[GELÖST] VPN funktioniert nach Einrichtung x Std, danach IKE Timeout bei Verbindungsaufbau. Außerdem "über LAN"?!

[b.junghans]

Hi,
habe folgendes Problem:

Habe bei unserem neuen 1900EF alle VPN Verbindungen eingerichtet, 18 für den Client, 5 Site to Site Verbindungen mit anderen Lancom Routern.
Es funktionieren alle bis auf eine Site to Site Verbindung. Diese funktioniert nach Einrichtung eine bestimmte Zeit, mal 10 Std., mal 20Std, um dann auf einmal nicht mehr zu funktionieren. Ohne das etwas geändert wurde.

Es kommt dann die Meldung: Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Passiver Verbindungsaufbau) [0x1206]
Außerdem wundert mich, dass bei der Verbindung während des Verbindungsaufbauversuchs steht "über LAN". Normal steht hier "über VDSL"/"über INTERNET" oder ähnliches, je nach dem wie die Gegenstelle bennant wurde.

vpn.JPG

Jemand ne Idee?
Im Trace finde ich leider auch nichts.

[b.junghans]

was mir jetzt auffiel:

in meinem Bild steht ja "Entferntes Gateway: <IP>".
Hier steht eine völlig falsche IP.

Das ganze ist so konfiguriert, dass sich der Remoterouter in der Zentrale einwählt. Im VPN Eintrag der Zentrale ist also unter "Entferntes Gateway" nichts eingetragen. Es kann also kein fest eingetragener Wert sein der nicht stimmt, der Zantralrouter "kennt" die IP überhaupt nicht. Erst wenn der Verbindungsaufbau vom Remoterouter initiiert wird kennt der Zentralrouter dessen IP.

Nach erfolgreichem Aufbau der VPN Verbindung kennt der Zentralrouter auch nur die IP des Remoterouter, nicht aber dessen DynDNS Name (sehe ich ja bei den Verbindungen bei denen alles klappt). Also kann es auch kein veralteter DynDNS Eintrag sein oder eine falscher DNS Eintrag.

Woher nimmt der Zentralrouter diese falsche IP? Evtl eine von vorher die er dieser Gegenstelle zugeordnet hat?

[Jirka]

Hallo,

Das ganze ist so konfiguriert, dass sich der Remoterouter in der Zentrale einwählt.

dann schaue auch in den Remoterouter, warum es nicht geht... (Was ist der Remoterouter denn überhaupt? Kein LANCOM, oder?)
Viele Leute, die sagen, die VPN wird nur von der Gegenseite aufgebaut, vergessen, dass wenn es keine Firewall-Regel gibt, die Pakete verwirft, solange die VPN noch nicht steht, der (IP-)Router immer noch versucht, über die VPN Pakete zu versenden, womit er natürlich auch einen Verbindungsaufbau initiiert, selbst wenn er es gar nicht kann. Und den siehst Du hier. Gegenmaßnahme, wie schon erwähnt, eine entsprechende Firewall-Regel. Diese löst natürlich nicht Dein Problem, aber da habe ich ja schon gesagt, schau erst mal, was die andere Seite dazu sagt.

Viele Grüße,
Jirka

[b.junghans]

die andere Seite ist auch ein Lancom Router.
deiner Regel Thematik kann ich leider nicht ganz folgen.

es funktioniert ja auch anfangs, die Verbindung steht mehrere Stunden um dann auf einmal nicht mehr zu funktionieren.
Verbindung mit anderen (Lancom) Routern, ohne Probleme. Verbindung von Lancom VPN Clients, ohne Probleme.

lösche ich die Verbindung auf beiden Routern und richte sie neu ein, funktioniert sie ja wieder stundenlang und dann wieder nicht.
es macht einfach kein Sinn.

[Jirka]

Na aber irgendwas haut hier offensichtlich nicht hin, das siehst Du ja auch. Da hilft eigentlich nur entsprechendes Troubleshooting.

[Ganzfix]

Das ganze ist so konfiguriert, dass sich der Remoterouter in der Zentrale einwählt. Im VPN Eintrag der Zentrale ist also unter "Entferntes Gateway" nichts eingetragen. Es kann also kein fest eingetragener Wert sein der nicht stimmt, der Zantralrouter "kennt" die IP überhaupt nicht. Erst wenn der Verbindungsaufbau vom Remoterouter initiiert wird kennt der Zentralrouter dessen IP.

Und als Haltezeit ist in der Verbindungsliste bei der Zentrale auch 0 eingetragen?

[b.junghans]

Klar war da 0 eingetragen.

Habs nun manuell über IKEv2 konfiguriert, läuft ohne Probleme.
Vorher war es ja über dne 1-Click Assi von Lancom, der macht aber ne v1, warum auch immer.