Hi!
Ich habe aktuell ein site-2-site VPN vom Lancom R903 -2- Palo Alto aufgebaut.
Auf dem LANCOM habe ich 3x IP Netze (1x Untagged, 2x Tagged) auf das virtuellen Interface LAN-1 gebunden (-> ETH3).
Solange ich nur 1x "Local Networks" beim VPN (VPN->General->Network rules-> IPv4 rules) eintrage ist alles gut, sobald ich aber alle drei Netze aktiviere habe ich über alle 3 Netze 30-80% Paketverluste.
-> Ich gehe davon aus, dass ggf irgendwo beim Routing ein Fehler vorliegt?
Bei den IP Networks habe ich Tag 1;2;3 verwendet, das VLAN Modul ist ausgeschaltet.
BG und vielen Dank im Voraus!
VPN - Paketverluste/Routingprobleme bei aktivieren mehrerer Local Networks
Moderator: Lancom-Systems Moderatoren
-
StefanMosleitner
- Beiträge: 3
- Registriert: 11 Mai 2025, 21:28
Re: VPN - Paketverluste/Routingprobleme bei aktivieren mehrerer Local Networks
Sehe ich es richtig, dass du eine manuelle Regelerzeugung konfiguriert hast, also Netzwerke definiert und am Tunnel auch die manuelle Regelerzeugung eingestellt?
Sind auf der Gegenseite alle Netze, die du LANCOM-seitig in der Regelerzeugung eingeschlossen hast, ebenfalls in der Regelerzeugung eingeschlossen?
Fehlerhafte Regelerzeugung kann nämlich zu Störungen und Tunnelabrissen führen.
Sind auf der Gegenseite alle Netze, die du LANCOM-seitig in der Regelerzeugung eingeschlossen hast, ebenfalls in der Regelerzeugung eingeschlossen?
Fehlerhafte Regelerzeugung kann nämlich zu Störungen und Tunnelabrissen führen.
LCS NC/WLAN
-
StefanMosleitner
- Beiträge: 3
- Registriert: 11 Mai 2025, 21:28
Re: VPN - Paketverluste/Routingprobleme bei aktivieren mehrerer Local Networks
Hi!
Vielen Dank für die schnelle Rückmeldung.
Bei Connection list -> VPN rule Creation:
- Rule Creation: "Auto"
- IPv4 rules: "Mein Netzwerk rule Name"
Auf der Gegenseite habe ich kein Netz definiert, da route ich nur in den Tunnel...
Vielen Dank für die schnelle Rückmeldung.
Bei Connection list -> VPN rule Creation:
- Rule Creation: "Auto"
- IPv4 rules: "Mein Netzwerk rule Name"
Auf der Gegenseite habe ich kein Netz definiert, da route ich nur in den Tunnel...
Re: VPN - Paketverluste/Routingprobleme bei aktivieren mehrerer Local Networks
Da mag dein Problem liegen.
Du nutzt die automatische Regelerzeugung, die definierten Netzwerkregeln greifen nicht und damit hast mit sehr hoher Wahrscheinlichkeit einen Rule-Mismatch. Vermutlich hast du sogar zwei unterschiedliche Prinzipen vermischt, Policy-based und Route-based VPN.
Prüfe bitte mal über einen VPN-Trace, welche Netzbeziehungen in der Aushandlung angefordert werden. Ich kenn PA-VPNs nicht, aber einige andere Hersteller erzeugen beim Route-Based VPN Regeln mit 0.0.0.0/0, welche der LANCOM aber nicht erwartet und zu einem Tunnelabbau bewegen könnten.
Beide Seiten sollten sich in der Regelerzeugung absolut einig sein, jede Abweichung führt zu Fehlern und Problemen.
Du nutzt die automatische Regelerzeugung, die definierten Netzwerkregeln greifen nicht und damit hast mit sehr hoher Wahrscheinlichkeit einen Rule-Mismatch. Vermutlich hast du sogar zwei unterschiedliche Prinzipen vermischt, Policy-based und Route-based VPN.
Prüfe bitte mal über einen VPN-Trace, welche Netzbeziehungen in der Aushandlung angefordert werden. Ich kenn PA-VPNs nicht, aber einige andere Hersteller erzeugen beim Route-Based VPN Regeln mit 0.0.0.0/0, welche der LANCOM aber nicht erwartet und zu einem Tunnelabbau bewegen könnten.
Beide Seiten sollten sich in der Regelerzeugung absolut einig sein, jede Abweichung führt zu Fehlern und Problemen.
LCS NC/WLAN
-
StefanMosleitner
- Beiträge: 3
- Registriert: 11 Mai 2025, 21:28
Re: VPN - Paketverluste/Routingprobleme bei aktivieren mehrerer Local Networks
Spitze! Vielen Dank, Du hast mich auf die richtige Spur gebracht 
Habe jetzt auf beiden peers nur eine Route eingetragen und bei den VPN "Network rules" auf dem LANCOM ausschließlich das "supernet" /21 für den Standort genommen und bei der connection einfach -> rule creation -> "manual" genommen.
-> Läuft super! Quasi keine Paketverluste mehr! (P.S.: War mein erstes VPN zu einem Lancom)
Nochmals vielen Dank!
Habe jetzt auf beiden peers nur eine Route eingetragen und bei den VPN "Network rules" auf dem LANCOM ausschließlich das "supernet" /21 für den Standort genommen und bei der connection einfach -> rule creation -> "manual" genommen.
-> Läuft super! Quasi keine Paketverluste mehr! (P.S.: War mein erstes VPN zu einem Lancom)
Nochmals vielen Dank!