ein LANCOM (9.10.0406, All-IP) soll sich mit einer SIP-Leitung bei einem anderen LANCOM (9.10.0406, All-IP) als SIP-Client registrieren. Dafür wurde eigens eine VPN-Verbindung erstellt (mit Zertifikaten, beide Seiten DNS-auflösbar, kein dynamic VPN). Da die SIP-Registrierung ausschließlich bei Anwesenheit der Person erfolgt und diese nicht oft anwesend ist, war die Anforderung, dass die VPN-Verbindung nur bei Bedarf aufgebaut wird. Sie wurde daher mit einer Haltezeit von 600 Sek. auf beiden Seiten konfiguriert.
Leider - das ist das Problem - baut sich die VPN-Verbindung nicht von alleine auf, d. h. die regelmäßigen Registrierungsversuche der SIP-Leitung des LANCOMs reichen nicht aus. Ständig wird versucht die VPN-Verbindung aufzubauen, es verlässt jedoch nicht ein Paket den LANCOM-Router. Im LANmonitor steht "Zeitüberschreitung während IKE- oder IPsec-Verhandlung (Aktiver Verbindungsaufbau) [0x1106]".
Im VPN-Status-Trace kommt lediglich:
Code: Alles auswählen
[VPN-Status] 2015/09/18 17:52:52,854
vpn-maps[21], remote: NYMPHENBURG, idle, dns-name, static-name
[VPN-Status] 2015/09/18 17:52:52,862
selecting next remote gateway using strategy eFirst for NYMPHENBURG
=> no remote gateway selected
[VPN-Status] 2015/09/18 17:52:52,862
selecting first remote gateway using strategy eFirst for NYMPHENBURG
=> CurrIdx=0, IpStr=>xyz.de<, IpAddr=30.40.50.60, IpTtl=60s
[VPN-Status] 2015/09/18 17:52:52,862
VPN: installing ruleset for NYMPHENBURG (30.40.50.60)
[VPN-Status] 2015/09/18 17:52:52,862
VPN: WAN state changed to WanDisconnect for NYMPHENBURG (30.40.50.60), called by: 00a8a0f4
[VPN-Status] 2015/09/18 17:52:52,863
VPN: WAN state changed to WanIdle for NYMPHENBURG (30.40.50.60), called by: 00a8a0f4
[VPN-Status] 2015/09/18 17:52:52,866
VPN: rulesets installed
[VPN-Status] 2015/09/18 17:52:57,828
VPN: WAN state changed to WanCall for NYMPHENBURG (30.40.50.60), called by: 00a8a0f4
[VPN-Status] 2015/09/18 17:52:57,828
VPN: connecting to NYMPHENBURG (30.40.50.60)
[VPN-Status] 2015/09/18 17:52:57,828
vpn-maps[21], remote: NYMPHENBURG, nego, dns-name, static-name, connected-by-name
[VPN-Status] 2015/09/18 17:52:57,829
vpn-maps[21], remote: NYMPHENBURG, nego, dns-name, static-name, connected-by-name
[VPN-Status] 2015/09/18 17:52:57,829
vpn-maps[21], remote: NYMPHENBURG, nego, dns-name, static-name, connected-by-name
[VPN-Status] 2015/09/18 17:52:57,829
VPN: installing ruleset for NYMPHENBURG (30.40.50.60)
[VPN-Status] 2015/09/18 17:52:57,838
VPN: ruleset installed for NYMPHENBURG (30.40.50.60)
[VPN-Status] 2015/09/18 17:52:57,838
VPN: start IKE negotiation for NYMPHENBURG (30.40.50.60)
[VPN-Status] 2015/09/18 17:52:57,838
VPN: WAN state changed to WanProtocol for NYMPHENBURG (30.40.50.60), called by: 00a8a0f4
[VPN-Status] 2015/09/18 17:52:57,846
VPN: rulesets installed
[VPN-Status] 2015/09/18 17:53:27,846
VPN: connection for NYMPHENBURG (30.40.50.60) timed out: no response
[VPN-Status] 2015/09/18 17:53:27,846
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for NYMPHENBURG (30.40.50.60)
[VPN-Status] 2015/09/18 17:53:27,846
VPN: disconnecting NYMPHENBURG (30.40.50.60)
[VPN-Status] 2015/09/18 17:53:27,846
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for NYMPHENBURG (30.40.50.60)
Sobald vom LANCOM aus auch nur ein einziger Ping auf die LAN-IP des LANCOMs der anderen Seite geschickt wird, steht die VPN-Verbindung sofort (und bleibt auch bestehen).
Vielen Dank und viele Grüße,
Jirka