Site2Site VPN Backup mit festen IPs

Bernie137 · Beitrag von **Bernie137** » 30 Dez 2013, 06:19

Hallo zusammen,

seit einiger Zeit schiebe ich dieses Problem vor mir her und möchte es nun endlich angehen. Leider hilft mir das Ref Manual nicht für unsere Situation richtig weiter, dort wird ab Seite 576 in dem Kapitel zu großspurig gedacht mit Einwahl über Vermittlungsknoten. Und in der Knowledgebase habe bisher nichts entdeckt. Wir haben einfach 2 Gegenstellen, die diversen anderen Gegenstellen der Zentrale kann ich für diese Betrachtungsweise vernachlässigen.

Zentrale:
- L1781EF LCOS 8.82
- 8 MBit iQom Leitung mit fester IP (eingerichtet)
- T-DSL 16000 als Backup mit fester IP (eingerichtet)
- kein dynamisches VPN mit Gateway 0.0.0.0

Filiale:
- L1781EF LCOS 8.82
- DSL1 mit fester IP (eingerichtet)
- T-DSL 6000 als Backup mit fester IP (eingerichtet)
- dynamisches VPN (ein UDP Paket wird an die Gegenstelle übermittelt um die IP-Adresse zu übermitteln)

Es ist zwischen beiden Routern ein IPSec Tunnel (vereinfachte Einwahl mit Zertifikaten) so realisiert, wenn in der Filiale das DSL1 ausfällt, dass die Filiale automatisch mit dem T-DSL6000 Backup wieder online kommt und der VPN Tunnel steht. Nun sollen auch die Fälle bei Backup der Internetverbindung in der Zentrale abgedeckt werden. Wenn ich es richtig verstanden habe, empfiehlt nun das Ref Manual an der Stelle beide VPN Gegenstellen auf dynamisches VPN umzustellen. Damit nun die IP Adresse übermittelt werden kann, soll dies dann mit Hilfe von ISDN geschehen.

Kann man das nicht geschickter konfigurieren, wenn alle 4 beteiligten Internet-Verbindungen eine BEKANNTE feste IP haben und ISDN nicht zur Verfügung steht?

Anmerkung: Die beiden Provider iQom und DSL1 haben hin und wieder tagsüber mal Aussetzer von bis zu 3h (Extremfall), in denen T-DSL bisher immer verfügbar war (aber langsamer).

vg Heiko

Dr.Einstein · Beitrag von **Dr.Einstein** » 30 Dez 2013, 07:24

Das kannst doch in jeder Außenstelle einfach weitere entfernte Gateways eintragen, also alle 4 öffentliche IP Adressen der Zentrale. Du solltest aber vielleicht als 2. / 3. / 4. Gateway noch das Primärgateway eintragen, damit nicht beim kleinsten Sekundenausfall alle VPNs über eine Backupverbindung laufen.

Zu beachten ist, dass sich evtl. deine fiunktionierenden Filialbackuplösungen nun anders verhalten. kA wie du das realisiert hast ob mit Backuptabelle, oder Aktionstabelle etc.

Gruß Dr.Einstein

Bernie137 · Beitrag von **Bernie137** » 30 Dez 2013, 10:25

also alle 4 öffentliche IP Adressen der Zentrale

Nein, die Zentrale hat nur 2. Die anderen 2 IPs gehören ja zur Filiale.

kA wie du das realisiert hast ob mit Backuptabelle, oder Aktionstabelle etc.

Mit Backup Tabelle. Ist das so nicht richtig?

Danke für die Rückmeldung. Leider hat das aber nie funktioniert mit den weiteren Gateways und im Ref Manual auf Seite 321 ist es ausdrücklich aufgeführt bei "6.11.7 32 zusätzliche Gateways für PPTP-Verbindungen". Ich habe aber IPSec. Im ganzen Kapitel 10, welches sich dem Thema VPN widmet, findet es NULL Erwähnung, was es mit "weitere entfernte Gateways" auf sich hat.

vg Heiko

Dr.Einstein · Beitrag von **Dr.Einstein** » 30 Dez 2013, 11:21

Also eigentlich ist es total einfach:

Zentralstandort-Konfig:

VPN-Filiale1
- Als Gateway die primäre IP der Filiale
- weiteres entferntes Gateway Nr1+2+3: primäre IP der Filiale
- weiteres entferntes Gateway Nr4: sekündäre IP der Filiale

Filiale 1-Konfig:

Zentrale
- Als Gateway die primäre IP der Zentrale
- weiteres entferntes Gateway Nr1+2+3: primäre IP der Zentrale
- weiteres entferntes Gateway Nr4: sekündäre IP der Zentrale

Zu beachten sind die Routing-Tags, die du unter VPN/Allgemein eingetragen hast. Wenn du jetzt an einem Standort neben der Default-Route (Tag 0) die Backupverbindung zB Tag 1 laufen hast, musst du diese Fälle in deine Konfiguration mit einfliesen lassen, z.B. für die Zentrale:

VPN-Filiale1
- Als Gateway die primäre IP der Filiale, rtg 0
- weiteres entferntes Gateway Nr1+2+3: primäre IP der Filiale rtg 0
- weiteres entferntes Gateway Nr4: sekündäre IP der Filiale rtg 0
- weiteres entferntes Gateway Nr5+6+7: primäre IP der Filiale rtg 1
- weiteres entferntes Gateway Nr8: sekündäre IP der Filiale rtg 1

für die Konfig der Filiale entsprechend gespiegelt. Wenn du die Backuptabelle verwendet hast, beachte meinen Hinweis zu den Routing-Tags nicht.

An sich funktioniert das mit den entfernten Gateways.

Bernie137 · Beitrag von **Bernie137** » 30 Dez 2013, 22:12

Danke für Deine Antwort.

Also eigentlich ist es total einfach:

Das hatte ich mir eben damals auch schon gedacht, als ich diese Konfigurationsmöglichkeit auch entdeckt hatte.

Nun habe ich aber zumindest Dank Deiner Hilfe einen Teilerfolg. D.h. ich habe einen Testaufbau gemacht. Die "Filale" hat dabei wirklich ein echte dyn. IP. Da ich aber diese Verbindung nicht unterbreche ist das unerheblich und entspricht der Konfig zur echten Filiale. Es geht hier um den Test, wenn in der Zentrale die IP wechselt. Routing Tags sind nicht im Spiel.

Zentrale-Konfig:

VPN-Filiale1
- Als Gateway 0.0.0.0
- weitere entfernte Gateways keine
- kein dyn. VPN

Filiale 1-Konfig:

Zentrale
- Als Gateway die primäre IP der Zentrale 31.xxx.xxx.xxx
- weiteres entferntes Gateway Nr2: sekündäre IP der Zentrale 80.xxx.xxx.xxx
- dynamisches VPN (ein UDP Paket wird an die Gegenstelle übermittelt um die IP-Adresse zu übermitteln)

Bakupfall:Die Backup IP war aber sofort nach ca. 30 Sekunden anpingbar. Nun hat es erst mal min. 7 Minuten gedauert, bis ein VPN Tunnel zu Stande kam. Und vermutlich nur deshalb, weil ich zwischendurch im LANmonitor am Filial Router von Hand den nicht mehr stehenden VPN Tunnel noch mal getrennt habe. Das Polling hat aber gemerkt, dass der Tunnel weg war...

Was ist hier noch nicht optimal?

Code: Alles auswählen

[VPN-Status] 2013/12/30 21:26:38,968  Devicetime: 2013/12/30 21:29:57,587
VPN: poll timeout for VPN-ZENTRALE (31.xxx.xxx.xxx)
remote site did not answer during interval, no retries left, disconnect channel

[VPN-Status] 2013/12/30 21:26:38,989  Devicetime: 2013/12/30 21:29:57,595
VPN: Error: IFC-X-Line-polling-failed (0x1307) for VPN-ZENTRALE (31.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:26:38,989  Devicetime: 2013/12/30 21:29:57,595
VPN: disconnecting VPN-ZENTRALE (31.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:26:38,989  Devicetime: 2013/12/30 21:29:57,595
VPN: Error: IFC-X-Line-polling-failed (0x1307) for VPN-ZENTRALE (31.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:26:38,989  Devicetime: 2013/12/30 21:29:57,603
VPN: WAN state changed to WanDisconnect for VPN-ZENTRALE (31.xxx.xxx.xxx), called by: 003a8c99

[VPN-Status] 2013/12/30 21:26:38,989  Devicetime: 2013/12/30 21:29:57,605
IKE info: Delete Notification sent for Phase-2 SA ipsec-0-VPN-ZENTRALE-pr0-l0-r0 to peer VPN-ZENTRALE, spi [0x01f2aab0]

[VPN-Status] 2013/12/30 21:26:38,989  Devicetime: 2013/12/30 21:29:57,605
IKE info: Phase-2 SA removed: peer VPN-ZENTRALE rule ipsec-0-VPN-ZENTRALE-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [6802508d  ] [01f2aab0  ]

[VPN-Status] 2013/12/30 21:26:38,989  Devicetime: 2013/12/30 21:29:57,606
IKE info: Delete Notification sent for Phase-1 SA to peer VPN-ZENTRALE, cookies [0xce9ce81efce3d029 0xfb2ecd56370778e5]

[VPN-Status] 2013/12/30 21:26:38,989  Devicetime: 2013/12/30 21:29:57,606
IKE info: Phase-1 SA removed: peer VPN-ZENTRALE rule VPN-ZENTRALE removed

[VPN-Status] 2013/12/30 21:26:39,028  Devicetime: 2013/12/30 21:29:57,628
VPN: VPN-ZENTRALE (31.xxx.xxx.xxx)  disconnected

[VPN-Status] 2013/12/30 21:26:39,028  Devicetime: 2013/12/30 21:29:57,628
vpn-maps[20], remote: VPN-ZENTRALE, idle, static-name

[VPN-Status] 2013/12/30 21:26:39,028  Devicetime: 2013/12/30 21:29:57,636
selecting next remote gateway using strategy eFirst for VPN-ZENTRALE
     => CurrIdx=1, IpStr=>80.xxx.xxx.xxx<, IpAddr=80.xxx.xxx.xxx, IpTtl=0s

[VPN-Status] 2013/12/30 21:26:39,028  Devicetime: 2013/12/30 21:29:57,636
VPN: installing ruleset for VPN-ZENTRALE (80.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:26:39,052  Devicetime: 2013/12/30 21:29:57,641
VPN: WAN state changed to WanIdle for VPN-ZENTRALE (80.xxx.xxx.xxx), called by: 003a8c99

[VPN-Status] 2013/12/30 21:26:39,052  Devicetime: 2013/12/30 21:29:57,642
VPN: VPN-ZENTRALE (80.xxx.xxx.xxx)  disconnected

[VPN-Status] 2013/12/30 21:26:39,173  Devicetime: 2013/12/30 21:29:57,656
VPN: rulesets installed

[VPN-Status] 2013/12/30 21:26:39,374  Devicetime: 2013/12/30 21:29:58,000
VPN: local reconnect lock active for VPN-ZENTRALE

[VPN-Status] 2013/12/30 21:26:40,412  Devicetime: 2013/12/30 21:29:59,000
VPN: WAN state changed to WanCall for VPN-ZENTRALE (80.xxx.xxx.xxx), called by: 003a8c99

[VPN-Status] 2013/12/30 21:26:40,423  Devicetime: 2013/12/30 21:29:59,000
VPN: connecting to VPN-ZENTRALE (80.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:26:40,423  Devicetime: 2013/12/30 21:29:59,000
vpn-maps[20], remote: VPN-ZENTRALE, nego, static-name, connected-by-name

[VPN-Status] 2013/12/30 21:26:40,423  Devicetime: 2013/12/30 21:29:59,001
vpn-maps[20], remote: VPN-ZENTRALE, nego, static-name, connected-by-name

[VPN-Status] 2013/12/30 21:26:40,423  Devicetime: 2013/12/30 21:29:59,001
VPN: set local server addresses for VPN-ZENTRALE (80.xxx.xxx.xxx)
   DNS:  10.1.1.1, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0

[VPN-Status] 2013/12/30 21:26:40,424  Devicetime: 2013/12/30 21:29:59,001
VPN: start dynamic VPN negotiation for VPN-ZENTRALE (80.xxx.xxx.xxx) via ICMP/UDP

[VPN-Status] 2013/12/30 21:26:40,424  Devicetime: 2013/12/30 21:29:59,001
VPN: create dynamic VPN V2 authentication packet for VPN-ZENTRALE (80.xxx.xxx.xxx)
   DNS:  10.1.1.1, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0
   polling address: 10.1.1.1

[VPN-Status] 2013/12/30 21:26:40,424  Devicetime: 2013/12/30 21:29:59,002
VPN: dynamic VPN V2 packet send to VPN-ZENTRALE (80.xxx.xxx.xxx)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 28
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0000
      Responser: no
    Challenge: 3112945082

[VPN-Status] 2013/12/30 21:26:40,615  Devicetime: 2013/12/30 21:29:59,065
VPN: dynamic VPN V2 packet received from VPN-ZENTRALE (80.xxx.xxx.xxx)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 28
    InfoLen: 32
    MsgType: error info (2)
    Flags: 0x0000
      Responser: no
    Challenge: 258534443

[VPN-Status] 2013/12/30 21:26:40,615  Devicetime: 2013/12/30 21:29:59,065
VPN: dynamic VPN V2 initiator conflict for VPN-ZENTRALE (80.xxx.xxx.xxx), local challenge: 3112945082

[VPN-Status] 2013/12/30 21:26:40,644  Devicetime: 2013/12/30 21:29:59,065
VPN: received dynamic VPN V2 error message from VPN-ZENTRALE (80.xxx.xxx.xxx):
connection rejected: system is busy

[VPN-Status] 2013/12/30 21:26:40,644  Devicetime: 2013/12/30 21:29:59,065

     connection is blocked for 22 seconds

[VPN-Status] 2013/12/30 21:26:40,644  Devicetime: 2013/12/30 21:29:59,066
vpn-maps[20], remote: VPN-ZENTRALE, idle, static-name

[VPN-Status] 2013/12/30 21:26:40,644  Devicetime: 2013/12/30 21:29:59,074
selecting next remote gateway using strategy eFirst for VPN-ZENTRALE
     => no remote gateway selected

[VPN-Status] 2013/12/30 21:26:40,644  Devicetime: 2013/12/30 21:29:59,074
selecting first remote gateway using strategy eFirst for VPN-ZENTRALE
     => CurrIdx=0, IpStr=>31.xxx.xxx.xxx<, IpAddr=31.xxx.xxx.xxx, IpTtl=0s
.
.
.

[VPN-Status] 2013/12/30 21:33:32,762  Devicetime: 2013/12/30 21:36:51,236
selecting next remote gateway using strategy eFirst for VPN-ZENTRALE
     => CurrIdx=1, IpStr=>80.xxx.xxx.xxx<, IpAddr=80.xxx.xxx.xxx, IpTtl=0s

[VPN-Status] 2013/12/30 21:33:32,771  Devicetime: 2013/12/30 21:36:51,236
VPN: installing ruleset for VPN-ZENTRALE (80.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:33:32,771  Devicetime: 2013/12/30 21:36:51,236
VPN: WAN state changed to WanDisconnect for VPN-ZENTRALE (80.xxx.xxx.xxx), called by: 003a8c99

[VPN-Status] 2013/12/30 21:33:32,771  Devicetime: 2013/12/30 21:36:51,237
VPN: WAN state changed to WanIdle for VPN-ZENTRALE (80.xxx.xxx.xxx), called by: 003a8c99

[VPN-Status] 2013/12/30 21:33:32,771  Devicetime: 2013/12/30 21:36:51,238
VPN: VPN-ZENTRALE (80.xxx.xxx.xxx)  disconnected

[VPN-Status] 2013/12/30 21:33:32,771  Devicetime: 2013/12/30 21:36:51,252
VPN: rulesets installed


[VPN-Status] 2013/12/30 21:33:38,152  Devicetime: 2013/12/30 21:36:56,705
VPN: WAN state changed to WanCall for VPN-ZENTRALE (80.xxx.xxx.xxx), called by: 003a8c99

[VPN-Status] 2013/12/30 21:33:38,152  Devicetime: 2013/12/30 21:36:56,705
VPN: connecting to VPN-ZENTRALE (80.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:33:38,153  Devicetime: 2013/12/30 21:36:56,706
vpn-maps[20], remote: VPN-ZENTRALE, nego, static-name, connected-by-name

[VPN-Status] 2013/12/30 21:33:38,153  Devicetime: 2013/12/30 21:36:56,706
vpn-maps[20], remote: VPN-ZENTRALE, nego, static-name, connected-by-name

[VPN-Status] 2013/12/30 21:33:38,154  Devicetime: 2013/12/30 21:36:56,707
VPN: set local server addresses for VPN-ZENTRALE (80.xxx.xxx.xxx)
   DNS:  10.1.1.1, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0

[VPN-Status] 2013/12/30 21:33:38,154  Devicetime: 2013/12/30 21:36:56,707
VPN: start dynamic VPN negotiation for VPN-ZENTRALE (80.xxx.xxx.xxx) via ICMP/UDP

[VPN-Status] 2013/12/30 21:33:38,156  Devicetime: 2013/12/30 21:36:56,707
VPN: create dynamic VPN V2 authentication packet for VPN-ZENTRALE (80.xxx.xxx.xxx)
   DNS:  10.1.1.1, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0
   polling address: 10.1.1.1

[VPN-Status] 2013/12/30 21:33:38,157  Devicetime: 2013/12/30 21:36:56,707
VPN: dynamic VPN V2 packet send to VPN-ZENTRALE (80.xxx.xxx.xxx)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 28
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0000
      Responser: no
    Challenge: 2356769960

[VPN-Status] 2013/12/30 21:33:38,628  Devicetime: 2013/12/30 21:36:56,799
VPN: dynamic VPN V2 packet received from VPN-ZENTRALE (80.xxx.xxx.xxx)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 28
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0001
      Responser: yes
    Challenge: 3169771844

[VPN-Status] 2013/12/30 21:33:38,628  Devicetime: 2013/12/30 21:36:56,800
VPN: received dynamic VPN V2 authentication packet from VPN-ZENTRALE (80.xxx.xxx.xxx)
   DNS:  10.10.0.4, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0
   polling address: 10.10.0.4

[VPN-Status] 2013/12/30 21:33:38,630  Devicetime: 2013/12/30 21:36:56,800
VPN: set local server addresses for VPN-ZENTRALE (80.xxx.xxx.xxx)
   DNS:  10.1.1.1, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0

[VPN-Status] 2013/12/30 21:33:38,632  Devicetime: 2013/12/30 21:36:56,800
vpn-maps[20], remote: VPN-ZENTRALE, nego, static-name, connected-by-name

[VPN-Status] 2013/12/30 21:33:38,633  Devicetime: 2013/12/30 21:36:56,800
VPN: installing ruleset for VPN-ZENTRALE (80.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:33:38,634  Devicetime: 2013/12/30 21:36:56,812
VPN: ruleset installed for VPN-ZENTRALE (80.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:33:38,635  Devicetime: 2013/12/30 21:36:56,812
VPN: start dynamic VPN negotiation for VPN-ZENTRALE (80.xxx.xxx.xxx) via ICMP/UDP

[VPN-Status] 2013/12/30 21:33:38,636  Devicetime: 2013/12/30 21:36:56,812
VPN: create dynamic VPN V2 authentication packet for VPN-ZENTRALE (80.xxx.xxx.xxx)
   DNS:  10.1.1.1, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0
   polling address: 10.1.1.1

[VPN-Status] 2013/12/30 21:33:38,638  Devicetime: 2013/12/30 21:36:56,812
VPN: dynamic VPN V2 packet send to VPN-ZENTRALE (80.xxx.xxx.xxx)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 28
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0000
      Responser: no
    Challenge: 1178384980

[VPN-Status] 2013/12/30 21:33:38,639  Devicetime: 2013/12/30 21:36:56,812
VPN: start IKE negotiation for VPN-ZENTRALE (80.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:33:38,640  Devicetime: 2013/12/30 21:36:56,812
VPN: WAN state changed to WanProtocol for VPN-ZENTRALE (80.xxx.xxx.xxx), called by: 003a8c99

[VPN-Status] 2013/12/30 21:33:38,641  Devicetime: 2013/12/30 21:36:56,820
VPN: rulesets installed

[VPN-Status] 2013/12/30 21:33:38,642  Devicetime: 2013/12/30 21:36:56,825
IKE info: Phase-1 negotiation started for peer VPN-ZENTRALE rule isakmp-peer-VPN-ZENTRALE using MAIN mode

[VPN-Status] 2013/12/30 21:33:38,643  Devicetime: 2013/12/30 21:36:56,891
IKE info: The remote peer VPN-ZENTRALE supports NAT-T in draft mode
IKE info: The remote peer VPN-ZENTRALE supports NAT-T in draft mode
IKE info: The remote peer VPN-ZENTRALE supports NAT-T in RFC mode
IKE info: The remote server 80.xxx.xxx.xxx:500 (UDP) peer VPN-ZENTRALE id <no_id> is Enigmatec IPSEC version 1.5.1
IKE info: The remote server 80.xxx.xxx.xxx:500 (UDP) peer VPN-ZENTRALE id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2013/12/30 21:33:38,644  Devicetime: 2013/12/30 21:36:56,892
IKE info: Phase-1 remote proposal 1 for peer VPN-ZENTRALE matched with local proposal 1

[VPN-Status] 2013/12/30 21:33:39,125  Devicetime: 2013/12/30 21:36:57,638
IKE info: Phase-1 [inititiator] got INITIAL-CONTACT from peer VPN-ZENTRALE (80.xxx.xxx.xxx)

[VPN-Status] 2013/12/30 21:33:39,127  Devicetime: 2013/12/30 21:36:57,640
IKE info: Phase-1 [initiator] for peer VPN-ZENTRALE between initiator id OU=DINGSBUMS,CN=FILIALE,O=DINGSBUMS, responder id OU=DINGSBUMS,CN=VPN-Zentrale,O=DINGSBUMS done
IKE info: initiator cookie: 0x70b5037cc8aacd8b, responder cookie: 0xcdb408073260739f
IKE info: SA ISAKMP for peer VPN-ZENTRALE encryption aes-cbc authentication SHA1
IKE info: life time ( 108000 sec/ 0 kb)

[VPN-Status] 2013/12/30 21:33:39,128  Devicetime: 2013/12/30 21:36:57,641
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer VPN-ZENTRALE set to 86400 seconds (Initiator)

[VPN-Status] 2013/12/30 21:33:39,129  Devicetime: 2013/12/30 21:36:57,641
IKE info: Phase-1 SA Timeout (Hard-Event) for peer VPN-ZENTRALE set to 108000 seconds (Initiator)

[VPN-Status] 2013/12/30 21:33:39,131  Devicetime: 2013/12/30 21:36:57,799
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer VPN-ZENTRALE set to 23040 seconds (Initiator)

[VPN-Status] 2013/12/30 21:33:39,131  Devicetime: 2013/12/30 21:36:57,799
IKE info: Phase-2 SA Timeout (Hard-Event) for peer VPN-ZENTRALE set to 28800 seconds (Initiator)

[VPN-Status] 2013/12/30 21:33:39,134  Devicetime: 2013/12/30 21:36:57,799
IKE info: Phase-2 [inititiator] done with 2 SAS for peer VPN-ZENTRALE rule ipsec-0-VPN-ZENTRALE-pr0-l0-r0
IKE info: rule:' ipsec 10.1.1.0/255.255.255.0 <-> 10.10.0.0/255.255.0.0 '
IKE info: SA ESP [0xa73b0af5]  alg AES keylength 256 +hmac HMAC_SHA outgoing
IKE info: SA ESP [0x2948da68]  alg AES keylength 256 +hmac HMAC_SHA incoming
IKE info: life soft( 23040 sec/1600000 kb) hard (28800 sec/2000000 kb)
IKE info: tunnel between src: 87.170.43.191 dst: 80.xxx.xxx.xxx  

[VPN-Status] 2013/12/30 21:33:39,135  Devicetime: 2013/12/30 21:36:57,804
VPN: dynamic VPN V2 packet received from VPN-ZENTRALE (80.xxx.xxx.xxx)
dynamic VPN V2 header:
    Version: 2
    HdrLen: 28
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0001
      Responser: yes
    Challenge: 3169771844

[VPN-Status] 2013/12/30 21:33:39,136  Devicetime: 2013/12/30 21:36:57,805
VPN: received dynamic VPN V2 authentication packet from VPN-ZENTRALE (80.xxx.xxx.xxx)
   DNS:  10.10.0.4, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0
   polling address: 10.10.0.4

[VPN-Status] 2013/12/30 21:33:40,335  Devicetime: 2013/12/30 21:36:58,801
VPN: VPN-ZENTRALE connected

[VPN-Status] 2013/12/30 21:33:40,335  Devicetime: 2013/12/30 21:36:58,801

set poll timer to 5000 ms

[VPN-Status] 2013/12/30 21:33:40,339  Devicetime: 2013/12/30 21:36:58,801
VPN: WAN state changed to WanConnect for VPN-ZENTRALE (80.xxx.xxx.xxx), called by: 003a8c99

[VPN-Status] 2013/12/30 21:33:40,341  Devicetime: 2013/12/30 21:36:58,801
vpn-maps[20], remote: VPN-ZENTRALE, connected, static-name, connected-by-name


[VPN-Status] 2013/12/30 21:33:45,321  Devicetime: 2013/12/30 21:36:58,815
VPN: poll timeout for VPN-ZENTRALE (80.xxx.xxx.xxx)
data received during intervall
set poll timer to 30000 ms


[VPN-Status] 2013/12/30 21:34:15,321  Devicetime: 2013/12/30 21:37:33,801
VPN: poll timeout for VPN-ZENTRALE (80.xxx.xxx.xxx)
data received during intervall
set poll timer to 30000 ms

vg Heiko

Dr.Einstein · Beitrag von **Dr.Einstein** » 31 Dez 2013, 07:35

wieso benutzt du überhaupt dyn. VPN mit UDP Übermittlung wenn du doch Mainmode mit Zertifikaten nutzt ? Ich denke, dass der dyn. Austausch klemmt. Hat ich je nach Firmwarestand auch schon öfters :\

Gruß Dr.Einstein

Bernie137 · Beitrag von **Bernie137** » 31 Dez 2013, 17:02

Hallo Dr. Einstein,

ja das funktioniert in der Tat etwas besser, aber auch noch nicht optimal. Ich habe jetzt keine Traces angefertigt, sondern nur im LANmonitor beobachtet. Es scheint so, als rufen sich beide Router gegenseitig und unkoordiniert an. Irgendwann greift dann die Backup IP wenn beide Seiten diese gerade abarbeiten. Wenn ich nun einstellen könnte, dass die Zentrale nie ruft und immer die Filiale anruft, könnte das besser klappen. Wie mache ich das?

vg und guten Rutsch
Heiko

Bernie137 · Beitrag von **Bernie137** » 03 Jan 2014, 20:45

Hi,

ich habe mal das Polling etwas verändert. Stand auf 600 Sek und 10 Wiederholungen, jetzt 120 Sek mit 5 Wiederholungen. Es geht etwas besser. Es brachte nichts in der Zentrale bei der VPN Verbindung die Haltezeit auf Null zu setzen anstatt 9999. Ich erhoffte mir dadurch, dass nur die Filiale anruft und es dann schneller geht. Die Filiale rief nur an, aber das war es auch schon.

Könnte man das Backup noch eleganter gestalten, z.B. mit einem 2. VPN Tunnel der dauerhaft zwischen den Backup IPs steht?

vg Heiko

LANCOM-Forum.de

Site2Site VPN Backup mit festen IPs

Site2Site VPN Backup mit festen IPs

Re: Site2Site VPN Backup mit festen IPs

Re: Site2Site VPN Backup mit festen IPs

Re: Site2Site VPN Backup mit festen IPs

Re: Site2Site VPN Backup mit festen IPs

Re: Site2Site VPN Backup mit festen IPs

Re: Site2Site VPN Backup mit festen IPs

Re: Site2Site VPN Backup mit festen IPs