Fritz!OS 5.52, VPN und DynDNS

Irgendwie habe ich es erwartet. Ich habe eine 7170 durch eine 7270v2 ersetzt, da die 7170 beim Anrufbeantworter immer mal wieder Sperenzchen machte und einen Reboot wollte. Die 7270v2 habe ich natürlich mit der neusten Firmware – Fritz!OS 5.52 – ausgestattet, denn 5.50 war ja partiell auch etwas buggy. Der Dank? DynDNS-Probleme und kein funktionales VPN mehr.

Ich bin bekanntlich kein Freund von IPsec, mir kommt das ›zu Tode entwickelt‹ vor: zu komplex und insbesondere zu anfällig für Blockaden. Aber, hey, die Fritz!Boxen können immerhin das, also nutze ich es. Bislang funktionierte es ganz gut; mit Abstrichen zwar (Routing im/zwischen den VPNs richtig zu konfigurieren, gelingt mir nicht immer auf Anhieb), aber Punkt-zu-Punkt (im Sinne von LAN-zu-LAN) ist ja auch schon mal was.

Nach der Übernahme den 7170-Konfiguration (DAS ist imho das Killerfeature von Fritz!OS 5) und Austausch der Boxen mußte ich am Tag drauf feststellen, daß DynDNS & VPN zu der 7270 nicht mehr zuverlässig tun; hier expemplarisch die Meldungen der heimischen 7570 (mit der latest and greatest Firmware für AVMs Aschenputtel1, 04.90):

18.09.13   21:08:52   VPN-Fehler: fb-7270v2.dyn.uu.org, IKE-Error 0x2027
18.09.13   21:08:20   VPN-Verbindung zu fb-7270v2.dyn.uu.org wurde getrennt. Ursache: 3 IKE server
18.09.13   21:06:21   Anmeldung der Internetrufnummer 622 war nicht erfolgreich. Gegenstelle meldet Ursache 404
18.09.13   21:06:21   VPN-Verbindung zu fb-7270v2.dyn.uu.org wurde erfolgreich hergestellt.
18.09.13   21:06:20   VPN-Fehler: fb-7270v2.dyn.uu.org, IKE-Error 0x203e
18.09.13   21:05:51   VPN-Fehler: fb-7270v2.dyn.uu.org, IKE-Error 0x2027
18.09.13   21:05:16   VPN-Fehler: fb-7270v2.dyn.uu.org, IKE-Error 0x2027
18.09.13   21:04:39   VPN-Fehler: fb-7270v2.dyn.uu.org, IKE-Error 0x2027
18.09.13   21:04:05   VPN-Fehler: fb-7270v2.dyn.uu.org, IKE-Error 0x2027
18.09.13   21:03:32   VPN-Fehler: fb-7270v2.dyn.uu.org, IKE-Error 0x2027

Die 7270v2, zu der ich leider nur noch sporadisch Kontakt habe, meldete immer wieder ›dead peer detection‹:

18.09.13   21:06:20   VPN-Verbindung zu fb-7570.dyn.uu.org wurde erfolgreich hergestellt.
18.09.13   20:53:00   VPN-Verbindung zu fb-7570.dyn.uu.org wurde getrennt. Ursache: 9 Dead Peer Detection
18.09.13   20:47:27   VPN-Verbindung zu fb-7570.dyn.uu.org wurde erfolgreich hergestellt.
18.09.13   20:47:21   VPN-Verbindung zu fb-7570.dyn.uu.org wurde getrennt. Ursache: 9 Dead Peer Detection
18.09.13   20:41:51   VPN-Verbindung zu fb-7570.dyn.uu.org wurde erfolgreich hergestellt.
18.09.13   20:41:45   VPN-Verbindung zu fb-7570.dyn.uu.org wurde getrennt. Ursache: 9 Dead Peer Detection

Ich vermute mal, daß dies mit einem anderen Problem der 5.52er Firmware zusammenhängt: der DynDNS-Dienst meldet immer nur ›Status: unbekannt‹, und IPsec zickte schon rüher rum, wenn IP-Adressen und dynamische Hostnamen nicht übereinstimmten. In die Richtung geht auch ein Support-Artikel von AVM zu dem IKE-Fehler. Kann man als Sicherheitsfeature sehen, bricht mir hier aber grade das Genick, äh, das VPN.

Auf NWLAB.NET find sich eine Liste von IKE-Fehlercodes und deren textueller Entsprechung; auch dies deutet auf defektes DynDNS-Updating hin:

IKE-Error 0x2027   "timeout"
IKE-Error 0x203E   "phase 1 aborted, ip address of neighbour has changed"

Alle meine Fritz!Boxen nutzen den selben DynDNS-Service, 7570er mit 04.90 und 04.91, 7360 mit 5.22 und vormals die 7170 mit 04.80 — ohne jegliche Probleme. Nach der – seit 5.50 nicht mehr möglichen – drahtlosen Kopplung mehrerer Fritz!Boxen über WDS hat AVM also in Fritz!OS 5 ein weiteres Hauptfeature der Fritz!Boxen unbrauchbar gemacht. Respekt, das ist Dienst am Kunden … not!

______
1 Die Fitz!Box 7570 ist die von AVM vertoßene Prinzessin, eine Stiefschwester der 7270v2, zu jener bis auf den VDSL2/ADSL2-Chip technisch nach aktuellem Kenntnisstand identisch.
Zwar war die 7570 nie im direkten Endkundenvertrieb, aber sie tauchten und tauchen im Gebrauchtmarkt auf und sind nach wie vor technisch auf der Höhe der Zeit; leider hat AVM dennoch schon vor Jahren für dieses Gerät, anders als für die 7270, den Support eingestellt. Siehe auch meinen offenen Brief an AVM.