VPN-Verbindung immer nur über bestimmte VSDL-Verbindung aufbauen

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Werniman
Beiträge: 46
Registriert: 06 Jul 2018, 07:36

VPN-Verbindung immer nur über bestimmte VSDL-Verbindung aufbauen

Beitrag von Werniman »

Hallo,
kürzlich sind wir von einem 1781VA-Router auf einen 1906-Router umgezogen,d.h. beide Internetanbindungen der Firma (feste IP im 217.xx bzw 80.xx-Netz) laufen jetzt auf dem selben Router zusammen. Load Balancing ist aktiviert und soll optimalerweise auch aktiviert bleiben. Den meisten unserer VPN-Verbindungen macht das nix aus, über welche Internetverbindung sie aufgebaut werden, nur eine bestimmte VPN-Verbindung (zu einer Firma für Software des Gesundheitswesens) zickt rum.

Leider hat es sich diese Firma scheinbar zur Maxime gemacht, in so ziemlich jeder Hinsicht bei der Anbindung an ihr Netz ihr eigenes Ding zu machen (ungewöhnliche Settings bei so ziemlich jeder nur denkbaren VPN-Einstellung). Das lief schon auf dem alten Router eher unzuverlässig und stieg öfters mal aus. Weiß Gott,wie oft ich in den letzten Tagen seit dem Umzug die ganzen VPN-Settings schon zwischen altem und neuen Router von Hand miteinander abgeglichen habe, zuletzt funktionierte sie gestern Nachmittag,um dann 1h später wieder auszusteigen. Der Lanmonitor zeigt dann an, dass die Verbindung über VDSL-Port 1 initiert wurde und mit einem Verweis auf einen falschen IKE-Schlüssel abgelehnt wurde. Da es aber über Port 2 (zumindest zeitweilig) funktioniert, gehe ich eher davon aus, dass sich die Gegenseite eher an der verwendeten Quell-IP stört (an VDSL-Port 1 hängt ja der Anschluß mit der 217er-IP).

Meine Frage: kann ich es irgendwie bewerkstelligen, dem Lancom begreiflich zu machen, dass er die VPN-Verbindung zu dieser Firma auschließlich über VDSL-Port 2 aufbauen soll ?

PS:Kann es sein,dass die Entwickler bei Netphone einen Fetisch für möglichst viele kleine Profile haben ? Irgendwie ist jede noch so kleine Einstellung als eigenes Profil verwurstet.
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: VPN-Verbindung immer nur über bestimmte VSDL-Verbindung aufbauen

Beitrag von Bernie137 »

Hallo,

Du kannst in der VPN-Verbindungsliste bei "Tag" Dein Routing Tag für die VDSL2 Verbindung angeben.

Gruß Bernie
Man lernt nie aus.
Werniman
Beiträge: 46
Registriert: 06 Jul 2018, 07:36

Re: VPN-Verbindung immer nur über bestimmte VSDL-Verbindung aufbauen

Beitrag von Werniman »

Danke für deine Antwort. Nun habe ich den Routing Tag gesetzt und laut "Gerät temporär überwachen" baut der Router die Verbindung nun auch scheinbar tatsächlich über die besagte Verbindung auf. Warum sag ich scheinbar ? Nun, die ursprüngliche Meldung, mit der die Verbindung eigentlich abgelehnt wurde, war die,daß der IKE-Schlüssel nicht stimmen würde. Seltsam nur,dass die Verbindung zwischendurch immer mal für 1-2h funktioniert, insofern kann es m.E. kein Einstellungfehler sein.
Interessant ist, was ich sehe, wenn ich das Trace-Tool aufmache und mir dort über Experten-Konfiguration/Status/VPN/IKE anzeigen lasse, welche VPN-Verbindungen der Router überhaupt aufbaut. Denn dort steht für Peer und Crypt-Alg unknown, als Age steht 362016 da (ändert sich auch nicht..die anderen VPNs sind alle maximal um die 900). Und der Hammer: als Source-Adress steht weiterhin die 217.xx.xx.xxx drin, das ist genau die fest IP des Anschlusses, den er gerade nicht mehr nutzen soll. Sieht also so aus,als ignoriere der Router fröhlich alle veränderten Einstellungen. Ich bin echt am verzweifeln und weiß nicht mehr weiter. Kann mir da jemand sagen, was da noch falsch läuft ?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN-Verbindung immer nur über bestimmte VSDL-Verbindung aufbauen

Beitrag von GrandDixence »

Wird eine aktuelle LCOS-Version eingesetzt? Gemäss LCOS-Release Note sind eventuell relevante Korrekturen in LCOS 10.12.0292 RU6 eingeflossen.
https://www.lancom-systems.de/download/ ... RU9_DE.pdf

Zum Thema "Load Balancing&VPN" und DPD (Dead Peer Detection) siehe auch:
fragen-zum-thema-vpn-f14/fast-kein-traf ... 16434.html

Ohne die VPN-Traces à la:

Code: Alles auswählen

trace + vpn
trace + vpn-debug
Wird hier wohl niemand weiterhelfen können. In den VPN-Traces sollte auch der VDSL-Port ersichtlich sein. Insbesondere die Aufzeichnung des VPN-Steuerkanals (IKE => "trace + vpn-ike" oder ähnlich) wäre aufschlussreich.

Eventuell hilft auch ein Quervergleich mit der "Muster-Konfiguration" weiter:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: VPN-Verbindung immer nur über bestimmte VSDL-Verbindung aufbauen

Beitrag von Jirka »

Bei Deiner Konfigübernahme muss auch nicht alles glatt gegangen sein. Wenn man nur die 'del *' rauslöscht, können trotzdem noch Einträge mit gleichem Index, also im VPN-Fall gleicher Bezeichnung der Proposals oder Proposal-Listen, im bestehenden Router überschrieben worden sein. Das nur mal zur Info. Und erfahrungsgemäß bauen die Bezeichnungen sehr oft auf den WIZ-Bezeichnungen auf und werden dann modifiziert, wobei die Bezeichnung aber gleich gelassen wird. Wie auch immer, eine Zusammenführung von zwei Konfigs, verbunden mit einem Loadbalancer ist schon eine komplexe Angelegenheit. Zu den Anzeigefehlern: Hast Du auch mal den LANCOM neu gestartet? Also wenn man zu viel an den VPNs rumändert, dann ist manchmal (leider) ein Neustart erforderlich.
Werniman
Beiträge: 46
Registriert: 06 Jul 2018, 07:36

Re: VPN-Verbindung immer nur über bestimmte VSDL-Verbindung aufbauen

Beitrag von Werniman »

Gottseidank war derjenige, der das Ganze ursprünglich mal eingerichtet hat,so weise, nicht die vorgefertigten Settings für die vielen einzelnen Settings (wie IKE-Schlüsse, IPSec-Proposal usw) zu nutzen, sondern hat das für die betreffende VPN-Verbindung alles neu angelegt, so dass es ziemlich gefahrlos ist, da was zusätzlich zu importieren. Was mir nicht so richtig in den Schädel will ist der Umstand,dass es mal anstandslos funktioniert (wie jetzt gerade) und 2h später mit einem angeblich falschen Schlüssel abgewiesen wird. Ich hatte schon den Verdacht, dass der Admin der Gegenseite öfters mal an den dortigen Einstellungen rumbastelt, aber der verneint das natürlich.
Antworten