Verbindungsabbruch IPSec V2 nach 30Sec

[tiptel170]

Hallo Leute,
ich habe zwei Lancon-Router von der Serie 1781VA-4G, beide haben von dem Provider Feste-IP-Adresse. Diese sind über ein Glasfaser Modem angeschlossen und diese sind im Bridge-Mode.

Der LCR (i) im privat Haus ruft das Büro LCR (r), dieser antwortet auch und danach werden die Schlüssel ausgehandelt. Soweit so gut, nach einer weile kommt dann der Tunnel ist verbunden. Der inicator (i) bricht nach ca 30 sek die Verbindung einfach ab - ohne Grund. Und der Router im Bür (responder), meldet "timed out".

Auf dem Router im Büro sind noch vier weitere Tunnels aktiv, von zwei davon über verschiedene Provider aufgebaut wird.

Ich weiss nicht mehr weiter, wo ich ansetzten kann um den Fehler zu finden. Bind auch mit dem Internet-Provider im Kontakt.

Die Verbindungen sind auch stabil. Linkes Konsolen-Fenster zeigt das log vom iniciator und das rechte ist von dem responder.

[tiptel170]

Hier der Anfang von den Screenshots.

Danke und einen schönen Abend noch.

[Dr.Einstein]

Kann es sein, dass ein Line Polling aktiv ist auf der VPN-Verbindung?

[tiptel170]

Nein, kein Polling ist aktiv.

[Frühstücksdirektor]

Du sollteste nicht mehr DH5 verwenden, dass ist nicht mehr sicher. Bitte DH15 oder direkt das moderne DH32 (Curve448) verwenden.
Das hat aber nichts mit dem Problem zu tun. Ist mir nur aufgefallen.

Bitte prüfe mal, ob es eine eindeutige Aufbaurichtig gibt, d.h, nicht das die Geräte versuchen gleichzeitig zueinander aufbauen.
Die Zentrale hat die Haltezeit 0, die Filiale baut mit 9999 auf (Konfiguration des VPN-Tunnels).

[Dr.Einstein]

Irgendwas mit den SA's nicht in Ordnung? Auf den Screenshots ist auf einer Seite die 192.168.9.0/24 <> 192.168.14.0/24 zu sehen, auf der anderen nicht.

[GrandDixence]

In den Traces VPN_IKE und VPN_DEBUG sollte der Grund für den Abbruch des VPN-Tunnelaufbaus ersichtlich sein. Ich tippe auf ein Problem mit der VPN-Lizenz (max. 5 VPN-Tunneln gleichzeitig).

VPN-Konfiguration mit der entsprechenden Anleitung abgleichen:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

[tiptel170]

Du sollteste nicht mehr DH5 verwenden, dass ist nicht mehr sicher. Bitte DH15 oder direkt das moderne DH32 (Curve448) verwenden.
Das hat aber nichts mit dem Problem zu tun. Ist mir nur aufgefallen.

Bitte prüfe mal, ob es eine eindeutige Aufbaurichtig gibt, d.h, nicht das die Geräte versuchen gleichzeitig zueinander aufbauen.
Die Zentrale hat die Haltezeit 0, die Filiale baut mit 9999 auf (Konfiguration des VPN-Tunnels).

Das DH5 war nur ein Versuch um einen Fehler ausschliessen zu können. Der im Büro hat die Haltezeit 0 und im Haus 9999.

[tiptel170]

In den Traces VPN_IKE und VPN_DEBUG sollte der Grund für den Abbruch des VPN-Tunnelaufbaus ersichtlich sein. Ich tippe auf ein Problem mit der VPN-Lizenz (max. 5 VPN-Tunneln gleichzeitig).

VPN-Konfiguration mit der entsprechenden Anleitung abgleichen:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

Es sind zwar vier Tunnel aufgebaut. Ein fünfter geht doch auch, es sind fünf Lizenzen frei. Ich habe mal spasseshalber einen VPN Tunnel im Büro gelöscht um zu sehen ob es an der Lizens liegt, es war auch der gleiche Fehler.

Es erscheint im Debug nicht die Meldung, das ich alle Lizenzen verbraucht habe.

[jgraef]

Ich hatte so ein 30-Sekunden-Problem bei der Einwahl mit meinem Android-Handy. Damals lag es an der automatischen VPN-Regelerzeugung. Nach der Umstellung auf manuell ging es dann einwandfrei.

Vielleicht kannst Du da einmal schauen.

Viele Grüße, Jörg.

[Frühstücksdirektor]

Bist du dem Hinweis mit den VPN-Netzbeziehungen (SAs) nachgegangen von dem Hinweis vorher? Die sehen mir auch merkwürdig aus.

Du kannst ja den Test machen: Setze auf beiden Seiten in der IKEv2-Verbindung die VPN-Regelerzeugung auf "manuell" mit RAS-WITH-NETWORK-SELECTION als 0.0.0.0/0 <=> 0.0.0.0/0. Bitte auch prüfen, ob nicht gleichzeitig noch Firewall-Regeln als VPN-Regeln existieren, falls du so eine alte LCOS-Version nutzt. Das sieht mir verdächtig nach LCOS 10.42 aus...

Wenn es dann funktioniert hast Du eine Config-Problem mit den VPN-Regeln...

[tiptel170]

Ich habe es auf Beiden Seiten eingestellt:
RAS-WITH-NETWORK-SELECTION als 0.0.0.0/0 und manuell

Um festzustellen, dass der Router hier im Haus dann von 30 Rückwärts zählt.

Danach habe ich die Konfig so eingestellt, dass im Büro steht die Regelerzeugung auf Manuell und hier im Haus auf automatisch.

Siehe Foto, das gleich Ergebinss, bleit ca. für 30 sek online.

Habe sogar die Regeln manuell erstellt und diese in eine Regelliste gepackt und auf manuell gestellt. Auch das gleiche Ergebinss.

[tiptel170]

Hier die Screenshots von der Konfig. Links zu Hause und rechts das Büro.

[tiptel170]

Hier die restlichen Screenshots

[PappaBaer]

Moin,

Bildschirmfoto 2025-02-18 um 21.22.31.png

Gibt es dafür bei Dir einen bestimmten Grund? Damit baust Du den Tunnel mit UDP 4500 auf anstatt wie üblich mit UDP 500.
Wenn es dafür keinen konkreten Grund gibt, dann stelle mal bitte auf beiden Seiten Encapsulation "Keine" ein und teste dann mal.

VG,
Torsten