In letzter Zeit fällt mir auf, dass ich bei so gut wie jeder Inbetriebnahme eines AVC unter der erweiterten IPsec Konfiguration die DPD deaktivieren muss, um ein stabiles Ergebnis zu bekommen.
Wenn ich das nicht tue, hab ich in aller regel den Anwender am Telefon, dass ihm die Verbindung stets nach ca. 5 minuten abreißt mit Verweis auf die Dead Peer Detection. Die Internetzugänge sind hier durchaus verschieden, ADSL, UMTS, alles dabei.
Jetzt frag ich mich, wie die DPD im Kontext des Clients funktioniert. Bei Router-zu-Router VPNs scheint sie ja gute Dienste zu leisten, da musste ich sie noch nie deaktivieren.
Hat jemand eine Idee warum ich mit der DPD so oft scheitere?
Dead Peer Detection
Moderator: Lancom-Systems Moderatoren
Dead Peer Detection
Liebe Grüße,
michael
michael
Hi tbc233
Daher sollte bei Clients entweder DPD im LANCOM aus sein oder der Client schickt ein Dauerping, um den NAT-Eintrag offen zu halten - das funktioneirt aber nur, wenn im LANCOM NAT-Traversal aktiviert.
Wenn der NAT-Router zwischen LANCOM und Client selbst ein LANCOM ist, dann kannst du in ihm den UDP-Timeout des NAT so hochsetzen, daß er über dem DPD-Timeout liegt...
Gruß
Backslash
nun ja, hier könnte einfach ein NAT zwischen Client und LANCOM das Problem sein. Wenn das NAT die Session verwirft, dann bleiben DPD-Pakete des LANCOMs am NAT-Router hängen... Sobald der Client irgendwelche Daten sendet, erzeugt der auch wieder eine Session im NAT-Router...Hat jemand eine Idee warum ich mit der DPD so oft scheitere?
Daher sollte bei Clients entweder DPD im LANCOM aus sein oder der Client schickt ein Dauerping, um den NAT-Eintrag offen zu halten - das funktioneirt aber nur, wenn im LANCOM NAT-Traversal aktiviert.
Wenn der NAT-Router zwischen LANCOM und Client selbst ein LANCOM ist, dann kannst du in ihm den UDP-Timeout des NAT so hochsetzen, daß er über dem DPD-Timeout liegt...
Gruß
Backslash