Dead Peer Detection DPD aufgrund falscher IP (Steuerkanal ?), manuelles "löschen"/trennen möglich?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Dead Peer Detection DPD aufgrund falscher IP (Steuerkanal ?), manuelles "löschen"/trennen möglich?

Beitrag von b.junghans »

Moin,
habe das Problem, dass die site 2 site Verbindung mit einem Router nicht klappt. Wird immer aufgebaut und dann direkt DPD disconnectet.
Alle anderen S2S und AVC Verbindungen funktionieren.

Denke es liegt daran, dass der Router auf dem sich eingewählt wird, in irgend ner Tabelle/Steuerungskanal zu der VPN Verbindung ne alte IP der Gegenstelle hat.
Ich kann den entfernten Router erreichen über dessen Internet IP. Das ist aber nicht die IP die mir der Lanmonitor bei dem Router auf dem sich eingewählt wird als RemoteIP anzeigt.
Meine ich hätte hier schon mal gelesen dass sowas vorkommen kann wenn die VPN Verbindung nicht sauber getrennt wurde und sich dann auf der Einwahlseite die IP geändert hat, der Router auf dem sich eingewählt wird aber noch irgendwo die alte IP hält/erwartet.

Habe schon mal versucht per Rechtsklick - trennen die Verbindung auf dem Router auf dem sich eingwählt wird zu "killen" damit quasi alte Zuordnungen gelöscht werden, hat aber nichts gebracht. Denke wenn ich ihn neustarte wird alles wieder gehen, will ich aber im laufenden Betrieb nicht.

Gibt es noch ne andere Möglichkeit, dem Router zu sagen er soll diese s2s Verbindung trennen und alle temporären Daten/Steuerkanäle etc dazu löschen, so dass eine neue saubere Einwahl stattfinden kann? Über console vielleicht?

Danke schon mal!
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Dead Peer Detection DPD aufgrund falscher IP (Steuerkanal ?), manuelles "löschen"/trennen möglich?

Beitrag von GrandDixence »

VPN-Konfiguration mit der entsprechenden VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
abgleichen. Dann in das Thema "Dead Peer Detection" (DPD) einlesen:
fragen-zum-thema-vpn-f14/vpn-tunnel-bre ... ml#p102564

und schliesslich mit dem entsprechenden Trace den Telegrammverkehr im VPN-Steuerkanal (IKE) aufzeichnen und auswerten.
Viel Glück bei der Fehlersuche!
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: Dead Peer Detection DPD aufgrund falscher IP (Steuerkanal ?), manuelles "löschen"/trennen möglich?

Beitrag von b.junghans »

das ganze ist der anleitung entsprechend eingerichtet. bis vor 2 tagen hat ja auch alles funktioniert.
alle anderen vpn verbindungen funktionieren auch noch. nur diese eine nicht.
habe jetzt mal den zentralrouter neu gestartet, es funktioniert immer noch nicht.

es ist total merkwürdig. sagen wir der entfernte router der sich einwählt hat öffentliche ip 1.1.1.1. ich erreiche über 1.1.1.1 die webcconfig oberfläche und kann mich einloggen. der router versucht eine verbindung zur zentrale herzustellen. lanmonitor auf den router der zentrale zeigt unter vpn verbindungen an "verbunden mit router_entfernt". aber die ip stimmt nicht. er zeigt an "entferntes gateway: 3.4.5.6".
keine ahnung wie er auf die Idee kommt das entfernte gateway hätte diese IP?!

im zentralrouter bekomme ich dann: VPN: Error for peer router_entfernt: IKE-R-DPD-Timeout
im entfernten router: VPN: Error for peer router_zentrale: IFC-I-Connection-timeout-IKE-IPSEC

irgendwer ne idee?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Dead Peer Detection DPD aufgrund falscher IP (Steuerkanal ?), manuelles "löschen"/trennen möglich?

Beitrag von GrandDixence »

Wenn hier zielgerichtete und effiziente Hilfestellung erwartet wird, sind entsprechende Trace-Ausgaben mit den IKE-Telegrammen und deren Inhalt hier zu veröffentlichen. Für alles andere wirft man am besten einen Blick in die Glaskugel der Wahrsagerin!
jhilgers
Beiträge: 175
Registriert: 02 Mär 2005, 14:39
Wohnort: Aachen

Re: Dead Peer Detection DPD aufgrund falscher IP (Steuerkanal ?), manuelles "löschen"/trennen möglich?

Beitrag von jhilgers »

Hi b.junghans,

welche Firmware setzt Du ein?

Ich setzte die 10.40 ein.

Ich habe ein ähnliches Problem und bei mir ist auch die IP-Adresse unter Entferntes Gateway falsch.
Da ich Dyndns für mein Ziel System einsetze, scheint die IP-Adresse im Lancom nicht mehr aktualisiert zu werden (nur für die VPN-Verbindung)

Hast Du denn schon etwas rausgefunden?

Übrigens mit der alten Firmware 10.32 funktioniert das alles.

Gruss
Jochen
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: Dead Peer Detection DPD aufgrund falscher IP (Steuerkanal ?), manuelles "löschen"/trennen möglich?

Beitrag von b.junghans »

Moin,
auf dem 1900EF zu dem sich verbunden werden soll 10.40, auf dem 1781AW der sich verbinden will 10.32RU9.
Mittlerweile funktioniert es wieder, warum auch immer.

Allerdings stimmen die IPs immernoch nicht überein, der LanMonitor zeigt weiterhin eine faslche IP an.
Im LanConfig ist der entfernte Router mit sienem DynDNS Hostname hinterlegt. Diesen löst LanConfig korrekt auf und ich kann auf den Router zugreifen (sowohl über Lanconfig als auch dass ich auf Dienste hinter der aufgelösten IP zugreifen kann).
Im Lanconfig zeigt er ja nur die IP der VPN Gegenstelle an, da ist ja nichts "fest hinterlegt" so wie im LanConfig. Hier zeigt er eine komplett andere IP der Gegenseite an, keine Ahnung woher er die nimmt. Unter der IP erreiche ich weder den Router noch die Dienste an der Gegenseite, sie ist also definitiv falsch.

Egal, so lange es funktioniert soll es mir recht sein.
Antworten