Ich früchte ich bin zu blöd!
Situation:
Zentrale: LC Router mit öffentlicher IP
Mitarbeiter: Bislang 1611 über ISDN, jetzt DSL, VoIP mit Fritzbox dahinter der 1611.
Also: Zentrale (8011) - Internet - AVM (7050) - LC (1611)
VoIP und DSL über die Fritzbox läuft alles. Den 1611 hab ich per Plain Ethernet an die AVM gehangen. Die öffentliche IP der AVM ist per DynDNS erreichbar.
Dann habe ich per Assistent eine VPN Strecke zwischen der 8011 und dem 1611 eingerichtet.
So jetzt kommt es: Der Tunnel wird aufgebaut alles bestens. Aber dann Tunnel abgebaut -> Neuaufbau scheitert.
Ein Trace in der 8011 ergibt: 8011 macht Aggressive Mode, der 1611 Main Mode. -> So ein Schwachsinn in der Config stehen bei auf Main Mode!
Also beide auf Aggressive Mode eingestellt. Tunnel steht. Abbau, Neuaufbau -> geht nicht.
Trace im 8011: 8011 macht Main Mode, 1611 Aggressive Mode.
Ja Hallo warum zum Teufel springt die 8011 von selbst zwischen Main Mode und Aggressive Mode hin und her???
Was ist falsch an dem Aufbau?
Und was auch spannend ist, es scheint keine Rolle zu spielen, ob irgendwelche VPN Ports von der AVM auf den 1611 weitergeleitet werden oder nicht. - Ich glaub ich träume...
Bald hab ich Urlaub - Gott sei Dank...
Danke
COMCARGRU
LC - Internet - AVM - LC: VPN Probleme
Moderator: Lancom-Systems Moderatoren
LC - Internet - AVM - LC: VPN Probleme
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Hi COMCARGRU,
die Verwirrung mit Aggressive- und Main-Mode kommt dann zustande, wenn du dich zusätzlich noch mit einem Client (der Aggressive-Mode macht) durch den gleichen NAT-Router auf das 8011 einwählst.
Eine weitere Möglichkeit ist, daß wenn der Tunnel aufgrund der Zwangstrennung abgebaut wurde, der Dyn-DNS-Name noch nicht die korrekte IP-Adresse liefert. Dann geht zwar der Aufbau vom 1611 mit Main-Mode raus, doch der 8011 kann der Absenderadresse keine Main-Mode Regel zuordnen und nimmt erstmal Aggressive-Mode an - was letztenlich auch zum Scheitern verurteilt ist.
Gib mal auf beiden Seiten "show vpn" an und vergleiche ob in den Regeln wirklich das drin steht, was du meinst, was drin stehen soll (insbesondere auch die Adresse des remoten Gateways)
Gruß
Backslash
die Verwirrung mit Aggressive- und Main-Mode kommt dann zustande, wenn du dich zusätzlich noch mit einem Client (der Aggressive-Mode macht) durch den gleichen NAT-Router auf das 8011 einwählst.
Eine weitere Möglichkeit ist, daß wenn der Tunnel aufgrund der Zwangstrennung abgebaut wurde, der Dyn-DNS-Name noch nicht die korrekte IP-Adresse liefert. Dann geht zwar der Aufbau vom 1611 mit Main-Mode raus, doch der 8011 kann der Absenderadresse keine Main-Mode Regel zuordnen und nimmt erstmal Aggressive-Mode an - was letztenlich auch zum Scheitern verurteilt ist.
Gib mal auf beiden Seiten "show vpn" an und vergleiche ob in den Regeln wirklich das drin steht, was du meinst, was drin stehen soll (insbesondere auch die Adresse des remoten Gateways)
Gruß
Backslash
Tja ADV Client! Eben der war aktiv, sonst hätte ich ja nicht sehen können, was meine 8011 macht.
ABER weil ich das auschließen wollte, habe ich mal den Trace angeworfen. Die 8011 entsprechend konfiguriert. Die ADV Sitzung getrennt und dann die Einwahl per Router versucht. Dann kam gar nichts mehr Zustande!
Mittlerweile ist es so, daß der 1611 nicht mal mehr routen will, was gar kein Problem war. Sei es drum. 1611 im Moment still gelegt und den ADV Client installiert. Aber jetzt will nicht mal der plötzlich mehr arbeiten durch die Fritzbox hindurch.
Ich werde als aller erstes morgen die 8011 von Grund auf neu konfigurieren. - WAS NICHT NÖTIG WÄRE, WENN ENDLICH MAL JEMAND WÜßTE, WARUM DIE 5.x NICHT AUF DER BOX LÄUFT - denn eine saubere 5er Config habe ich - nur damit ist das VPN gänzlich tot. Und da weis der Support keine Antwort darauf und seit 2 Wochen ist Funkstille *grmpf*.
Und wenn dann die 8011 mit der 4.12 ordentlich und neu ist, dann nochmal die Fritzbox und den 1611. - Leider leider muß ich dafür halt 100 km weit fahren...
Sorry aber im Moment bin ich echt genervt. In den letzten 3 Wochen hatte ich massive Änderungen in meiner ganzen IT Struktur und da kam mir der Ärger mit der 8011 absolut quer und ungelegen.
Danke soweit
COMCARGRU
ABER weil ich das auschließen wollte, habe ich mal den Trace angeworfen. Die 8011 entsprechend konfiguriert. Die ADV Sitzung getrennt und dann die Einwahl per Router versucht. Dann kam gar nichts mehr Zustande!
Mittlerweile ist es so, daß der 1611 nicht mal mehr routen will, was gar kein Problem war. Sei es drum. 1611 im Moment still gelegt und den ADV Client installiert. Aber jetzt will nicht mal der plötzlich mehr arbeiten durch die Fritzbox hindurch.
Ich werde als aller erstes morgen die 8011 von Grund auf neu konfigurieren. - WAS NICHT NÖTIG WÄRE, WENN ENDLICH MAL JEMAND WÜßTE, WARUM DIE 5.x NICHT AUF DER BOX LÄUFT - denn eine saubere 5er Config habe ich - nur damit ist das VPN gänzlich tot. Und da weis der Support keine Antwort darauf und seit 2 Wochen ist Funkstille *grmpf*.
Und wenn dann die 8011 mit der 4.12 ordentlich und neu ist, dann nochmal die Fritzbox und den 1611. - Leider leider muß ich dafür halt 100 km weit fahren...
Sorry aber im Moment bin ich echt genervt. In den letzten 3 Wochen hatte ich massive Änderungen in meiner ganzen IT Struktur und da kam mir der Ärger mit der 8011 absolut quer und ungelegen.
Danke soweit
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
