Verbindungsabbrüche auf Wlan-Router in der VPN-angebundenen Nebenstelle

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Immo
Beiträge: 125
Registriert: 09 Jan 2014, 11:16

Verbindungsabbrüche auf Wlan-Router in der VPN-angebundenen Nebenstelle

Beitrag von Immo »

Tausendmal gemacht und immer geklappt…nur diesmal nicht.

Folgendes Szenario:

Zentrale mit Nebenstelle per VPN verbunden. IKEv1 (7100+ Zentrale, 1781A Nebenstelle). Hauptzentrale feste IP. VPN steht und ist stabil. In der Nebenstelle sind zwei Access Points (L320 agn/L321agn).Nebenstelle Windows 2012 RC2 Server als DHCP. 1781 kein DHCP, aber Gateway. Das Gateway ist in der DHCP-Option des Servers hinterlegt. Firewallregeln gesetzt und alles funktioniert.

Nun haben wir die beiden APs in die Überwachung eines PRTG-Monitors (in der Hauptzentrale) gepackt. Und siehe da, in absolut regelmäßigen und wiederkehrenden Abständen meldet der Ping-Sensor einen Error. Diese Fehler sind absolut regelmäßig und verschwinden dann wieder selbstständig bis sie pünktlich wiederkommen. Man kann die Uhr danach stellen. Von der Nebenstelle betrachtet, gibt es keine Fehler. Die VPN-Verbindung bricht dabei nicht ab und ist stabil.

Ändere ich von der Hauptzentrale die Konfiguration (auch belanglos- z. B. Kommentar) bricht der Wlan-Router sofort weg und kehrt dann nach wenigen Minuten wieder zurück um dann wieder in die Fehlerregelmäßigkeit zu fallen. Ein Cron-Job ist nicht konfiguriert.

Die Wlan-Router sind mit einer festen IP konfiguriert. DHCP-Server ist auf Clientbetrieb eingestellt. Das Setzen einer Route zur Zentrale in den jeweiligen Wlan-Routern hat genauso wenig gebracht, wie das Deaktivieren der Sicherheitsroutingeinträge (Private Netze). Ändert man nun die IP-Konfiguration im Wlan-Router so, dass er durch eine Reservierung vom Server die IP-Adresse bekommt (also keine feste IP in den Router eintragen), gibt es den Fehler nicht. Der Ping läuft dann fehlerfrei durch.

Dieses Szenario haben wir in anderen Außenstellen auch, ohne dass dieses Phänomen auftritt. Hat irgendjemand eine Idee?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Verbindungsabbrüche auf Wlan-Router in der VPN-angebundenen Nebenstelle

Beitrag von GrandDixence »

Mit "Packet-Capture" und Wireshark den Fehler eingrenzen: Ob das Ping oder das Pong nicht ankommt und wo genau die Ping/Pong-Übertragung unterbrochen ist.
Immo
Beiträge: 125
Registriert: 09 Jan 2014, 11:16

Re: Verbindungsabbrüche auf Wlan-Router in der VPN-angebundenen Nebenstelle

Beitrag von Immo »

Der Ping wird von der Firewall des VPN-Routers in der Nebenstelle durchgelassen. Die Firewallregel registriert den Zugriff.
Ich habe gestern einen anderen Wlan-Router ins Netz gestellt. Lediglich eine manuelle IP vergeben, alles andere auf Werkeinstellung gelassen. Bei dem klappt es. Daher wird wohl irgendwo in der Konfiguration der beiden aktiven Wlan-Router der Fehler liegen. Ich könnte sie natürlich auf Werkseinstellung setzen und neu konfigurieren. Wenn es dann klappt, weiß ich aber nicht woran es gelegen hat. Und das kann ich meiner Neugier nicht antun. :)
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Verbindungsabbrüche auf Wlan-Router in der VPN-angebundenen Nebenstelle

Beitrag von MariusP »

Hi,
Wissen die AP denn, dass das entfernte Netz durch diesen VPN-Router zu erreichen ist?
Was haben die denn jeweils als Gateway eingetragen? Ändert sich diese Einstellungen zum Fehlerzeitpunkt denn?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Immo
Beiträge: 125
Registriert: 09 Jan 2014, 11:16

Re: Verbindungsabbrüche auf Wlan-Router in der VPN-angebundenen Nebenstelle

Beitrag von Immo »

Genau das ist es ja, was ich nicht verstehe.
Über IPv4 habe ich die Möglichkeit, dem Wlan-Router eine feste IP zu geben. Das Gateway kann ich hier nicht bestimmen. Ich habe darüber nie nachgedacht, weil es in der Vergangenheit immer geklappt hat. Aber in der Tat stelle ich mir die Frage, woher weiß der Router eigentlich, welches Gateway er benutzen soll. Also habe ich die Server-Option zum IPv4 Netzwerk im Wlan-Router auf Client-Modus einstellt, und dann das Gateway dort eingetragen. Das hat aber nichts gebracht. Diese Option gilt wohl nur, wenn der Wlan-Router selbst als DHCP-Server konfiguriert ist. Eine andere Möglichkeit, das Gateway einzustellen, ist mir nicht bekannt. Dann habe ich noch die Rückroute zur Hauptzentrale in die Routingtabelle des Wlan-Routers eingetragen. Auch ohne Erfolg.

Dessen ungeachtet stellt sich für mich jetzt die Frage, warum funktioniert es bei den anderen Außenstellen und bei dem in dieser Außenstellen zusätzlich zu Testzwecken installierten Wlan-Routern auch ohne, dass ein Gateway eingetragen wird. Und ferner ist es für mich nicht nachvollziehbar, warum es nur turnunsmäßig bei diesen zwei Wlan-Routern nicht geht. Wäre das Gateway das Problem, dürfte es doch immer diesen Fehler geben.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Verbindungsabbrüche auf Wlan-Router in der VPN-angebundenen Nebenstelle

Beitrag von MariusP »

Hi,
Hast du denn dir per VPN-Packet, iCMP und IP-Router Trace angeschaut wo dein Packet langläuft und an welcher Stelle es nicht mehr weiterkommt?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Immo
Beiträge: 125
Registriert: 09 Jan 2014, 11:16

Re: Verbindungsabbrüche auf Wlan-Router in der VPN-angebundenen Nebenstelle

Beitrag von Immo »

Ja, wie bereits geschrieben. Das Paket kommt bis zum Gateway der Nebenstelle. Dort wird es laut Firewall durchgelassen. Dann geht es aber nicht weiter. Wenn ich das Fenster erwische, dass es funktiniert, logischerweise bis zum Wlan-Router.
Immo
Beiträge: 125
Registriert: 09 Jan 2014, 11:16

Re: Verbindungsabbrüche auf Wlan-Router in der VPN-angebundenen Nebenstelle

Beitrag von Immo »

Ich bin ein Schritt weiter.
Alle anderen baugleichen Router in den anderen Außenstellen hatte noch die 9.24 Firmware. Also habe ich auch bei den zwei besagten Routern von der aktuellen Firmware per Downgrade auf die 9.24 gewechselt. Und siehe da...kein Fehler mehr.

Ist natürlich nicht die Lösung, die ich anstrebe. Aber nun kann man den Fehler vielleicht leichter lokalisieren. Vielleicht hat es ja was mit der Behebung der WPA2 Sicherheitslücke im Dezember 2017 was zu tun?
Antworten