Nur 1 von 3 VPN Verbindungen funktioniert

[sstuercke]

Hallo,

wir haben eine Anlage mit einen Lancom 1721+ VPN mit fester IP als Kopfstation.
Zu dieser Kopfstation werden 3 VPN Verbindungen ausgebaut. Da bei den Unterstationen kein DSL war sind dort 2 * 1751 UMTS und 1 * ein LUCOM LR77-v2. So lief die Anlage über Jahre gut.

Jetzt hat die Telekom den Anschluss umgestellt auf VoIP. Außerdem wird an der Kopfstation in ca. 6 Monaten ein LWL Anschluss bekommen. Darum wurde jetzt ein LANCOM 1640E für die Kopfstation angeschafft. Vor den Lancom ist jetzt eine Digitalisierungsbox Smart und dort sind alle Ports zum Lancom weitergeleitet. Nach der Umstellung funktioniert jetzt nur eine VPN Verbindenung von den 1751 UMTS. In den Logfiles stehen diverse Fehlermeldungen unter anderen:
VPN: Error for peer VPN1: IFC-I-License-exceeded;
VPN: License limit of 3 connections exceeded;
dropped message from 89.15.236.55 port 28058 due to notification type NO_PROPOSAL_CHOSEN;
message_negotiate_sa: no compatible proposal found;
attribute_unacceptable: conf_match_num failed, type [14]: Undefined error: 0;
VPN: Error for peer VPN1: IFC-I-Negotiator-no-remote;
last message repeated 3 times;
error for peer VPN1: No remote;

Jetzt die Fragen:
Es sollen doch 3 VPN-Kanäle möglich sein bzw. warum geht nur ein VPN-Kanäle?
Wie bekomme ich die anderen beiden Verbindungen zum laufen?

Falls sich jemand die Konfigs und/oder Logfiles ansehen könnte, würde ich Sie auch gerne zur Verfügung stellen.

[Jirka]

Darum wurde jetzt ein LANCOM 1640E für die Kopfstation angeschafft. Vor den Lancom ist jetzt eine Digitalisierungsbox Smart und dort sind alle Ports zum Lancom weitergeleitet.

Klasse Beispiel, wie man es nicht machen sollte. Da werden zwei Geräte gekauft, wo es eines auch getan hätte und es besser gewesen wäre. An der Stelle müsste man eigentlich aufhören, weil perfekt wird es eh nicht mehr.

Nach der Umstellung funktioniert jetzt nur eine VPN Verbindenung von den 1751 UMTS.

Dann ist an den anderen definitiv was falsch. Je nachdem, wie man es sieht, auf der Seite des 1640E oder auf der Seite des 1751 UMTS/LUCOM. Die Seiten müssen harmonieren ("no compatible proposal found"). Ggf. wurde die Konfig vom 1721+ nicht korrekt übertragen oder andere (Default-)Einstellungen im 1640E überlagern das jetzt oder irgendwo wurde vergessen NAT-Traversal zu aktivieren.

In den Logfiles stehen diverse Fehlermeldungen unter anderem:
VPN: Error for peer VPN1: IFC-I-License-exceeded;
VPN: License limit of 3 connections exceeded;

Das kommt, wenn VPN-Verbindungen mit Fehlern abbrechen und ist ein bekanntes Problem:
fragen-zum-thema-vpn-f14/vpn-lancom-fri ... tml#p84611
Heißt aber auch, dass wenn Du die Fehler nicht hast, Du das Problem auch nicht hast. Also die Ursache sind eigentlich Deine Fehler, nicht das Licence Limit.

Hier hilft nur, sich die VPN-Verbindungskonfigurationen einmal für jede Seite genau anzuschauen und so einzustellen, dass sich beide Seiten einig werden.

Viele Grüße,
Jirka

[Pasadena]

Darum wurde jetzt ein LANCOM 1640E für die Kopfstation angeschafft. Vor den Lancom ist jetzt eine Digitalisierungsbox Smart und dort sind alle Ports zum Lancom weitergeleitet.

Klasse Beispiel, wie man es nicht machen sollte. Da werden zwei Geräte gekauft, wo es eines auch getan hätte und es besser gewesen wäre. An der Stelle müsste man eigentlich aufhören, weil perfekt wird es eh nicht mehr.

Hallo,

klar ist es sinnvoller mit weniger Geräten auszukommen, wenn möglich, aber gerade wenn an dem Internetanschluss auch noch Telefonie hängt, kann es sein, dass man an solch einer Konfiguration mit vorgeschalteter Digitalisierungsbox nur schwer vorbei kommt wegen der übrigen Telefonie-Infrastruktur. Das ist bei uns leider auch der Fall und mit entsprechender Konfiguration der vorgeschalteten Digitalisierungsbox (in unserem Fall allerdings nicht Smart sondern Premium) bekommt man VPN-Verbindungen zum nachgelagerten LANCOM durchaus stabil hin.

Viele Grüße, Hans-Georg

[Jirka]

Wer's mag, bitteschön. Es mag auch das ein oder andere Argument für die eine oder andere Lösung geben. Und Digitalisierungsbox Smart und Premium sind auch noch unterschiedliche Geräte (unterschiedlicher Hersteller). Aber man kann das Ganze auch sauber mit einem VoIP-LANCOM abwickeln. Da gibt es welche
mit einem ISDN-Port
mit zwei ISDN-Ports und zwei Analog-Ports
mit zwei ISDN-Ports und vier Analog-Ports
und mit vier ISDN-Ports.
Daneben gibt es ja auch noch intern SIP, das scheinen einige zu vergessen.
Und manche Geräte werden auch offiziell über die Telekom verkauft, die können auch noch eine zusätzliche Glasfaserverbindung vertragen.

Viele Grüße,
Jirka

[hyperjojo]

hi Jirka,

auch wenn mir das selten glückt, muss ich dich korrigieren.
Digibox Smart und Premium sind beide vom gleichen Hersteller (bintec-elmeg).
Digibox Basic ist von Zyxel.

Die Telekom verkauft eigentlich fast alle LANCOM Geräte. Wenn nicht über den Standard-Prozess, dann aber über Sonderprozesse

Gruß hyperjojo

[5624]

Ich gehe mal davon aus, dass die VPN-Verbindungen als IKEv1 angelegt wurden. Hier ist das Problem, dass im Aggressive Mode alle VPN-Verbindungen in Phase 1 die gleichen Einstellungen haben müssen, da der 1721+ zu dem Zeitpunkt noch nicht weiß, mit wem er da redet. Wenn man eine feste IP-Adresse auf der Initiator-Seite hat, fällt das weg, bei einer dynamischen geht es nicht anders.

VPN-Verbindung manuell oder mit dem Assistenten angelegt?

Ist auf allen Routern NAT-T eingeschaltet? Ohne geht es nämlich nicht.

[Jirka]

auch wenn mir das selten glückt, muss ich dich korrigieren.
Digibox Smart und Premium sind beide vom gleichen Hersteller (bintec-elmeg).
Digibox Basic ist von Zyxel.

Ja, nur zu Da hast Du natürlich Recht, war natürlich der Meinung ich hätte Basic gelesen... Danke für die Korrektur.
Und wenn Smart, na dann hätte man die VPNs da sicherlich auch drüber laufen lassen können.
Wie gesagt, es mag auch das ein oder andere Argument für die eine oder andere Lösung geben. Aber am Ende muss es irgendwo ordentlich sein und ggf. auch den vermutlich zusätzlichen Glasfaseranschluss da in Zukunft mit berücksichtigen (und dann z. B. die alte Telekom-Leitung als Backup-Leitung usw.).

Ich gehe mal davon aus, dass die VPN-Verbindungen als IKEv1 angelegt wurden.

Davon kann man wohl ausgehen, wenn noch ein 1751 im Spiel ist, der IKEv2 gar nicht kann.

Vielleicht war bisher auch Dynamic-VPN (über UDP) mit im Spiel und da fehlt jetzt ein Portforwarding. Kann alles sein, ist hier ja nicht genau beschrieben und kann man vermutlich auch nur sehen, wenn man sich das anschaut...

Viele Grüße und einen schönen Sonntag,
Jirka