Hallo,
Kunde hat 1681v mit 9.1 (ich weiß wird in Kürze auf den neusten Stand gebracht!
Habe über Wizard 4x einzelne IPSEC Konfigs für die Aussendienstler mit Windows Notebook erstellt.
Problem: es kann sich immer nur einer zur Zeit mit VPN einwählen. Was habe ich da falsch gemacht?
Der andere bekommt dann Fehlermeldung: VPN Fehler
VPN Gateway antwortet nicht. Bitte überprüfen Sie Ihre Internetverbindung.
22.08.2018 17:22:58 - IPSec: Start building connection
22.08.2018 17:22:58 - System: ikeusesocket=1
22.08.2018 17:22:58 - IpsDial: connection time interface choice,LocIpa=172.16.22.105,AdapterIndex=203
22.08.2018 17:22:59 - Ike: Opening connection in PATHFINDER mode : home
22.08.2018 17:22:59 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=xxxxxx : home
22.08.2018 17:22:59 - Ike: ConRef=2, XMIT_MSG1_AGGRESSIVE, name= home, vpngw=xxxxx2:500
22.08.2018 17:22:59 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,OFFICE-8@intern
22.08.2018 17:23:02 - Ike: ConRef=2, retry timeout, resend to=xxxxx2
22.08.2018 17:23:02 - Isakmp: re-sending packet to=xxxxx2:500,size=555
22.08.2018 17:23:06 - Ike: Switching to TCP ENCAPSULATION in PATHFINDER_1 : home
22.08.2018 17:23:06 - Ike: Opening PATHFINDER1 connection: home
22.08.2018 17:23:06 - Ike: Pathfinder-Outgoing connect request AGGRESSIVE mode - : home
22.08.2018 17:23:06 - Ike: ConRef=2, XMIT_MSG1_AGGRESSIVE, name= home, vpngw=6xxxxxxx:443
22.08.2018 17:23:06 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,OFFICE-8@intern
22.08.2018 17:23:10 - Ike: ConRef=2, retry timeout, resend to=xxxxx2
22.08.2018 17:23:10 - Isakmp: re-sending packet to=xxxxx2:443,size=479
22.08.2018 17:23:14 - Ike: Switching to TCP ENCAPSULATION in PATHFINDER_2 : home
22.08.2018 17:23:14 - Ike: Opening PATHFINDER2 connection: home
22.08.2018 17:23:14 - Ike: Pathfinder-Outgoing connect request AGGRESSIVE mode - : home
22.08.2018 17:23:14 - Ike: ConRef=2, XMIT_MSG1_AGGRESSIVE, name= home, vpngw=xxxxx2:443
22.08.2018 17:23:14 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,OFFICE-8@intern
22.08.2018 17:23:14 - Sockif: PF2 - PathFinder: SSL handshake failed
22.08.2018 17:23:14 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
22.08.2018 17:23:18 - Ike: ConRef=2, retry timeout, resend to=xxxxx2
22.08.2018 17:23:18 - Isakmp: re-sending packet to=xxxxx2:443,size=479
22.08.2018 17:23:18 - Sockif: PF2 - PathFinder: SSL handshake failed
22.08.2018 17:23:18 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
22.08.2018 17:23:21 - INFO - MONITOR: Disconnected
22.08.2018 17:23:21 - INFO - MONITOR: Media=LAN, Tx=41454 Byte, Rx=39114 Byte
22.08.2018 17:23:22 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - home.
22.08.2018 17:23:22 - Ike: phase1:name( home) - ERROR - retry timeout - max retries
22.08.2018 17:23:22 - IPSec: Disconnected from home on channel 1.
22.08.2018 17:23:22 - Sockif: PF2 - PathFinder: SSL handshake failed
22.08.2018 17:23:22 - Sockif: PF2 - PathFinder: TLS/SSL Alert: 70 - protocol version
es kann nur einer zur Zeit mit VPN IP SEC verbinden
Moderator: Lancom-Systems Moderatoren
-
- Beiträge: 26
- Registriert: 15 Aug 2016, 08:39
Re: es kann nur einer zur Zeit mit VPN IP SEC verbinden
Hi lancomuser4321,
die Ausgabe des AVC ist hier nicht hilfrecih... du müßtest schon auf das LANCOM schauen und dort tracen...
Ich frag aber vorher lieber mal: Der AVC sagt, daß dein Notebook eine private IP hat (172.16.22.195). Was für einen Router verwendest du da für deinen Internetzugang? Ich frage, weil gerade viele Home-Router nur eine IKE-Verbindung durchleiten können...
Die nächste Frage: Du hast allen Clients auch eine eigene Identity gegeben? Denn wenn alle OFFICE-8@intern hiessen, dann wäre auch klar, warum nur einer reinkommt...
Und natürlich solltest du das LANCOM erstmal auf eine aktuelle Firmware bringen, bevor du es weiter versuchst...
Gruß
Backslash
die Ausgabe des AVC ist hier nicht hilfrecih... du müßtest schon auf das LANCOM schauen und dort tracen...
Ich frag aber vorher lieber mal: Der AVC sagt, daß dein Notebook eine private IP hat (172.16.22.195). Was für einen Router verwendest du da für deinen Internetzugang? Ich frage, weil gerade viele Home-Router nur eine IKE-Verbindung durchleiten können...
Die nächste Frage: Du hast allen Clients auch eine eigene Identity gegeben? Denn wenn alle OFFICE-8@intern hiessen, dann wäre auch klar, warum nur einer reinkommt...
Und natürlich solltest du das LANCOM erstmal auf eine aktuelle Firmware bringen, bevor du es weiter versuchst...
Gruß
Backslash
-
- Beiträge: 26
- Registriert: 15 Aug 2016, 08:39
Re: es kann nur einer zur Zeit mit VPN IP SEC verbinden
Danke Backslash!
Lösung war: es gab bereits 4 VPN Tunnel
Remote User Nummer 5 hatte VPN
Remote User Nummer 6 dann nicht.
Somit 25er Pack Lizenzen kaufen, weil es kleinere Pakete für diesen Lancom nicht gibt.
DIe statischen VPN Tunnel werden nicht soviel genutzt, aber gelegentlich wird damit telefoniert oder ab 18 Uhr werden die nicht benötigt.
Über Scheduler stoppen ist eher kompliziert einrichtbar oder? (wenn es eine Budget Sache ist)
Lösung war: es gab bereits 4 VPN Tunnel
Remote User Nummer 5 hatte VPN
Remote User Nummer 6 dann nicht.
Somit 25er Pack Lizenzen kaufen, weil es kleinere Pakete für diesen Lancom nicht gibt.
DIe statischen VPN Tunnel werden nicht soviel genutzt, aber gelegentlich wird damit telefoniert oder ab 18 Uhr werden die nicht benötigt.
Über Scheduler stoppen ist eher kompliziert einrichtbar oder? (wenn es eine Budget Sache ist)
Re: es kann nur einer zur Zeit mit VPN IP SEC verbinden
Hi lancomuser4321,
Backsls
was meinst du damit? Den Cron-Job? Falls ja, dann mußt du dort eigentlich nur in jeder Filiale dei jeweilge VPN-Verbindung abends zum gewünschten Zeitpunkt deaktivieren und morgens wieder aktivieren (so du den Aufbau so konfiguret hast, daß immer die Filialen aufbauen)...Über Scheduler stoppen ist eher kompliziert einrichtbar oder? (wenn es eine Budget Sache ist)
- Für IKEv1-Verbindungen machst du da indem du unter /setup/vpn/Vpn-Peers die für die jeweilige Verbidung die "Rule-Creation" auf "no" bzw. wieder zurück auf "manually" oder "auto" stellst
- Für IKEv2-Verbindungen hast du untrer /setup/vpn/IKEv2/Peers an jeder Verbindung direkt einen Schalter "active", den du entsprechend umstellt...
Backsls