1781VAW - IKEv1 und IKEv2 - SA's brechen weg

[MDCYP]

Hi,

haben einen 1781VAW mit aktueller 10.12er drauf und ein Problem bei VPN Verbindunden zu verschiedenen Gegenstellen, dass sich folgendermaßen äußert:

- VPN Verbindung ist erfolgreich aufgebaut - Lanmonitor zeigt bestehende Verbindung, Syslog nichts auffälliges.
- z.B. VPN Zu Gegenstelle XYZ mit drei Netzen A B und C: dort bricht auf einmal die Erreichbarkeit zum Netz C weg, ohne Lanmonitor Fehler oder syslog einträge
- die Netze A und B sind aber weiterhin zu erreichen
- Gegenseite ist definitiv nicht das Problem - es tritt bei verschiedenen Gegenstellen auf mit unterschiedlicher HW auf beiden Seite
- Sowohl bei IKEv1 als auch bei IKEv2 Site-to-Site Verbindungen

auf einem Juniper SSG140 als IKEv2 Gegenstelle ist nichts im Log zu sehen was auf falsche VPN Pakete zu deuten scheinen würde.

Es scheint einfach so als ob der Lancom die "Route" vergisst ?

Wenn das Problem Nachts z.B. auftaucht, ist das Problem nach Re-Keying behoben, also es deutet auf die SA hin die dann erneuert wird.

Aber wie gesagt... es ist auch nicht ganz nachvollziehbar weil es teilweise erst nach 2-3 Tagen passiert dann wieder täglich.

Werde beim nächsten Auftreten nochmal einen Dump machen

[5624]

Wie ist die Haltezeit eingestellt, gibt es ein Polling, DPD aktiv, manuelle oder automatische Regelerstellung, wie ist der Aufbau der Netzbeziehungen eingestellt?

[MDCYP]

eine IKEv2 Verbindung jetzt mal als Beispiel:

- Haltezeit 9999
- Regeln Automatisch
- DPD an 30sek
- Haben in der IPv4 Routing Tabeelle die Netzte eingetragen mit Router der VPN Verbindung

[5624]

wie ist der Aufbau der Netzbeziehungen eingestellt?

[MDCYP]

Gemeinsam für KeepAlive

[5624]

Dann lass mal ein Trace mitlaufen, damit man sieht, wer die SA abkündigt. Was passiert, wenn du über das Polling die SA am Leben erhälst? Bricht die dann auch zusammen?

[MDCYP]

Woran kann das denn hier liegen??

[MariusP]

Hi,
Liest sich im ersten Moment so: IKEv1:Die Phase 1 SA ist schon abgebaut aber die Phase 2 noch nicht.
Die Phase 2 will nun einen Rekeying machen, kann aber ohne die Phase 1 das nicht.
Ohne VPN-S Trace ist aber schwer zu sagen woran das genau liegen könnte.

Es scheint einfach so als ob der Lancom die "Route" vergisst ?

Woran genau machst du das fest?
Gruß

[MDCYP]

Es ist so, dass ich z.B. 2 Netze über die VPN routeen lasse

z.B. 10.0.5.0/24 und 212.23.8.0/24

Jetzt hab ich das Problem, dass manchmal z.B. dann ein Netz nicht mehr erreichbar ist, das andere aber schon. Wenn ich dann im Lanmonitor die VPN trenne und diese sich sofort wieder aufbaut, gehen sofort wieder beide.

Reicht es denn wenn ich einen trace erstelle wenn das Problem auftritt? Ich kann ja nicht tagelang den Trace mitlaufen lassen

[GrandDixence]

Was die Fehlermeldung genau bedeutet, wurde in diesem Beitrag erklärt:
http://www.lancom-forum.de/fragen-zum-t ... tml#p92853

[MariusP]

Hi,
Während des Problemfall, wäre ein VPN-Packet trace hilfreich.
Wenn der Zustand wechselt, wäre ein Status trace hilfreich.
Gruß