Moin zusammen,
ich habe hier je einen Lancom 1621VPN an einer festen IP und einen anderen 1621 VPN an einer dynamischen. Beide sind NICHT telefonisch erreichbar. Nun hab ich zwischen den beiden auch ne VPN-Verbindung (und ne etwas wackelige Internet-Anbindung).
Ist die Internet-Anbindung vorhanden, so connected sich der 1621er an der dynamischen IP einwandfrei durch, ansonsten schlägt er fehl. (No Channel.) Soweit so gut. Allerdings versucht jetzt während der Ausfallzeit auch der andere 1621 immer wieder eine Verbindung herzustellen. Das schlägt so ganz ohne IP logischerweise fehl.
Kann ich den Autoconnect am Lancom mit der festen IP irgendwie deaktivieren? Ich hatte es erst so verstanden, daß man einfach nur ne Haltezeit von 0 eintragen müsste, aber das half schonmal nix.
Könnt Ihr mir mal kurz auf die Sprünge helfen?
Gruß Jens
Lancom 1621VPN den Autoconnect abgewöhnen
Moderator: Lancom-Systems Moderatoren
Hi JClasen
1. als "remote Gateway" 0.0.0.0 angeben - dann kann nicht aufgebaut werden oder
2. über die Firewall allen Traffic zur Gegenstelle blocken, wenn die Verbindung nicht aufgebaut ist (das ist m.E. die elegantere Methode)
Gruß
Backslash
du hast zwei Möglichkeiten:Kann ich den Autoconnect am Lancom mit der festen IP irgendwie deaktivieren?
1. als "remote Gateway" 0.0.0.0 angeben - dann kann nicht aufgebaut werden oder
2. über die Firewall allen Traffic zur Gegenstelle blocken, wenn die Verbindung nicht aufgebaut ist (das ist m.E. die elegantere Methode)
eine Haltezeit 0 heißt auch nur, daß nicht abgebaut wird...Ich hatte es erst so verstanden, daß man einfach nur ne Haltezeit von 0 eintragen müsste, aber das half schonmal nix.
Gruß
Backslash
Hi Backslash,
wieder mal vielen Dank für Deine Ausführungen. Deine beiden Lösungsansätze meinte ich aber nicht, da Fall 1) ja bei dynamischer IP sowieso gegeben ist und sich Fall 2) für spontane Verbindungsabbrüche nicht eignet.
Ich wollte einfach die ganzen fehlgeschlagenen Verbindungsversuche aus dem Trace bekommen. Mir sind die Ursachen für die Fehlermeldungen ja bekannt, insofern nützen mir die Meldungen nix. Nun hab ich aber noch andere VPN-Verbindungen, wo ich u. Umst. gerne mal nen Trace fahren möchte. Da nerven die irrelevanten No-Channel-Meldungen halt. Hinzu kommt das doofe rote Ausrufezeichen im LanMonitor.
Insofern hatte ich gehofft, ich könnte dem Lancom einfach sagen: "Wenn keine Verbindung da ist, dann ignorier halt alle Pakete und spar Dir den Neuaufbauversuch - der geht ohne Infos über die IP der Gegenseite eh nicht".
Gruß Jens
wieder mal vielen Dank für Deine Ausführungen. Deine beiden Lösungsansätze meinte ich aber nicht, da Fall 1) ja bei dynamischer IP sowieso gegeben ist und sich Fall 2) für spontane Verbindungsabbrüche nicht eignet.
Ich wollte einfach die ganzen fehlgeschlagenen Verbindungsversuche aus dem Trace bekommen. Mir sind die Ursachen für die Fehlermeldungen ja bekannt, insofern nützen mir die Meldungen nix. Nun hab ich aber noch andere VPN-Verbindungen, wo ich u. Umst. gerne mal nen Trace fahren möchte. Da nerven die irrelevanten No-Channel-Meldungen halt. Hinzu kommt das doofe rote Ausrufezeichen im LanMonitor.
Insofern hatte ich gehofft, ich könnte dem Lancom einfach sagen: "Wenn keine Verbindung da ist, dann ignorier halt alle Pakete und spar Dir den Neuaufbauversuch - der geht ohne Infos über die IP der Gegenseite eh nicht".
Gruß Jens
Hi JClasen,
trace # vpn-status @ Gegenstelle
Gruß
Backslash
wieso eignet sich Fall 2) nicht für spontane Verbindungsabbrüche? Ich dachte du willst, daß Die Verbindung nur von der dynamischen Seite aufgebaut wird...und sich Fall 2) für spontane Verbindungsabbrüche nicht eignet.
du kannst den trace doch filtern, z.B. auf die Gegenstelle:Ich wollte einfach die ganzen fehlgeschlagenen Verbindungsversuche aus dem Trace bekommen
trace # vpn-status @ Gegenstelle
Das ist ja genau das, was du mit Fall 2 erreichen kannst.Insofern hatte ich gehofft, ich könnte dem Lancom einfach sagen: "Wenn keine Verbindung da ist, dann ignorier halt alle Pakete und spar Dir den Neuaufbauversuch
Gruß
Backslash
Nochmal zur Klarstellung:
Die Verbindung KANN nur von der Seite mit der dynamischen IP gestartet werden. Der Router an der festen IP hat ja die notwendigen Informationen nicht. Er versucht es aber eben trotzdem, und das möchte ich verhindern.
Vielleicht verstehe ich ja einfach was nicht richtig, aber ich hab noch nicht verstanden, wie der VPN-Router an der festen IP (nennen wir ihn mal A) Informationen über den Verbindungsstatus des anderen (nennen wir ihn B) haben sollte. Status quo ist aber, daß immer ein Connect versucht wird (auf 0.0.0.0 - in der Cfg von A ist ja schließlich keine IP zu B eingetragen).
Wie würd ich denn eine entsprechende Firewallregel formulieren? Ich hab bisher zumindest noch nix gesehen, wo ich hätte sagen können: wenn VPN-Verbindung zu B nicht steht, dann filtere alle Pakete ins lokale Netz hinter dieser VPN-Verbindung.
Außerdem sehe ich noch nicht, wie das den Verbindungsaufbau hier auf dem Gateway A unterbinden würde.
Gruß Jens
Die Verbindung KANN nur von der Seite mit der dynamischen IP gestartet werden. Der Router an der festen IP hat ja die notwendigen Informationen nicht. Er versucht es aber eben trotzdem, und das möchte ich verhindern.
Vielleicht verstehe ich ja einfach was nicht richtig, aber ich hab noch nicht verstanden, wie der VPN-Router an der festen IP (nennen wir ihn mal A) Informationen über den Verbindungsstatus des anderen (nennen wir ihn B) haben sollte. Status quo ist aber, daß immer ein Connect versucht wird (auf 0.0.0.0 - in der Cfg von A ist ja schließlich keine IP zu B eingetragen).
Wie würd ich denn eine entsprechende Firewallregel formulieren? Ich hab bisher zumindest noch nix gesehen, wo ich hätte sagen können: wenn VPN-Verbindung zu B nicht steht, dann filtere alle Pakete ins lokale Netz hinter dieser VPN-Verbindung.
Außerdem sehe ich noch nicht, wie das den Verbindungsaufbau hier auf dem Gateway A unterbinden würde.
Gruß Jens
Hi JClasen
Gruß
Backslash
Nochmal zur Klarstellung: Über die Firewall kannst du genau das machen was du willst...Nochmal zur Klarstellung:
Die Verbindung KANN nur von der Seite mit der dynamischen IP gestartet werden. Der Router an der festen IP hat ja die notwendigen Informationen nicht. Er versucht es aber eben trotzdem, und das möchte ich verhindern.
Wie würd ich denn eine entsprechende Firewallregel formulieren? Ich hab bisher zumindest noch nix gesehen, wo ich hätte sagen können: wenn VPN-Verbindung zu B nicht steht, dann filtere alle Pakete ins lokale Netz hinter dieser VPN-Verbindung.
Code: Alles auswählen
Aktion: verwerfen, [x] Aktion, nur wenn Verbindung nicht besteht
Quelle: dein Intranet
Ziel: Netz hinter dem Tunnel
Dienste: alle DiensteBackslash