es kann nur einer zur Zeit mit VPN IP SEC verbinden

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
lancomuser4321
Beiträge: 26
Registriert: 15 Aug 2016, 08:39

es kann nur einer zur Zeit mit VPN IP SEC verbinden

Beitrag von lancomuser4321 »

Hallo,

Kunde hat 1681v mit 9.1 (ich weiß wird in Kürze auf den neusten Stand gebracht!

Habe über Wizard 4x einzelne IPSEC Konfigs für die Aussendienstler mit Windows Notebook erstellt.

Problem: es kann sich immer nur einer zur Zeit mit VPN einwählen. Was habe ich da falsch gemacht?

Der andere bekommt dann Fehlermeldung: VPN Fehler
VPN Gateway antwortet nicht. Bitte überprüfen Sie Ihre Internetverbindung.


22.08.2018 17:22:58 - IPSec: Start building connection
22.08.2018 17:22:58 - System: ikeusesocket=1
22.08.2018 17:22:58 - IpsDial: connection time interface choice,LocIpa=172.16.22.105,AdapterIndex=203
22.08.2018 17:22:59 - Ike: Opening connection in PATHFINDER mode : home
22.08.2018 17:22:59 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=xxxxxx : home
22.08.2018 17:22:59 - Ike: ConRef=2, XMIT_MSG1_AGGRESSIVE, name= home, vpngw=xxxxx2:500
22.08.2018 17:22:59 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,OFFICE-8@intern
22.08.2018 17:23:02 - Ike: ConRef=2, retry timeout, resend to=xxxxx2
22.08.2018 17:23:02 - Isakmp: re-sending packet to=xxxxx2:500,size=555
22.08.2018 17:23:06 - Ike: Switching to TCP ENCAPSULATION in PATHFINDER_1 : home
22.08.2018 17:23:06 - Ike: Opening PATHFINDER1 connection: home
22.08.2018 17:23:06 - Ike: Pathfinder-Outgoing connect request AGGRESSIVE mode - : home
22.08.2018 17:23:06 - Ike: ConRef=2, XMIT_MSG1_AGGRESSIVE, name= home, vpngw=6xxxxxxx:443
22.08.2018 17:23:06 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,OFFICE-8@intern
22.08.2018 17:23:10 - Ike: ConRef=2, retry timeout, resend to=xxxxx2
22.08.2018 17:23:10 - Isakmp: re-sending packet to=xxxxx2:443,size=479
22.08.2018 17:23:14 - Ike: Switching to TCP ENCAPSULATION in PATHFINDER_2 : home
22.08.2018 17:23:14 - Ike: Opening PATHFINDER2 connection: home
22.08.2018 17:23:14 - Ike: Pathfinder-Outgoing connect request AGGRESSIVE mode - : home
22.08.2018 17:23:14 - Ike: ConRef=2, XMIT_MSG1_AGGRESSIVE, name= home, vpngw=xxxxx2:443
22.08.2018 17:23:14 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,OFFICE-8@intern
22.08.2018 17:23:14 - Sockif: PF2 - PathFinder: SSL handshake failed
22.08.2018 17:23:14 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
22.08.2018 17:23:18 - Ike: ConRef=2, retry timeout, resend to=xxxxx2
22.08.2018 17:23:18 - Isakmp: re-sending packet to=xxxxx2:443,size=479
22.08.2018 17:23:18 - Sockif: PF2 - PathFinder: SSL handshake failed
22.08.2018 17:23:18 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
22.08.2018 17:23:21 - INFO - MONITOR: Disconnected
22.08.2018 17:23:21 - INFO - MONITOR: Media=LAN, Tx=41454 Byte, Rx=39114 Byte
22.08.2018 17:23:22 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - home.
22.08.2018 17:23:22 - Ike: phase1:name( home) - ERROR - retry timeout - max retries
22.08.2018 17:23:22 - IPSec: Disconnected from home on channel 1.
22.08.2018 17:23:22 - Sockif: PF2 - PathFinder: SSL handshake failed
22.08.2018 17:23:22 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: es kann nur einer zur Zeit mit VPN IP SEC verbinden

Beitrag von backslash »

Hi lancomuser4321,

die Ausgabe des AVC ist hier nicht hilfrecih... du müßtest schon auf das LANCOM schauen und dort tracen...

Ich frag aber vorher lieber mal: Der AVC sagt, daß dein Notebook eine private IP hat (172.16.22.195). Was für einen Router verwendest du da für deinen Internetzugang? Ich frage, weil gerade viele Home-Router nur eine IKE-Verbindung durchleiten können...

Die nächste Frage: Du hast allen Clients auch eine eigene Identity gegeben? Denn wenn alle OFFICE-8@intern hiessen, dann wäre auch klar, warum nur einer reinkommt...

Und natürlich solltest du das LANCOM erstmal auf eine aktuelle Firmware bringen, bevor du es weiter versuchst...

Gruß
Backslash
lancomuser4321
Beiträge: 26
Registriert: 15 Aug 2016, 08:39

Re: es kann nur einer zur Zeit mit VPN IP SEC verbinden

Beitrag von lancomuser4321 »

Danke Backslash!

Lösung war: es gab bereits 4 VPN Tunnel

Remote User Nummer 5 hatte VPN

Remote User Nummer 6 dann nicht.

Somit 25er Pack Lizenzen kaufen, weil es kleinere Pakete für diesen Lancom nicht gibt.

DIe statischen VPN Tunnel werden nicht soviel genutzt, aber gelegentlich wird damit telefoniert oder ab 18 Uhr werden die nicht benötigt.
Über Scheduler stoppen ist eher kompliziert einrichtbar oder? (wenn es eine Budget Sache ist)
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: es kann nur einer zur Zeit mit VPN IP SEC verbinden

Beitrag von backslash »

Hi lancomuser4321,
Über Scheduler stoppen ist eher kompliziert einrichtbar oder? (wenn es eine Budget Sache ist)
was meinst du damit? Den Cron-Job? Falls ja, dann mußt du dort eigentlich nur in jeder Filiale dei jeweilge VPN-Verbindung abends zum gewünschten Zeitpunkt deaktivieren und morgens wieder aktivieren (so du den Aufbau so konfiguret hast, daß immer die Filialen aufbauen)...
  • Für IKEv1-Verbindungen machst du da indem du unter /setup/vpn/Vpn-Peers die für die jeweilige Verbidung die "Rule-Creation" auf "no" bzw. wieder zurück auf "manually" oder "auto" stellst
  • Für IKEv2-Verbindungen hast du untrer /setup/vpn/IKEv2/Peers an jeder Verbindung direkt einen Schalter "active", den du entsprechend umstellt...
Gruß
Backsls
Antworten