Lancom 1711VPN & RDP Verbindungsabbrüche

tabularaza · Beitrag von **tabularaza** » 26 Jun 2007, 11:35

Hallo zusammen,
wir haben einen VPN Tunnel (Site-Site) zwischen einem Lancom 1711 & Sonicwall Appliance.
Jetzt ist das Problem, daß der VPN Tunnel stabil ist, allerdings die RDP Verbindung in unregelmäßigen Abständen immer wieder zusammenbricht. Hauptsächlich wenn einige Zeit über das RDP keine Daten Übertragen werden.
Den MTU Wert habe ich im Lancom & der Sonicwall jeweils für die VPN Verbindung schon angepasst, allerdings ohne einen entsprechenden Erfolg.
Nachfolgend eine kurze Beschreibung der Umgebung:

Büro:
- Lancom 821 als Internetgateway & LAN-Lan Router
- in einen Lanbereich Sonicwall Appliance mit aktuellem Softwarerelease & Keep Allive für VPN verbindung
- Win 2003 SBS Server dahinter wo die Clients sich per RDP hin verbinden

Homeoffice:
- Lancom 1711VPN mit FW 6.32 & aktivem VPN (kein Keep Alive)
- Win XP Rechner dahinter

Hat jemand von Euch eine Idee was das sein könnte ??

Das Lancom VPN-Trace sagt nichts über irgendwelche Verbindungsabbrüche.

Danke im voraus.

eddia · Beitrag von **eddia** » 27 Jun 2007, 22:11

Hallo tabularaza,

Den MTU Wert habe ich im Lancom & der Sonicwall jeweils für die VPN Verbindung schon angepasst,

und auf welchen Wert hast Du die MTU angepasst? Und vor allem - wie hast Du die zu verwendende MTU bestimmt?

Gruß

Mario

tabularaza · Beitrag von **tabularaza** » 28 Jun 2007, 09:13

Über die Eingabeaufforderung mit Ping zur Ermittlung der Paketgröße auf eine Gegenstelle welche übers VPN erreichbar ist. Dann die letzte Paketgröße genommen zzgl. 28 & daß für die VPN Gegenstelle dann in den Lancom eingetragen. Bei mir sind es 1392.

ethernet · Beitrag von **ethernet** » 30 Jun 2007, 12:56

Hallo,

ich habe das gleiche Problem mit den Verbindungsabbrüchen. Zur Zeit habe ich neben dem Company Connect (bei dem dieser Fehler auftritt) noch einen TDSL-Business Anschluß. Wenn ich die gleichen Verbindungen über TDSL Business einrichte funktioniert es. Kann mir jemand helfen. Mein Kunde wird langsam sauer;:-(

Gruss

Christian

JoP75 · Beitrag von **JoP75** » 02 Jul 2007, 07:57

Hängts vielleicht einfach nur an dem RDP-Timeout zur Trennung inaktiver Sessions ?

ethernet · Beitrag von **ethernet** » 02 Jul 2007, 15:51

Nein, über die andere Leitung funzt es ja. Lancom-Mitarbeiter sagt, das (nach dem ip-router Trace) der client welcher die rdp-Session aufbaut ein Reset-Flag sendet und die Gegenseite natürlich sofort trennt. Nachvollziehen kann ich das auch nicht.

backslash · Beitrag von **backslash** » 02 Jul 2007, 18:06

Hi ethernet

das klingt eher danach, daß die RDP-Session mangels Traffic aus der Firewall herausgealtert ist. Hast du ggf. die Sitzungswiederherstellung verboten (Firewall -> Allgemein -> Sitzungswiederherstellung)?

Gruß
Backslash

ethernet · Beitrag von **ethernet** » 05 Jul 2007, 21:28

So, einen Schritt weiter.

Habe mich heute mit einem Kollegen (der betreut 50 Filialen weltweit) mal mit der Fehleranalyse auseinandergesetzt. Es verhält sich so, das genau nach 5 Minuten die Verbindung getrennt wird. TCP-Aging in der Lancom war es nicht, da dieser Wert nur für maskierte IP-Adressen gilt. Er hat einen Sniffer mitlaufen lassen. Tatsächlich bestätigt sich die Aussage von einem Lancom-Mitarbeiter, das ein Reset-Flag gesendet wird und die Verbindung getrennt wird. Jetzt müssen wir noch raus finden, ob dieser reset von dem Client zum Server oder der Server das Falg zu dem Client sendet. Eine 3. Möglichkeit ist, das die Lancom an einen der beiden dieses Flag setzt. Naja, wird noch bis Dienstag dauern, da dann mein Kollege dann erst wieder Zeit hat.

Halte euch auf dem laufenden.

Gruss

Christian

backslash · Beitrag von **backslash** » 06 Jul 2007, 14:15

Hi ethernet,

Es verhält sich so, das genau nach 5 Minuten die Verbindung getrennt wird. TCP-Aging in der Lancom war es nicht, da dieser Wert nur für maskierte IP-Adressen gilt.

Das TCP-Aging gilt sowohl für dier Maskierung als auch für die Firewall! Es wäre auch recht wertfrei, hier verschiedene Timeouts zu verwenden

Hast du schonmal auf die Sitzungswiederherstellung geschaut?

Gruß
Backslash

tabularaza · Beitrag von **tabularaza** » 11 Jul 2007, 14:26

Hallo zusammen,
bei uns ist das Problem, daß die VPN Verbindung bestehen bleibt aber die RDP getrennt wird. Wir vermuten, daß es auch an dem Reset Flag liegt, wobei das doch eigentlich nur für das trennen der VPN Verbindung gilt oder ist das auch nur für eine RDP Verbindung möglich ??
Die RDP Verbindung läßt sich ohne Probleme sofort nach dem trennen wieder aufbauen.
Das trennen der Verbindung findet nur bei Inaktivität in dem RDP statt (z.B. minimiert im Hintergrund). Auf der RDP Gegenstelle (ein Windows 2003 SBS Server) ist 1 Stunde eingestellt als Session beenden bei Inaktivität.
Die Sitzungsherstellung ist in der Firewall auf immer erlauben eingestellt.
Ich hoffe, daß rgendwer da noch ne Idee zu hat.

Danke !!

backslash · Beitrag von **backslash** » 11 Jul 2007, 14:45

Hi tabularaza

Wir vermuten, daß es auch an dem Reset Flag liegt, wobei das doch eigentlich nur für das trennen der VPN Verbindung gilt oder ist das auch nur für eine RDP Verbindung möglich ??

ein TCP-Reset gilt für die jeweilige TCP-Session - das hat nichts mit der VPN-Verbindung zu tun

Ich hoffe, daß rgendwer da noch ne Idee zu hat.

schon mal meinen Vorschlag ausprobiert?

Gruß
Backslash

tabularaza · Beitrag von **tabularaza** » 11 Jul 2007, 14:59

Hallo,
also Sitzungswiederherstellung ist auf immer erlauben eingestellt und TCP Aging steht auf 600 Sekunden. Muß man da sonst noch was anderes einstellen??
Hier die Maskierungseinstellungen der Lanconfig:
TCP Aging 600 Sekunden geändert von 300
UDP Aging 20 Sekunden Werkseinstellung
ICMP Aging 10 Sekunden dto.
IPSEC Aging 2000 Sekunden dto.
Fragment Aging 5 Sekunden dto.

Mit dem herausaltern in der Firewall haben wir in der Sonicwall nicht gefunden. Was kann man in der Lancom Firewall dazu noch einstellen ??

backslash · Beitrag von **backslash** » 11 Jul 2007, 18:16

Hi tabularaza

also Sitzungswiederherstellung ist auf immer erlauben eingestellt und TCP Aging steht auf 600 Sekunden. Muß man da sonst noch was anderes einstellen??

nein - damit wäre im LANCOM alles korrekt eingestellt

Deine VPN-Verbindung ist hoffentlich eine transparente LAN-LAN-Kopplung und keine "Extranetverbindung" - die wäre nämlich maskiert und die Maskierung erlaubt keine Sitzungswiederherstellung

Mit dem herausaltern in der Firewall haben wir in der Sonicwall nicht gefunden.

zur Sonicwall kann ich leider nichts sagen...

Gruß
Backslash

tabularaza · Beitrag von **tabularaza** » 12 Jul 2007, 08:58

Hallöchen,
ich muß sagen, daß ich jetzt gerade ein wenig überfragt bin.

Deine VPN-Verbindung ist hoffentlich eine transparente LAN-LAN-Kopplung und keine "Extranetverbindung" - die wäre nämlich maskiert und die Maskierung erlaubt keine Sitzungswiederherstellung

Muß man das einstellen oder wie ??
Die VPN Verbindung kommt direkt zwischen dem Lancom und der Sonicwall zustande. Meinem Verständnis nach ist es dann eine Lan-Lan Kopplung oder ?? In den Verbindungsparametern der VPN verbindung kann man zwar eine Extranet Adresse eintragen, diese besteht bei mir allerding nur aus nullen (0.0.0.0).

zur Sonicwall kann ich leider nichts sagen...

Nicht schlimm, da schau bzw. frage ich mal bei Sonicwall nach.

besten Dank schon mal vorab

backslash · Beitrag von **backslash** » 12 Jul 2007, 14:19

Hi tabularaza

In den Verbindungsparametern der VPN verbindung kann man zwar eine Extranet Adresse eintragen, diese besteht bei mir allerding nur aus nullen (0.0.0.0).

Dann ist das auch eine transparente LAN-LAN-Kopplung (sobald dort eine Adresse stünde, wäre das eine maskierte Verbindung)

Gruß
Backslash

LANCOM-Forum.de

Lancom 1711VPN & RDP Verbindungsabbrüche

Lancom 1711VPN & RDP Verbindungsabbrüche

Habe das gleiche Problem