 |
|
|
|
| Autor |
Nachricht |
jo2k
Anmeldungsdatum: 18.08.2011
Beiträge: 2
|
 Verfasst am:
Do 18 Aug, 2011 18:25 |
  |
|
Hallo,
ich habe ein Problem beim verbinden zweier 1821n per IPsec VPN.
Folgende Situation:
| Code:
|
1821n CZ Provider 1821n DE
WAN --- LAN WAN --- <Internet> --- WAN LAN --- ...
(a) (b) (c)
|
a hat eine RFC 1597 Adresse, b und c sind feste öffentliche Adressen. Der Router des Providers leitet sämtlichen IPsec-Traffic an den Router in CZ weiter. Leider kann ich den LANCOM Router dort nicht direkt anschließen, da der Provider nicht mitspielt. Ein anderer Provider kommt leider auch nicht in Frage.
Ich habe bereits SSL-encapsulation aktiviert, jedoch wird der Tunnel aus mir unerklärlichen Gründen manchmal aufgebaut und manchmal nicht.
Der Fehler auf meiner (DE) Seite wenn's nicht klappt:
Line polling to remote gateway failed [0x1307]
Und auf der anderen (CZ) Seite:
IKE or IPsec establishment timeout (Initiator) [0x1106]
Was übersehe ich bzw. wo kann ich ansetzen? |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Fr 19 Aug, 2011 12:14 |
|
|
Hi jo2k
eigentlich mußt du nur dafür sorgen, daß der Tunnel immer nur von a nach c aufgebaut wird und auf beiden Seiten NAT-T aktiviert ist, denn dann muß der Provider nicht "mitspielen". Auf die SSL-Encapsulation solltest du verzichten, denn das ist nur ein Notanker für den Fall, daß der Provider IPSec blockiert...
Die Frage ist natürlich: wie gut ist die Strecke zwischen a und c? Hast du mal dauerhaft ein Ping laufen lassen und geprüft, ob es auf der Strecke vielleicht massiv Paketverluste oder Delays gibt?
Gruß
Backslash |
|
|
|
|
jo2k
Anmeldungsdatum: 18.08.2011
Beiträge: 2
|
| Verfasst am:
Fr 19 Aug, 2011 17:09 |
|
|
Erstmal vielen Dank für deine Hilfe.
SSL habe ich jetzt deaktiviert und NAT-Traversal ist auf beiden Seiten aktiv. Ich habe dafür gesorgt, dass a die Verbindung nach c automatisch aufbaut, jedoch weiß ich noch nicht genau wie ich strikt verhindern kann, dass c die Verbindung initiiert. Das scheint aber kein großes Problem zu sein.
Momentan habe ich die short hold time an a auf 9999 und an c auf 0 gesetzt. Nach einem Neustart des Routers in DE versucht er erst eine Verbindung von c nach a, was fehlschlägt. Daraufhin wird die Verbindung andersherum aufgebaut und steht stabil.
Danke. 
PS: Wie stabil die Verbindung ist, wird sich zeigen. Bisher hat in CZ niemand geklagt. |
|
|
|
|
|
|
|
|
| |
|
|
