verschiedene Subnetze durch VPN - Fehler IKE-i-General-failure (0x21ff)

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
ITMSuhl
Beiträge: 1
Registriert: 07 Jul 2020, 12:12

verschiedene Subnetze durch VPN - Fehler IKE-i-General-failure (0x21ff)

Beitrag von ITMSuhl »

Hallo zusammen,

ich habe eine Frage, weil ich keine Idee bzgl einer Lösung habe.
Wir setzen bei uns 1781VA_4G Router mit FW10.30 (09.05.2019) für Site-to Site IKE-v2 VPN ein.

Die VPN's laufen auch alle stabil.
Da wir nun die Netztrennung voran treiben wollen, stoße ich allerdings auf Probleme.

Der Lancom im der Zentrale läuft neben der primären Firewall und soll dementsprechend alle nicht bekannten Netze zu dieser abwerfen, dies klappt auch gut. Unser Standardnetz ist aktuell 172.16.0.0/16. Die neuen Bereiche befinden sich im Bereich 172.17.x.x /24
Somit trage ich in dem VPN der Zentrale ein das alles was 172.17.x.x/24 ist, an den Router 172.16.x.x geroutet werden soll

In einer Außenstelle trage ich nun auch das neue Netz (172.17.2.x /24) in die Routing Tabelle, als Router (Gateway) den VPN-Tunnel in Richtung Zentrale. Sobald ich das eintrage bleibt die VPN Stabil. Mache ich ein Testping in den neuen Bereich bekommt die VPN ein rotes Ausrufezeichen im LANmonitor mit dem Vermerk "IKE-i-General-failure". Wenn ich den Ping abbreche, weil er auch nicht erfolgreich ist, ist die VPN wieder grün.

Wo ist mein Denkfehler, was habe ich Vergessen? Die IPv4 Regelerzeugung wird doch automatisch erzeugt, wenn nicht vermerkt ist oder?

Vielen Dank im Voraus für die Unterstützung

Gruß
Stefan


Edit:
Ich habe in einem Trace event. noch eine interessante Information.
Ich kann sie leider nicht einordnen

[VPN-Packet] 2020/07/07 14:44:13,168 Devicetime: 2020/07/07 14:44:12,489
no matching sa available on LANCOMSHL: give up [2], should be retransmitted: 172.26.10.15->172.27.1.240 60 ICMP ECHOREQUEST
Antworten