Hallo,
zuerst mal bin ich ein Newby in Sachen Foren, aber ich hab ein Problem, das ich wohl nur hier geloest bekomme.
Folgendes Szenario:
LANCOM 1711VPN neueste Firmware baut einen VPN-Tunnel mit LINUX-Server (SuSe 10.1) via Racoon auf. Tunnel steht und ist anscheinend stabil.
Auf der LINUX-Seite sind zwei Netze welche wiederum durch eine Firewall via Linux getrennt sind. (Netz A=LAN Netz B=DMZ)
Auf der Lancom Seite sind auch zwei Netze welches das Lancom bedient. (Netz C=LAN Netz D=DMZ)
Die entsprechenden VPN-Tunnel fuer die Kommunikation unter den Netzen funktionieren. Die Firewallregeln sind auf beiden Seiten recht einfach gehalten. Es koennen alle Clients von allen Netzen via VPN kommunizieren. Dies geht auch immer eine gewisse Zeit nur ploetzlich funktioniert z.B. von Netz A (LAN auf LINUX-Seite) der Zugriff auf Druckerbox LAN D (DMZ Lancom) nicht mehr Nicht mal ein Ping geht mehr durch. Der Zugriff auf das Netz C des Lancom laeuft aber weiterhin normal. Nach einem Neustart des Lancom ist wieder alles ganz normal.
Ach ja die beiden Internetanschluesse sind von der Telekom und jeweils feste IP Verbindungen (T-Company-Connect 34MBit flexible)
Nun hab ich mit der Hotline schon mehrmals telefoniert, aber ein Ergebnis ist noch nicht da bzw. die Anweisungen haben nichts gebracht. Ich hoffe die Infos reichen so weit. Ein Tipp z.B. war die MTU-Size auf 1492 auf beiden Seiten zu setzen.
Vielleicht hat irgend jemand eine Idee dazu? Ich waere sehr dankbar
LANCOM 1711 VPN u. SuSE 10.1 Kommunikation steigt aus!
Moderator: Lancom-Systems Moderatoren
Wie siehst es mit der IPSec SA Lifetime auf beiden seiten aus?
Sind die identisch? Klappt dass Rekeying, wenn eine SA ausläuft?
Sind die identisch? Klappt dass Rekeying, wenn eine SA ausläuft?
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
unter dem menüpunkt "vpn" / ike-parameter/ ipsec-parameter
ike-proposals(listen) / ipsec-proposals (listen) unter dem stichwort "gültigkeit".
welche proposals der verbindung zugeordnet sind siehst du in den vpn-verbindungs-parametern.
diese sollten auf beiden seiten identisch sein.
auf lancom-seite kannst du die SAs überwachen wenn du einen trace # vpn machst ode runter webconfig für die phase-1 ike-sas unter
https://router-ip/config/1/26/8/
und für die phase2 ipsec-sa's
https://router-ip/config/1/26/9/
ike-proposals(listen) / ipsec-proposals (listen) unter dem stichwort "gültigkeit".
welche proposals der verbindung zugeordnet sind siehst du in den vpn-verbindungs-parametern.
diese sollten auf beiden seiten identisch sein.
auf lancom-seite kannst du die SAs überwachen wenn du einen trace # vpn machst ode runter webconfig für die phase-1 ike-sas unter
https://router-ip/config/1/26/8/
und für die phase2 ipsec-sa's
https://router-ip/config/1/26/9/
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Klasse geht ja fix mit den Antworten.
Also ich hab mal geforscht und die Lieftimes scheinen auf beiden Seiten zu passen: Für Linux Phase 1 12h Lancom 43200Sec Phase 2 jeweils 1h
Was ich festegestellt habe ich habe jede Menge Stack-Errors http://router-IP/config/1/5/54/ LAN ca 2000 WAN ca. 13.000
Könnte dies mein Problem sein?
Also ich hab mal geforscht und die Lieftimes scheinen auf beiden Seiten zu passen: Für Linux Phase 1 12h Lancom 43200Sec Phase 2 jeweils 1h
Was ich festegestellt habe ich habe jede Menge Stack-Errors http://router-IP/config/1/5/54/ LAN ca 2000 WAN ca. 13.000
Könnte dies mein Problem sein?
Hi guenni_11,
Gruß
Backslash
nein, Stackfehler zeigen nur an, daß auf dem Interface Pakete empfangen wurden, für die sich kein Protokollstack zuständig fühlte - z.B. IPX-Pakete bei abgeschaltetem IPX-Router...Was ich festegestellt habe ich habe jede Menge Stack-Errors http://router-IP/config/1/5/54/ LAN ca 2000 WAN ca. 13.000
Gruß
Backslash
Dann scheint es wohl kein IPSec Problem zu sein. Kannst du das Problem durch Reinitieren der VPN-Verbindung beheben (einmal von LANCOM-seite aus / ein anderes mal von der Linux-seite aus)?Also ich hab mal geforscht und die Lieftimes scheinen auf beiden Seiten zu passen: Für Linux Phase 1 12h Lancom 43200Sec Phase 2 jeweils 1h
...,da die Ausfallzeit sich zwischen 2 und 4 Tagen sich bewegt...
Das wiederrum lässt erneut die Vermutung zu, dass die SAD/SPD für eines der Netze nicht korrekt funktioniert. Hast du alle Kommunikationsrichtungen im LANCOM durch zusätzliche VPN-Regeln abgedeckt oder die Netzwerkkoppelung mit Hilfe eines großen Netzes vorgenommen, wo dies dann nicht erforderlich ist?ploetzlich funktioniert z.B. von Netz A (LAN auf LINUX-Seite) der Zugriff auf Druckerbox LAN D (DMZ Lancom) nicht mehr Nicht mal ein Ping geht mehr durch. Der Zugriff auf das Netz C des Lancom laeuft aber weiterhin normal.
Kann es sein, dass sich deine Linux-Firewall mal zeitweise "verschluckt". Hilft in diesem moment ein Firewallrestart.
Beobachte mal bitte, ob deine ComanyConnect-Verbindung nicht mal zeitweise abreißt (so kurz, dass es ein ICMP-Polling noch nicht bemerkt, aber der Tunnel an sich schon abreißt). Das siehst du dann i.d.R im LANmonitor unter Verbindungszeit.
Ereignet sich der Ausfall in regelmäßigen Intervallen? Wird dann etwas Bestimmtes kurz zuvor durchgeführt?[/quote]
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a