Verbindungsabbrüch VPN-Client

Fragen zum LANCOM Advanced VPN Client

Moderator: Lancom-Systems Moderatoren

Antworten
makoll71
Beiträge: 7
Registriert: 29 Jan 2018, 07:30

Verbindungsabbrüch VPN-Client

Beitrag von makoll71 »

Guten Morgen!

Die VPN Verbindung wird kurz nach Aufbau unterbrochen Client zeigt "grüne unterbrochene Linie" mit der Meldung Internet-Verbindung unterbrochen, der Seitenaufruf im Internet funktioniert.

Internet Verbindung über Medion Mobile. Aktuelle Version der Software (Ver. 5.1) installiert. An unterschiedlichen Orten (auch im Stadtzentrum) getestet immer gleich.

Lancom 1781 VAW Firmware 10.12.0147SU3
Lancom Client 3.11

Konfig über 1-Click-Assistenten

Lancom Support Knowledgebase Dokument-Nr. 1606.0810.4023.RHOO-V1.30 abgearbeitet, Sonst nix gefunden


Einer eine Idee ?? oder die Lösung ;-)

LG, Marcus
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Verbindungsabbrüch VPN-Client

Beitrag von Jirka »

Hallo Marcus,

ich habe manchmal das Gefühl, dass es am im Profil eingestellten Verbindungsmedium "automatische Medienerkennung" liegt. Stell das mal auf LAN (over IP) und schau mal, ob das Besserung bringt. Prinzipiell könnte man die Mobilfunkverbindung übrigens auch über den VPN-Client aufbauen, vielleicht ist das was für Dich.

Viele Grüße,
Jirka
makoll71
Beiträge: 7
Registriert: 29 Jan 2018, 07:30

Re: Verbindungsabbrüch VPN-Client

Beitrag von makoll71 »

Hallo und Danke,

hat leider keinen Erfolg gebracht. Ich habe sowohl IKEv1 als auch IKEv2 Verbindungen über den 1-Klick -Assistenten hergestellt. Beide brechen immer wieder ab, sowohl Domänenmitglied als auch Stand-Alone PC. Ich habe unterschiedliche Verbindungswege (Mobilfunk, WLan und Kabelnetzwerk) getestet, immer das gleiche Verhalten. Auf dem Router im Syslog steht nur Fehler "VPN: Error for peer xxxxxxxxxx: IKE-R-DPD-Timeout"

Hier mal der Client (via Mobilfunk) Log beim Abbruch:

0.01.2018 07:26:44 - Ike: NOTIFY : Zentrale-CLIENT_0002 : SENT : NOTIFY_MSG_R_U_HERE : 36136
30.01.2018 07:26:48 - IpsDial: From Ikemgr - no reply to dpd on AdapterIndex=205
30.01.2018 07:26:53 - Pthru: build_subnets,Ipv4,index=205, locipa=10.204.110.35,locnetmsk=255.255.255.248,locdefgw=10.204.110.33,locdns1=62.109.121.17,locdns2=0.0.0.0,locdhcp=0.0.0.0
30.01.2018 07:26:53 - Pthru: build_subnets,Ipv6,index=205, locipa=0.0.0.0,locnetmsk=0.0.0.0,locdefgw=0.0.0.0,locdns1=0.0.0.0,locdns2=0.0.0.0,locdhcp=0.0.0.0
30.01.2018 07:26:53 - ipsdial: roaming down, checking WWAN=10.204.110.35
30.01.2018 07:26:53 - System: ikeusesocket=1
30.01.2018 07:26:53 - IpsDial: Roaming - Got new WLAN/LAN connection with public IpAdr=10.204.110.35,DefGw=10.204.110.33,AdapterIndex=205,IfName=<MediaTek Mobile Broadband Device> ?????
30.01.2018 07:26:57 - osspecific_del_dns: cmdline=netsh interface ipv4 delete dnsservers 5 all validate=no
30.01.2018 07:26:57 - osspecific_add_dns: cmdline=netsh interface ipv4 add dnsservers 5 192.168.13.253 validate=no
30.01.2018 07:26:57 - Ike: NOTIFY : Zentrale-CLIENT_0002 : SENT : NOTIFY_MSG_NCP_REMTEP : 40210
30.01.2018 07:26:58 - Ike: RekeyEx-Outgoing connect request AGGRESSIVE mode - gateway=xxx.xxx.xxx.xxx : Zentrale-CLIENT_0002
30.01.2018 07:26:58 - Ike: XMIT_MSG1_AGGRESSIVE - Zentrale-CLIENT_0002,vpngw=xxx.xxx.xxx.xxx:500
30.01.2018 07:26:58 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,CLIENT_0002@intern

Ich frage mich woher er den 13.253 -NS herbekommt ???

Vielen Dank für eure Mühen

LG, Marcus
Benutzeravatar
Pothos
Moderator
Moderator
Beiträge: 366
Registriert: 09 Feb 2012, 10:26
Wohnort: Jülich

Re: Verbindungsabbrüch VPN-Client

Beitrag von Pothos »

Hi makoll,

versuch mal im Profil unter "Split-Tunneling" das entfernte Netz einzutragen, damit nur der Traffic für dieses Netz in den Tunnel geroutet wird.
Nicht das die Medion-Verbindung damit ein Problem hat, wenn sämtlicher Traffic in den Tunnel geschickt wird und dadurch dann deine WWAN-Verbindung zusammenbricht.
Gruß
Pothos
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Verbindungsabbrüch VPN-Client

Beitrag von GrandDixence »

makoll71 hat geschrieben:Auf dem Router im Syslog steht nur Fehler "VPN: Error for peer xxxxxxxxxx: IKE-R-DPD-Timeout"
Der VPN-Tunnel wurde erfolgreich aufgebaut (Steuerkanal IKE). Jedoch wird regelmässig mit "Dead Peer Detection" (DPD) der VPN-Tunnel vom VPN-Endpunkt (hier Router) auf seine Funktionstüchtigkeit geprüft. Der Responder (hier der VPN-Server, also der Router) hat für "Dead Peer Detection" (DPD) ein IKE-Telegramm mit dem Inhalt "VPN-Client lebst Du noch?" an den VPN-Client gesendet und trotz mehrmaligen Versuchen kein Lebenszeichen vom VPN-Client erhalten. Darauf trennt der VPN-Server korrekterweise den VPN-Tunnel.

Für die Fehlersuche und Fehlereingrenzung sollten auch die VPN-Traces des LANCOM-Routers eingesetzt werden:
http://www.lancom-forum.de/fragen-zum-t ... tml#p86777
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Verbindungsabbrüch VPN-Client

Beitrag von Jirka »

Hallo,

was mir noch einfällt (ich meine man muss ja auch überlegen, was die Leute konfiguriert haben könnten, was man selber nie machen würde): Was ist im LANCOM-Router unter Konfiguration -> Firewall/QoS -> Allgemein -> Ping blockieren eingestellt?

Viele Grüße,
Jirka
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Verbindungsabbrüch VPN-Client

Beitrag von GrandDixence »

Das Betriebsystem LCOS der LANCOM-Geräte unterstützt kein MobIKE. Ohne MobIKE wird der VPN-Tunnel bei jedem IP-Adresswechsel oder bei jedem Wechsel der Netzwerkverbindung (durch DPD) getrennt.
https://www.heise.de/security/artikel/M ... 70948.html
Jirka hat geschrieben:Was ist im LANCOM-Router unter Konfiguration -> Firewall/QoS -> Allgemein -> Ping blockieren eingestellt?
Ping/ICMP ist irrelevant für die VPN-Tunnelüberwachung. Für die VPN-Tunnelüberwachung kommt DPD zum Einsatz. Siehe auch:
http://www.lancom-forum.de/fragen-zum-t ... 34-30.html

IKEv1 sollte aus Sicherheitsgründen nicht mehr eingesetzt werden. Empfehlungen für die sichere Konfiguration von IKEv2/IPSec liefert BSI TR TR-02102-3:
https://www.bsi.bund.de/DE/Publikatione ... x_htm.html
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Verbindungsabbrüch VPN-Client

Beitrag von Jirka »

GrandDixence hat geschrieben:Ping/ICMP ist irrelevant für die VPN-Tunnelüberwachung. Für die VPN-Tunnelüberwachung kommt DPD zum Einsatz.
Stimmt (hier, nicht grundsätzlich).

Ich glaube so einen Fall habe ich schon mal gehabt. Probleme am LANCOM hatte ich ausgeschlossen, weil es mit einem anderen PC ging. Und dann war irgendwas mit dem Client, ich weiß aber nicht mehr was. Also deaktiviere mal ein paar Schnittstellen und probiere mal.
makoll71
Beiträge: 7
Registriert: 29 Jan 2018, 07:30

Re: Verbindungsabbrüch VPN-Client

Beitrag von makoll71 »

Hallo und vielen Dank an alle!

@Pothos:
Versucht leider kein Erfolg..

@Jirka:
Ping wird nicht blockiert.

@GrandDixence:

Mit einem anderen LancomRouter (auch 1781 VAW) und der Telekom klappt es einwandfrei (bisher!).

Die Nutzung des Tunnels ist an einem festen Platz, also kein Funkzellenwechsel ändert sich da während der Verbindung die IP?
Ikev1 Verbindungen nur zum Testen verwendet!

Hier mal der Log vom Verbindungsaufbau bis Abbruch:

Code: Alles auswählen

31.01.2018 08:18:22  MONITOR: NCPPHONE.CFG wird gespeichert (Size = 6704)
31.01.2018 08:18:22  MONITOR: NCPPHONE.CFG wurde erfolgreich gespeichert (Size = 7016)
31.01.2018 08:18:22  -  Firewall:  is stopped
31.01.2018 08:18:24  MONITOR: NCPPHONE.CFG wird gespeichert (Size = 7016)
31.01.2018 08:18:24  MONITOR: NCPPHONE.CFG wurde erfolgreich gespeichert (Size = 7016)
31.01.2018 08:18:29  -  System: DNSHandling=0
31.01.2018 08:18:29  -  IPSec: Start building connection
31.01.2018 08:18:29  -  Pthru: build_subnets,Ipv4,index=205, locipa=10.78.238.28,locnetmsk=255.255.255.248,locdefgw=10.78.238.25,locdns1=62.109.121.17,locdns2=0.0.0.0,locdhcp=0.0.0.0
31.01.2018 08:18:29  -  Pthru: build_subnets,Ipv6,index=205, locipa=0.0.0.0,locnetmsk=0.0.0.0,locdefgw=0.0.0.0,locdns1=0.0.0.0,locdns2=0.0.0.0,locdhcp=0.0.0.0
31.01.2018 08:18:29  -  System: ikeusesocket=1
31.01.2018 08:18:29  -  IpsDial: connection time interface choice,LocIpa=10.78.238.28,AdapterIndex=205
31.01.2018 08:18:31  -  Ike: Opening connection in PATHFINDER mode : Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:31  -  Ike: Outgoing connect request AGGRESSIVE mode - gateway=FesteIP-Router : Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:31  -  Ike: XMIT_MSG1_AGGRESSIVE - Lancom1781VAW-LancomAdvancedClient,vpngw=FesteIP-Router:500
31.01.2018 08:18:31  -  ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,LancomAdvancedClient@intern
31.01.2018 08:18:31  -  Ike: RECV_MSG2_AGGRESSIVE - Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:31  -  Ike: IKE phase I: Setting LifeTime to 86400 seconds
31.01.2018 08:18:31  -  Ike: IkeSa1 negotiated with the following properties -
31.01.2018 08:18:31  -    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=SHA,DHGroup=2,KeyLen=256
31.01.2018 08:18:31  -  Ike: Lancom1781VAW-LancomAdvancedClient ->Support for NAT-T version - 9
31.01.2018 08:18:31  -  IPSec: Final Tunnel EndPoint is=FesteIP-Router
31.01.2018 08:18:31  -  Ike: Turning on NATD mode - Lancom1781VAW-LancomAdvancedClient - 1
31.01.2018 08:18:31  -  Ike: ike_phase1:recv_id:ID_USER_FQDN:pid=0,port=0,LancomAdvancedClient@intern
31.01.2018 08:18:31  -  Ike: XMIT_MSG3_AGGRESSIVE - Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:31  -  Ike: IkeSa1 negotiated with the following properties -
31.01.2018 08:18:31  -    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=SHA,DHGroup=2,KeyLen=256
31.01.2018 08:18:31  -  Ike: Turning on DPD mode - Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:31  -  Ike: phase1:name(Lancom1781VAW-LancomAdvancedClient) - connected
31.01.2018 08:18:31  -  SUCCESS: IKE phase 1 ready
31.01.2018 08:18:31  -  IPSec: Phase1 is Ready,AdapterIndex=205,IkeIndex=203,LocTepIpAdr=10.78.238.28,AltRekey=1
31.01.2018 08:18:33  -  IkeCfg: XMIT_IKECFG_REQUEST - Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:33  -  IkeCfg: RECV_IKECFG_REPLY - Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:33  -  IkeCfg: name <Lancom1781VAW> - enter state open
31.01.2018 08:18:33  -  SUCCESS: IkeCfg ready
31.01.2018 08:18:33  -  IPSec: Quick Mode is Ready: IkeIndex=203,VpnSrcPort=10954
31.01.2018 08:18:33  -  IPSec: Assigned IP Address:IPv4=192.168.1.163,IPv6=0.0.0.0
31.01.2018 08:18:33  -  IPSec: Assigned IP Network Mask:IPv4=0.0.0.0,IPv6=0.0.0.0
31.01.2018 08:18:33  -  IPSec: Gateway IP Address:IPv4=0.0.0.0,IPv6=0.0.0.0
31.01.2018 08:18:33  -  IPSec: Primary DNS Server: 192.168.1.1
31.01.2018 08:18:33  -  IPSec: Secondary DNS Server: 0.0.0.0
31.01.2018 08:18:33  -  IPSec: Primary WINS Server: 0.0.0.0
31.01.2018 08:18:33  -  IPSec: Secondary WINS Server: 0.0.0.0
31.01.2018 08:18:33  -  IPSec: Primary NCP SEM Server: 0.0.0.0
31.01.2018 08:18:33  -  IPSec: Secondary NCP SEM Server: 0.0.0.0
31.01.2018 08:18:33  -  IkeQuick: ike_phase2:send_id1:ID_IPV4_ADDR:pid=0,port=0,192.168.1.163
31.01.2018 08:18:33  -  IkeQuick: ike_phase2:send_id2:ID_IPV4_ADDR_SUBNET:pid=0,port=0,192.168.1.0 - 255.255.255.0
31.01.2018 08:18:33  -  IkeQuick: XMIT_MSG1_QUICK - Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:33  -  INFO - MONITOR: Connected -> Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:33  INFO - MONITOR: Connected -> Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:33  -  INFO - MONITOR: Media=LAN, Tx=46187 Byte, Rx=21236 Byte
31.01.2018 08:18:33  INFO - MONITOR: Media=LAN, Tx=46187 Byte, Rx=21236 Byte
31.01.2018 08:18:34  -  IkeQuick: RECV_MSG2_QUICK - Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:34  -  IkeQuick: Turning on PFS mode(Lancom1781VAW-LancomAdvancedClient) with group 2
31.01.2018 08:18:34  -  IkeQuick: ike_phase2:recv_id1:ID_IPV4_ADDR:pid=0,port=0,192.168.1.163
31.01.2018 08:18:34  -  IkeQuick: ike_phase2:recv_id2:ID_IPV4_ADDR_SUBNET:pid=0,port=0,192.168.1.0 - 255.255.255.0
31.01.2018 08:18:34  -  IkeQuick: XMIT_MSG3_QUICK - Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:18:34  -  IkeQuick: phase2:name(Lancom1781VAW-LancomAdvancedClient) - connected
31.01.2018 08:18:34  -  SUCCESS: Ike phase 2 (quick mode) ready
31.01.2018 08:18:34  -  IPSec: Created an IPSEC SA with the following characteristics -
31.01.2018 08:18:34  -    IpSrcRange=[192.168.1.163-192.168.1.163],IpDstRange=[192.168.1.0-192.168.1.255],IpProt=0,SrcPort=0,DstPort=0
31.01.2018 08:18:34  -  IPSec: connected: LifeDuration in Seconds = 20160
31.01.2018 08:18:34  -  IPSec: Connected to Lancom1781VAW-LancomAdvancedClient on channel 1.
31.01.2018 08:18:34  -  System: Setting NCP virtual adapter linkstatus=1,laststate=0.
31.01.2018 08:18:34  -  PPP(Ipcp): connected to Lancom1781VAW-LancomAdvancedClient with IP Address: 192.168.1.163
31.01.2018 08:18:34  -  SUCCESS: IpSec connection ready
31.01.2018 08:18:34  -  Link: iphlp_renew_done
31.01.2018 08:18:34  -  SUCCESS: Link -> <Lancom1781VAW-LancomAdvancedClient> IP address assigned to IP stack - link is operational.
31.01.2018 08:18:34  -  osspecific_add_dns: cmdline=netsh interface ipv4 add dnsservers 5 192.168.1.1 validate=no
31.01.2018 08:18:34  -  Link: dhcp ack sent
31.01.2018 08:18:35  -  DhcpV6: received MSG_CONFIRM, adapterstate=2
31.01.2018 08:18:36  -  DhcpV6: received MSG_CONFIRM, adapterstate=2
31.01.2018 08:18:38  -  DhcpV6: received MSG_CONFIRM, adapterstate=2
31.01.2018 08:18:42  -  DhcpV6: received MSG_SOLICIT, adapterstate=2
31.01.2018 08:18:43  -  DhcpV6: received MSG_REQUEST, adapterstate=2
31.01.2018 08:19:16  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:19  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:23  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:27  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:32  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:36  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:40  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:44  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:48  -  IpsDial: From Ikemgr - no reply to dpd on AdapterIndex=205
31.01.2018 08:19:52  -  osspecific_del_dns: cmdline=netsh interface ipv4 delete dnsservers 5 all validate=no
31.01.2018 08:19:52  -  osspecific_add_dns: cmdline=netsh interface ipv4 add dnsservers 5 192.168.1.1 validate=no
31.01.2018 08:19:52  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_NCP_REMTEP : 40210
31.01.2018 08:19:53  -  Ike: RekeyEx-Outgoing connect request AGGRESSIVE mode - gateway=FesteIP-Router : Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:19:53  -  Ike: XMIT_MSG1_AGGRESSIVE - Lancom1781VAW-LancomAdvancedClient,vpngw=FesteIP-Router:500
31.01.2018 08:19:53  -  ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,LancomAdvancedClient@intern
31.01.2018 08:19:57  -  Ike: ConRef=204, retry timeout, resend to=FesteIP-Router
31.01.2018 08:19:57  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:01  -  Ike: ConRef=204, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:01  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:05  -  Ike: ConRef=204, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:05  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:08  -  osspecific_del_dns: cmdline=netsh interface ipv4 delete dnsservers 5 all validate=no
31.01.2018 08:20:08  -  osspecific_add_dns: cmdline=netsh interface ipv4 add dnsservers 5 192.168.1.1 validate=no
31.01.2018 08:20:09  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_NCP_REMTEP : 40210
31.01.2018 08:20:09  -  IpsDial: From Ikemgr - rekey failed on AdapterIndex=205,roamingcon=0,nokeeptunnel=0
31.01.2018 08:20:13  -  osspecific_del_dns: cmdline=netsh interface ipv4 delete dnsservers 5 all validate=no
31.01.2018 08:20:13  -  osspecific_add_dns: cmdline=netsh interface ipv4 add dnsservers 5 192.168.1.1 validate=no
31.01.2018 08:20:14  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_NCP_REMTEP : 40210
31.01.2018 08:20:14  -  Ike: RekeyEx-Outgoing connect request AGGRESSIVE mode - gateway=FesteIP-Router : Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:20:14  -  Ike: XMIT_MSG1_AGGRESSIVE - Lancom1781VAW-LancomAdvancedClient,vpngw=FesteIP-Router:500
31.01.2018 08:20:14  -  ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,LancomAdvancedClient@intern
31.01.2018 08:20:18  -  Ike: ConRef=205, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:18  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:22  -  Ike: ConRef=205, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:22  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:26  -  Ike: ConRef=205, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:26  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:30  -  Ike: ConRef=205, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:30  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:34  -  Ike: ConRef=205, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:34  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:38  -  Ike: ConRef=205, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:38  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:42  -  Ike: ConRef=205, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:42  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:46  -  Ike: ConRef=205, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:46  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:50  -  Ike: ConRef=205, retry timeout, resend to=FesteIP-Router
31.01.2018 08:20:50  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:20:54  -  IpsDial: From Ikemgr - rekey failed on AdapterIndex=205,roamingcon=0,nokeeptunnel=0
31.01.2018 08:20:58  -  osspecific_del_dns: cmdline=netsh interface ipv4 delete dnsservers 5 all validate=no
31.01.2018 08:20:58  -  osspecific_add_dns: cmdline=netsh interface ipv4 add dnsservers 5 192.168.1.1 validate=no
31.01.2018 08:20:59  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_NCP_REMTEP : 40210
31.01.2018 08:20:59  -  Ike: RekeyEx-Outgoing connect request AGGRESSIVE mode - gateway=FesteIP-Router : Lancom1781VAW-LancomAdvancedClient
31.01.2018 08:20:59  -  Ike: XMIT_MSG1_AGGRESSIVE - Lancom1781VAW-LancomAdvancedClient,vpngw=FesteIP-Router:500
31.01.2018 08:20:59  -  ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,LancomAdvancedClient@intern
31.01.2018 08:21:03  -  Ike: ConRef=206, retry timeout, resend to=FesteIP-Router
31.01.2018 08:21:03  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:21:07  -  Ike: ConRef=206, retry timeout, resend to=FesteIP-Router
31.01.2018 08:21:07  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:21:11  -  Ike: ConRef=206, retry timeout, resend to=FesteIP-Router
31.01.2018 08:21:11  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:21:15  -  Ike: ConRef=206, retry timeout, resend to=FesteIP-Router
31.01.2018 08:21:15  -  Isakmp: re-sending packet to=FesteIP-Router:500,size=606
31.01.2018 08:21:17  -  System: Disconnect cause - Manual Disconnect.
31.01.2018 08:21:17  -  IPSec: Disconnecting from Lancom1781VAW-LancomAdvancedClient on channel 1.
31.01.2018 08:21:18  -  osspecific_del_dns: cmdline=netsh interface ipv4 delete dnsservers 5 all validate=no
31.01.2018 08:21:19  -  INFO - MONITOR: Disconnected
31.01.2018 08:21:19  INFO - MONITOR: Disconnected
31.01.2018 08:21:19  -  INFO - MONITOR: Media=LAN, Tx=58603 Byte, Rx=28187 Byte
31.01.2018 08:21:19  INFO - MONITOR: Media=LAN, Tx=58603 Byte, Rx=28187 Byte
31.01.2018 08:21:19  -  IPSec: Disconnected from Lancom1781VAW-LancomAdvancedClient on channel 1.
31.01.2018 08:21:19  -  System: Setting NCP virtual adapter linkstatus=0,laststate=1.

Benötigt Ihr evtl noch andere Info´s ??

LG, Marcus
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Verbindungsabbrüch VPN-Client

Beitrag von GrandDixence »

Code: Alles auswählen

31.01.2018 08:19:16  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:19  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:23  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:27  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:32  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:36  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:40  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:44  -  Ike: NOTIFY : Lancom1781VAW-LancomAdvancedClient : SENT : NOTIFY_MSG_R_U_HERE : 36136
31.01.2018 08:19:48  -  IpsDial: From Ikemgr - no reply to dpd on AdapterIndex=205
Der VPN-Client hat für "Dead Peer Detection" (DPD) 8x ein IKE-Telegramm mit dem Inhalt "VPN-Client lebst Du noch?" an den VPN-Client gesendet (NOTIFY_MSG_R_U_HERE) und kein einziges Lebenszeichen vom VPN-Server erhalten. Darauf trennt der VPN-Client korrekterweise den VPN-Tunnel. Siehe auch RFC 3706:
https://tools.ietf.org/html/rfc3706

Noch einmal: Für die Fehlersuche und Fehlereingrenzung sollten auch die VPN-Traces des LANCOM-Routers eingesetzt werden:
http://www.lancom-forum.de/fragen-zum-t ... tml#p86777

Ein möglicher Grund für die VPN-Tunnelprobleme könnte das fehlende NAT-Traversal (NAT-T) sein. Siehe auch:
http://www.lancom-forum.de/fragen-zum-t ... 16551.html
Antworten