Hallo zusammen,
ich habe hier einen LC 1783VAW, 10.50 RU9 mit 5 VPN Verbindungen ab Werk. Die 5 möglichen VPN Verbindungen werden in Lanconfig auch angezeigt.
Der VPN Server des LC zickt nur herum, wenn 4 VPN Verbindungen aufgebaut sind und die 5. VPN Verbindung aufgebaut werden soll. Aus Sicht des Endgerätes sieht es dann aus wie ein Timeout. Wenn vorher eine andere VPN Verbindung deaktiviert wurde (egal ob im Endgerät oder im LanMonitor), geht VPN des vorher nicht möglichen Endgerätes aber nahezu sofort, das kann man im Ring tauschen, es ist kein Endgerät Problem. Im Test konnte ich aber sehen, dass es nach vielen Versuchen tatsächlich möglich war, die 5. VPN Verbindung aufzubauen - das dauerte aber außergewöhnlich lange (20s?)
Im Trace ist mit vorher - auch nach LanMonitor - vier aufgebauten VPN Verbindungen beim erfolglosen Versuch der 5. VPN Verbindung z.B. zusehen:
[VPN-Status] 2023/01/27 16:21:02,379 Devicetime: 2023/01/27 16:21:03,345 -All VPN licenses are currently in use => Reject
Das ist sachlich nicht richtig, auch der LanMonitor zeigt 4 an, 5 sind aber lizenziert.
Der Router und die Einwahlclients laufen schon lange Zeit, ohne Probleme, nur wurde das Limit mit 5 Verbindungen erst erreicht, seit 2 site2site Tunnel dauerhaft laufen.
Ein bekanntes Problem? Oder ein individueller Spezialfall? Irgend ein Cache oder Timing Problem?
Lösungsvorschläge außerhalb "alles mal vorsorglich resetten und per Hand neu konfigurieren"?
Nein VPN25 ist unnötig, die 5. Verbindung ist eher seltener Fall, mehr wird nicht gebraucht.
Vielen Dank für Hinweise - Tom
5. VPN Verbindung meistens nicht möglich
Moderator: Lancom-Systems Moderatoren
Re: 5. VPN Verbindung meistens nicht möglich
Hi tom-1
Gruß
Backslash
und das deutet auch schon auf eine mögliche Ursache hin... Wenn nä,lich die site2site Tunnel gleichzeitig von beiden Seiten aufgenaut werden, dann ist zumindest solange, bis ein Aufbau steht und der andere wieder abgebaut wurde, zwei Lizenzen für vermeindlich eine Verbindung in Gebrauch... Das löst du am einfachsten dadurch, daß du den Aufbau von einer Seite her erzwingst. Das geht z.B. dadurch, daß du auf eine Seite als Remote-Gateway 0.0.0.0 (also keins) einträgst...Der Router und die Einwahlclients laufen schon lange Zeit, ohne Probleme, nur wurde das Limit mit 5 Verbindungen erst erreicht, seit 2 site2site Tunnel dauerhaft laufen.
Gruß
Backslash
Re: 5. VPN Verbindung meistens nicht möglich
Danke. Ein site2site Tunnel stand zu dem Test heute seit 12 Tagen, der andere seit 54d. Oder ist das egal weil sich die Tunnel zwischendurch immer wieder "erneuern" und ich hatte mit der einen erfolgreichen 5. VPN Verbindung beim heutigen Test nur Glück?backslash hat geschrieben: 27 Jan 2023, 17:14 ...
Wenn nä,lich die site2site Tunnel gleichzeitig von beiden Seiten aufgenaut werden, dann ist zumindest solange, bis ein Aufbau steht und der andere wieder abgebaut wurde, zwei Lizenzen für vermeindlich eine Verbindung in Gebrauch.
Tom
-
GrandDixence
- Beiträge: 1150
- Registriert: 19 Aug 2014, 22:41
Re: 5. VPN Verbindung meistens nicht möglich
Auf dem LANCOM-Router muss für jeden VPN-Tunnel, also für alle 3x Einwahlverbindung (RAS) und 2x Site2Site-VPN-Tunnel DPD (Dead peer detection) korrekt konfiguriert sein. Nur mit korrekt konfiguriertem DPD kann der LANCOM-Router zeitnah (innerhalb 30 Sekunden) erkennen, das ein VPN-Tunnel getrennt wurde und kann dann diese VPN-Lizenz für den nächsten VPN-Tunnelaufbau freigeben.
/Setup/VPN/IKEv2/Allgemeines/
Siehe dazu die entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
/Setup/VPN/IKEv2/Gegenstellen/SH-Zeit
Oder habe ich da etwas übersehen?!
Siehe dazu:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
Ausführliche Informationen zu DPD findet man in den unter:
fragen-zum-thema-vpn-f14/ikev2-vpn-tunn ... ml#p103501
verlinkten Beiträgen.
/Setup/VPN/IKEv2/Allgemeines/
Siehe dazu die entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Den einseitigen Aufbau des VPN-Tunnels erzwingt man mit der Konfiguration von:Das löst du am einfachsten dadurch, daß du den Aufbau von einer Seite her erzwingst. Das geht z.B. dadurch, daß du auf eine Seite als Remote-Gateway 0.0.0.0 (also keins) einträgst...
/Setup/VPN/IKEv2/Gegenstellen/SH-Zeit
Oder habe ich da etwas übersehen?!
Siehe dazu:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
Ausführliche Informationen zu DPD findet man in den unter:
fragen-zum-thema-vpn-f14/ikev2-vpn-tunn ... ml#p103501
verlinkten Beiträgen.
Re: 5. VPN Verbindung meistens nicht möglich
Hi GrandDixence
Gruß
Backslash
ja, denn auch wenn auf der "passiven" Seite die Haltezeit 0 ist, kann ein Paket, daß in den Tunnel geroutet werden soll den Verbinungsaufbau auslösen (dial-on-demand). Sicher Unterbinden kannst du das nur, wenn die "passive" Seite die IP-Adresse der "aktiven" Seite nicht kennt - die "aktive" Seite muß dann natürlich die Haltezeit 9999 haben, damit sie auch immer wieder aufbaut.Den einseitigen Aufbau des VPN-Tunnels erzwingt man mit der Konfiguration von:
/Setup/VPN/IKEv2/Gegenstellen/SH-Zeit
Oder habe ich da etwas übersehen?!
Gruß
Backslash