Hallo ich habe 2x Lancom 1781EF+
1x Zentrale -> Kabel BW + feste IP
1x Filiale -> Telekom Business + feste IP
Seit einer Woche habe ich immer wieder das Problem, das der Tunnel sich nicht mehr aufbaut.
Im Syslog sehen ich dann folgende Fehler:
2015-11-15 04:02:53;4;6;Disconnected from peer Router1: 017 006;
2015-11-15 04:02:53;16;3;VPN: Error for peer Router1: IFC-I-Connection-timeout-IKE-IPSEC;
2015-11-15 04:02:53;16;3;VPN: Error for peer Router1: IFC-I-Connection-timeout-IKE-IPSEC;
Nach mehrmaligem Telefonat mit dem Support, wurde mir geraten die VPN Verbindung auf beiden Seiten neu einzurichten. Das hat für einen Tag auf ohne probleme funktioniert.
Heute morgen war die Leitung wieder weg. Mir ist dann im Syslog aufgefallen, das sobald der Router in der Filiale seine Automatische Zwangstrennung macht (immer morgens um 4 Uhr), wird der Tunnel zur Zentrale nicht mehr aufgebaut!
Das einziegste was hier noch hilft, ist der neustart der BEIDEN Routern.
Kennt jemand das Problem?
Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Moderator: Lancom-Systems Moderatoren
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Hallo,
bist Du Dir auch sicher, dass die festen IPs von den Routern auf beiden Seiten verwendet wird?
Kontrolliere am besten mal im LANmonitor auf beiden Geräten bei VPN-Verbindung, ob als eingehende IP dort die richtigen öffentlichen IPs auftauchen.
Ich hatte letztens erst den Fall, dass der Kabelprovider in seinem Netz eine Wartung gemurkst hatte, unsere Router zwar jeweils die richtige öffentliche IP bezogen hatten (LANmonitor -> WAN-Verbindung) aber eine völlig andere IP in der Zentrale als eingehender Ruf erschien.
Lassen sich beide öffentlichen IPs im Fehlerfall auch aus dem Internet noch anpingen?
vg Bernie
bist Du Dir auch sicher, dass die festen IPs von den Routern auf beiden Seiten verwendet wird?
Kontrolliere am besten mal im LANmonitor auf beiden Geräten bei VPN-Verbindung, ob als eingehende IP dort die richtigen öffentlichen IPs auftauchen.
Ich hatte letztens erst den Fall, dass der Kabelprovider in seinem Netz eine Wartung gemurkst hatte, unsere Router zwar jeweils die richtige öffentliche IP bezogen hatten (LANmonitor -> WAN-Verbindung) aber eine völlig andere IP in der Zentrale als eingehender Ruf erschien.
Lassen sich beide öffentlichen IPs im Fehlerfall auch aus dem Internet noch anpingen?
vg Bernie
Man lernt nie aus.
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Werde ich heute abend mal testen. Das komische ist ja, das es nach dem neustart der beiden Router geht bis zur Zwangstrennung!
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Kann es eventuell an der dead peer detection liegen?
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Hi,
Hast du denn eine DPD eingerichtet?
Und was ist deine Shorthold-Time (SH-Time)?
Gruß
Hast du denn eine DPD eingerichtet?
Und was ist deine Shorthold-Time (SH-Time)?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Hallo in der Zentrale ist für das VPN der Filiale folgendes eingerichtet:
Haltezeit: 0
DPD: 60
In der Filiale:
Haltezeit: 9.999
DPD: 60
Haltezeit: 0
DPD: 60
In der Filiale:
Haltezeit: 9.999
DPD: 60
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Hi,
Bedenke das bei Lancoms, welche selber die WAN Verbindung "betreiben", der VPN Tunnel vom WAN Interfaces mitgeteilt bekommt, das WAN weg ist und er somit abbaut.
In einem solchen Fall ist DPD meist eh langsamer und die SH Time wird den Aufbau vorher anstoßen.
Wenn das Lancom vom WAN nichts weis, wird DPD nach 60 Sekunden den Tunnel abbauen und anschließend die SH-Time anspringen.
Das nur zur Info.
Was sagt denn der VPN-Status trace wenn er die Verbindung erneut aufbauen will? Warum scheitert der Aufbau?
Gruß
Bedenke das bei Lancoms, welche selber die WAN Verbindung "betreiben", der VPN Tunnel vom WAN Interfaces mitgeteilt bekommt, das WAN weg ist und er somit abbaut.
In einem solchen Fall ist DPD meist eh langsamer und die SH Time wird den Aufbau vorher anstoßen.
Wenn das Lancom vom WAN nichts weis, wird DPD nach 60 Sekunden den Tunnel abbauen und anschließend die SH-Time anspringen.
Das nur zur Info.
Was sagt denn der VPN-Status trace wenn er die Verbindung erneut aufbauen will? Warum scheitert der Aufbau?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
VPN: Error for peer Router1: IFC-I-Connection-timeout-IKE-IPSEC;
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Hi,
Wenn da wirklich nicht mehr steht dann probier dich bitte mal die andere Anregung von Bernie137
Wenn da wirklich nicht mehr steht dann probier dich bitte mal die andere Anregung von Bernie137
GrußLassen sich beide öffentlichen IPs im Fehlerfall auch aus dem Internet noch anpingen?
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Haa... 
habe soeben nochmals mit Lancom telefoniert, das Problem ist wohl bekannt!
Habe nun mal meine Config und Tace an den Support gesendet, mal schauen was rauskommt. Ich werde mich auf jedenfall melden wenn ich was weiß!
habe soeben nochmals mit Lancom telefoniert, das Problem ist wohl bekannt!Habe nun mal meine Config und Tace an den Support gesendet, mal schauen was rauskommt. Ich werde mich auf jedenfall melden wenn ich was weiß!
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Hallo,
Zum eigentlichen Problem kann man hier aber nicht viel sagen, weil nicht angegeben ist, wie die VPN-Verbindung genau konfiguriert ist. Handelt es sich nicht um eine Dynamic VPN sind diese oft empfindlicher, was die Zuverlässigkeit betrifft, weil eben alles auch haargenau stimmen muss (Beispiel: Ist ein DynDNS-Name noch nicht durchpropagiert stimmt die IP nicht und ein Anwahlversuch einer anderen IP wird somit abgelehnt.). Dynamic VPN regelt hier einiges selber.
Unter gewissen Konstellationen gibt es bei Nicht-Dynamic-VPN-Verbindungen das bekannte Problem, dass eine der beiden Seiten trotz DPD meint, die Verbindung würde noch bestehen, obwohl sie nicht mehr besteht. Diese Seite lehnt dann den Einwahlversuche der anderen Seite ab und so wird die VPN-Verbindung nicht mehr funktional aufgebaut. Hier hilft es auf der Seite, wo die Verbindung noch besteht, eine manuelle Trennung (z. B. mit LANmonitor oder auf der Konsole) durchzuführen. Anschließend kann die Verbindung ohne Probleme aufgebaut werden.
Viele Grüße,
Jirka
das ist korrekt. Dabei wird allerdings vergessen, die Conn.-time unter Status/VPN/Connections/ auf 0 zu setzen, so dass ein Normaluser völlig irritiert ist, wenn der LANmonitor eine Verbindungsdauer von 6 Tagen anzeigt, obwohl die Verbindung soeben getrennt war und nun neu aufgebaut ist (= Verbindungsdauer von wenigen Sekunden bis Minuten).MariusP hat geschrieben:Bedenke das bei Lancoms, welche selber die WAN Verbindung "betreiben", der VPN Tunnel vom WAN Interfaces mitgeteilt bekommt, das WAN weg ist und er somit abbaut.
Zum eigentlichen Problem kann man hier aber nicht viel sagen, weil nicht angegeben ist, wie die VPN-Verbindung genau konfiguriert ist. Handelt es sich nicht um eine Dynamic VPN sind diese oft empfindlicher, was die Zuverlässigkeit betrifft, weil eben alles auch haargenau stimmen muss (Beispiel: Ist ein DynDNS-Name noch nicht durchpropagiert stimmt die IP nicht und ein Anwahlversuch einer anderen IP wird somit abgelehnt.). Dynamic VPN regelt hier einiges selber.
Unter gewissen Konstellationen gibt es bei Nicht-Dynamic-VPN-Verbindungen das bekannte Problem, dass eine der beiden Seiten trotz DPD meint, die Verbindung würde noch bestehen, obwohl sie nicht mehr besteht. Diese Seite lehnt dann den Einwahlversuche der anderen Seite ab und so wird die VPN-Verbindung nicht mehr funktional aufgebaut. Hier hilft es auf der Seite, wo die Verbindung noch besteht, eine manuelle Trennung (z. B. mit LANmonitor oder auf der Konsole) durchzuführen. Anschließend kann die Verbindung ohne Probleme aufgebaut werden.
Viele Grüße,
Jirka
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Heute morgen musste ich die beiden Router mehrmals neustarten, irgednwann nach dem 7 mal Reboot wurde der Tunnel wieder aufgebaut.
- Auf beiden Seiten ist eine Feste IP. Der Site-To-Site Tunnel wurde über den Assistenten zusammen mit dem Support eingerichtet.
- Kann man über die Console (Telnet) sehen wo die Verbindung noch besteht?
- Auf beiden Seiten ist eine Feste IP. Der Site-To-Site Tunnel wurde über den Assistenten zusammen mit dem Support eingerichtet.
- Kann man über die Console (Telnet) sehen wo die Verbindung noch besteht?
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Hi,
Mit Hilfe eines VPN-Status-Traces müsste man eigentlich auf Anhieb sehen, wo es hakt. Können wir auch mal zusammen in einer TeamViewer-Sitzung machen. Habe aber erst ab Donnerstag wieder Zeit - optimal wäre das Wochenende, wenn die VPN nicht dringend benötigt wird und man auch mal 30 Min. zum testen hat.
Viele Grüße,
Jirka
dann ist aber irgendwas echt im Argen.mase hat geschrieben:Heute morgen musste ich die beiden Router mehrmals neustarten, irgendwann nach dem 7. mal Reboot wurde der Tunnel wieder aufgebaut.
Dann ist es schon mal keine Dynamic-VPN-Verbindung (jedenfalls wenn zweimal feste IP angegeben wurde). Über welche Firmware reden wir hier eigentlich?mase hat geschrieben:Auf beiden Seiten ist eine Feste IP. Der Site-To-Site Tunnel wurde über den Assistenten zusammen mit dem Support eingerichtet.
Ja, mit ls st/vpn/connmase hat geschrieben:Kann man über die Console (Telnet) sehen wo die Verbindung noch besteht?
Mit Hilfe eines VPN-Status-Traces müsste man eigentlich auf Anhieb sehen, wo es hakt. Können wir auch mal zusammen in einer TeamViewer-Sitzung machen. Habe aber erst ab Donnerstag wieder Zeit - optimal wäre das Wochenende, wenn die VPN nicht dringend benötigt wird und man auch mal 30 Min. zum testen hat.
Viele Grüße,
Jirka
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Ja klar, ich habe schon tarces erstellt, soll ich diese mal zusenden? WIE?
Teamviewer wäre Klasse und am besten am WE!
PS: Aktuellste Firmware!
Teamviewer wäre Klasse und am besten am WE!
PS: Aktuellste Firmware!
Re: Site-To-Site VPN IFC-I-Connection Timeout IKE-IPSEC
Hi,
am besten per E-Mail über dieses Forum. Bitte nicht per PN, mein PN-Postfach ist chronisch überfüllt und nimmt dann keine Nachrichten mehr an. Aber Antwort kommt definitiv nicht vor morgen.
Viele Grüße,
Jirka
am besten per E-Mail über dieses Forum. Bitte nicht per PN, mein PN-Postfach ist chronisch überfüllt und nimmt dann keine Nachrichten mehr an. Aber Antwort kommt definitiv nicht vor morgen.
Viele Grüße,
Jirka