R883+ hinter die Watchguard (nur für VOIP S0 ISDN) verwenden

[lancomuserX]

Hallo,

der 883+ macht aktuell
die DTAG Internet-Einwahl und DTAG SIP Trunk Einwahl.
Daran angeschlossen ist eine Watchguard (büro) für das PC/Server Netzwerk.
Es gibt Probleme mit dem statischen VPN Watchguard (büro) zu Watchguard (lager), der bricht oft zur selben Zeit ab für 5-30min und re-connected dann.

Wenn der Lancom nun hinter der Watchguard stünde geht das ja auch.
Eingehend in der Watchguard müssen keine Ports an den Lancom weitergeleitet werden.
Dem Lancom muss nur gesagt werden: verhalte dich wie ein lokaler PC im Watchguard PC-Netzwerk.

Sehe ich das so richtig?


Andere Ursache für o.g. VPN Trennung wie
Lancom ipv4/v6 firewall ausschalten, EDS aus, DDOS aus, 24h Zwangstrennung (gibt es nicht) haben nicht geholfen.

[Dr.Einstein]

Stell mal unter IP-Router / Maskierung die UDP und IPSec Aging Timer deutlich höher und prüfe. (UDP 30s -> 900s). Die Watchguard detektieret NAT-T vernünftig? IPSec wird verwendet?

[lancomuserX]

maskierungsoptionen:
lancom
standardwerte

tcp aging 300 ändern auf ???
udp aging 120 ändern auf 900
icmp aging 10
ipsec-aging 2000
fragment-aging 5


>Watchguard detektieret NAT-T vernünftig?

hast du eine idee wie man das prüfen könnte?

>IPSec wird verwendet?
nee es ist ikev2 vpn

[Dr.Einstein]

Du nutzt IPSec in der IKEv2 Variante, ok. Die Watchguard müsste dir dann irgendwo unter Status anzeigen, ob NAT-T verwendet wird. Hat die Erhöhung des UDP Timers etwas gebracht? Alternativ kannst du testweise einmal eine Portweiterleitung für UDP 500 / UDP 4500 auf die IP der Watchguard erstellen. Sollte das alles nichts helfen, vermute ich langsam einen Fehler innerhalb der Watchguard Einstellung.

[GrandDixence]

Rekeying kontrollieren. Siehe dazu:
fragen-zum-thema-vpn-f14/ikev2-dpd-nach ... 19997.html