Komische Fehlermeldung bei mit Wizard erstelltem VPN Tunnel?
Moderator: Lancom-Systems Moderatoren
Komische Fehlermeldung bei mit Wizard erstelltem VPN Tunnel?
Hallo an Alle,
ich habe eine komische Fehlermeldung bei einer mit dem Lancom-Wizard erstelltem Site2Site VPN Tunnel:
Fehler der bei meinem Lancom (1781VA) angezeigt wird:
Kein übereinstimmendes Proposal gefunden (Initiator, IPSec) [0x3102]
Fehler der bei dem gegenstellen Lancom (1681V) angezeigt wird:
Kein Regeln für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Responder, IPSec) [0x3201]
Wo liegt der Fehler? Was mache ich oder der Wizard falsch?
Grüße
Cpuprofi
ich habe eine komische Fehlermeldung bei einer mit dem Lancom-Wizard erstelltem Site2Site VPN Tunnel:
Fehler der bei meinem Lancom (1781VA) angezeigt wird:
Kein übereinstimmendes Proposal gefunden (Initiator, IPSec) [0x3102]
Fehler der bei dem gegenstellen Lancom (1681V) angezeigt wird:
Kein Regeln für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Responder, IPSec) [0x3201]
Wo liegt der Fehler? Was mache ich oder der Wizard falsch?
Grüße
Cpuprofi
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hi,
Wir wissen leider nicht was du im Wizzard genau gedrückt hast.
Gruß
Wir wissen leider nicht was du im Wizzard genau gedrückt hast.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hallo Marius,
alles nach Standart: beide Seiten feste IP's (DynDNS), kein ISDN, Passwörter und Schlüssel für beide Seiten gleich, die jeweiligen Netze eingetragen, also nichts besonderes...
Ich bin auch der Meinung, dass die Konfiguration mit einer älteren Firmware noch ohne Fehler ging...
Grüße
Cpuprofi
alles nach Standart: beide Seiten feste IP's (DynDNS), kein ISDN, Passwörter und Schlüssel für beide Seiten gleich, die jeweiligen Netze eingetragen, also nichts besonderes...
Ich bin auch der Meinung, dass die Konfiguration mit einer älteren Firmware noch ohne Fehler ging...
Grüße
Cpuprofi
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hi,
hast du auf eine neuere Firmware gewechselt? Und seitdem erst den Fehler? und wenn ja von welcher Firmware bist du aus, auf welche Firmware umgestiegen?
Gruß
hast du auf eine neuere Firmware gewechselt? Und seitdem erst den Fehler? und wenn ja von welcher Firmware bist du aus, auf welche Firmware umgestiegen?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
- Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hi,
hast Du in einem Standort im Lancom Router mehrere IP Netze? Weil in dem Falle hatte ich exakt die gleichen Fehlermeldungen, bis ich die Schnittstellen Tags in meinem Falle auf der Seite mit den mehreren IP Netzen eingetragen habe http://www.lancom-forum.de/post70849.html#p70849. Ich habe die Meldungen nur nicht so schön hergeschrieben wie Du hier.
vg Heiko
hast Du in einem Standort im Lancom Router mehrere IP Netze? Weil in dem Falle hatte ich exakt die gleichen Fehlermeldungen, bis ich die Schnittstellen Tags in meinem Falle auf der Seite mit den mehreren IP Netzen eingetragen habe http://www.lancom-forum.de/post70849.html#p70849. Ich habe die Meldungen nur nicht so schön hergeschrieben wie Du hier.
vg Heiko
Man lernt nie aus.
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hallo Marius,
Hallo Heiko,
Danke auch an Jirka für seinen Tip.
Grüße
Cpuprofi
kann ich nicht mehr sagen, auf meiner Seite ist immer die neuste FW gewesen, auf der anderen war eine viel ältere, die dann aber auf 8.84 geupdatet wurde...MariusP hat geschrieben:Hi,hast du auf eine neuere Firmware gewechselt? Und seitdem erst den Fehler? und wenn ja von welcher Firmware bist du aus, auf welche Firmware umgestiegen?
Hallo Heiko,
dieser Ansatz hat mir weiter geholfen. Nur habe ich das nicht mit Schnittstellen Tags gelöste, sondern mit manuellen VPN-Regeln. Das fand ich sinvoller, da ich so einfacher auf die verschiedenen IP Netze im Router zugreifen kann.Bernie137 hat geschrieben:Hi,hast Du in einem Standort im Lancom Router mehrere IP Netze? Weil in dem Falle hatte ich exakt die gleichen Fehlermeldungen, bis ich die Schnittstellen Tags in meinem Falle auf der Seite mit den mehreren IP Netzen eingetragen habe.
Danke auch an Jirka für seinen Tip.
Grüße
Cpuprofi
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hallo an Alle,
ich habe seit den ich die VPN mit manuellen VPN-Regeln aufbaue, das Problem, das sich die VPN-Verbindung immer im Minutentakt auf- und abbaut!
Habe ich z.B. den LANmonitor aktiv (wo die VPN-Gegenseite gemonitort wird), so bleibt die VPN-Verbindung (auch über Stunden) an ohne sich abzubauen...
Was habe ich falsch eingestellt?
Grüße
Cpuprofi
ich habe seit den ich die VPN mit manuellen VPN-Regeln aufbaue, das Problem, das sich die VPN-Verbindung immer im Minutentakt auf- und abbaut!
Habe ich z.B. den LANmonitor aktiv (wo die VPN-Gegenseite gemonitort wird), so bleibt die VPN-Verbindung (auch über Stunden) an ohne sich abzubauen...
Was habe ich falsch eingestellt?
Grüße
Cpuprofi
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hi,
Ich tippe mal blind auf SH-Time in den VPN-Gegenstellen.
Möglich wär auch ein Cronjob oder ein Eintrag in der Aktionstabelle.
Oder auch zu kurze Lifetimes der SAs.
Gruß
Ich tippe mal blind auf SH-Time in den VPN-Gegenstellen.
Möglich wär auch ein Cronjob oder ein Eintrag in der Aktionstabelle.
Oder auch zu kurze Lifetimes der SAs.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hallo Marius,
im Trace bekomme ich immer folgende Meldung im 30 Sekunden Abstand:
[VPN-Status] 2014/02/19 13:49:08,137 Devicetime: 2014/02/19 13:49:07,739
VPN: poll timeout for LANCOM1681V (XXX.XXX.XXX.XXX)
data received during intervall
set poll timer to 30000 ms
Grüße
Cpuprofi
im Trace bekomme ich immer folgende Meldung im 30 Sekunden Abstand:
[VPN-Status] 2014/02/19 13:49:08,137 Devicetime: 2014/02/19 13:49:07,739
VPN: poll timeout for LANCOM1681V (XXX.XXX.XXX.XXX)
data received during intervall
set poll timer to 30000 ms
Grüße
Cpuprofi
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hallo,
mittlerweile habe ich den Fehler gefunden... Ich musste bei meinem und bei den anderen Router unter "Firewall -> PING blockieren: Aus" einstellen (war vorher auf: Nur über Default-Route).
Aber das wirft die nächste Frage auf:
Warum machen die Router untereinander kein DPD, obwohl das bei beiden auf 60 Sek. eingestellt ist???
Grüße
Cpuprofi
mittlerweile habe ich den Fehler gefunden... Ich musste bei meinem und bei den anderen Router unter "Firewall -> PING blockieren: Aus" einstellen (war vorher auf: Nur über Default-Route).
Aber das wirft die nächste Frage auf:
Warum machen die Router untereinander kein DPD, obwohl das bei beiden auf 60 Sek. eingestellt ist???
Grüße
Cpuprofi
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hi,
Um die das VPN-Linepolling zu unterbinden musst du in der PPP-Liste die Zeit auf Null stellen.
Eine Zeit größer als Null bewirkt, das er die "Zeit"*10 Sekunden wartet und dann schau ob in der Zwischenzeit ein Paket über die Verbindung lief. Wenn dies nicht geschah, schickt selbst einen Ping und wartet die Zeit nochmals, wenn er in der Zeit ein Paket(Daten oder Ping) erhalten hat, startet er den Timer erneut, wenn er wieder nichts erhalten hat, wird er für Anzahl "Wiederholungen" jede Sekunde einen Ping schicken. Sollte davon keiner beantwortet werden, baut er die Verbindung ab.
Also
Achtung diese Information gilt nur für VPN-Verbindungen in der PPP-Liste, bei anderen Verbindungen sind diese 2 Werte anders zu interpretieren.
Ich schätze,dass das Line-polling das DPD ersetzt und der Router daher keins macht, das ist allerdings nur eine Vermutung, das werde ich wohl morgen erst herrausfinden können.
Gruß
Um die das VPN-Linepolling zu unterbinden musst du in der PPP-Liste die Zeit auf Null stellen.
Eine Zeit größer als Null bewirkt, das er die "Zeit"*10 Sekunden wartet und dann schau ob in der Zwischenzeit ein Paket über die Verbindung lief. Wenn dies nicht geschah, schickt selbst einen Ping und wartet die Zeit nochmals, wenn er in der Zeit ein Paket(Daten oder Ping) erhalten hat, startet er den Timer erneut, wenn er wieder nichts erhalten hat, wird er für Anzahl "Wiederholungen" jede Sekunde einen Ping schicken. Sollte davon keiner beantwortet werden, baut er die Verbindung ab.
Also
Code: Alles auswählen
(Zeit*10s)*2+Wiederholungen*1s=Zeit bis Verbindung abgebaut wird
Ich schätze,dass das Line-polling das DPD ersetzt und der Router daher keins macht, das ist allerdings nur eine Vermutung, das werde ich wohl morgen erst herrausfinden können.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hi,
@MariusP
@cpuprofi
Aber abgesehen davon: Ping-Blokieren oder Stealth-Modus bringen keinerlei Sicherheit, denn anders als oft vermutet, bedeutet keine Antwort nicht, daß dort niemand ist, sondern sagt vielmehr daß, daß dort einer steht, der einen roten blinkenden Pfeil auf sich gerichtet hat, auf dem steht "ihr könnt mich nicht sehen".... Wäre da wirklich niemand, würde der Router einen Hop vorher schon ein "ICMP host unreachable" schicken...
Gruß
Backslash
@MariusP
DPD wird nur gemacht, wenn keine Daten über die Verbindung empfangen wurden...Ich schätze,dass das Line-polling das DPD ersetzt und der Router daher keins macht, das ist allerdings nur eine Vermutung, das werde ich wohl morgen erst herrausfinden können.
@cpuprofi
Wenn das dynamic-VPN-Polling alle 30 Sekunden läuft, dann kommt ein DPD mit 60-Sekunden-Intervall niemals zum pollen...Warum machen die Router untereinander kein DPD, obwohl das bei beiden auf 60 Sek. eingestellt ist???
Dann hast du auf der Gegenseite aber auch die Default-Route auf dem VPN-Tunnel liegen...Ich musste bei meinem und bei den anderen Router unter "Firewall -> PING blockieren: Aus" einstellen (war vorher auf: Nur über Default-Route).
Aber abgesehen davon: Ping-Blokieren oder Stealth-Modus bringen keinerlei Sicherheit, denn anders als oft vermutet, bedeutet keine Antwort nicht, daß dort niemand ist, sondern sagt vielmehr daß, daß dort einer steht, der einen roten blinkenden Pfeil auf sich gerichtet hat, auf dem steht "ihr könnt mich nicht sehen".... Wäre da wirklich niemand, würde der Router einen Hop vorher schon ein "ICMP host unreachable" schicken...
Gruß
Backslash
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hallo Backslash,
Ich habe "Kein dynamisches VPN" in der VPN Verbindungs-Liste angehakt!
Wieso dann das Polling...?
Grüße
Cpuprofi
Ich habe aber kein "Dynamic-VPN"...backslash hat geschrieben:Wenn das dynamic-VPN-Polling alle 30 Sekunden läuft, dann kommt ein DPD mit 60-Sekunden-Intervall niemals zum pollen...
Ich habe "Kein dynamisches VPN" in der VPN Verbindungs-Liste angehakt!
Wieso dann das Polling...?
Grüße
Cpuprofi
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hi cpuprofi
Jetzt verstehe ich auch, wieso du das Ping-Blocking auf der Default-Route abschalten mußtest, denn wenn du kein dynamic VPN machst, dann erzählzt dir die Gegenseite auch nicht, welche IP-Adresse gepollt werden soll... Dann macht das Polling zwei Fallbacks: Zuerst auf den DNS-Server der Gegenseite und wenn du da keinen eingetragen hast, wird als letzter Rettungsanker noch die öffentliche IP gepingt (was genau so gut ist wie DPD)...
Spätestens das Pingen der öffentlichen IP führt dann auch dazu, daß DPD läuft (weil das Ping am Tunnel vorbei geht) - aber auch das kommt bei einem Intervall von 60 Sekunden nicht mehr drann, wenn das VPN-Polling bei 30 Sekunden liegt - und selbst, wenn es dran käne: ein fehlgeschlagenes Oing führt in jedem Fall zum Abbau der Verbindung.
Trage also entweder in der IP-Parameterliste einen DNS-Server für die gegenüberliegende Seite ein oder stell in der PPP-Tabelle den "Time"-Eintrag auf 0 - bzw. löschen den PPP-Eintrag einfach komplett, da er eh überflüssig ist, wenn du kein dynamic VPN machst.
Gruß
Backslash
Nun ja, spätestens wenn du eine Eintrag in der PPP-Tabelle für die Gegesntelle hast und da unter "Time" nicht 0 steht, wird gepollt.Ich habe "Kein dynamisches VPN" in der VPN Verbindungs-Liste angehakt!
Wieso dann das Polling...?
Jetzt verstehe ich auch, wieso du das Ping-Blocking auf der Default-Route abschalten mußtest, denn wenn du kein dynamic VPN machst, dann erzählzt dir die Gegenseite auch nicht, welche IP-Adresse gepollt werden soll... Dann macht das Polling zwei Fallbacks: Zuerst auf den DNS-Server der Gegenseite und wenn du da keinen eingetragen hast, wird als letzter Rettungsanker noch die öffentliche IP gepingt (was genau so gut ist wie DPD)...
Spätestens das Pingen der öffentlichen IP führt dann auch dazu, daß DPD läuft (weil das Ping am Tunnel vorbei geht) - aber auch das kommt bei einem Intervall von 60 Sekunden nicht mehr drann, wenn das VPN-Polling bei 30 Sekunden liegt - und selbst, wenn es dran käne: ein fehlgeschlagenes Oing führt in jedem Fall zum Abbau der Verbindung.
Trage also entweder in der IP-Parameterliste einen DNS-Server für die gegenüberliegende Seite ein oder stell in der PPP-Tabelle den "Time"-Eintrag auf 0 - bzw. löschen den PPP-Eintrag einfach komplett, da er eh überflüssig ist, wenn du kein dynamic VPN machst.
Gruß
Backslash
Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun
Hallo zusammen,
hallo Backslash,
Ich habe hier mehrere VPN-Strecken, aber bei Strecken ohne Dynamic-VPN und mit automatischer Regelerzeugung läuft KEIN Polling, sondern DPD. Nachweislich. Man sieht es im VPN-Status-Trace. Und da ist ein Eintrag in der PPP-Tabelle vorhanden, wo auch die Zeit auf dem Standardwert von 3 steht. (Der Eintrag in der PPP-Tabelle enthält: (VPN-)Gegenstelle, Benutzername, Passwort, 'IP-Routing aktivieren' aktiv, 'CHAP' bei Anfrage und Antwort aktiv, Zeit: 3, Wiederholungen: 5, Conf: 10, Fail: 5, Term: 2)
Was ist eigentlich mit "wird gepollt" tatsächlich gemeint? Doch ein ganz normaler Ping nehme ich an, richtig? D. h. mit einem ICMP-Trace müsste man den auch irgendwo sehen (auf der angepingten Seite).
In der Knowledgebase (siehe https://www2.lancom.de/kb.nsf/1275/9FB6 ... enDocument u. a.) wird dieses Polling ja als PPP-LCP-Echo-Monitoring bezeichnet. Ich finde das ist ganz schön weit hergeholt (nur weil es in dieser Tabelle steht).
Vielen Dank und viele Grüße,
Jirka
hallo Backslash,
das kann aber so nicht sein. Ich hätte das gerne so (und will Dir auch glauben), aber die Realität sieht anders aus.backslash hat geschrieben:Nun ja, spätestens wenn du einen Eintrag in der PPP-Tabelle für die Gegenstelle hast und da unter "Time" nicht 0 steht, wird gepollt.
Ich habe hier mehrere VPN-Strecken, aber bei Strecken ohne Dynamic-VPN und mit automatischer Regelerzeugung läuft KEIN Polling, sondern DPD. Nachweislich. Man sieht es im VPN-Status-Trace. Und da ist ein Eintrag in der PPP-Tabelle vorhanden, wo auch die Zeit auf dem Standardwert von 3 steht. (Der Eintrag in der PPP-Tabelle enthält: (VPN-)Gegenstelle, Benutzername, Passwort, 'IP-Routing aktivieren' aktiv, 'CHAP' bei Anfrage und Antwort aktiv, Zeit: 3, Wiederholungen: 5, Conf: 10, Fail: 5, Term: 2)
Was ist eigentlich mit "wird gepollt" tatsächlich gemeint? Doch ein ganz normaler Ping nehme ich an, richtig? D. h. mit einem ICMP-Trace müsste man den auch irgendwo sehen (auf der angepingten Seite).
In der Knowledgebase (siehe https://www2.lancom.de/kb.nsf/1275/9FB6 ... enDocument u. a.) wird dieses Polling ja als PPP-LCP-Echo-Monitoring bezeichnet. Ich finde das ist ganz schön weit hergeholt (nur weil es in dieser Tabelle steht).
Ist denn Dynamic-VPN - auch bei statischen IP-Adressen auf beiden Seiten, d. h. wo man Dynamic-VPN eigentlich nicht benötigt - besser als das "normale" VPN?!backslash hat geschrieben:Jetzt verstehe ich auch, wieso du das Ping-Blocking auf der Default-Route abschalten mußtest, denn wenn du kein dynamic VPN machst,
Was heißt/bedeutet "was genau so gut ist wie DPD" in diesem Zusammenhang genau? Heißt das, dass das Polling eigentlich besser und aussagekräftiger ist als DPD? Und nur wenn das Polling, also die Pings, _nicht_ mehr auf Ziele hinter dem Tunnel (also z. B. auf den DNS-Server oder die private, lokale IP des LANCOMs) gehen, sondern an die öffentliche WAN-IP, dass es dann mit seiner Aussagekraft dem DPD gleichgestellt ist, was ja als Teil im ISAKMP-Protokoll dazu führt, dass man nur bis zur WAN-Seite des LANCOMs überprüft (und dann stillschweigend und mit 99 %-iger Sicherheit davon ausgeht, dass der "Rest", d. h. die Weitergabe ins lokale LAN, eben auch funktioniert)?backslash hat geschrieben:dann erzählt dir die Gegenseite auch nicht, welche IP-Adresse gepollt werden soll... Dann macht das Polling zwei Fallbacks: Zuerst auf den DNS-Server der Gegenseite und wenn du da keinen eingetragen hast, wird als letzter Rettungsanker noch die öffentliche IP gepingt (was genau so gut ist wie DPD)...
Ich bin nach dem Lesen dieses Threads und den Blick auf meine VPN-Strecken der Meinung, dass es - einen Eintrag mit Zeit-Angabe in PPP-Tabelle vorausgesetzt - zum Polling nur kommt, wenn es sich entweder um eine Dynamic-VPN-Verbindung handelt, oder aber um eine normale VPN-Verbindung mit _manueller_ Regelerzeugung. Sprich der "Normalfall", wie er vielfach läuft, d. h. mit festen IPs auf beiden Seiten oder DynDNS-Namen und automatischer Regelerzeugung, verwendet DPD. (Was zu beweisen wäre...)backslash hat geschrieben:Spätestens das Pingen der öffentlichen IP führt dann auch dazu, daß DPD läuft (weil das Ping am Tunnel vorbei geht) - aber auch das kommt bei einem Intervall von 60 Sekunden nicht mehr drann, wenn das VPN-Polling bei 30 Sekunden liegt - und selbst, wenn es dran käme: ein fehlgeschlagener Ping führt in jedem Fall zum Abbau der Verbindung.
Vom Löschen würde ich abraten, das gibt eine unschöne (und niemals weggehende) Fehlermeldung im LANmonitor, auch wenn man gar kein Dynamic-VPN nutzt: "Dynamic VPN - kein passender Eintrag in PPP-Liste vorhanden (Initiator) [0x1104]".backslash hat geschrieben:Trage also entweder in der IP-Parameterliste einen DNS-Server für die gegenüberliegende Seite ein oder stell in der PPP-Tabelle den "Time"-Eintrag auf 0 - bzw. löschen den PPP-Eintrag einfach komplett, da er eh überflüssig ist, wenn du kein dynamic VPN machst.
Vielen Dank und viele Grüße,
Jirka