1811 und Fritzbox 3370

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
elcom
Beiträge: 3
Registriert: 19 Nov 2013, 13:43

1811 und Fritzbox 3370

Beitrag von elcom »

Hi zusammen!

Seit einigen Tagen bin ich an folgendem Problem dran:

Mehrmals täglich bricht die VPN zwischen o.g. Geräten ab.
Wenn ich mir das Log des LC anschaue, kommt es mir so vor als wäre da ein Timeout von etwa 80 Minuten gesetzt. Ist aber eigentlich nicht der Fall. Haltezeit ist auf 9999 Sekunden gesetzt (unbegrenzt)
FW ist auf beiden Geräten aktuell. DSL Störungen sind ausgeschlossen.
Wenn Jemand Spaß daran hätte, sich die Sache mal anzusehen... :-)

merci.
Basti





Log der FB:
19.11.13 02:52:06 VPN-Verbindung zu wurde erfolgreich hergestellt.
19.11.13 02:52:05 VPN-Fehler: Lager, IKE-Error 0x203e
19.11.13 02:51:33 VPN-Fehler: Lager, IKE-Error 0x2027
19.11.13 02:50:57 VPN-Fehler: Lager, IKE-Error 0x2027
19.11.13 02:50:25 VPN-Fehler: Lager, IKE-Error 0x2027
19.11.13 02:49:49 VPN-Fehler: Lager, IKE-Error 0x2027
19.11.13 02:49:11 VPN-Fehler: Lager, IKE-Error 0x2027
19.11.13 02:48:40 VPN-Fehler: Lager, IKE-Error 0x2027
19.11.13 02:48:05 Internetverbindung wurde erfolgreich hergestellt. IP-Adresse:xx.139.xx.201, DNS-Server: 217.0.xx.49 und 217.0.xx.33, Gateway: 217.0.xx.143, Breitband-PoP: ESSX42-erx
19.11.13 02:48:05 VPN-Verbindung zu Lager wurde getrennt. Ursache: 5 IP address change
19.11.13 02:48:04 Internetverbindung wurde getrennt.
19.11.13 02:48:00 Die Internetverbindung wird kurz unterbrochen, um der Zwangstrennung durch den Anbieter zuvorzukommen.
18.11.13 19:22:48 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 19:22:15 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 19:21:45 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 19:21:13 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 18:49:03 VPN-Verbindung zu Lager wurde erfolgreich hergestellt.
18.11.13 18:49:01 VPN-Verbindung zu Lager wurde getrennt. Ursache: 9 Dead Peer Detection
18.11.13 15:19:12 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 15:18:42 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 15:18:12 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 15:17:42 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 14:45:32 VPN-Verbindung zu Lager wurde erfolgreich hergestellt.
18.11.13 14:45:30 VPN-Verbindung zu Lager wurde getrennt. Ursache: 9 Dead Peer Detection
18.11.13 02:55:03 VPN-Verbindung zu Lager wurde erfolgreich hergestellt.
18.11.13 02:55:02 VPN-Fehler: Lager, IKE-Error 0x203e
18.11.13 02:54:36 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 02:54:04 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 02:53:28 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 02:52:56 VPN-Fehler: Lager, IKE-Error 0x2027
18.11.13 02:52:20 VPN-Fehler: Lager, IKE-Error 0x2027

Log des LANCOM:
7 18.11.2013 12:33:57 WAN DSL Kanal 1 -> , Verbunden
27 18.11.2013 12:35:20 VPN Verbunden mit FRITZBOX (über T-ONLINE)
7 18.11.2013 12:35:20 WAN DSL Kanal 1 -> T-ONLINE, Verbunden
41 18.11.2013 13:25:17 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 18.11.2013 13:25:17 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 18.11.2013 13:25:18 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 18.11.2013 13:25:18 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-128bit; Hash:HMAC_SHA-160bit)
27 18.11.2013 13:25:20 VPN Verbunden mit FRITZBOX (über T-ONLINE)
41 18.11.2013 14:46:16 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 18.11.2013 14:46:16 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 18.11.2013 14:46:17 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 18.11.2013 14:46:17 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-128bit; Hash:HMAC_SHA-160bit)
27 18.11.2013 14:46:19 VPN Verbunden mit FRITZBOX (über T-ONLINE)
41 18.11.2013 16:07:46 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 18.11.2013 16:07:46 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 18.11.2013 16:07:47 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 18.11.2013 16:07:47 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-256bit; Hash:HMAC_SHA-160bit)
27 18.11.2013 16:07:49 VPN Verbunden mit FRITZBOX (über T-ONLINE)
41 18.11.2013 17:28:46 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 18.11.2013 17:28:46 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 18.11.2013 17:28:47 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 18.11.2013 17:28:47 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-128bit; Hash:HMAC_SHA-160bit)
27 18.11.2013 17:28:50 VPN Verbunden mit FRITZBOX (über T-ONLINE)
41 18.11.2013 18:49:46 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 18.11.2013 18:49:46 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 18.11.2013 18:49:47 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 18.11.2013 18:49:47 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-128bit; Hash:HMAC_SHA-160bit)
27 18.11.2013 18:49:50 VPN Verbunden mit FRITZBOX (über T-ONLINE)
41 18.11.2013 20:11:16 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 18.11.2013 20:11:16 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 18.11.2013 20:11:17 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 18.11.2013 20:11:17 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-256bit; Hash:HMAC_SHA-160bit)
27 18.11.2013 20:11:19 VPN Verbunden mit FRITZBOX (über T-ONLINE)
41 18.11.2013 21:32:16 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 18.11.2013 21:32:16 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 18.11.2013 21:32:16 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 18.11.2013 21:32:16 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-128bit; Hash:HMAC_SHA-160bit)
27 18.11.2013 21:32:19 VPN Verbunden mit FRITZBOX (über T-ONLINE)
41 18.11.2013 22:53:15 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 18.11.2013 22:53:15 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 18.11.2013 22:53:16 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 18.11.2013 22:53:16 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-128bit; Hash:HMAC_SHA-160bit)
27 18.11.2013 22:53:18 VPN Verbunden mit FRITZBOX (über T-ONLINE)
ActivityLogFile 3.30
41 19.11.2013 00:14:14 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 19.11.2013 00:14:14 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 19.11.2013 00:14:15 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 19.11.2013 00:14:15 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-128bit; Hash:HMAC_SHA-160bit)
27 19.11.2013 00:14:18 VPN Verbunden mit FRITZBOX (über T-ONLINE)
41 19.11.2013 01:35:15 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 19.11.2013 01:35:15 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 19.11.2013 01:35:15 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 19.11.2013 01:35:16 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-128bit; Hash:HMAC_SHA-160bit)
27 19.11.2013 01:35:18 VPN Verbunden mit FRITZBOX (über T-ONLINE)
41 19.11.2013 02:51:07 VPN Verbunden mit FRITZBOX (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 19.11.2013 02:51:07 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 19.11.2013 02:51:08 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 19.11.2013 02:51:08 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-128bit; Hash:HMAC_SHA-160bit)
43 19.11.2013 02:51:38 VPN Verbindung zu FRITZBOX trennen (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 19.11.2013 02:51:38 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
25 19.11.2013 02:51:39 VPN Abgehender Ruf zu FRITZBOX (über T-ONLINE)
25 19.11.2013 02:51:39 VPN Ende der Protokollverhandlung mit FRITZBOX (über T-ONLINE) (Krypt:AES-128bit; Hash:HMAC_SHA-160bit)
43 19.11.2013 02:52:09 VPN Verbindung zu FRITZBOX trennen (über T-ONLINE) - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
43 19.11.2013 02:52:09 VPN Nicht verbunden mit FRITZBOX - Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Initiator, IKE) [0x210D]
(über T-ONLINE)
Nach oben
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: 1811 und Fritzbox 3370

Beitrag von MariusP »

Hi,
Ich glaube du solltest in Fritzbox Foren den "VPN-Fehler: Lager, IKE-Error 0x203e" bzw "VPN-Fehler: Lager, IKE-Error 0x2027" nachschauen. Für was auch immer die Hex-Werte stehen.
Danach könntest du herrausfinden ob wirklich ein DPD-Fehler vorliegt, indem du auf dem Lancom einen vpn-packet-Trace "tr # vpn-p" erstellst und schaust ob die DPD-Pakete erzeugt werden.
Wenn ja, dann mach einen eth trace auf die Gegenstellen IP "tr # eth @ 123.123.123.123" und schau nach ob die Pakete da hinfliesen.

https://www2.lancom.de/kb.nsf/1276/3722 ... enDocument
Wenn ja finde auf der Fritzbox herraus ob es die Pakete noch sieht. (ka wie das geht)
Du könntest auf dem Lancom noch zusätzlich mit Lcoscap einen Wireshark trace erstellen und dort dir die Pakete in aller Ruhe anschauen die kurz vor und während des Disconnects vom Lancom empfangen bzw gesendet werden.
https://www2.lancom.de/kb.nsf/1275/1CF7 ... enDocument
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Nach oben
elcom
Beiträge: 3
Registriert: 19 Nov 2013, 13:43

Re: 1811 und Fritzbox 3370

Beitrag von elcom »

vielen dank für die tipps.! Nach den Fehlermeldungen habe ich natürlich schon gegoogled - aber nichts hilfreiches gefunden. Dann werde ich als nächstes mal einen trace machen..

was mich so wundert ist, dass ich im LANCOM etwa alle 80 Minuten ein DPD Timeout habe - in der FB aber wesentlich weniger Ereignisse angezeigt werden.
Ein LANCOM Protokoll vom Wochenende habe ich leider nicht, im FB Log wurden aber am Wochenende merkwürdigerweise gar keine VPN Abbrüche protokolliert. Scheint, als ob nur während der Arbeitszeit Verbindungsprobleme aufträten.

:-)
Nach oben
elcom
Beiträge: 3
Registriert: 19 Nov 2013, 13:43

Re: 1811 und Fritzbox 3370

Beitrag von elcom »

nach wie vor wird die Verbindung nach exakt 1h:20m kurz unterbrochen. Ein Trace des VPN Status ergab folgendes:




[VPN-Status] 2013/11/21 22:53:07,796 Devicetime: 2013/11/21 22:52:22,280
IKE info: Phase-2 SA Soft-Event occurred for peer FRITZBOX (Initiator)

[VPN-Status] 2013/11/21 22:53:07,796 Devicetime: 2013/11/21 22:52:22,290
IKE info: soft event: rekeying started for peer FRITZBOX, rule ipsec-0-FRITZBOX-pr0-l0-r0

[VPN-Status] 2013/11/21 22:53:22,796 Devicetime: 2013/11/21 22:52:37,290
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-0-FRITZBOX-pr0-l0-r0 to peer FRITZBOX, spi [0x1d08d6b1]

[VPN-Status] 2013/11/21 22:53:22,796 Devicetime: 2013/11/21 22:52:37,290
IKE info: Phase-2 SA removed: peer FRITZBOX rule ipsec-0-FRITZBOX-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [ccf3fbf2 ] [1d08d6b1 ]

[VPN-Status] 2013/11/21 22:53:28,328 Devicetime: 2013/11/21 22:52:42,820
suppress DNS resolution for FRITZBOX
IpStr=>xxxxxxx.dyndns.org<, IpAddr=80.xxx.29.xxx, IpTtl=60s

[VPN-Status] 2013/11/21 22:53:33,984 Devicetime: 2013/11/21 22:52:48,160
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer FRITZBOX, sequence nr 0x6e8e5e38

[VPN-Status] 2013/11/21 22:53:44,093 Devicetime: 2013/11/21 22:52:58,180
IKE info: DEAD PEER DETECTION Timeout for peer FRITZBOX, sequence nr 0x6e8e5e38: retry detection

[VPN-Status] 2013/11/21 22:53:44,093 Devicetime: 2013/11/21 22:52:58,180
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer FRITZBOX, sequence nr 0x6e8e5e39

[VPN-Status] 2013/11/21 22:54:04,015 Devicetime: 2013/11/21 22:53:18,210
IKE info: DEAD PEER DETECTION Timeout for peer FRITZBOX, sequence nr 0x6e8e5e3a: tear down connections

[VPN-Status] 2013/11/21 22:54:04,031 Devicetime: 2013/11/21 22:53:18,210
IKE info: Phase-1 SA removed: peer FRITZBOX rule FRITZBOX removed

[VPN-Status] 2013/11/21 22:54:04,031 Devicetime: 2013/11/21 22:53:18,230
VPN: Error: IKE-I-DPD-Timeout (0x210d) for FRITZBOX (80.xxx.29.xxx)

[VPN-Status] 2013/11/21 22:54:04,031 Devicetime: 2013/11/21 22:53:18,230
VPN: FRITZBOX (80.xxx.29.xxx) disconnected

[VPN-Status] 2013/11/21 22:54:04,031 Devicetime: 2013/11/21 22:53:18,230
VPN: Disconnect info: remote-disconnected (0x4301) for FRITZBOX (80.xxx.29.xxx)

[VPN-Status] 2013/11/21 22:54:04,031 Devicetime: 2013/11/21 22:53:18,260
selecting next remote gateway using strategy eFirst for FRITZBOX
=> no remote gateway selected

[VPN-Status] 2013/11/21 22:54:04,031 Devicetime: 2013/11/21 22:53:18,260
selecting first remote gateway using strategy eFirst for FRITZBOX
=> CurrIdx=0, IpStr=>xxxxxxxx.dyndns.org<, IpAddr=80.xxx.29.xxx, IpTtl=60s

[VPN-Status] 2013/11/21 22:54:04,031 Devicetime: 2013/11/21 22:53:18,260
VPN: installing ruleset for FRITZBOX (80.xxx.29.xxx)

[VPN-Status] 2013/11/21 22:54:04,031 Devicetime: 2013/11/21 22:53:18,290
VPN: rulesets installed
Nach oben
Benutzeravatar
langewiesche
Beiträge: 1255
Registriert: 27 Apr 2005, 11:28
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
Kontaktdaten:
Kontaktdaten von langewiesche

Re: 1811 und Fritzbox 3370

Beitrag von langewiesche »

polling vom lancom zur Fb (lanip) eintragen. geht oft besser als DPD
Es gruesst Lars
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
Nach oben
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: 1811 und Fritzbox 3370

Beitrag von MariusP »

Hi,

Code: Alles auswählen

[VPN-Status] 2013/11/21 22:53:28,328 Devicetime: 2013/11/21 22:52:42,820
suppress DNS resolution for FRITZBOX
IpStr=>xxxxxxx.dyndns.org<, IpAddr=80.xxx.29.xxx, IpTtl=60s
Bedeutet, dass er, obwohl die TTL abgelaufen ist, die URL nicht neu auflöst, da er laufende IKE SA hat und daher keine Auflösung benötigt.

An dieser Stelle wird ja ein Rekeying gemacht, welches anscheinend nicht erfolgreich ist. Daher scheitert das DPD.

Du kannst an dieser Stelle die Lifetime der SA hochsetzen was unter "/Setup/VPN/Proposals/IPSEC/" zu finden ist.

Ich bitte dich aber an dieser Stelle bitten weiter meine vorherigen Vorschläge umzusetzen, da ohne diese es schwer wird zu erkennen warum die Fritzbox nicht antwortet/nicht anworten will.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“