Welche Auswirkung hat das Löschen eines Fehlers zu einer VPN-Verbindung, die im LANmonitor dargestellt wird?
Konkret kommt es an einem 17er LANcom-Router (sehr selten) vor, dass 5 VPN-Verbindungen aktiv sind. Das wäre eigentlich noch von der 5er-Lizenz für VPN-Verbindungen gedeckt.
Trotzdem kommt dann die Fehlermeldung "License limit of 5 connections exceeded". Eigentlich dürfte das nicht sein.
Zuvor hatee ich aber eine andere VPN-Verbindung-Fehlermeldung im LANmonitor gelöscht mittels Rechtsklick auf die mit "!" gekennzeichnete VPN-Verbindung und dann "Fehler löschen" ausgewählt. Diese andere Fehlermeldung hatte nichts mit der Anzahl der VPN-Verbindungen zu tun.
Könnte das Löschen des Fehlers trotzdem die Ursache für eine fehlerhafte Zählung der Anzahl der nach der Lizenz zulässigen VPN-Verbindungen sein?
Es wird ja auch die Eingabe des Passwort für das Löschen des Fehlers verlangt. Daher vermute ich, dass beim Löschen des Fehlers etwas wesentliches passiert. Aber was?
Oder gibt es einen anderen Grund, dass schon bei 5 VPN-Verbindungen die Fehlermeldung "License limit of 5 connections exceeded" kommt?
Löschen eines VPN-Fehlers im LANmonitor
Moderator: Lancom-Systems Moderatoren
Re: Löschen eines VPN-Fehlers im LANmonitor
Hi MB2020,
Gruß
Backslash
In der Tabelle "/Status/VPN/Connections" wird für die Verbindung die Spalte "Last-Error" auf "(none)" gesetzt. Und falls die Verbindung abgebaut ist (Spalte "Stare" entält "Ready"), wird die Zeile aus der Tabelle gelöschtWelche Auswirkung hat das Löschen eines Fehlers zu einer VPN-Verbindung, die im LANmonitor dargestellt wird?
Kann es sein, daß du die Verbindungen so konfiguriert hast, daß beide Seiten sie aufbauen können? In dem Fall könnte es eine Überschneidung von aktivem und passivem Aubau kommen, wodurch das Limit dann überschritten wirdTrotzdem kommt dann die Fehlermeldung "License limit of 5 connections exceeded". Eigentlich dürfte das nicht sein.
Es wird ein Schreibzugriff auf das Gerät ausgeführt (Setzen des Fehlercodes in der Tabelle) - und Schreibzugriffe erfordern nunmal das PaßwortEs wird ja auch die Eingabe des Passwort für das Löschen des Fehlers verlangt. Daher vermute ich, dass beim Löschen des Fehlers etwas wesentliches passiert. Aber was?
Gruß
Backslash
Re: Löschen eines VPN-Fehlers im LANmonitor
Danke, Backslash, für Deine Antwort!
Werden dann immer mehr Verbindungen gezählt, als tatsächlich bestehen?
Können derartige Doppelzählungen im LancomRouter verhindert bzw. richtig gestellt werden?
Oder geht das nur durch eine Änderung der VPN-Konfigurationen? Das wäre großer Mist, da viel Aufwand.
Das könnte tatsächlich so sein, insb. durch ICMP-Polling, kann die Verbindung von beiden Seiten aufgebaut werden.Kann es sein, daß du die Verbindungen so konfiguriert hast, daß beide Seiten sie aufbauen können? In dem Fall könnte es eine Überschneidung von aktivem und passivem Aubau kommen, wodurch das Limit dann überschritten wird
Werden dann immer mehr Verbindungen gezählt, als tatsächlich bestehen?
Können derartige Doppelzählungen im LancomRouter verhindert bzw. richtig gestellt werden?
Oder geht das nur durch eine Änderung der VPN-Konfigurationen? Das wäre großer Mist, da viel Aufwand.
Re: Löschen eines VPN-Fehlers im LANmonitor
Hi MB2020,
wenn du IKEv2 nutzt, reicht es aus, einfach auf einer Seite als Gateway-Adresse 0.0.0.0 einzutragen.
Wenn du noch IKEv1 nutzt, dann mußt du die Verbindung zusätzlich auf Zertifikate umstellen (oder dynamic VPN nutzen). Den Aggressive-Mode des IKEv1 sollte man tunlichst nicht verwenden, weil dieser quasi "offline" angreifbar ist.
Gruß
Backslash
solange eine einkommende Verbindung nicht authtentisiert ist, ist ja unbekannt, wer das ist. Daher kann sie nicht keiner ausgehenden Verbinung "zugeschlagen" werden und muß erstmal "extra" gezählt werden...Werden dann immer mehr Verbindungen gezählt, als tatsächlich bestehen?
Einfach indem da dafür sorgst, daß die Verbindungen immer nur in eine Richtung aufgebaut werden...Können derartige Doppelzählungen im LancomRouter verhindert bzw. richtig gestellt werden?
wenn du IKEv2 nutzt, reicht es aus, einfach auf einer Seite als Gateway-Adresse 0.0.0.0 einzutragen.
Wenn du noch IKEv1 nutzt, dann mußt du die Verbindung zusätzlich auf Zertifikate umstellen (oder dynamic VPN nutzen). Den Aggressive-Mode des IKEv1 sollte man tunlichst nicht verwenden, weil dieser quasi "offline" angreifbar ist.
irgendwas mußt du schon machen - "wegbeten" funktioniert nunmal nicht...Oder geht das nur durch eine Änderung der VPN-Konfigurationen? Das wäre großer Mist, da viel Aufwand.
Gruß
Backslash
Re: Löschen eines VPN-Fehlers im LANmonitor
Hi Backslash und danke für Deine Antwort.
Nun lief endlich VPN-mäßig alles einwandfrei und das nächste Problem (ein vermeintliches Lizenzproblem, das eigentlich gar keins ist) kommt hoch
Sehr enervierend.
Ist denn eine nicht authentisierte Verbindung nutzbar oder zählt Lancom auch nicht-nutzbare Verbindungen??
Klingt für mich irgendwie nach Abzocke, sollte das so sein.
Nun lief endlich VPN-mäßig alles einwandfrei und das nächste Problem (ein vermeintliches Lizenzproblem, das eigentlich gar keins ist) kommt hoch
Sehr enervierend.Heißt das, dass eine nicht authentisierte Verbindung als Verbindung gezählt wird?solange eine einkommende Verbindung nicht authtentisiert ist, ist ja unbekannt, wer das ist. Daher kann sie nicht keiner ausgehenden Verbinung "zugeschlagen" werden und muß erstmal "extra" gezählt werden...
Ist denn eine nicht authentisierte Verbindung nutzbar oder zählt Lancom auch nicht-nutzbare Verbindungen??
Klingt für mich irgendwie nach Abzocke, sollte das so sein.
Re: Löschen eines VPN-Fehlers im LANmonitor
Hi MB2020
Gruß
Backslash
natrülich... Der Verbinungsaufbau muß abgelehnt werden *bevor* der Tunnel ausgehandelt wurde - und da für die Feststellung der Identität einer Einwahl mehrere Pakete ausgetauscht werden müssen hängt die Verhandlung während dessen zwar "in der Luft", muß aber dennoch gezählt werden.Heißt das, dass eine nicht authentisierte Verbindung als Verbindung gezählt wird?
nein, denn sie ist ja noch nicht ausverhandet...Ist denn eine nicht authentisierte Verbindung nutzbar oder zählt Lancom auch nicht-nutzbare Verbindungen??
wieso ist das Abzocke? Wenn du es richtig konfigurierst, gibt es das Problem nicht.Klingt für mich irgendwie nach Abzocke, sollte das so sein.
Gruß
Backslash
Re: Löschen eines VPN-Fehlers im LANmonitor
Hi Backslash,
wie finde ich denn heraus, welche Verbindung doppelt gezählt wird?
wie finde ich denn heraus, welche Verbindung doppelt gezählt wird?
Re: Löschen eines VPN-Fehlers im LANmonitor
Hi MB2020
Gruß
Backslash
da sollte ein Blick in die Konfigs (beachte den Plural!) reichen - alle die beidseitig aufbauen können, können auch doppelt gezählt werden...wie finde ich denn heraus, welche Verbindung doppelt gezählt wird?
Gruß
Backslash
Re: Löschen eines VPN-Fehlers im LANmonitor
Toll! Das kostet wieder Stunden!
Das sind gewachsene Strukturen über mehrere Generationen von Administratoren an Routern unterschiedlicher Hersteller.
Was für ein Mist!
Die Anzahl der VPN-Verbindungen wird im LANmonitor mit 5 angegeben. Im Syslog steht dann zur gleichen Zeit die maximalen Anzahl von 5 sei überschritten. Das ist doch nicht normal. Deine Begründung, lieber Backslash, kann mich auch nicht überzeugen, da einfach nie mehr als 5 VPN-Verbindungen aktiv sind. Nicht nur weil Lancom es so will; sondern weil einfach nicht mehr Teilnehmer vorhanden sind.
Das sind gewachsene Strukturen über mehrere Generationen von Administratoren an Routern unterschiedlicher Hersteller.
Was für ein Mist!
Die Anzahl der VPN-Verbindungen wird im LANmonitor mit 5 angegeben. Im Syslog steht dann zur gleichen Zeit die maximalen Anzahl von 5 sei überschritten. Das ist doch nicht normal. Deine Begründung, lieber Backslash, kann mich auch nicht überzeugen, da einfach nie mehr als 5 VPN-Verbindungen aktiv sind. Nicht nur weil Lancom es so will; sondern weil einfach nicht mehr Teilnehmer vorhanden sind.
Re: Löschen eines VPN-Fehlers im LANmonitor
Hi MB2020
Ind was kannst du an "A ruft B an und gleichzeitig ruft B A an und wird auf A als {b]TEMPORÄRE{/b] zweite Verbindung gezählt", nicht nachvollziehen? Wenn dann schon vier andere Verbindungen stehen, ist das Limit halt überschritten. So simpel ist das!
Alles andere werte ich jetzt einfach als "Mimimimi, ich will das aber, gib mir mein Räppelchen"
EOC
Backslash
wieso kostet das Stunden... Ein Blick auf die VPN-Konfig auf beiden Setien reicht um zu sehen, ob die altiv aufbauen können (Adresse der Gegenstrelle eingetragen oder eben nicht). Bei 5 Gegenstellen sind das insgesamt maximal 5 Minuten!Toll! Das kostet wieder Stunden!
Ind was kannst du an "A ruft B an und gleichzeitig ruft B A an und wird auf A als {b]TEMPORÄRE{/b] zweite Verbindung gezählt", nicht nachvollziehen? Wenn dann schon vier andere Verbindungen stehen, ist das Limit halt überschritten. So simpel ist das!
Alles andere werte ich jetzt einfach als "Mimimimi, ich will das aber, gib mir mein Räppelchen"
EOC
Backslash
-
Dr.Einstein
- Beiträge: 3224
- Registriert: 12 Jan 2010, 14:10
Re: Löschen eines VPN-Fehlers im LANmonitor
Klingt nach einer praktischen DoS-Möglichkeitbackslash hat geschrieben: 08 Feb 2022, 15:49 natrülich... Der Verbinungsaufbau muß abgelehnt werden *bevor* der Tunnel ausgehandelt wurde - und da für die Feststellung der Identität einer Einwahl mehrere Pakete ausgetauscht werden müssen hängt die Verhandlung während dessen zwar "in der Luft", muß aber dennoch gezählt werden.
