Hallo,
wir betreiben seit ~ 1 Jahr ein IPSec VPN zwischen einem LANcom1711+ VPN und diversen weiteren Systemen. Lief bisher reibungslos!
Seit ~ 2 Tagen haben wir das große Problem, dass urplötzlich die Daten-Verbindung zum LANcom abgerissen ist. Die IPSec-Verbindung läuft ja in 2 Stufen ab, UDP-Port 500 für den Tunnelaufbau und ESP für den Datentransfer. Teil 1 funktioniert. Die udp-pakete/cookies gehen brav hin und her. Der LANcom ist mit unserem Gateway verbunden und zeigt dies auch im Status. Allerdings ist keine Datenverbindung mit dem Subnet möglich, heißt also, kein ping - nix. Ein tcpdump von unserem Server hier zeigt, dass fleißig esp-pakete zum Lancom geschickt werden, aber keine Antwort zurück kommt.
1. Vermutung war die Firewall (obwohl niemand etwas geändert hat) - alles bereits mehrfach gecheckt. Sogar kurzzeitig abgeschaltet, erfolglos. Neu gebootet wurde auch, alle configs geprüft - mehrfach. Logfiles sehen normal aus.
Ich denke, dass irgendwo das ESP-Protokoll auf dem Weg ausgeblockt wird, deshalb keine Daten mehr transportiert werden. Der Provider beteuert zwar seine Unschuld, ich kann mir die Probleme allerdings nicht erklären. Meine Frage deshalb:
Gibt es auf dem LANCom-Router so etwas wie tcpdump, wo ich ganz konkret schauen kann, ob auf einem Anschluß überhaupt irgend etwas ankommt? Da in dem Standort leider keine Admins tätig sind, würde es sonst bedeuten, dass ich irgendwie einen Linux-Rechner dazwischen klemmen muss. Hat jemand evtl. eine Idee, was es sein könnte oder ähnliches durch?
Danke schon mal & viele Grüße,
Volker
VPN Ausfall an 1711+ VPN
Moderator: Lancom-Systems Moderatoren
Hallo Vojen,
mal kurz gefragt hast Du an beiden Standorten feste IP oder bist Du an einer Seite per DYNDNS angebunden ?
Kannst Du beide Geräte aus dem Internet öffendlich erreichen ?
Es gab ja oder gibt ein paar schwierigkeiten mit DynDNS da die öffendliche IP mit zum Verbindungsaufbau herrangezogen wird könnte der Fehler auch daher rühren.
Bitte mal ein Trace am annehmenden Router auf VPN-Status und posten.
Gruß....
mal kurz gefragt hast Du an beiden Standorten feste IP oder bist Du an einer Seite per DYNDNS angebunden ?
Kannst Du beide Geräte aus dem Internet öffendlich erreichen ?
Es gab ja oder gibt ein paar schwierigkeiten mit DynDNS da die öffendliche IP mit zum Verbindungsaufbau herrangezogen wird könnte der Fehler auch daher rühren.
Bitte mal ein Trace am annehmenden Router auf VPN-Status und posten.
Gruß....
Hallo,
danke erst einmal für den Hinweis.
Die Lancom Box hat eine feste IP und mein Gateway hier ebenfalls. Wie gesagt, im syslog steht alles als verbunden drin. Das bezieht sich aber nur auf die udp-Seite (Zertifikate etc.). Auf dem Gateway auf meiner Seite (einem OpenBSD) sehe ich auch die entsprechenden encap-routen angelegt. Nur eben der Datentransfer via esp funktioniert nicht - und das wie gesagt, völlig plötzlich, ohne konfig-Änderung. Es geht schlichtweg nix durch den Tunnel. Ich schaue mir morgen mal an, was sich tracen lässt.
Gruß,
Volker
danke erst einmal für den Hinweis.
Die Lancom Box hat eine feste IP und mein Gateway hier ebenfalls. Wie gesagt, im syslog steht alles als verbunden drin. Das bezieht sich aber nur auf die udp-Seite (Zertifikate etc.). Auf dem Gateway auf meiner Seite (einem OpenBSD) sehe ich auch die entsprechenden encap-routen angelegt. Nur eben der Datentransfer via esp funktioniert nicht - und das wie gesagt, völlig plötzlich, ohne konfig-Änderung. Es geht schlichtweg nix durch den Tunnel. Ich schaue mir morgen mal an, was sich tracen lässt.
Gruß,
Volker
