Neuanlegen VPN mit 10.12.446 nicht moeglich

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Koppelfeld »

Hallo !

Tja: Zwei mal 7100+, jeweils feste IP, DNS-Auflösung beidseitig funktioniert, VPN kommt nicht zustande.
Fehler 017 006.
'show vpn' auf dem CLI zeigt interessante Unterschiede, rule#34 zeigt ein existierendes VPN, rule#35 das neu angelegte.

Habe es auch schon mit IKEv2 versucht, ebenfalls Fehlanzeige.

Natürlich auch schon mit Angabe der Gateway-IPs atatt der DNS-Namen.

Natürlich auch schon Reboots auf beiden Seiten.


Ist das wieder ein Bug, damit es uns nicht langweilig wird ?

Code: Alles auswählen

  Rule #34         ikev1        192.168.132.0/255.255.255.0:0 <-> 192.168.140.0/255.255.254.0:0 any

    Name:                       CRHALLE
    Unique Id:                  ipsec-1-CRHALLE-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.132.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, xx.xx.xx.xx)
    Remote Gateway:             IPV4_ADDR(any:0, yy.yy.yy.yy)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.140.0/255.255.254.0)

  Rule #35         ikev1        192.168.132.0/255.255.255.0:0 <-> 192.168.120.0/255.255.254.0:0 any

    Name:                       CRESP
    Unique Id:                  ipsec-0-CRESP-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.132.0/255.255.255.0)
    Local  Gateway:             unspecified
    Remote Gateway:             unspecified
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.120.0/255.255.254.0)
Für Hinweise wäre ich dankbar.


Gruß HB
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von MariusP »

Hi,
Was sagt denn der VPN-Status trace woran es scheitert?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Koppelfeld »

Der VPN-Status-Trace sagt 'no response', und offensichtlich (siehe Output-Auszug aus 'show VPN') geht der initiierende Router gar nicht erst 'raus - als würde die DNS-Auflöung nicht funktionieren (die ich natürlich zuallererst gecheckt habe). Auf der Gegenseite kommt nix an. Kein Router und keine Firewall dazwischen. Einzige Besonderheit auf dem Zielrouter: Port 443/TCP ist redirigiert vermittels Masquerading-Tabelle.
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Koppelfeld »

So, dann bin ich 'mal in den Hartmut-Modus gegangen, der sich jede Nacht in einen Vampir verwandelt und die neuesten Betas saugt. Jetzt also beidseitig 10.12.471. Keine Änderung im Verhalten, ABER der Status-Trace sagt:

Code: Alles auswählen

[VPN-Status] 2018/09/03 21:44:16,540
VPN: WAN state changed to WanCall for CRESP (177.158.90.90), called by: 01867f4c

[VPN-Status] 2018/09/03 21:44:16,540
VPN: connecting to CRESP (177.158.90.90 ikev1)

[VPN-Status] 2018/09/03 21:44:16,540
vpn-maps[39], remote: CRESP, nego, dns-name, static-name, connected-by-name

[VPN-Status] 2018/09/03 21:44:16,540
vpn-maps[39], remote: CRESP, nego, dns-name, static-name, connected-by-name

[VPN-Status] 2018/09/03 21:44:16,540
vpn-maps[39], remote: CRESP, nego, dns-name, static-name, connected-by-name

[VPN-Status] 2018/09/03 21:44:16,540
VPN: installing ruleset for CRESP (177.158.90.90)

[VPN-Status] 2018/09/03 21:44:16,540
Config parser: Start

[VPN-Status] 2018/09/03 21:44:16,541
Config parser: Finish
  Wall clock time: 0 ms
  CPU time: 0 ms

[VPN-Status] 2018/09/03 21:44:16,542
Tearing down ipsec-0-CRESP-pr0-l0-r0, because its remote gateway has changed from 0.0.0.0 to 177.158.90.90
-No policy for ipsec-0-CRESP-pr0-l0-r0. Remote-address is unspecified or zero

[VPN-Status] 2018/09/03 21:44:16,542
VPN: ruleset installed for CRESP (177.158.90.90)

[VPN-Status] 2018/09/03 21:44:16,542
VPN: start IKE negotiation for CRESP (177.158.90.90)

[VPN-Status] 2018/09/03 21:44:16,542
VPN: WAN state changed to WanProtocol for CRESP (177.158.90.90), called by: 01867f4c

[VPN-Status] 2018/09/03 21:44:16,543
VPN: rulesets installed
Hmhmhmhm.
| Tearing down ipsec-0-CRESP-pr0-l0-r0, because its remote gateway has changed from 0.0.0.0 to 177.158.90.90
| -No policy for ipsec-0-CRESP-pr0-l0-r0. Remote-address is unspecified or zero

Was will uns der Autor damit sagen ?
"Die englische Zeichensetzung ist mir nicht geläufig" -- o.K., bei Gelegenheit könnte das Komma erstzlos entfernt werden.
Aber "Remote address is unspecified or zero" ???

Was lese ich flscha ?
daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von daniel337PVS »

Ja, das würde mich jetzt auch mal interessieren, wo es hier hakt!

Ich komme hier mit meinem VPN-Bauen einfach nicht weiter.

Mit der 10.20 RC die gleichen Meldungen wie hier im Screenshot im letzten Posting zu sehen.
Hab jetzt wieder auf die letzte 10.12 das Downgrade durchgeführt, und auch dort ein ähnliches Bild: show vpn zeigt mir bei lokalem und entfernten Gateway "unspecified" an ... Das kann es doch nicht sein, oder??!! :evil:

Daniel
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Koppelfeld »

Ja, meinen Kunden würde das auch einmal interessieren, wann sein versprochenes VPN funktioniert.

- Er hat etwa 3.000,-- bezahlt für einen 7.100+ VPN
- Nochmal 3.000,-- für die Installation.
OK, hier war auch noch eine Umstellung der Netzwerktopologie inklusive.

Also, sechs Riesen hat er in die Hand genommen.

Positiv für den Kunden:
- Internetzugang läuft stabil
- er kann zwei "ZyXel" wegwerfen
- Es werden tatsächliche 600 MBit/s symmetrisch erreicht.
Mit der Schundbox des Telekom - Freundschaftsberaters: 270 MBit/s.
- Rackeinbau.
Negativ für den Kunden:
- Keine VPNs mehr.
- Kein Callmanager - aus "produktpolitischen Gründen". Echt 'mal, geht's noch ?
Negative Folge: 1781VA-4G als extra "Telekom-Router" kaskadiert, hoher Aufwand
beim Einrchten von QoS, SPOF inkludiert.
- Kein brauchbarer Support.
- Fehlendes DNAT.
Mensch, liebe LANCOMs, jedes kleine ZyXel kann es:
Der LANCOM erhält eine zusätzliche Loopback-Adresse in einem beliebigen lokalen Netz.
Verbindungen gegen diese Adresse werden an einen wählbaren Host im gleichen Netz
geroutet. Auf Wunsch noch kombiniert mit einem SNAT, sodaß der Zielhost eine Anfrage
aus einem Intranet "sieht".
Das ist schwierig ?
Nein, ist es nicht, denn BEINAHE habt Ihr es gelöst, unter "TCP-Tunnel erzeugen".
- "CISCO" und "JUNIPER" machen als Marke mehr her. Wenigstens für die, die CISCO nicht
kennen ...
- Das Nachfolgemodell steht schon in den Startlöchern.

Positiv für uns:
- Dieses Forum. Ohne hätten wir uns längst umorientiert.
- Solide Hardware. Wenn die Geräte einmal laufen, dann laufen sie auch. Ich habe wenig
Ärger mit Reklamationen.
- Man hebt sich vom Wettbewerb ab. Diese Plasteflundern, die aussehen, als wären
sie bei Beate Uhse bestellt - also echt 'mal. Oder Bintec, jetzt mit so einem Vögelchen
drauf. Ham' die sie noch alle ?
- Höhere Sicherheit.
- Mitunter sehr brauchbare Debug-Möglichkeiten
- Hohes Engagement der LANCOM - Mitarbeiter

Negativ für uns:
- Immer wieder Nacharbeiten durch Softwareprobleme. Weil wir für unsere Arbeit gerade-
stehen, berechnen wir dafür nichts. Bedeutet in der Praxis: Vier Tage aufgewendet,
zwei Tage abrechenbar.
- Kunden können nicht akzeptieren, wenn man ein "Fachmann" ein Problem nicht lösen
kann. Deshalb muß man sich vor Ort alle möglichen Würgarounds aus dem Hut ziehen.
ICH BIN DOCH KEIN ZAUBERKÜNSTLER !!! McGyver kommt ganz sympathisch daher,
aber: McGyvering ist der FEIND jedes ordentlichen Engineerings.
Wenn ich mich zum Affen machen möchte, dann halte ich irgendwelche Vorträge auf
langweiligen Kongressen, da gibt es wenigstens einen lustigen "après - shitstorm" und
bekanntermaßen ist alles, wo der Name richtig geschrieben wird, eine prima Werbung.


Sieht aus, als wäre der aktuelle Deal ein lose - lose - Geschäft.

Denn ich weiß bis heute nicht, wie ich den 7100+ dazu bringen kann, VPN-Anfrage ent-
gegenzunehmen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Jirka »

Hallo Koppelfeld,

Du musst doch aber zugeben, dass es unwahrscheinlich ist, dass es das VPN(-Modul) gar nicht mehr tut. Immerhin läuft es ja woanders. Folglich muss irgendwas mit der Konfiguration nicht stimmen und das sollte doch rauszufinden sein. Also von daher...
Wobei ich nicht sage, dass Dich in irgendeiner Form eine Schuld trifft. Ich vermute Du hast die VPN per Assistent in WEBconfig eingerichtet und möglicherweise hat der Assistent da was falsch gemacht oder vergessen, wer weiß. Davon abgesehen deckt der Assistent ja auch nur Standard-Szenarien ab, d. h. berücksichtigt z. B. keine Schnittstellen-Tags der lokalen Netze oder ähnliches. Diesbezüglich ist also immer noch etwas Nacharbeit nötig, die aber im Allgemeinen fix erledigt ist.

Viele Grüße,
Jirka
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von cpuprofi »

Hallo,

Koppelfeld hat wahrscheinlich die SAs nicht manuell eingerichtet und bei seinen komplizierten Konstrukten ist das nun mal nötig...

Grüße
Cpuprofi
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Koppelfeld »

die SAs nicht eingerichtet ? Das machen doch die Grünen schon, aber sie streiten noch um den Namen.
"Allianz der Anständigen" ist ganz vorn, und die soll kollektiv für uns alle entscheiden, welche Bücher und Beiträge gut oder schlecht sind. Da war Heiner Geißler ein echter Visionär, als er in den 80ern die Grünen als "die neuen Nazis" bezeichnete. Aber da möchte ich mich nicht beteiligen.

Ich baue auch keine "komplizierten Konstrukte", aber ich bin schon der Meinung, daß die EDV und damit auch das Netzwerk ein Abbild der Realität darstellen muß.

Im vorliegenden Falle jedoch handelt es sich um die einfachst denkbare Form eines VPN-Tunnels.
Und wenn Du mit "SA" die Netzbeziehungen meinst, die werden beidseitig ganz korrekt "klassisch" ermittelt: Routing-Tabelle --> VPN-Identifier. Weil ich Komplexität meide (ARF ist oft nur eine scheinbare Vereinfachung), gibt es auf beiden Seiten nur *ein* Netz zum Koppeln.

Weil ich weiß, daß die "Wizards" schon einmal spinnen, habe ich einen (IKEv1-) Tunnel natürlich auch manuell angelegt. So, wie bestimmt schon 500 mal zuvor. Aber Du bringst mich auf eine Idee.
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Koppelfeld »

Tja. Habe mir gedacht, "Lege doch 'mal ein VPN mit IKE/PFS - Gruppe 5 an",
ABER: Alles ist wie gehabt.

Ich fahre da morgen früh hin und stelle da leihweise einen MX5 hin. Ich mach' mich doch nicht beim Kunden zum Affen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Jirka »

Guten Morgen Koppelfeld,

aber mit Routing-Tags arbeitest Du schon (also ich meine jetzt im konkreten Router)? Denn es muss ja einen nachvollziehbaren Grund dafür geben, dass die Netzbeziehungen für die anderen VPNs richtig erzeugt werden, für die neue VPN aber nicht. Wenn irgendwas mit den IKE/PFS-Gruppen nicht stimmt, bzw. die diesbezüglichen Einstellungen nicht mit der Gegenseite harmonieren, dann sieht man das im Trace.
Nutzt Du Dynamic VPN? Hast Du das vielleicht auf beiden Seiten aus Versehen gleich konfiguriert? So ganz nachvollziehen kann ich allerdings auch nicht, wieso Du (einen) DNS-Namen nutzt, wenn beide Seiten eine feste IP-Adresse haben. Wird der Name bei einem Backup-Fall irgendwie auf eine andere IP-Adresse aufgelöst?
Ansonsten ist Dir schwer zu helfen, keine Konfig, keine ausführliche Konfigbeschreibung, kein TeamViewer, kein Zugriff auf die Geräte, da kann man echt nur Vermutungen anstellen, da habe ich aber außer den hier aufgeführten Punkten (Routing-Tag und Dynamic VPN) keine mehr.
Bevor ich da noch mal hinfahren würde und auch noch ein anderes Gerät hinstellen würde, würde ich mir Hilfe holen, ist einfach kostengünstiger.

Viele Grüße,
Jirka
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Koppelfeld »

Hi Jirka,

seit Jahren predige ich, "Nur ausgemachte Idioten mit einem Selbstwertgefühl unterhalb jeder Schamgrenze 'verwenden' Teamviewer",
da kann ich jetzt nicht damit antrollen.

Natürlich sind beide VPN - Tunnel identisch konfiguriert, Ausnahme: Haltezeit. Routing-Tags werden nur hinsichtlich der WAN - Auswahl verwendet.

Hilfe? Nähme ich jederzeit gern an, bloß: Bis heute Mittag muß ich liefern. In Berlin.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Jirka »

Hi,

ja, ich gebe Dir ja Recht mit dem TeamViewer. Aber der ist halt so verbreitet und funktioniert einfach und das auch noch sehr zuverlässig und sparsam von der Datenrate. Und zudem habe ich einen guten Kunden, der mir eine 3-er TeamViewer Lizenz mal eben schenkt, das kostet mich also noch nicht mal was. Da muss ich jetzt schon lange suchen, dass ich da was an TeamViewer auszusetzen habe, da finde ich bei LANCOM leider mehr Fehler. Auch der Support ist bei TeamViewer meilenweit schneller und besser als bei LANCOM. Derzeit habe ich nur das Problem, dass wenn ich eine TeamViewer-Sitzung zu Apple-Rechner mache und was groß schreiben will, dass er dann ein kleines "a" davor setzt (bzw. mehrere, wenn man die Hochtaste längere Zeit drückt ohne einen Buchstaben zu schreiben). Das macht besonders Spaß, wenn man gerade ein Passwort mit Sternchen eingibt. Da ich aber Apple nur mache wenn es unbedingt sein muss (und dann auch nur, um eine VPN einzurichten), habe ich jetzt noch nicht die Zeit gefunden, das mal schnell an den Support zu übergeben.
Aber wenn Du TeamViewer nicht magst, ich habe hier auch AnyDesk...

Von der Haltezeit abgesehen müssen natürlich auch andere Parameter noch individuell sein, z. B. die Remote-Gateway-IP-Adresse oder die Dynamic-VPN-Einstellungen. Aber vermutlich meinst Du das.

Viele Grüße,
Jirka
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von MariusP »

Hi,
- Kein brauchbarer Support.
Meinst du die Kompetenz der Supporter wenn du sie erreichst oder die Ereichbarkeit für dich innerhalb deiner Kundenbeziehung zu Lancom?


Da du zwei 7100+ verbinden möchtest, tritt das Problem in beiden Richtungen auf?
Was passiert wenn du eine IP-Adresse statt einer DNS-Adresse verwendest?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Neuanlegen VPN mit 10.12.446 nicht moeglich

Beitrag von Koppelfeld »

Danke an alle, die mit Rat und Tat geholfen haben, allen voran Jirka.

Problem ist gelöst.

Ursache: Jirka und ich vermuten "aus dem Bauch heraus" ein Problem beim Initialisieren von Variablen während eines IPL.

Denn:

- 7100+ auf 9.24 zurückgesetzt
- Werksreset durchgeführt, einmal per Taster, einmal per CLI
- EIN (IKEv1-) VPN eingerichtet -- läuft
- FW-Upgrade auf 10.2
- Gewünschte VPNs per Script einspielen...
- läuft!!!!
Antworten