Hallo an Alle
ich habe folgendes Problem mit einem Lancom 1721+ VPN und der Lancom Advanced VPN Client Software.
Nach einer gewissen Zeit bricht der Client die Verbindung zum Router ab mit der Meldung Dead Peer Detection.
Diese Meldung erhalte ich leider nur in unregelmäßigen Abständen.
Der Advanced VPN Client ist auf dem neusten Release.
Beim Router bin ich mir nicht sicher. Ist aber auch egal, da ich die gleiche Konstellation in anderen Umgebungen fehlerfrei am Laufen haben!
Könnte eine schlechte Internetverbindung das Problem sein? Der Kunde hat eine äußerst schlechte (langsame, vlt. auch manchmal unstabile) Internetverbindung.
Wäre für jede Hilfe dankbar!
Dead Peer Detection
Moderator: Lancom-Systems Moderatoren
Hi sdvs
Da stellt sich halt die Frage, was ärgerlicher ist: Hin und wieder mal neu zu Verbindunden oder aber beim Veruch auf einen Freigabe zuzugreifen in einen Timeout zu rennen um dann manuell den Tunnel zu trennen und wieder neu zu verbinden... Insbesondere, wenn du im Profil den Tunnelaufbau auf "automatisch" (oder "wechselnd") stellst, dann bekommst du von einem DPD-Abbruch nichts mit und der Tunnel wird beim nächsten Zugriff automatisch neu aufgebaut
Ich persönlich würde DPD nicht abschalten
Gruß
Backslash
Das würde zwar verhindern, daß die Verbindung mit der Meldung "Dead Peer Detection" abbricht, der Client würde dann aber nicht mehr mitbekommen, wenn die Verbindung zum Server tatsächlich mal abgebrochen ist, z.B. weil der Server gebootet hat.m Lancom Advanced VPN Client habe ich eine Option "Deaktiviere Dead Peer Detection" gefunden. Würde dies mein Problem beheben? Wozu ist diese Funktion?
Da stellt sich halt die Frage, was ärgerlicher ist: Hin und wieder mal neu zu Verbindunden oder aber beim Veruch auf einen Freigabe zuzugreifen in einen Timeout zu rennen um dann manuell den Tunnel zu trennen und wieder neu zu verbinden... Insbesondere, wenn du im Profil den Tunnelaufbau auf "automatisch" (oder "wechselnd") stellst, dann bekommst du von einem DPD-Abbruch nichts mit und der Tunnel wird beim nächsten Zugriff automatisch neu aufgebaut
Ich persönlich würde DPD nicht abschalten
Gruß
Backslash
Nun ja, da hast du sicher Recht. Dann lieber DPD an, denn ohne ist es noch viel schlimmer. Nur was ist DPD? Warum wird der Tunnel angebaut mit der Meldung DPD? Ist dort ein Fehler im Tunnel, Protokoll?
Ich hatte ja nun ein Update der Firmware auf 8.5 gemacht. Der Fehler war zwar vorher sporadisch aber mittlerweile habe ich den Tunnel mal sage und schreibe 8,5std am Stück laufen lassen.
Dabei lief der Tunnel mal ne Zeit im Leerelauf ohne Traffic (eben nur der eigene damit der Tunnel bestehen bleibt), dann wiederrum habe ich große ICMP Pakete durchs Netz geschickt und der Tunnel wurde nich abgebaut.
Meinst du das Update der Firmware konnte hier Abhilfe verschaffen? Mir geht das leidige Thema tierisch auf die Nerven. Kunde nervt seit Wochen, dass ständig der Tunnel abbrechen würde und kein Arbeite möglich sei..
Ich hatte ja nun ein Update der Firmware auf 8.5 gemacht. Der Fehler war zwar vorher sporadisch aber mittlerweile habe ich den Tunnel mal sage und schreibe 8,5std am Stück laufen lassen.
Dabei lief der Tunnel mal ne Zeit im Leerelauf ohne Traffic (eben nur der eigene damit der Tunnel bestehen bleibt), dann wiederrum habe ich große ICMP Pakete durchs Netz geschickt und der Tunnel wurde nich abgebaut.
Meinst du das Update der Firmware konnte hier Abhilfe verschaffen? Mir geht das leidige Thema tierisch auf die Nerven. Kunde nervt seit Wochen, dass ständig der Tunnel abbrechen würde und kein Arbeite möglich sei..
Hi sdvs
- Die Gegenseite hat aus irgend einem Grund den Tunnel selbst abgebaut oder gar gebootet
- Die Poll-Messages gehen im Internet verloren
- Die Antworten auf die Poll-Messages gehen im Internet verloren
- etc...
Gruß
Backslash
DPD dient dazu, wie der Name schon sagt, eine "tote" Gegenstelle zu erkennen. Dazu werden im IKE regelmäßig "are you there"-Poll-Messages verschickt und wenn die Gegenseite diese mehrfach nicht beanwortet, dann gilt sie als "tot" und die Verbindung wird getrennt. Warum die Gegenseite nicht antwortet kann verschieden Gründe haben, z.b.Nun ja, da hast du sicher Recht. Dann lieber DPD an, denn ohne ist es noch viel schlimmer. Nur was ist DPD? Warum wird der Tunnel angebaut mit der Meldung DPD? Ist dort ein Fehler im Tunnel, Protokoll?
- Die Gegenseite hat aus irgend einem Grund den Tunnel selbst abgebaut oder gar gebootet
- Die Poll-Messages gehen im Internet verloren
- Die Antworten auf die Poll-Messages gehen im Internet verloren
- etc...
Gruß
Backslash
Habe mittlerweile mehr testen können.
Unter Windows XP und Lancom AVPN Client läuft die Verbindung ununterbroch zeitweise bis zu 10std.
Die gleiche Config Datei in Windows Vista, Windows 7 mit dem gleichen Lancom AVPN Client, die unter XP ohne Probleme funktioniert, macht Probleme. Hier brechen die VPN Verbindungen regelmäßig nach ca. 2-5min ab. Immer mit der gleichen meldung DPD! Ich habe das Ganze auch mal intern versucht über LAN, das Gleiche auch hier DPD, also an der Internetleitung kann es nicht liegen, so oder so nicht, denn unter XP klappts ja auch!
Firewall? Gibts da ein paar Erfahrungen zu?
Es ist doch auch richtig, dass ich für jeden Client eine neue Config Datei brauche oder? Ich habe für jeden Client nun eine neue .ini (Konfig-Datei) erstellt. Denn wenn ich jedem die Gleiche gebe, dann werfen die sich gegenseitig aus dem Tunnel!
Unter Windows XP und Lancom AVPN Client läuft die Verbindung ununterbroch zeitweise bis zu 10std.
Die gleiche Config Datei in Windows Vista, Windows 7 mit dem gleichen Lancom AVPN Client, die unter XP ohne Probleme funktioniert, macht Probleme. Hier brechen die VPN Verbindungen regelmäßig nach ca. 2-5min ab. Immer mit der gleichen meldung DPD! Ich habe das Ganze auch mal intern versucht über LAN, das Gleiche auch hier DPD, also an der Internetleitung kann es nicht liegen, so oder so nicht, denn unter XP klappts ja auch!
Firewall? Gibts da ein paar Erfahrungen zu?
Es ist doch auch richtig, dass ich für jeden Client eine neue Config Datei brauche oder? Ich habe für jeden Client nun eine neue .ini (Konfig-Datei) erstellt. Denn wenn ich jedem die Gleiche gebe, dann werfen die sich gegenseitig aus dem Tunnel!
-
Dr.Einstein
- Beiträge: 3241
- Registriert: 12 Jan 2010, 14:10
Auf dem Vista Client habe ich die Windows Visat Firewall aktiv.Dr.Einstein hat geschrieben:Also ich hatte schon einige Fälle, wo nur die ankommenden DPD Meldungen von der Windows Vista / 7 Firewall geblockt wurden.
Nach temporärem Ausschalten ging es dann stundenlang.
Gruß Dr.Einstein
Auf dem Windows 7 Client ist es eine Kaspersky Firewall.
Jemand eine Idee welche Ports ich in der Windows Firewall öffnen muss bzw. was ich dem Kaspersky Internet Security mitteilen muss?
Werde auf gar keinen Fall die Firewalls deaktivieren.