Extranet VPN & PPTP, IKE Schlüssel stimmen nicht überein

[eisfieber123]

Hallo,

wir nutzen in unserer Umgebung für die Vernetzung PPTP Verbindungen, die mit einem Loadbalancer zusammengefasst sind, und über Extranet-VPN Verbindungen aufgebaut werden (Einrichtung gemäß diesem Thread: http://www.lancom-forum.de/fragen-zum-t ... dbalancing). Dies funktioniert auch soweit zuverlässig und gut.

Um die Upload Bandbreite zu erhöhen haben wir in der Zentrale weitere WAN-Verbindungen hinzugefügt. Die Außenstellen haben unter anderem Kabel Deutschland mit 100 Mbit, so dass genügend Empfangsbandbreite zur Verfügung steht. Wir haben dann eine zusätzliche Extranet-VPN und PPTP Verbindung erstellt, so dass über die eine Kabel Deutschland Leitung in der Außenstelle zwei Extranet-VPN und PPTP Verbindungen zur Zentrale aufgebaut werden, um den Upload von zwei WAN-Verbindungen in der Zentrale zu nutzen.

Auch dies funktioniert grundsätzlich, jedoch kommt es unregelmäßig im LANMonitor zu dem Fehler "IKE Schlüssel stimmen nicht überein". Dies betrifft nur die Extranet-VPN Verbindungen, die von der Außenstelle über eine WAN-Leitung aufgebaut worden. Läuft über eine WAN-Verbindung genau eine Extranet-VPN Verbindung kommt es nicht zu dem Fehler. Die Extranet-VPN Verbindung steht aber weiterhin auf verbunden, es kommt nicht zum Abbruch.

Der Fehler tritt nach unserem Gefühl unregelmäßig auf, jedoch nie vor Ablauf von 24 Stunden Verbindungszeit. Wenn ich die Extranet-VPN Verbindung also händisch trenne, ist für 24 Stunden "Ruhe."

Wir vermuten, dass es irgendein Problem mit dem Rekeying ist, kommen jedoch nicht auf die Lösung. Hat irgendjemand eine Idee dazu?

Vielen Dank und viele Grüße
eisfieber123

[Bernie137]

Hallo eisfieber123,

ich kenne Deinen anderen Threat nur allzugut. Da ich selbst gerade ein Load Balancing Scenario realisiert habe, anhand dieses Threats - leider mit ein paar Stolperfallen http://www.lancom-forum.de/post72724.html#p72724 Aber jetzt läuft es, wenn auch bzgl. PPTP anders konfiguriert als in Deinem Beitrag.

Wir haben eine vergleichbare Situation: Zentrale eine sysm. Leitung (1 öffentliche IP) - Außenstelle drei Bündel (drei versch. öffentliche IPs) zur Zentrale. Während meiner ganzen Bastelein mit diversen Testaufbauten in den letzten 6 Wochen, hatte ich wenig Probleme mit den IPSec Tunneln, u.U. hatte ich komplett alle vorhandenen IPSec Verbindungen gelöscht und per Assistent neu angelegt. Dann lief das immer gut. Was sagt ein "trace + VPN-Status" bei Euch zu dem Problem? Wie geht ihr vor um die IPSec Tunnel einzurichten? Welche Seite baut die Verbindung auf (und welche Seite sollte aufbauen), steht es auf statisch auf beiden Seiten?
Die Meldung klingt im ersten Moment für mich danach, als ob der hinzugekommene Tunnel irgendwelche Einstellungen bzgl IKE von einem vorhandenen Tunnel mit benutzt.

vg Bernie

[eisfieber123]

Hallo Bernie,

vielen Dank für Deine Antwort! Mit einem Trace stellt sich schwierig dar, weil der Fehler zeitlich doch unbestimmt auftritt und nicht unbedingt nach 24 Stunden. Muss den Trace sonst mal 24 Stunden mitlaufen lassen. Kann mir das nicht wirklich erklären, der Fehler scheint keine Auswirkungen zu haben, es steht halt nur im LANMonitor IKE Schlüssel stimmen nicht überein (Responder), allerdings nur in der Zentrale. Bei den Außenstellen kommt die Fehlermeldung bisher nicht. Allerdings verschwindet die Fehlermeldung in der Zentrale dann auch mal alleine wieder...

Auch wir haben alle Extranet-VPN Verbindungen mit dem Assistenten eingerichtet. Der Fehler tritt aber nur auf den Extranet-VPN Verbindungen auf, die über die dieselbe WAN-Verbindung der Außenstelle aufgebaut werden. Steht genau eine WAN-Verbindung für eine Extranet-VPN Verbindung auf beiden Seiten zur Verfügung, tritt die Fehlermeldung nicht auf. Ich probiere die nächsten Tage noch einmal auf, für alle Extranet-VPN Verbindungen einer Außenstelle den gleichen IKE Schlüssel zu nehmen und nicht verschiedene.

Grüße
eisfieber123