Ich habe das Forum hier durchsucht aber einen ähnlich gelagerten Fall nicht finden können. Ich habe folgendes Problem:
Wir habenmehrere Aussenstellen die alle an einen Zentralen LanCom via VPN gebunden sind. Aus den Netzen der Aussenstellen müssen drei verschiede Netze erreicht werden können. (KundenNetz/Netz-A/Netz-B).
Die AUssenstellen bauen eine VPN zur Zentrale her udn der ZentralRouter mündet dann in ein Transfernetz. Durch dieses hindurch werden dann die Netze erreicht. Eigentlich soweit alles im normalen Bereich. Die Systeme der Aussenstellen können ohne weiteres die jeweilig anderen Netze erreichen.
Was macht mir jetzt Sorgen ?
Das ich in den VPN Verbindungen Fehler habe. so wird mir auf seiten der Aussenstellen mitgeteilt dsa angeblich "kein übereinstimmendes Proposal gefunden" wurde udn für jede Verbindung auf der Zentrale "keine Regeln für ID's gefunden" angezeigt wird.
Die Verbindungen wurden via Assistent eingerichtet und nachträglich angepasst, da bei der Konfiguration via Assistent ja imemr nue ein Zielnetz angegeben werden kann.
Meine Frage geht hauptsächlich in die Richtung, wie siecher sind die Verbindugnen jetzt noch ? kann ich die Fehlermeldungen ignorieren oder habe ich garkein wirkliches VPN mehr. Weil die Kommunikation ist ja gegeben.
Ich habe die Prosopels in Bereich IKE als auch IPSec mehrfach ausgetauscht, kein Erfolg. Das Routing wurde angepasst, kein Erfolg.
Genutzt werden auf den Aussenstellen LanCom Firmware 8.60.0194RU1 und auf dem Zentralen 8011 Firmware 8.00.0221RU2.
So langsam weiss ich mir keinen Rat mehr an welcher Stellschraube noch gedreht werden muss damit die Fehler der Vergangenheit angehören.
Sofern jemand einen Rat weiss bin offen für jegliche Hilfestellung. Danke
VPN-Probleme 8011
Moderator: Lancom-Systems Moderatoren
Hi Runningback,
die Fehlermeldung deutet daraufhin, dass auf einer der beiden Tunnelendpunkte zu viele SAs aufgebaut werden bzw SAs aufgebaut werden, welche die Gegenseite nicht kennt.
Um herauszufinden auf welcher Seite zu viele aufgebaut werden, per Telnet/SSH auf das Gerät und mit dem Befehl "show vpn" die SAs anzeigen lassen und auf den Geräten vergleichen.
Je nachdem wie der Gesamtaufbau aussieht, würde ich einfach die Regelerzeugung für die Tunnel auf manuell stellen und die nötigen SAs über die Firewall mit VPN Regeln erzeugen.
Störend für den Tunnelbetrieb ansich ist das normalerweise nicht, sieht aber im LANmonitor unschön aus.
Gruß
Pothos
die Fehlermeldung deutet daraufhin, dass auf einer der beiden Tunnelendpunkte zu viele SAs aufgebaut werden bzw SAs aufgebaut werden, welche die Gegenseite nicht kennt.
Um herauszufinden auf welcher Seite zu viele aufgebaut werden, per Telnet/SSH auf das Gerät und mit dem Befehl "show vpn" die SAs anzeigen lassen und auf den Geräten vergleichen.
Je nachdem wie der Gesamtaufbau aussieht, würde ich einfach die Regelerzeugung für die Tunnel auf manuell stellen und die nötigen SAs über die Firewall mit VPN Regeln erzeugen.
Störend für den Tunnelbetrieb ansich ist das normalerweise nicht, sieht aber im LANmonitor unschön aus.
Gruß
Pothos
-
Runningback
- Beiträge: 9
- Registriert: 22 Mär 2012, 16:45
-
Runningback
- Beiträge: 9
- Registriert: 22 Mär 2012, 16:45
Also........................
wir haben früher den Router direkt in einem Kunden-Lan vor Ort gehabt. das hat sich jetzt insoweit geändert als das der LanCom in der Zentrale in einem Transfernetz mündet. Vorher haben wir zwei Default-Routen definiert. Eine mit Tag 1 die ins Internet zeigte und die eigentliche Verbindung zum Internet herstellte (Einwahl).
Die zweite war dafür da das alles nur über den Tunnel geroutet wird.
Funktionierte auch wunderbar, nur jetzt mit dem Transfernetz nicht mehr.
den zweiten Default-Routing-Eintrag rausgenommen schon ging es. Bis auf eine Außenstelle die zwar laut show vpn auf beiden Seiten das gleiche anzeigt aber im LanMonitor trotzdem die beiden alten Fehler anzeigt. woran es bei dieser speziellen Verbindung nun noch hapert erschließt sich mir noch nicht, aber ich bin da dran.
Manchmal steht man halt im Wald und sieht ihn vor lauter Bäumen einfach nicht.
Danke nochmal für die schnelle "auf den richtigen Weg" Hilfe
wir haben früher den Router direkt in einem Kunden-Lan vor Ort gehabt. das hat sich jetzt insoweit geändert als das der LanCom in der Zentrale in einem Transfernetz mündet. Vorher haben wir zwei Default-Routen definiert. Eine mit Tag 1 die ins Internet zeigte und die eigentliche Verbindung zum Internet herstellte (Einwahl).
Die zweite war dafür da das alles nur über den Tunnel geroutet wird.
Funktionierte auch wunderbar, nur jetzt mit dem Transfernetz nicht mehr.
den zweiten Default-Routing-Eintrag rausgenommen schon ging es. Bis auf eine Außenstelle die zwar laut show vpn auf beiden Seiten das gleiche anzeigt aber im LanMonitor trotzdem die beiden alten Fehler anzeigt. woran es bei dieser speziellen Verbindung nun noch hapert erschließt sich mir noch nicht, aber ich bin da dran.
Manchmal steht man halt im Wald und sieht ihn vor lauter Bäumen einfach nicht.
Danke nochmal für die schnelle "auf den richtigen Weg" Hilfe