dann ist aber entweder dein DPD-Intervall aber kleiner als 60 Sekunden, oder du Pollst letztendlich auch die öffentliche IP der Gegenseite...das kann aber so nicht sein. Ich hätte das gerne so (und will Dir auch glauben), aber die Realität sieht anders aus.
Ich habe hier mehrere VPN-Strecken, aber bei Strecken ohne Dynamic-VPN und mit automatischer Regelerzeugung läuft KEIN Polling, sondern DPD.
Wie ich schon schrieb: Wenn kein dynamic VPN gemacht wird, ist der PPP Eintrag eigentlich überflüssig - außer halt um das Polling (Intervall/Retries) zu konfigurieren...Und da ist ein Eintrag in der PPP-Tabelle vorhanden, wo auch die Zeit auf dem Standardwert von 3 steht. (Der Eintrag in der PPP-Tabelle enthält: (VPN-)Gegenstelle, Benutzername, Passwort, 'IP-Routing aktivieren' aktiv, 'CHAP' bei Anfrage und Antwort aktiv, Zeit: 3, Wiederholungen: 5, Conf: 10, Fail: 5, Term: 2)
richtig.Was ist eigentlich mit "wird gepollt" tatsächlich gemeint? Doch ein ganz normaler Ping nehme ich an, richtig?
Aber nur, wenn sonst keine Daten über den Tunnel laufen. Sobald die pollende Seite Daten von der Gegenseite empfangt, geht sie davon aus, daß der Tunnel funktioniert und versichtet auf das aktive pollenD. h. mit einem ICMP-Trace müsste man den auch irgendwo sehen (auf der angepingten Seite).
dynamic VPN ist der Workarround für Leute mit dynamischen IP-Adressen, denen das hantieren mit Zertifikaten zu kompliziert ist. Ich würde Zertifikate eine dynamic VPN-Verbindung jederzeit vorziehen - zumal preshared-Key Verbindungen nur so sicher sind, wie der preshared-Key. Desweiteren ist es geradezu zwingend, daß das Paßwort, mit dem die dynamic VPN-Verhandlung gesichert wird ein anderes ist als der preshared-Key, denn die Sicherung besteht quasi nur aus einem MD5-Hash des Paßworts der per DES verschleiert wirdIst denn Dynamic-VPN - auch bei statischen IP-Adressen auf beiden Seiten, d. h. wo man Dynamic-VPN eigentlich nicht benötigt - besser als das "normale" VPN?!
Dynamic VPN ist aber in jedem Fall besser als der aggressive Mode, den der ist schließlich "offline" angreifbar
Was heißt/bedeutet "was genau so gut ist wie DPD" in diesem Zusammenhang genau? Heißt das, dass das Polling eigentlich besser und aussagekräftiger ist als DPD? Und nur wenn das Polling, also die Pings, _nicht_ mehr auf Ziele hinter dem Tunnel (also z. B. auf den DNS-Server oder die private, lokale IP des LANCOMs) gehen, sondern an die öffentliche WAN-IP, dass es dann mit seiner Aussagekraft dem DPD gleichgestellt ist, was ja als Teil im ISAKMP-Protokoll dazu führt, dass man nur bis zur WAN-Seite des LANCOMs überprüft (und dann stillschweigend und mit 99 %-iger Sicherheit davon ausgeht, dass der "Rest", d. h. die Weitergabe ins lokale LAN, eben auch funktioniert)?
Richtig, weil das Polling die Phase 2 prüft, während DPD nur die Phase 1 prüft. Es gibt immer die Möglichkeit, daß zwar eine aktive Phase 1 besteht, die Phase 2 SAs aber aus irgendeinem Grund weggebrochen sind (z.B. bei einem fehlerhaften Rekeying der Phase 2). In diesem Fall würde DPD munter weiterbehaupten, das alles OK sei, während das Polling die Verbindung trennen würde
das passiert aber nur, wenn du den NetBIOS-Proxy auf die VPN-Verbindung gelegt hast und für die VPN-Verbindung keinen Eintrag in der IP-Parameterliste hast, mit dem der gegenüber liegende NBNS zugewiesen wird. In dem Fall macht das LANCOM dann doch wieder die dynamic VPN-Verhandlung um den NBNS in Erfahung zu bringen...Vom Löschen würde ich abraten, das gibt eine unschöne (und niemals weggehende) Fehlermeldung im LANmonitor, auch wenn man gar kein Dynamic-VPN nutzt: "Dynamic VPN - kein passender Eintrag in PPP-Liste vorhanden (Initiator) [0x1104]".
Gruß
Backslash
