Komische Fehlermeldung bei mit Wizard erstelltem VPN Tunnel?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Komische Fehlermeldung bei mit Wizard erstelltem VPN Tunnel?

Beitrag von cpuprofi »

Hallo an Alle,

ich habe eine komische Fehlermeldung bei einer mit dem Lancom-Wizard erstelltem Site2Site VPN Tunnel:

Fehler der bei meinem Lancom (1781VA) angezeigt wird:

Kein übereinstimmendes Proposal gefunden (Initiator, IPSec) [0x3102]

Fehler der bei dem gegenstellen Lancom (1681V) angezeigt wird:

Kein Regeln für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Responder, IPSec) [0x3201]

Wo liegt der Fehler? Was mache ich oder der Wizard falsch? :G)

Grüße
Cpuprofi
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von MariusP »

Hi,
Wir wissen leider nicht was du im Wizzard genau gedrückt hast.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von cpuprofi »

Hallo Marius,

alles nach Standart: beide Seiten feste IP's (DynDNS), kein ISDN, Passwörter und Schlüssel für beide Seiten gleich, die jeweiligen Netze eingetragen, also nichts besonderes...

Ich bin auch der Meinung, dass die Konfiguration mit einer älteren Firmware noch ohne Fehler ging...

Grüße
Cpuprofi
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von MariusP »

Hi,
hast du auf eine neuere Firmware gewechselt? Und seitdem erst den Fehler? und wenn ja von welcher Firmware bist du aus, auf welche Firmware umgestiegen?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von Bernie137 »

Hi,

hast Du in einem Standort im Lancom Router mehrere IP Netze? Weil in dem Falle hatte ich exakt die gleichen Fehlermeldungen, bis ich die Schnittstellen Tags in meinem Falle auf der Seite mit den mehreren IP Netzen eingetragen habe http://www.lancom-forum.de/post70849.html#p70849. Ich habe die Meldungen nur nicht so schön hergeschrieben wie Du hier.

vg Heiko
Man lernt nie aus.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von cpuprofi »

Hallo Marius,
MariusP hat geschrieben:Hi,hast du auf eine neuere Firmware gewechselt? Und seitdem erst den Fehler? und wenn ja von welcher Firmware bist du aus, auf welche Firmware umgestiegen?
kann ich nicht mehr sagen, auf meiner Seite ist immer die neuste FW gewesen, auf der anderen war eine viel ältere, die dann aber auf 8.84 geupdatet wurde...



Hallo Heiko,
Bernie137 hat geschrieben:Hi,hast Du in einem Standort im Lancom Router mehrere IP Netze? Weil in dem Falle hatte ich exakt die gleichen Fehlermeldungen, bis ich die Schnittstellen Tags in meinem Falle auf der Seite mit den mehreren IP Netzen eingetragen habe.
dieser Ansatz hat mir weiter geholfen. Nur habe ich das nicht mit Schnittstellen Tags gelöste, sondern mit manuellen VPN-Regeln. Das fand ich sinvoller, da ich so einfacher auf die verschiedenen IP Netze im Router zugreifen kann.



Danke auch an Jirka für seinen Tip.


Grüße
Cpuprofi
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von cpuprofi »

Hallo an Alle,

ich habe seit den ich die VPN mit manuellen VPN-Regeln aufbaue, das Problem, das sich die VPN-Verbindung immer im Minutentakt auf- und abbaut!

Habe ich z.B. den LANmonitor aktiv (wo die VPN-Gegenseite gemonitort wird), so bleibt die VPN-Verbindung (auch über Stunden) an ohne sich abzubauen...

Was habe ich falsch eingestellt?

Grüße
Cpuprofi
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von MariusP »

Hi,
Ich tippe mal blind auf SH-Time in den VPN-Gegenstellen.
Möglich wär auch ein Cronjob oder ein Eintrag in der Aktionstabelle.
Oder auch zu kurze Lifetimes der SAs.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von cpuprofi »

Hallo Marius,

im Trace bekomme ich immer folgende Meldung im 30 Sekunden Abstand:

[VPN-Status] 2014/02/19 13:49:08,137 Devicetime: 2014/02/19 13:49:07,739
VPN: poll timeout for LANCOM1681V (XXX.XXX.XXX.XXX)
data received during intervall
set poll timer to 30000 ms

Grüße
Cpuprofi
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von cpuprofi »

Hallo,

mittlerweile habe ich den Fehler gefunden... Ich musste bei meinem und bei den anderen Router unter "Firewall -> PING blockieren: Aus" einstellen (war vorher auf: Nur über Default-Route). :G)

Aber das wirft die nächste Frage auf:

Warum machen die Router untereinander kein DPD, obwohl das bei beiden auf 60 Sek. eingestellt ist??? :shock:

Grüße
Cpuprofi
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von MariusP »

Hi,
Um die das VPN-Linepolling zu unterbinden musst du in der PPP-Liste die Zeit auf Null stellen.
Eine Zeit größer als Null bewirkt, das er die "Zeit"*10 Sekunden wartet und dann schau ob in der Zwischenzeit ein Paket über die Verbindung lief. Wenn dies nicht geschah, schickt selbst einen Ping und wartet die Zeit nochmals, wenn er in der Zeit ein Paket(Daten oder Ping) erhalten hat, startet er den Timer erneut, wenn er wieder nichts erhalten hat, wird er für Anzahl "Wiederholungen" jede Sekunde einen Ping schicken. Sollte davon keiner beantwortet werden, baut er die Verbindung ab.
Also

Code: Alles auswählen

(Zeit*10s)*2+Wiederholungen*1s=Zeit bis Verbindung abgebaut wird
:!: Achtung :!: diese Information gilt nur für VPN-Verbindungen in der PPP-Liste, bei anderen Verbindungen sind diese 2 Werte anders zu interpretieren.

Ich schätze,dass das Line-polling das DPD ersetzt und der Router daher keins macht, das ist allerdings nur eine Vermutung, das werde ich wohl morgen erst herrausfinden können.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von backslash »

Hi,

@MariusP
Ich schätze,dass das Line-polling das DPD ersetzt und der Router daher keins macht, das ist allerdings nur eine Vermutung, das werde ich wohl morgen erst herrausfinden können.
DPD wird nur gemacht, wenn keine Daten über die Verbindung empfangen wurden...

@cpuprofi
Warum machen die Router untereinander kein DPD, obwohl das bei beiden auf 60 Sek. eingestellt ist???
Wenn das dynamic-VPN-Polling alle 30 Sekunden läuft, dann kommt ein DPD mit 60-Sekunden-Intervall niemals zum pollen...
Ich musste bei meinem und bei den anderen Router unter "Firewall -> PING blockieren: Aus" einstellen (war vorher auf: Nur über Default-Route).
Dann hast du auf der Gegenseite aber auch die Default-Route auf dem VPN-Tunnel liegen...

Aber abgesehen davon: Ping-Blokieren oder Stealth-Modus bringen keinerlei Sicherheit, denn anders als oft vermutet, bedeutet keine Antwort nicht, daß dort niemand ist, sondern sagt vielmehr daß, daß dort einer steht, der einen roten blinkenden Pfeil auf sich gerichtet hat, auf dem steht "ihr könnt mich nicht sehen".... Wäre da wirklich niemand, würde der Router einen Hop vorher schon ein "ICMP host unreachable" schicken...

Gruß
Backslash
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von cpuprofi »

Hallo Backslash,
backslash hat geschrieben:Wenn das dynamic-VPN-Polling alle 30 Sekunden läuft, dann kommt ein DPD mit 60-Sekunden-Intervall niemals zum pollen...
Ich habe aber kein "Dynamic-VPN"... :G)

Ich habe "Kein dynamisches VPN" in der VPN Verbindungs-Liste angehakt!

Wieso dann das Polling...?

Grüße
Cpuprofi
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von backslash »

Hi cpuprofi
Ich habe "Kein dynamisches VPN" in der VPN Verbindungs-Liste angehakt!

Wieso dann das Polling...?
Nun ja, spätestens wenn du eine Eintrag in der PPP-Tabelle für die Gegesntelle hast und da unter "Time" nicht 0 steht, wird gepollt.
Jetzt verstehe ich auch, wieso du das Ping-Blocking auf der Default-Route abschalten mußtest, denn wenn du kein dynamic VPN machst, dann erzählzt dir die Gegenseite auch nicht, welche IP-Adresse gepollt werden soll... Dann macht das Polling zwei Fallbacks: Zuerst auf den DNS-Server der Gegenseite und wenn du da keinen eingetragen hast, wird als letzter Rettungsanker noch die öffentliche IP gepingt (was genau so gut ist wie DPD)...

Spätestens das Pingen der öffentlichen IP führt dann auch dazu, daß DPD läuft (weil das Ping am Tunnel vorbei geht) - aber auch das kommt bei einem Intervall von 60 Sekunden nicht mehr drann, wenn das VPN-Polling bei 30 Sekunden liegt - und selbst, wenn es dran käne: ein fehlgeschlagenes Oing führt in jedem Fall zum Abbau der Verbindung.

Trage also entweder in der IP-Parameterliste einen DNS-Server für die gegenüberliegende Seite ein oder stell in der PPP-Tabelle den "Time"-Eintrag auf 0 - bzw. löschen den PPP-Eintrag einfach komplett, da er eh überflüssig ist, wenn du kein dynamic VPN machst.


Gruß
Backslash
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Komische Fehlermeldung bei mit Wizard erstelltem VPN Tun

Beitrag von Jirka »

Hallo zusammen,
hallo Backslash,
backslash hat geschrieben:Nun ja, spätestens wenn du einen Eintrag in der PPP-Tabelle für die Gegenstelle hast und da unter "Time" nicht 0 steht, wird gepollt.
das kann aber so nicht sein. Ich hätte das gerne so (und will Dir auch glauben), aber die Realität sieht anders aus.
Ich habe hier mehrere VPN-Strecken, aber bei Strecken ohne Dynamic-VPN und mit automatischer Regelerzeugung läuft KEIN Polling, sondern DPD. Nachweislich. Man sieht es im VPN-Status-Trace. Und da ist ein Eintrag in der PPP-Tabelle vorhanden, wo auch die Zeit auf dem Standardwert von 3 steht. (Der Eintrag in der PPP-Tabelle enthält: (VPN-)Gegenstelle, Benutzername, Passwort, 'IP-Routing aktivieren' aktiv, 'CHAP' bei Anfrage und Antwort aktiv, Zeit: 3, Wiederholungen: 5, Conf: 10, Fail: 5, Term: 2)

Was ist eigentlich mit "wird gepollt" tatsächlich gemeint? Doch ein ganz normaler Ping nehme ich an, richtig? D. h. mit einem ICMP-Trace müsste man den auch irgendwo sehen (auf der angepingten Seite).
In der Knowledgebase (siehe https://www2.lancom.de/kb.nsf/1275/9FB6 ... enDocument u. a.) wird dieses Polling ja als PPP-LCP-Echo-Monitoring bezeichnet. Ich finde das ist ganz schön weit hergeholt (nur weil es in dieser Tabelle steht).
backslash hat geschrieben:Jetzt verstehe ich auch, wieso du das Ping-Blocking auf der Default-Route abschalten mußtest, denn wenn du kein dynamic VPN machst,
Ist denn Dynamic-VPN - auch bei statischen IP-Adressen auf beiden Seiten, d. h. wo man Dynamic-VPN eigentlich nicht benötigt - besser als das "normale" VPN?!
backslash hat geschrieben:dann erzählt dir die Gegenseite auch nicht, welche IP-Adresse gepollt werden soll... Dann macht das Polling zwei Fallbacks: Zuerst auf den DNS-Server der Gegenseite und wenn du da keinen eingetragen hast, wird als letzter Rettungsanker noch die öffentliche IP gepingt (was genau so gut ist wie DPD)...
Was heißt/bedeutet "was genau so gut ist wie DPD" in diesem Zusammenhang genau? Heißt das, dass das Polling eigentlich besser und aussagekräftiger ist als DPD? Und nur wenn das Polling, also die Pings, _nicht_ mehr auf Ziele hinter dem Tunnel (also z. B. auf den DNS-Server oder die private, lokale IP des LANCOMs) gehen, sondern an die öffentliche WAN-IP, dass es dann mit seiner Aussagekraft dem DPD gleichgestellt ist, was ja als Teil im ISAKMP-Protokoll dazu führt, dass man nur bis zur WAN-Seite des LANCOMs überprüft (und dann stillschweigend und mit 99 %-iger Sicherheit davon ausgeht, dass der "Rest", d. h. die Weitergabe ins lokale LAN, eben auch funktioniert)?
backslash hat geschrieben:Spätestens das Pingen der öffentlichen IP führt dann auch dazu, daß DPD läuft (weil das Ping am Tunnel vorbei geht) - aber auch das kommt bei einem Intervall von 60 Sekunden nicht mehr drann, wenn das VPN-Polling bei 30 Sekunden liegt - und selbst, wenn es dran käme: ein fehlgeschlagener Ping führt in jedem Fall zum Abbau der Verbindung.
Ich bin nach dem Lesen dieses Threads und den Blick auf meine VPN-Strecken der Meinung, dass es - einen Eintrag mit Zeit-Angabe in PPP-Tabelle vorausgesetzt - zum Polling nur kommt, wenn es sich entweder um eine Dynamic-VPN-Verbindung handelt, oder aber um eine normale VPN-Verbindung mit _manueller_ Regelerzeugung. Sprich der "Normalfall", wie er vielfach läuft, d. h. mit festen IPs auf beiden Seiten oder DynDNS-Namen und automatischer Regelerzeugung, verwendet DPD. (Was zu beweisen wäre...)
backslash hat geschrieben:Trage also entweder in der IP-Parameterliste einen DNS-Server für die gegenüberliegende Seite ein oder stell in der PPP-Tabelle den "Time"-Eintrag auf 0 - bzw. löschen den PPP-Eintrag einfach komplett, da er eh überflüssig ist, wenn du kein dynamic VPN machst.
Vom Löschen würde ich abraten, das gibt eine unschöne (und niemals weggehende) Fehlermeldung im LANmonitor, auch wenn man gar kein Dynamic-VPN nutzt: "Dynamic VPN - kein passender Eintrag in PPP-Liste vorhanden (Initiator) [0x1104]".

Vielen Dank und viele Grüße,
Jirka
Antworten