Problema IPsec dietro FRITZ!Box

[cancellato] · 6 set 2021

In questi giorni sto provando un 7530 avuto in prestito ed ho notato che le connessioni VPN IPsec/IKE2 stabilite da client locali vanno in time out di connettività (link up ma niente traffico, perlomeno TCP) in maniera casuale a fronte di una qualsiasi attività di rete (apertura di una pagina web, messaggio su Telegram, connessione SSH, etc etc...) e la immediata riconnessione restituisce questo errore

(l'errore sotto Linux è analogo)

L'errore è risolvibile soltanto attendendo alcuni minuti oppure ricollegando l'interfaccia di rete (on/off WLAN o reinserimento cavo LAN).

il problema si presenta sia con l'ultimo fw ufficiale sia con l'ultimo fw beta (e scanso equivoci chiarisco che in tutti i casi il server VPN IPsec è disattivo)
il problema si presenta sia in LAN sia in WLAN
il problema si presenta su qualsiasi host locale
il problema si presenta con tutti i server VPN cui ho accesso (aziendale e privato)
il problema non si presenta con il router titolare (Mikrotik) né via hotspot cellulare

Per ora non ho indagato nei log (al di là di quello insulso del FRITZ!box) ma la sensazione banale è che il firewall del FRITZ!Box ad un certo punto "svarioni"...anche se per esempio in quei frangenti una verifica con netcat restituisce esito a suo modo positivo...

nc -v -u -z -w 3 185.132.X.X 500
185.132.X.X: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [185.132.X.X] 500 (isakmp) open

nc -v -u -z -w 3 185.132.X.X 4500
185.132.X.X: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [185.132.X.X] 4500 (ipsec-msft) open

Pareri in merito?

Veehxia · 7 set 2021

[cancellato] Personalmente ho un 7590 e l'unica VPN che uso è quella inclusa con Norton ma non mi è mai capitato di aver disconnessioni o eventi strani, però ho notato che sui client in wifi, cellulari in primis, il traffico non passa proprio.
Nel momento in cui attivo la VPN sul cellulare e sono collegato in wifi qualunque pagina web io provi ad aprire non carica, whatsapp / telegram non inviano o ricevono, esattamente come se fossi senza connessioni, mentre se passo al 4G funziona tutto.
Ho provato con il wifi di altri device non-Fritz e questo problema non si verifica, quindi mi viene facile puntare il dito.
Inoltre posso confermare in generale che le funzioni VPN integrate nel Fritz (anche se non di queste stiamo proprio parlando) siano abbastanza pessime.
Ho varie LAN2LAN incrociate tra di loro, create sempre con l'utility inclusa dei Fritz, per permettermi di acceder a tutto da ogni parte in cui mi trovi e spesso e volentieri avvengono delle microdisconnessioni di qualche secondo, solitamente non si notano ma se si stanno trasferendo file.... Riprova.

[cancellato] la sensazione banale è che il firewall del FRITZ!Box ad un certo punto "svarioni"

Ora, io sono fin troppo inesperto in materia per gridar "Eureka" e saper la causa, ma potrebbe esser in qualche modo lo stesso fenomeno dietro questo?

TTechnetium · 7 set 2021

[cancellato]
Devi guardare nei log del server.
MTU del link ?

Ho diverse ditte con VPN IPSec/IKE2 e per ora nessuna lamentela su questo, di specifico su Fritzbox.
Solo sul nat traversal che non funziona e quindi la connessione in realtà veniva chiusa subito anche se windows erroneamente la segnalava UP e a volte andavano in tilt pure i driver del wifi/connessioni e per ripristinare bisognava riavviare il pc.

[cancellato] · 7 set 2021

Technetium È esattamente questo mi sa il suo problema... lui la IPSec la sta aprendo dal PC, non dal fritz, e "qualcosa" gli fa cadere il conntrack della sessione UDP (probabilmente) della VPN.

[cancellato] · 7 set 2021

Veehxia potrebbe esser in qualche modo lo stesso fenomeno dietro questo?

A dire il vero no, non mi da la sensazione che sia una questione prestazionale...tanto per dirne una il blocco può capitare anche eseguendo le prime attività online ore dopo aver attivata la VPN (sì, sto cercando di provare ogni scenario anche strambo)...

Technetium Devi guardare nei log del server.

Ad una prima occhiata non noto nulla di palesemente strano (mi riferisco al mio server, su quello aziendale non ho modo ovviamente di mettere il naso)...però devo fare una verifica più puntuale su base timestamp.

Technetium MTU del link ?

Mah direi tutto standard...di fatto il problema si presenta appunto con il FRITZ!Box, tutto il resto è invariante (configurazione client/server e connessione, ovvero PPPoE TIM) rispetto ad anni di funzionamento impeccabile.

[cancellato] ecco quella è la sensazione...però...è del tutto casuale...poi ovviamente essendo il FRITZ!Box un baracchino vattelapesca nel verificare quel che succede...però mi pare comunque strano che di una problematica del genere non si parli...cioè sto sfogliando parecchie discussioni online qua e là e non trovo nessuno con problematica simile...mi sta venendo addirittura il dubbio che possa essere difettoso questo esemplare di FRITZ!Box ma un difetto così specifico mi parrebbe tanto improbabile...

Ddgordini · 7 set 2021

[cancellato] Posso dirti che a casa da qualche mese ho un fritzbox 7530 datomi da Tiscali quando ho installato la loro fibra, e che per lavorare da casa uso dal mio PC Windows 10 una connessione IPSEC basata su IKEv2 con abilitato il NAT traversal (anche se non ho mai verificato se venga usato o no). Non ho mai avuto problemi di sorta, la connessione sale immediatamente ed è stabile.

Filippo94 · 7 set 2021

Io utilizzo regolarmente la IPSEC e mi è caduta molto sporadicamente la vpn, generalmente non mi ha dato problemi.
Sarebbe interessante approfondire la diagnostica, eventualmente anche con AVM, per capire se sia una configurazione del Fritz visto che con il Mikrotik non ti dà problemi.

[cancellato] · 7 set 2021

Filippo94 Sì sarebbe forse interessante ma servirebbero anche ulteriori voglia e tempo...tra l'altro non l'ho chiarito ma parliamo di un esemplare oggetto di fabric reset e successiva minimale configurazione, di fatto al momento ho impostati soltanto i dati della PPPoE...

[cancellato] · 7 set 2021

Non è che magari ha a che fare n qualche modo con il "QoS" del Fritz che in presenza di altro traffico finisce per danneggiare quello VPN?

[cancellato] · 7 set 2021

[cancellato] Mah...a parte che come dicevo tutti i setting sono di fabbrica tranne la PPP, il problema capita anche a rete totalmente scarica e con un unico host attivo... ... valà che a breve rimetto sotto il MT e buonanotte...FRITZ!Box dei miei stivali!

[cancellato] · 7 set 2021

[cancellato] Potrebbe avere dei drop se a linea satura venissero classificati come poco importanti, ma la IPsec è connectionless, starebbe in piedi comunque.

Qui sembra proprio perdere la entry nella tabella di NAT, vai a capire perché.

[cancellato] FRITZ!Box dei miei stivali!

Sò ragazzi... (cit.)

[cancellato] · 7 set 2021

[cancellato]

Non ci sono opzioni per pacchetti di keepalive per la Dead Peer Detection? Però se come MisterFTTH dice succede anche per traffico irrisorio non sarà quello - a meno che la gestione del QoS non sia veramente bacata.

Perché è anche strano che debba attendere dei minuti per la riconnessione (o fare un up/down della porta), se perdesse il NAT dovrebbe essere comunque possibile riconnettersi subito, o no?

callfan · 7 set 2021

Non sono pratico di aspetti tecnici da poter dire di più ma posso portare la mia testimonianza: navigo spesso sotto VPN (Nord, Windscribe o VPN Unlimited) da PC/iPad/iPhone/Android e il mio 7530 non ha mai dato alcun problema...

EDIT: anzi, entrambi quelli che ho, sia con 7.10 che con 7.28

[cancellato] · 7 set 2021

[cancellato] Perché è anche strano che debba attendere dei minuti per la riconnessione (o fare un up/down della porta)

Infatti non riesco ad inquadrare nemmeno quest'altra variabile empirica...

[cancellato] · 7 set 2021

callfan VPN (Nord, Windscribe o VPN Unlimited)

Sì, però attenzione a che protocollo usano - se è stile OpenVPN è diverso da usare IPSec.

[cancellato] Infatti non riesco ad inquadrare nemmeno quest'altra variabile empirica...

Mah, fa pensare a qualche "stato" mantenuto dal Fritz che non permette la riconnessione finché non scade - o la porta non viene reinizializzata. Se non ricordo male il Fritz ha una pagina nascosta per fare un tcpdump - magari può essere utile.

Filippo94 · 7 set 2021

[cancellato] Se non ricordo male il Fritz ha una pagina nascosta per fare un tcpdump

Dovrebbe essere /html/capture.html

[cancellato] · 7 set 2021

[cancellato] Nel changelog dell'ultima versione dell SO del Fritz 7.28 vedo queste righe:

Fixed VPN connections on the basis of third-party providers were sometimes interrupted after long connection times
Fixed Wireless devices in the home network could not always be accessed via VPN

Magari può ricadere nella tua casistica?

[cancellato] · 7 set 2021

Filippo94

Confermo che quell'URL apre la sezione Packet Trace, qualcosa di interessante in un FRITZ!Box, incredibile ...se ho tempo/voglia faccio qualche verifica...

[cancellato] Magari può ricadere nella tua casistica?

Oddio il primo punto potrebbe pure essere interessante...ma se si riferisce al 7.28 ahimé per il 7530 ancora non è disponibile e comunque con l'ultima beta del 7.27 il problema persiste.

Ggianx80 · 7 set 2021

[cancellato] Per il fritz 7530 no brand il 7.28 esiste da un po' (spero di non aver capito male)

https://it.avm.de/assistenza/download/download/product/fritzbox-7530/

[cancellato] · 7 set 2021

Ooooops distrazione mia...finora ho parlato del 7530 ma...il modello è il 7530 AX...sorry...