Hallo zusammen.
Folgendes Szenarion bringt mich langsam zum verzweifeln. Daher dachte ich mir ich frage hier mal nach.
Ausgangsituation:
Es wurde eine Funkstrecke (mit externen Antennen) mit zwei 3550 konfiguriert, die Entfernung beträgt ca. 150 m Luftlinie. Diese Funkverbindung wurde mit zusätzlich mit einem VPN Tunnel belegt. Hintergrund dafür, WINS und Netbios müssen transportiert werden.
In der Urpsrungskonfiguration (mit FW: 6.12) funktionierte das problemlos, viel aber irgend wann von einem Tag auf den anderen aus.
Fehlermeldung war: Zeitüberschreitung während IKE oder IP-Sec Verhandlung (Initiator) [0x1106]. Ich denke, ein bekannter Fehler.
Anmerkung: Konfiguriert wurde das ganze damals von jemandem, der nicht mehr greifbar ist.
Ich habe also erst mal ein FW Update auf Version 7.80 vorgenommen und beide Seiten neu konfiguriert. Zur Überprüfung der Antennen und der Funkstrecke habe ich zuerst eine einfache Point 2 Point Verbindung mit WPA2 Konfigriert. Diese funktioniert auch problemlos.
Als nächsten Step habe ich mich dann an die VPN Konfiguration gesetzt. Auch hier wurden beide Seiten parallel konfiguriert, jeweils mit den gleichen Parametern gearbeitet und sowohl der Weg der manuellen Konfiguration, wie auch der Assistent bemüht. Beides brachte aber nicht das gewünschte Ergebnis.
Auch hier ist die Fehlermeldung im Lan Monitor: eitüberschreitung während IKE oder IP-Sec Verhandlung (Initiator) [0x1106]
Parallel zu der Funkverbindung besteht natürlich noch eine Backuproute, die über die LAN schnittstelle geroutet wird.
Interessant für mich ist, daß im Lanmonitor die VPN Verhandlung sowohl über die WLan Schnittstelle, wie auch über die LAN Schnittstelle probiert wird.
Über die LAN Schnittstelle wäre die Zeitüberschreitung noch einleuchtend, da es sich hier um eine Leitung mit Geringer Bandbreite handelt.
Da ich jetzt schon einige Zeit in dieses Konfiguration investiert habe und entsprechend lange vor den Konfig Menüs verbracht habe, sehe ich wahrscheinlich den Wald vor lauter Bäumen nicht mehr.
Daher die Frage an die Experten hier. An welcher Schraube muss ich drehen um den Fehler einzugrenzen bzw. dann auch zu beseitigen?
Zu Erwähnen ist noch, daß dies nicht das erste VPN ist, wo ich mich mit beschäftige. Allerdings das erste mit Lancom Hardware.
Danke im Voraus
Gruß
Razor
VPN mit 2x Lancom 3550 über Funk
Moderator: Lancom-Systems Moderatoren
Hallo Razor,
hab mal ne Frage zu Deinem Problem .
Du hast zwei VPN parallel zueinander. Hoffendlich hast Du zwei verschiedene Routen
schreib mal kurz wie Du das Routing gemacht hast.
Ich hab Dich doch richtig verstanden. Du hast zwei Router die einmal eine über WLAN und einmal über WAN verbunden sind. Wenn dem so ist mußt Du auf einer Verbindung (am besten auf der WAN Route) ein N:N-Mapping machen
hab mal ne Frage zu Deinem Problem .
Du hast zwei VPN parallel zueinander. Hoffendlich hast Du zwei verschiedene Routen
schreib mal kurz wie Du das Routing gemacht hast.
Ich hab Dich doch richtig verstanden. Du hast zwei Router die einmal eine über WLAN und einmal über WAN verbunden sind. Wenn dem so ist mußt Du auf einer Verbindung (am besten auf der WAN Route) ein N:N-Mapping machen
Hallo ft2002.
Erst mal Danke für die Antwort.
Im Grunde hast Du die Config schon richtig erkannt. Allerdings wird für das WAN nicht die eigene Schnittstelle des 3550 genutzt, sonder wird auf einen weiteren Router geroutet. Auf der Gegenstelle ist das genau so.
Sprich, beide Router hängen jeweils im lokalen Netz und sollen die beiden Standorte über das WLAN verbinden. Diese Verbindung steht und funktioniert auch.
Einzig das nötige VPN auf diese Verbindung zu legen bereitet mir Kopfzerbrechen.
Die externe WAN Route, über die im Moment alles läuft, wird auf beiden Seiten von separaten Routern geroutet.
Gruß
Razor
Erst mal Danke für die Antwort.
Im Grunde hast Du die Config schon richtig erkannt. Allerdings wird für das WAN nicht die eigene Schnittstelle des 3550 genutzt, sonder wird auf einen weiteren Router geroutet. Auf der Gegenstelle ist das genau so.
Sprich, beide Router hängen jeweils im lokalen Netz und sollen die beiden Standorte über das WLAN verbinden. Diese Verbindung steht und funktioniert auch.
Einzig das nötige VPN auf diese Verbindung zu legen bereitet mir Kopfzerbrechen.
Die externe WAN Route, über die im Moment alles läuft, wird auf beiden Seiten von separaten Routern geroutet.
Gruß
Razor
War das auch früher so ? Warum eigendlich über einen weiteren Router ?
Kannst Du nee Zeichnung machen oder kurz die Verknüpfung erläutern mit IP Kreisen und Routing einträgen.
Grundsätzlich kein Problem ! Das Routing für den VPN über WAN funktioniert ja ! Ich würde N:N-Mapping im WAN machen und dann sollte auch das mit dem WLAN laufen .
Das Problem ist das Du im Grund 2 Kabel parallel genommen hast ohne Verwaltung und damit das Routing mit Hin- und Rückroute nicht funktioniert, kann ja auch nicht. Lass uns mal heute abend drüber schauen.
Mach mal eine kleine Übersicht.
Bis dahin
Kannst Du nee Zeichnung machen oder kurz die Verknüpfung erläutern mit IP Kreisen und Routing einträgen.
Grundsätzlich kein Problem ! Das Routing für den VPN über WAN funktioniert ja ! Ich würde N:N-Mapping im WAN machen und dann sollte auch das mit dem WLAN laufen .
Das Problem ist das Du im Grund 2 Kabel parallel genommen hast ohne Verwaltung und damit das Routing mit Hin- und Rückroute nicht funktioniert, kann ja auch nicht. Lass uns mal heute abend drüber schauen.
Mach mal eine kleine Übersicht.
Bis dahin
Ja, das war auch früher so. Diese Konfiguration ist nicht auf meinem Mist gewachsen. Gleiches gilt für das VPN.
Es lief und von einem Tag auf den anderen, so wurde mir berichtet, funktionierte es nicht mehr.
Scheinbar liege ich aber mit meiner Konfiguration gar nicht so falsch. Es wird, so wie es in dem Trace aussieht, auch ein Tunnel aufgebaut.
Es scheitert aber an der Schlüsselverhandlung (ike phase 1).
Die Verbindung wird mit einem Timeout abgebrochen. Stutzig macht mich auch die Meldung "no remote gateway selected".
Gruß
Razor
Es lief und von einem Tag auf den anderen, so wurde mir berichtet, funktionierte es nicht mehr.
Scheinbar liege ich aber mit meiner Konfiguration gar nicht so falsch. Es wird, so wie es in dem Trace aussieht, auch ein Tunnel aufgebaut.
Es scheitert aber an der Schlüsselverhandlung (ike phase 1).
Die Verbindung wird mit einem Timeout abgebrochen. Stutzig macht mich auch die Meldung "no remote gateway selected".
Gruß
Razor