Hallo zusammen,
ich habe ein Problem mit einer VPN Standortkopplung zwischen zwei Lancom-Routern. Und zwar funktioniert das Polling nicht, habe leider aufgrund meiner Unerfahrenheit mit diesen Routern die Lösung nicht finden können.
Folgende Konstellation:
3850 UMTS (selbst nur dynamische IP vom ISP) baut im Aggressive Mode eine Verbindung zum 1711 VPN (statische IP) auf. Der VPN Tunnel funktioniert, bricht aber nach knapp unter 1 Minute ab, baut erneut seine Verbindung auf, und dann geht das Spiel von Vorne los.
KeepAlive von 9.999 und Polling auf eine Adresse hinter des 1711 VPN habe ich auf dem UMTS Router eingetragen. In der Firewall ist auf beiden Routern: Ping Blocking auf OFF gestellt.
Hier das Trace vom 1711 VPN, der selbst keine Verbindung aufbaut, sondern nur als Responder reagiert. Der 3850 ist der Initiator.
D.h. der 3850 pingt den 1711 VPN, wartet auf Antwort. Der 1711 versucht dem 3850 auf die Public-IP zu antworten, was ihm nicht gelingt. Was mache ich falsch, was muss ich umstellen?
Kurze Legende:
77.24.183.64 = Public IP vom 3850 (Initiator)
[VPN-Status] 2008/06/15 11:57:18,490
VPN: poll timeout for ULM (77.24.183.64)
remote site did not answer during interval
setting poll time to 1 sec.
(5 retries left)
send poll frame to 77.24.183.64
[VPN-Status] 2008/06/15 11:57:19,490
VPN: poll timeout for ULM (77.24.183.64)
remote site did not answer during interval
(4 retries left)
send poll frame to 77.24.183.64
[VPN-Status] 2008/06/15 11:57:20,490
VPN: poll timeout for ULM (77.24.183.64)
remote site did not answer during interval
(3 retries left)
send poll frame to 77.24.183.64
[VPN-Status] 2008/06/15 11:57:21,490
VPN: poll timeout for ULM (77.24.183.64)
remote site did not answer during interval
(2 retries left)
send poll frame to 77.24.183.64
[VPN-Status] 2008/06/15 11:57:22,490
VPN: poll timeout for ULM (77.24.183.64)
remote site did not answer during interval
(1 retries left)
send poll frame to 77.24.183.64
[VPN-Status] 2008/06/15 11:57:23,490
VPN: poll timeout for ULM (77.24.183.64)
remote site did not answer during interval
no retries left, disconnect channel
[VPN-Status] 2008/06/15 11:57:23,500
VPN: Error: IFC-X-Line-polling-failed (0x1307) for ULM (77.24.183.64)
[VPN-Status] 2008/06/15 11:57:23,510
VPN: disconnecting ULM (77.24.183.64)
[VPN-Status] 2008/06/15 11:57:23,510
VPN: Error: (unknown) (0x0301) for ULM (77.24.183.64)
[VPN-Status] 2008/06/15 11:57:23,530
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-5-ULM-pr0-l0-r0 to peer U
LM, spi [0x0213e9ca]
[VPN-Status] 2008/06/15 11:57:23,530
IKE info: Phase-2 SA removed: peer ULM rule ipsec-5-ULM-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [5bd3bd04 ] [0213e9ca ]
[VPN-Status] 2008/06/15 11:57:23,530
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-3-ULM-pr0-l0-r0 to peer U
LM, spi [0x1c37a3a9]
[VPN-Status] 2008/06/15 11:57:23,530
IKE info: Phase-2 SA removed: peer ULM rule ipsec-3-ULM-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [56232ba8 ] [1c37a3a9 ]
[VPN-Status] 2008/06/15 11:57:23,530
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-7-ULM-pr0-l0-r0 to peer U
LM, spi [0x27a55a50]
[VPN-Status] 2008/06/15 11:57:23,530
IKE info: Phase-2 SA removed: peer ULM rule ipsec-7-ULM-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [1a2b0114 ] [27a55a50 ]
[VPN-Status] 2008/06/15 11:57:23,540
IKE info: Delete Notificaton sent for Phase-1 SA to peer ULM
[VPN-Status] 2008/06/15 11:57:23,540
IKE info: Phase-1 SA removed: peer ULM rule ULM removed
[VPN-Status] 2008/06/15 11:57:23,620
VPN: selecting first remote gateway using strategy eFirst for ULM
=> no remote gateway selected
[VPN-Status] 2008/06/15 11:57:23,620
VPN: installing ruleset for ULM (0.0.0.0)
[VPN-Status] 2008/06/15 11:57:23,620
VPN: ULM (0.0.0.0) disconnected
[VPN-Status] 2008/06/15 11:57:23,640
VPN: rulesets installed
[VPN-Status] 2008/06/15 11:57:24,380
IKE log: 115724 Default message_recv: invalid cookie(s) b9c05db189887636 c63bbf3
e8829496d
[VPN-Status] 2008/06/15 11:57:24,380
IKE log: 115724 Default dropped message from 77.24.183.64 port 500 due to notifi
cation type INVALID_COOKIE
[VPN-Status] 2008/06/15 11:57:24,380
IKE info: dropped message from peer unknown 77.24.183.64 port 500 due to notific
ation type INVALID_COOKIE
[VPN-Status] 2008/06/15 11:57:24,920
IKE info: The remote server 77.24.183.64:500 peer def-aggr-peer id <no_id> is En
igmatec IPSEC version 1.5.1
IKE info: The remote server 77.24.183.64:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode draft
IKE info: The remote server 77.24.183.64:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode draft
IKE info: The remote server 77.24.183.64:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 77.24.183.64:500 peer def-aggr-peer id <no_id> negot
iated rfc-3706-dead-peer-detection
[VPN-Status] 2008/06/15 11:57:24,930
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 1
[VPN-Status] 2008/06/15 11:57:25,340
IKE info: Phase-1 [responder] for peer ULM between initiator id ulm@cef.de, resp
onder id karlsruhe@cef.de done
IKE info: SA ISAKMP for peer ULM encryption aes-cbc authentication md5
IKE info: life time ( 8000 sec/ 0 kb)
[VPN-Status] 2008/06/15 11:57:25,400
IKE info: Phase-2 remote proposal 1 for peer ULM matched with local proposal 1
[VPN-Status] 2008/06/15 11:57:25,570
IKE info: Phase-2 remote proposal 1 for peer ULM matched with local proposal 1
[VPN-Status] 2008/06/15 11:57:25,570
IKE info: Phase-2 remote proposal 1 for peer ULM matched with local proposal 1
[VPN-Status] 2008/06/15 11:57:25,580
IKE info: Phase-2 [responder] done with 2 SAS for peer ULM rule ipsec-7-ULM-pr0-
l0-r0
IKE info: rule:' ipsec 10.49.254.0/255.255.255.0 <-> 10.80.199.0/255.255.255.0 '
IKE info: SA ESP [0x6b56e3f2] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x45ff1192] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: xxx.xxx.xxx.xxx dst: 77.24.183.64
[VPN-Status] 2008/06/15 11:57:25,580
VPN: wait for IKE negotiation from ULM (77.24.183.64)
[VPN-Status] 2008/06/15 11:57:25,930
IKE info: Phase-2 [responder] done with 2 SAS for peer ULM rule ipsec-3-ULM-pr0-
l0-r0
IKE info: rule:' ipsec 10.86.0.0/255.255.0.0 <-> 10.80.199.0/255.255.255.0 '
IKE info: SA ESP [0x5ac1fabc] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x1ae2928b] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: xxx.xxx.xxx.xxx dst: 77.24.183.64
[VPN-Status] 2008/06/15 11:57:25,930
IKE info: Phase-2 [responder] done with 2 SAS for peer ULM rule ipsec-5-ULM-pr0-
l0-r0
IKE info: rule:' ipsec 10.85.0.0/255.255.0.0 <-> 10.80.199.0/255.255.255.0 '
IKE info: SA ESP [0x75930390] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x161142c0] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: xxx.xxx.xxx.xxx dst: 77.24.183.64
[VPN-Status] 2008/06/15 11:57:26,930
VPN: ULM (77.24.183.64) connected, set poll timer to 30 sec
[VPN-Status] 2008/06/15 11:57:31,930
VPN: poll timeout for ULM (77.24.183.64)
send poll frame to 77.24.183.64
Viele Grüße,
Sascha
Polling bei Lancom 3850 UMTS -> VPN TUNNEL -> 1711 VPN
Moderator: Lancom-Systems Moderatoren
Polling bei Lancom 3850 UMTS -> VPN TUNNEL -> 1711 VPN
Zuletzt geändert von vitaminc am 15 Jun 2008, 21:04, insgesamt 1-mal geändert.
Ich hänge mal noch ne einfache Frage dran:
Kann man bei Lancom Router einstellen, dass er nicht auf die Public IP beim Polling antworten soll, sondern auf die Intranet IP ? - denn dann hätte sich mein Problem sicherlich erledigt.
Aber da ich es einfach nicht hinbekomme, den UMTS Router von "außen" erreichbar zu machen, vielleicht weil auch Vodafone selbst das unterbindet, komme ich momentan einfach nicht weiter so.
Bin bereits nah dran, alle Termine für nächste Woche zu canceln, nur weil dieses Teil nicht funzt..
Kann man bei Lancom Router einstellen, dass er nicht auf die Public IP beim Polling antworten soll, sondern auf die Intranet IP ? - denn dann hätte sich mein Problem sicherlich erledigt.
Aber da ich es einfach nicht hinbekomme, den UMTS Router von "außen" erreichbar zu machen, vielleicht weil auch Vodafone selbst das unterbindet, komme ich momentan einfach nicht weiter so.
Bin bereits nah dran, alle Termine für nächste Woche zu canceln, nur weil dieses Teil nicht funzt..
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo Dietmar,
doch habe ich. Der aktualisiert auch die IP, wie es sein soll, da der Router sich bei DynDNS meldet und diesem die IP übergibt. Nur was nützt mir das? - der DynDNS macht ja nur eine Namensauflösung, die IP dahinter kann ich weiterhin nicht anpingen, respektive den Namen auch nicht.
Die Gegenstelle macht:
send poll frame to 77.24.183.64 (public-ip)
Zu gerne würde ich dem Router sagen, er soll auf eine Intranet/LAN IP antworten. Tut er aber nicht, egal was ich als Absender-IP auf dem UMTS Router einstelle. Es wird automatisch immer die Public-IP für die Polling-Antwort verwendet. Ich bin da echt am verzweifeln..
Gruß,
Sascha
doch habe ich. Der aktualisiert auch die IP, wie es sein soll, da der Router sich bei DynDNS meldet und diesem die IP übergibt. Nur was nützt mir das? - der DynDNS macht ja nur eine Namensauflösung, die IP dahinter kann ich weiterhin nicht anpingen, respektive den Namen auch nicht.
Die Gegenstelle macht:
send poll frame to 77.24.183.64 (public-ip)
Zu gerne würde ich dem Router sagen, er soll auf eine Intranet/LAN IP antworten. Tut er aber nicht, egal was ich als Absender-IP auf dem UMTS Router einstelle. Es wird automatisch immer die Public-IP für die Polling-Antwort verwendet. Ich bin da echt am verzweifeln..
Gruß,
Sascha
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
Gib mal als IP die Intranetadresse des 1711 für das Polling an.
Führe Dir diese Dokumente zu Gemüte
http://www2.lancom.de/kb.nsf/a5ddf48173 ... ung,German
http://www2.lancom.de/kb.nsf/a5ddf48173 ... ung,German
http://www2.lancom.de/kb.nsf/a5ddf48173 ... eit,German
http://www2.lancom.de/kb.nsf/a5ddf48173 ... eit,German
Gruß
Dietmar
Gib mal als IP die Intranetadresse des 1711 für das Polling an.
Führe Dir diese Dokumente zu Gemüte
http://www2.lancom.de/kb.nsf/a5ddf48173 ... ung,German
http://www2.lancom.de/kb.nsf/a5ddf48173 ... ung,German
http://www2.lancom.de/kb.nsf/a5ddf48173 ... eit,German
http://www2.lancom.de/kb.nsf/a5ddf48173 ... eit,German
Gruß
Dietmar
Zuletzt geändert von froeschi62 am 15 Jun 2008, 16:31, insgesamt 2-mal geändert.
Lancom 1823 VOIP
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
NAT-T solltest Du auf beiden Routern ebenfalls konfigurieren. Bis der Tunnel neu aufgebaut wird dauert sowieso etwa 1-2 Minuten, da im DPD standartmäßig als Timeoutwert 60 Sekunden stehen. Es werden bei Tunnelabbruch nach Ablauf dieser Zeit die IPSEC SA's gelöscht bis dann wieder ein neuer VPN Tunnel aufgebaut werden kann.
Gruß
Dietmar
NAT-T solltest Du auf beiden Routern ebenfalls konfigurieren. Bis der Tunnel neu aufgebaut wird dauert sowieso etwa 1-2 Minuten, da im DPD standartmäßig als Timeoutwert 60 Sekunden stehen. Es werden bei Tunnelabbruch nach Ablauf dieser Zeit die IPSEC SA's gelöscht bis dann wieder ein neuer VPN Tunnel aufgebaut werden kann.
Gruß
Dietmar
Lancom 1823 VOIP
Hallo Dietmar,
erstmal Danke, dass Du mir hilfst.
Ich habe bereits alles probiert, NAT-T ist natürlich auch konfiguriert. Die Anleitungen kenne ich komplett auswendig, ich weiss eben nur nicht, wie ich dem Router mit welchem Parameter beibringen kann, dass er die INTRANET-IP als Polling-Antwort verwendet.
Werde jetzt nochmals die komplette VPN Konfiguration von vorne durchführen, dann zum 5mal bereits.
Gruß,
Sascha
erstmal Danke, dass Du mir hilfst.
Ich habe bereits alles probiert, NAT-T ist natürlich auch konfiguriert. Die Anleitungen kenne ich komplett auswendig, ich weiss eben nur nicht, wie ich dem Router mit welchem Parameter beibringen kann, dass er die INTRANET-IP als Polling-Antwort verwendet.
Werde jetzt nochmals die komplette VPN Konfiguration von vorne durchführen, dann zum 5mal bereits.
Gruß,
Sascha
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo Dietmar,
nachdem ich jetzt alles neu konfiguriert habe, scheint er als Polling-Antwort Adresse tatsächlich die INTRANET-IP zu verwenden. Nach dem Vergleich mit den alten Einstellungen, ist keinerlei Unterschied festzustellen.
So, nachdem ich hier mein Trace naiver Weise gepostet habe, scheint irgendeine Knalltüte zu meinen, er könne sich mit meinem Router via IPSec zu verbinden. Großes Damentennis. Egal, Firewall angepasst.
Nun, das Polling scheint nun zu funktionieren.
Komischerweise bricht mir jetzt dafür alle 3-4 Minuten die UMTS Leitung ab
Ne Idee?
Gruß,
Sascha
nachdem ich jetzt alles neu konfiguriert habe, scheint er als Polling-Antwort Adresse tatsächlich die INTRANET-IP zu verwenden. Nach dem Vergleich mit den alten Einstellungen, ist keinerlei Unterschied festzustellen.
So, nachdem ich hier mein Trace naiver Weise gepostet habe, scheint irgendeine Knalltüte zu meinen, er könne sich mit meinem Router via IPSec zu verbinden. Großes Damentennis. Egal, Firewall angepasst.
Nun, das Polling scheint nun zu funktionieren.
Komischerweise bricht mir jetzt dafür alle 3-4 Minuten die UMTS Leitung ab
Ne Idee?
Gruß,
Sascha
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
ja, das ist sicherlich kein Fehler vom Vodafone-Netz, sondern wieder ne Konfigurationsgurke. Es sind nichtmal 3 Minuten, ich denke sogar 1-2 Minuten nur, dann blinkt die Karte und er baut erneut seine Verbindung auf.
Das ist stellenweise echt pervers, inwiefern sich kleinste Parameter auf den Betrieb auswirken. Ich weiss echt nicht, welcher Parameter hierfür wiederum verantwortlich ist, dass die UMTS Verbindung in diesen regelmässigen Abständen abbricht. Muss ja auch wieder ne Polling-Geschichte sein.. man man..
Gruß,
Sascha
Edit: Komisch, kannst Du mir mal sagen, was Du unter Kommunikation -> Gegenstelle -> UMTS -> Deine Verbindung eingestellt hast?
Bei mir stand eine Haltezeit von 90 drin, habe ich jetzt erhöht auf 9.999. Ich denke zwar nicht, dass es daran liegt, aber seit 8 Minuten ist der Router jetzt ohne Verbindungsabbruch online.
ja, das ist sicherlich kein Fehler vom Vodafone-Netz, sondern wieder ne Konfigurationsgurke. Es sind nichtmal 3 Minuten, ich denke sogar 1-2 Minuten nur, dann blinkt die Karte und er baut erneut seine Verbindung auf.
Das ist stellenweise echt pervers, inwiefern sich kleinste Parameter auf den Betrieb auswirken. Ich weiss echt nicht, welcher Parameter hierfür wiederum verantwortlich ist, dass die UMTS Verbindung in diesen regelmässigen Abständen abbricht. Muss ja auch wieder ne Polling-Geschichte sein.. man man..
Gruß,
Sascha
Edit: Komisch, kannst Du mir mal sagen, was Du unter Kommunikation -> Gegenstelle -> UMTS -> Deine Verbindung eingestellt hast?
Bei mir stand eine Haltezeit von 90 drin, habe ich jetzt erhöht auf 9.999. Ich denke zwar nicht, dass es daran liegt, aber seit 8 Minuten ist der Router jetzt ohne Verbindungsabbruch online.
Zuletzt geändert von vitaminc am 15 Jun 2008, 20:54, insgesamt 1-mal geändert.
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
das könnte schon ein Vodafone Problem sein. Dazu solltest Du Dir das durchlesen:
http://www.onlinekosten.de/forum/showth ... p?t=109086
Gruß
Dietmar
Ps: Ich bin bei T-Mobile
das könnte schon ein Vodafone Problem sein. Dazu solltest Du Dir das durchlesen:
http://www.onlinekosten.de/forum/showth ... p?t=109086
Gruß
Dietmar
Ps: Ich bin bei T-Mobile
Lancom 1823 VOIP
Komisch, kannst Du mir mal sagen, was Du unter Kommunikation -> Gegenstelle -> UMTS -> Deine Verbindung eingestellt hast?
Bei mir stand eine Haltezeit von 90 drin, habe ich jetzt erhöht auf 9.999. Ich denke zwar nicht, dass es daran liegt, aber seit 8 Minuten ist der Router jetzt ohne Verbindungsabbruch online.
Bei mir stand eine Haltezeit von 90 drin, habe ich jetzt erhöht auf 9.999. Ich denke zwar nicht, dass es daran liegt, aber seit 8 Minuten ist der Router jetzt ohne Verbindungsabbruch online.
Das Teil ist noch immer "ONLINE", hmmm... ich bin mal gespannt, ob er in 9.999 Sek mal kurz "OFFLINE" geht, aufgrund der Haltezeit. Das würde bedeuten, ich bin dem Ziel sehr nahe.
Trotzdem würde ich mich freuen, wenn du vielleicht noch kurz ein paar Einstellungen / Konfigurationen deines Routers posten könntest, gerne auch via EMail / PM.
Trotzdem würde ich mich freuen, wenn du vielleicht noch kurz ein paar Einstellungen / Konfigurationen deines Routers posten könntest, gerne auch via EMail / PM.
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
Ich besitze keinen UMTS Lancom (siehe Signatur). Ich verbinde mich per Notebook/VPN Client/UMTS zu meinem Lancom 1823. Aber die meisten Einstellungen sind bei den Lancoms durchgängig ähnlich.
Gruß
Dietmar
Genau diese Einstellung muss bei Haltezeit gemacht werden. Vollkommen korrekt.vitaminc hat geschrieben:Das Teil ist noch immer "ONLINE", hmmm... ich bin mal gespannt, ob er in 9.999 Sek mal kurz "OFFLINE" geht, aufgrund der Haltezeit. Das würde bedeuten, ich bin dem Ziel sehr nahe.
Ich besitze keinen UMTS Lancom (siehe Signatur). Ich verbinde mich per Notebook/VPN Client/UMTS zu meinem Lancom 1823. Aber die meisten Einstellungen sind bei den Lancoms durchgängig ähnlich.
Gruß
Dietmar
Lancom 1823 VOIP