Keine Verbindung nach IP Änderung

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Keine Verbindung nach IP Änderung

Beitrag von Raudi »

Hallo,

aktuell habe ich das Problem, dass wenn ich in der VPN Konfiguration des Routers das Remote GW ändere, weil sich dort die IP geändert hat, dass der VPN Tunnel erst wieder nach stunden aufgebaut werden kann. Mache ich einen Router Neustart, geht es dagegen sofort wieder.

Hat hier evtl. jemand einen Tipp was das sein könnte?

Viele Grüße
Stefan
Benutzeravatar
HansWurst
Beiträge: 13
Registriert: 15 Feb 2018, 13:58
Wohnort: Osnabrück

Re: Keine Verbindung nach IP Änderung

Beitrag von HansWurst »

Hallo Stefan,

für mich sieht das so aus, als ob eine Seite nicht mitbekommt, dass der Tunnel nicht mehr steht.

Benutzt du die Dead Peer Detection (DPD)? Unter VPN / Verbindungs-Liste.

Wenn nicht, setz die mal auf beiden Seiten auf "30"

Gruß
Marc
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Keine Verbindung nach IP Änderung

Beitrag von Raudi »

Hallo,

ja die stehen auf beide auf 60 Sekunden. Ich versuche mal beim nächsten mal ein Trace zu erstellen...

Viele Grüße
Stefan
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Keine Verbindung nach IP Änderung

Beitrag von Raudi »

Hmm... Also die DPD scheint es bei mir nicht zu sein. Ich habe aber mal einen Trace erstellt und schaue mir den später an. Muss nun erstmal frühstücken und wollen dann Freunde besuchen... (Familienbesuch in Vietnam)

Viele Grüße
Stefan
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Keine Verbindung nach IP Änderung

Beitrag von Raudi »

Also so wirklich helfen tut mir der Trace auch nicht, meine Seite sagt:

VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106)

Komisch nur, wenn ich meine Seite neustarte geht es dann sofort.

Bei nächster Gelegenheit noch mal genauer schauen, ob überhaupt etwas bei der Gegenseite ankommt...
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Keine Verbindung nach IP Änderung

Beitrag von Raudi »

Komisch, ich habe nun gegen 11:00 und 13:00 Uhr den Router auf der Gegenseite neugestartet und jedes mal hat es problemlos funktioniert. Heute Nacht als ich das Problem hatte, muss so gegen 03:00 Uhr gewesen sein, hatte ich die aktuellste Beta installiert und danach neugestartet. Da kam der VPN erst wieder nach dem ich meine Seite ebenfalls neugestartet hatte.

Also teste ich es noch mal heute Nacht... Bzw. morgen früh nach dem aufstehen, dann ist es in Deutschland ja noch Nacht...
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Keine Verbindung nach IP Änderung

Beitrag von Raudi »

Verstehe ich nun nicht, entweder das Problem hat sich von selbst behoben :G) , oder es wurde etwas in der 10.12.0284 gemacht, welches dieses Problem behebt.

Jedenfalls eben nach einem Neustart der Gegenstelle und die dadurch verbundene neue IP Adresse sofort wieder eine Verbindung...

Ich werde es beobachten.

Viele Grüße
Stefan
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Keine Verbindung nach IP Änderung

Beitrag von Raudi »

Hallo,

nach dem es eine neue Beta gab habe ich mal wieder beide Seiten aktualisiert...

Erst den 1781EF+ auf meiner Seite, nach dem neustart alles wieder gut, hier ist aber auch eine feste IP.

Danach den 1783VA, her kam der VPN nicht wieder. Bin dann erstmal frühstücken...

Aber auch 45 Minuten später immer noch keine VPN Verbindung.

Beide Seiten Melden: IFC-I-Connection-timeout-IKE-IPSEC

Dummer weise hatte ich auf dem 1783VA eine Beschränkung in den Management IP's drin, diese habe musste ich dann mal anpassen um einen Trace zu erstellen, aber nach dem "Config Upload" wurde die VPN Verbindung sofort aufgebaut.

Also scheinbar:

VPN Probleme nach IP Änderung und LCOS Update

Problem zu beheben in dem die andere Seite (nicht die Seite wo IP geändert wurde) rebootet wird oder die Config (auf der Seite wo IP geändert wurde) in irgendeiner Weise geändert wird.

Komisches Verhalten...

Viele Grüße
Stefan
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Keine Verbindung nach IP Änderung

Beitrag von GrandDixence »

Entweder wird seriöse Fehlersuche mit den in diesem Beitrag beschriebenen Hilfsmittel für die Fehlersuche:
http://www.lancom-forum.de/fragen-zum-t ... tml#p92853
betrieben. Oder man lernt zu leben mit dem Fehler/Mangel. Mit der Fehlersuche nach Glaskugel-Methode kann mit sehr hoher Wahrscheinlichkeit der Fehler/Mangel nicht eingegrenzt werden und behoben werden!
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Keine Verbindung nach IP Änderung

Beitrag von Raudi »

Ja ich wollte ja heute auf beiden Seiten Traces machen, aber dummer weise musste ich dazu etwas an der Config ändern und nach dem ändern der Config hat er sofort den VPN aufgebaut...

Ich werde das Thema weiter beobachten und sehen wie es sich beim nächsten Update verhält...

Mit der Dead Peer Detection hat es jedenfalls nichts zu tun, da hier immer im Syslog steht dann auf beiden Seiten immer nur:

Disconnected from peer GEGENSTELLE: 17 06
VPN: Error for peer GEGENSTELLE: IFC-I-Connection-timeout-IKE-IPSEC
Disconnected from peer GEGENSTELLE: 17 06
VPN: Error for peer GEGENSTELLE: IFC-I-Connection-timeout-IKE-IPSEC

Ich muss erstmal genau herausfinden in welchen Situationen das Problem auftritt...

Und lieber hier schreiben, vielleicht denke jemand ja, oh sowas habe ich auch schon mal gehabt...

Ich werde das ganze in ca. einer Woche sicherlich genauer analysieren, aber aktuell bin ich in Vietnam auf Familienbesuch. Die LCOS Updates habe ich von hier aus ja eher wegen der VoIP Probleme gemacht, dabei nur dieses Problem beschrieben, da es mir seit längerer Zeit schon aufgefallen war...
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Keine Verbindung nach IP Änderung

Beitrag von Raudi »

Moin,

ich habe heute morgen noch mal bei der Gegenstelle mit der Dynamischen IP die Firmware auf die vorherige zurückgesetzt und dann ist der Fehler wieder da.

Ich habe 20 Minuten gewartet aber der VPN wurde nicht aufgebaut. Im Trace auf beiden Seiten nur ein Timout "no response". CPU Last auf beiden Seiten bei 1-3%.

Code: Alles auswählen

[VPN-Status] 2018/03/04 02:48:17,599  Devicetime: 2018/03/04 02:48:17,592
Disconnect Request for peer HOME (ikev1)

[VPN-Status] 2018/03/04 02:48:17,599  Devicetime: 2018/03/04 02:48:17,592
vpn-maps[22], remote: HOME, idle, static-name

[VPN-Status] 2018/03/04 02:48:17,600  Devicetime: 2018/03/04 02:48:17,598
selecting next remote gateway using strategy eFirst for HOME
     => no remote gateway selected

[VPN-Status] 2018/03/04 02:48:17,600  Devicetime: 2018/03/04 02:48:17,598
selecting first remote gateway using strategy eFirst for HOME
     => CurrIdx=0, IpStr=>99.99.99.99<, IpAddr=99.99.99.99, IpTtl=0s

[VPN-Status] 2018/03/04 02:48:17,600  Devicetime: 2018/03/04 02:48:17,598
VPN: installing ruleset for HOME (99.99.99.99)

[VPN-Status] 2018/03/04 02:48:17,600  Devicetime: 2018/03/04 02:48:17,598
VPN: WAN state changed to WanDisconnect for HOME (99.99.99.99), called by: 01927c38

[VPN-Status] 2018/03/04 02:48:17,600  Devicetime: 2018/03/04 02:48:17,598
Config parser: Start

[VPN-Status] 2018/03/04 02:48:17,600  Devicetime: 2018/03/04 02:48:17,598
Config parser: Finish
  Wall clock time: 0 ms
  CPU time: 0 ms

[VPN-Status] 2018/03/04 02:48:17,600  Devicetime: 2018/03/04 02:48:17,598
VPN: WAN state changed to WanIdle for HOME (99.99.99.99), called by: 01927c38

[VPN-Status] 2018/03/04 02:48:17,600  Devicetime: 2018/03/04 02:48:17,600
VPN: rulesets installed

[VPN-Status] 2018/03/04 02:48:17,600  Devicetime: 2018/03/04 02:48:17,601
VPN: local reconnect lock active for HOME

[VPN-Status] 2018/03/04 02:48:18,116  Devicetime: 2018/03/04 02:48:18,102
VPN: WAN state changed to WanCall for HOME (99.99.99.99), called by: 01927c38

[VPN-Status] 2018/03/04 02:48:18,116  Devicetime: 2018/03/04 02:48:18,102
VPN: connecting to HOME (99.99.99.99 ikev1)

[VPN-Status] 2018/03/04 02:48:18,116  Devicetime: 2018/03/04 02:48:18,103
vpn-maps[22], remote: HOME, nego, static-name, connected-by-name

[VPN-Status] 2018/03/04 02:48:18,116  Devicetime: 2018/03/04 02:48:18,103
vpn-maps[22], remote: HOME, nego, static-name, connected-by-name

[VPN-Status] 2018/03/04 02:48:18,116  Devicetime: 2018/03/04 02:48:18,103
vpn-maps[22], remote: HOME, nego, static-name, connected-by-name

[VPN-Status] 2018/03/04 02:48:18,116  Devicetime: 2018/03/04 02:48:18,103
VPN: start IKE negotiation for HOME (99.99.99.99)

[VPN-Status] 2018/03/04 02:48:18,116  Devicetime: 2018/03/04 02:48:18,103
VPN: WAN state changed to WanProtocol for HOME (99.99.99.99), called by: 01927c38

[VPN-Status] 2018/03/04 02:48:48,065  Devicetime: 2018/03/04 02:48:48,103
VPN: connection for HOME (99.99.99.99) timed out: no response

[VPN-Status] 2018/03/04 02:48:48,116  Devicetime: 2018/03/04 02:48:48,103
VPN: disconnecting HOME (99.99.99.99)

[VPN-Status] 2018/03/04 02:48:48,116  Devicetime: 2018/03/04 02:48:48,103
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for HOME (99.99.99.99)

[VPN-Status] 2018/03/04 02:48:48,116  Devicetime: 2018/03/04 02:48:48,109
Disconnect Request for peer HOME (ikev1)

[VPN-Status] 2018/03/04 02:48:48,116  Devicetime: 2018/03/04 02:48:48,110
vpn-maps[22], remote: HOME, idle, static-name
Dann habe ich auf der Gegenstelle die Config übers LANconfig geändert, nur im Kommentar ein "x" reingeschrieben und sofort hat der VPN sich verbunden... Meine lokale Seite hat die Verbindung zur Gegenseite hergestellt...

Wird beim Config hochladen irgendwas zurückgesetzt?

Da passiert ja einiges, weil z.B. meine RDP Session von Extern wird immer kurz unterbrochen, wenn ich an der Config etwas ändere...

Gibt es evtl. irgendwelche Kommandos im Bereich VPN, um Tabellen zu löschen oder zurückzusetzen? Damit ich testen kann was gelöscht werden muss, damit es wieder funktioniert?

Ich glaube ich mache dazu auch mal einen Fall beim Support auf, dann können die sich die Traces mal anschauen, wobei im Bereich VPN-Status, VPN-IKE und VPN-Debug ist da nicht viel zu sehen...

Komisch finde ich nur, ich habe auf der Gegenstelle die Config angepasst, also der Router der die neue Firmware und neue IP bekommen hat, auf der Seite hier musste nichts gemacht werden.

Viele Grüße
Stefan
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Keine Verbindung nach IP Änderung

Beitrag von Raudi »

Mal was anderes, was bedeutet dieses?

VPN: local reconnect lock active for HOME

Beide Seiten haben als Haltezeit eine "0" drin stehen, also es wird von beiden Seiten bei Bedarf eine Verbindung hergestellt. Was ist nun wenn beide Seiten gleichzeitig versuchen eine Verbindung herzustellen und sich dadurch immer gegenseitig aussperren? Könnte ich mir jedenfalls vorstellen, wenn er bei einem ausgehenden Ruf nicht gleichzeitig auf einen eingehenden Ruf antwortet...

Und nun komme ich und lade eine neue Config hoch, dadurch gibt es ein kleines Zeitfenster wo er nun plötzlich mal eine eingehende Anforderung annimmt...

Nur mal so ein Gedanke...

Viele Grüße
Stefan
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: Keine Verbindung nach IP Änderung

Beitrag von Raudi »

So...

Heute konnte ich es auch reproduzieren, wenn ich nur die Gegenstelle neugestartet hatte, also ohne Änderung der LCOS Version.

Denn ich dachte mir, wenn es ein Problem mit dem gleichzeitigen Verbindungsaufbau von beiden Seiten wäre, dann müsste ich es doch auch haben, wenn ich die Verbindung manuell trenne. Aber hier wird egal von welcher Seite ich die Verbindung trenne, diese immer wieder sofort aufgebaut.

Nur wenn ich die Gegenstelle reboote oder dessen WAN Verbindung trenne, so dass ich dort eine neue IP bekomme, dann kann ich den Fehler reproduzieren, zwar nicht immer, aber meistens...

Wenn dann die Verbindung nicht wiederhergestellt werden kann brauche ich nur auf einer von beiden Seiten, es ist egal welche, die Konfiguration übers LANconfig bearbeiten und speichern. Hier genügt nur eine Änderung im Kommentar. Dann steht der VPN sofort wieder.

Wirklich komisch, aber evtl. habe ich einen Workaround oder auch die Lösung gefunden...

Ich habe den VPN hier als "nicht" dynamischen VPN eingerichtet, da beide Seiten eine über DNS auflösbare IP haben. Den DNS der dynamischen Gegenstelle nutze ich aber nicht mehr, da ich hier auch schon Probleme hatte. Evtl. die gleichen wie jetzt...

Das DynDNS habe ich mir selbst gebaut, ich schreibe beim Verbindungsaufbau auf meinen Web-Server eine Datei mit der IP-Adresse, diese Datei lasse ich via Batch auswerten und ändere dann via DNSCMD den DNS Eintrag für den Host. Zusätzlich ändere ich dann auch noch die IP im Router für die Gegenstelle via PLINK.

Diesen Batch habe ich auf meinem Windows Server alle 5 Minuten wiederholen lassen, da es die kürzeste Wiederholrate in der Aufgabenplanung ist.

Daher geschieht auch das anpassen der IP im Router alle 5 Minuten, nach einem Reboot ist in der Verbindung also für ein paar Minuten die falsche IP eingetragen. Bzw. die Gegenstelle versucht eine Verbindung herzustellen aber für diese Gegenstelle ist die IP falsch. Diese IP ändert sich dann irgendwann in der Config, aber irgendwie kann er trotzdem keine Verbindung herstellen. Erst das schreiben der Config hat irgendwas zurückgesetzt, wodurch die Verbindung wiederhergestellt werden konnte.

Ich lasse das Batch nun in einer Endlosschleife mit einer 5 Sekunden Pause darin laufen, so dass die IP, sofort nach bekannt werden, via PLINK geändert wird. Nun scheint das Problem auch nicht mehr aufzutreten. Jedenfalls habe ich einige male den Router neugestartet und auch die Verbindung getrennt. Jedes mal war der VPN sofort wieder da.

Ist das ein Bug, dass wenn man die IP über die CLI ändert, der VPN nicht funktioniert? Muss man wenn die IP via CLI geändert wurde etwas manuell zurücksetzen (scheinbar aber nur wenn ein paar Minuten die falsche IP genutzt wurde), was das LANconfig automatisch macht, wenn die Config geschrieben wird?

Viele Grüße
Stefan
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Keine Verbindung nach IP Änderung

Beitrag von GrandDixence »

Vielleicht wäre es einfacher, die unter:
http://www.lancom-forum.de/fragen-zum-t ... tml#p91268

http://www.lancom-forum.de/fragen-zum-t ... tml#p86775

beschriebene Lösung umzusetzen.
Antworten