar Freedom, betaal
> je voor 1 Gb/s minder dan 100 Mb/s bij xs4all. Alleen geen SIM meer.
nog aantrekkelijker omdat ik ipv 100 Mb/s nu "maximale lijnsnelheid"
krijg met een 35b ipv 17a profiel (180/30 bij mij), en het kost minder.
Ook wel "minder faciliteiten" maar die zijn ze bij XS4ALL in rap tempo
aan het slopen. Inderdaad de SIM ben ik nu kwijt.
> Maar bij dat glas krijg je dan waarschijnlijk weer (optioneel) een Fritz
> met directe fiber ingang (5530 Fiber bijvoorbeeld). Hopelijk kunnen die
> tegen die tijd wel omgaan met alleen DH-14/15.
copper ethernet aansluiting waar je iedere router met PPPoE over VLAN6
op kunt aansluiten.
Bij Freedom kun je zelf kiezen of je een "gratis router" wilt, zo nee
dan betaal je 2 euro p/m minder.
> Op tweakers even gekeken en daar kun je bijv. een ZyXEL VMG8825-T50K
> vinden die DSL en WiFi doet. Maar of die ook VPN met de juiste
> parameters kan? En manuals van Zyxel krijg je blijkbaar per mail na
> invullen van je gegevens. Lekker handig als je een beetje wilt
> rondkijken of een modem geschikt is voor jouw toepassing.
zitten wel een paar dingetjes en dat vind ik er onoverzichtelijk uit
zien, echter hiervoor had ik een Draytek router en daar vond ik hetzelfde
van. De MikroTik is gewoon een Linux systeem met een configuratie
interface erop, maar als je bijvoorbeeld de firewall configureert ben
je gewoon bezig om iptables rules te maken. Als je dat kent dan is
het allemaal heel logisch en duidelijk. Als je dat niet kent dan is
een router waarin je ergens kiest "poortjes open zetten naar systeem X"
wellicht veel handiger.
Wat ze allemaal wel kunnen is een aantal (max 4 a 8) SSID's aanmaken
die op verschillende netwerken uitkomen die ieder voor zich wel naar
buiten kunnen maar niet onderling communiceren. Tegenwoordig een must
om je computers, IoT devices, gasten e.d. uit elkaar te houden.
En ook ethernet poorten toekennen aan die netwerken indien gewenst.
AVM Fritzbox heeft dat in (te) beperkte vorm (alleen 1 gasten netwerk).
De mogelijkheden van VPN's die wisselen nogal, en ook hoe snel dat dan
is. (Afgehandeld door een CPU of met crypto acceleration)
Zelf gebruik ik nu een RB4011iGS+5HacQ2HnD-IN dat is een behoorlijk
krachtig ding waar je ook een glas SFP in kunt doen voor directe
aansluiting op glas. En je kunt een los accesspoint aansluiten wat
dan via ethernet gevoed wordt.
Echter voor "de meest moderne WiFi" moet je eigenlijk weer niet bij
MikroTik zijn, die lopen een beetje achter op de WiFi-x standaards.
(deze doet wel 4-chain 801.11ac met 1.7Gbps ofzo, maar tegenwoordig
is dat al weer ouderwets)
Stef
Dec 17, 2021, 6:28:40 AM12/17/21
to
On 2021-12-15 Stef wrote in xs4all.general:
[...]
> Mogelijk is dit de oorzaak van het probleem:
>
> https://nl.avm.de/service/knowledge-base/dok/FRITZ-Box-7360-int/3331_FRITZ-Box-met-een-bedrijfs-VPN-verbinden/
>
> "De FRITZ!Box gebruikt voor de sleuteluitwisseling via Diffie-Hellman
> aanvankelijk 1024 bit (DH-groep 2). Maar daarna accepteert de FRITZ!Box
> ook 768, 1536, 2048 en 3072 bit (DH-groep 1, 5, 14 en 15):"
>
> Betekent dit dat de andere kant altijd DH-groep 2 moet ondersteunen?
> Dat is dan een probleem, de (Cisco) router aan de andere kant heeft DH-2
> verwijderd en DH-5 is depricated en gaat binnenkort weg, zouden niet
> veilig genoeg meer zijn.
>
> Het lijkt er op dat deze tekst ook voor alle Fritz boxen geldt. Dus dat
> zou betekenen dat ik een andere (niet Fritz) DSL router moet gaan
> zoeken? Iemand suggesties?
Contact opgenomen met AVM support en deze bevestigen dat Fritz boxen
>
> https://nl.avm.de/service/knowledge-base/dok/FRITZ-Box-7360-int/3331_FRITZ-Box-met-een-bedrijfs-VPN-verbinden/
>
> "De FRITZ!Box gebruikt voor de sleuteluitwisseling via Diffie-Hellman
> aanvankelijk 1024 bit (DH-groep 2). Maar daarna accepteert de FRITZ!Box
> ook 768, 1536, 2048 en 3072 bit (DH-groep 1, 5, 14 en 15):"
>
> Betekent dit dat de andere kant altijd DH-groep 2 moet ondersteunen?
> Dat is dan een probleem, de (Cisco) router aan de andere kant heeft DH-2
> verwijderd en DH-5 is depricated en gaat binnenkort weg, zouden niet
> veilig genoeg meer zijn.
>
> Het lijkt er op dat deze tekst ook voor alle Fritz boxen geldt. Dus dat
> zou betekenen dat ik een andere (niet Fritz) DSL router moet gaan
> zoeken? Iemand suggesties?
momenteel altijd DH-2 nodig hebben voor de opbouw van de VPN.
Er wordt ook al gewerkt aan een oplossing, alleen is deze nog in de
testfase. En men kan nog geen termijn geven voor de update. :-(
--
Stef
"I am your density."
-- George McFly in "Back to the Future"
Rob
Dec 17, 2021, 7:30:24 AM12/17/21
to
boxen. Dus ALS er al een oplossing komt dan komt die er alleen voor
boxen waar nog firmware voor gereleased wordt. En dat is met de meeste
door XS4ALL geleverde boxen niet het geval.
Stef
Dec 17, 2021, 12:37:39 PM12/17/21
to
kijken naar andere oplossingen dus.
Voorlopig maar even behelpen met Cisco Anyconnect (alleen VPN op PC dus
en niet heel netwerk) en naar GSM doorgeschakelde telefoon...
--
Stef
Of course I use Microsoft. Setting up a stable Unix network is no
challenge.
-- From a Slashdot.org post
0 new messages