VPN nach Firmwareupdate

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Norbert
Beiträge: 2
Registriert: 13 Mär 2023, 10:35

VPN nach Firmwareupdate

Beitrag von Norbert »

Hallo erst einmal,
ich bin hier nagelneu ;o) und habe eigentlich mit Lancom Routern keine weitere Erfahrung.
Unser Lancom wurde uns von der Telekom an unseren DeutschlandLAN SIP-Trunk Anschluss gehängt, und macht nichts anderes, als die dahinter liegende Telefonanlage und unseren Draytek-Router ans Internet anzubinden.
Das hat bisher auch Klasse funktioniert, bis die Telekom jetzt unseren Anschluss auf CompanyFlex Complete SIP-Trunk umstellen will. Dabei wurde in der Vorprüfung auf eine aktuellere Firmware hingewiesen. Bisher hatten wir auf unserem R883+ eine 10.12.xxx drauf.
Also habe ich mich gestern mal hin gesetzt und wollte gestern die 10.70.0092 aufspielen, was aber nicht funktioniert hat. Also habe ich es mit der 10.50.1077 probiert und siehe da, es hat funktioniert. Der automatische Software Updater (den ich jetzt habe) sagt auch nach manuellem Check, dass der Roter auf dem aktuellen Stand ist.

Nun zu meinem Problem:
Der Draytek-Router baut durch den Lancom eine VPN-Verbindung auf. Das funktioniert auch immer noch. Leider bricht jetzt aber immer wieder die VPN-Verbindung ab. Ich muss dann im Draytec-Router die VPN-Verbindung droppen. Der baut sie natürlich sofort wieder auf und es funktioniert auch sofort wieder. In verschiedenen Foren wurde über ein ähnliches Verhalten des Lancom diskutiert und ich habe so viel verstanden, dass er eine "leere" VPN-Verbindung beendet. Also pinge ich jetzt per Batch alle 60 Sekunden die Gegenstelle an. Trotzdem passiert dieser drop immer noch.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN nach Firmwareupdate

Beitrag von Dr.Einstein »

Handelt es sich um einen UDP basierenden VPN? zB IPsec mit NAT-T oder OpenVPN? Wenn ja, kontrolliere bitte einmal unter IP-Router / Maskierung den UDP Timeout. Dieser war bei Version 10.20 nur 20 Sekunden, d.h. dein Batchping würde nicht ausreichen. Außerdem würde ich dir eine Portweiterleitung für deine VPN Protokolle auf den Draytec empfehlen.
Norbert
Beiträge: 2
Registriert: 13 Mär 2023, 10:35

Re: VPN nach Firmwareupdate

Beitrag von Norbert »

Danke für die schnelle Antwort.
Ja, es handelt sich um einen IPsec Tunnel mit 3DES-MD5 Authentifizierung.
Ich hatte schon den Batch-Ping auf 6 Sekunden verringert und der Draytek-Router überwacht ja den VPN selbst mittels Ping. Auch läuft Datenverkehr durch den Tunnel. Trotzdem bricht der Tunnel nach ca. 20 Sekunden immer wieder zusammen.
Eine Änderung des UDP-Aging brachte leider nichts.

An anderer Stelle hier im Forum wurde der Voice-Call-Manager beschuldigt. Der ist auf unserem R883+ aber aus.

Ich habe verschiedene Sachen probiert, komme aber nicht weiter. Manchmal dachte ich, dass es jetzt klappt, wenn die Dauer des bestehenden Tunnels mit 22 oder 23 Sekunden angezeigt wird. Aber das ich ja leider danke des 5-Sekunden-Refresh nicht aussagekräftig.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN nach Firmwareupdate

Beitrag von GrandDixence »

Norbert hat geschrieben: 16 Mär 2023, 13:57Ja, es handelt sich um einen IPsec Tunnel mit 3DES-MD5 Authentifizierung.
Solch unsichere Verschlüsselung wird der LANCOM-Router mit einer aktuell unterstützten LCOS-Version hoffentlich nicht unterstützen.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN nach Firmwareupdate

Beitrag von Dr.Einstein »

Ich hab leider aktuell keine richtige Idee, was die Ursache sein könnte, zumal es wohl mit der 10.12 vernünftig funktioniert hat. Folgendes Vorgehen würde ich empfehlen. Geh auf den Lancom Router via SSH rauf und setze dort 'trace # ip-router @ <Draytek IP> ab, ohne eckige Klammern. Dann sorgst du für so wenig Verkehr wie möglich über den Draytek, am besten ausschließlich der sekündliche Ping zum Testen. In dem Moment, wo der Ping über den Tunnel nicht mehr beantwortet wird, deaktiviert du den Trace, indem du den gleichen Befehl erneut absetzt (Pfeiltaste nach oben + enter).

Mich würde interessieren, ob im Routing Trace ein Unterschied feststellbar ist ab dem Moment, wo der Ping geht und nicht mehr geht Schon klar, dass die Pakete verschlüsselt sind. Aufgrund der Länge der Pakete müsste man die Pings aber wiedererkennen können.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VPN nach Firmwareupdate

Beitrag von tstimper »

nicht das das hier auch wieder ein MTU Problem ist...
Kannst Du im Draytec für die VPN Verbindung die MTU einstellen?
Wenn ja, nimm da mal 1300 oder 1280 oder 1250. Am besten rantasten.

Wir hatten hier in der letzen Zeit mehrere merkwürdige Fälle, die lethendlich ein MTU ÜProblem waren.

Warum tritt das erst mit höheren LCOS Versionen auf?

Ggf deshalb?
https://www.lancom-systems.de/download/ ... RU3_DE.pdf

Code: Alles auswählen

Unterstützung von automatischer Path MTU Detection bei IPSec.
https://ftp.lancom.de/Documentation/Rel ... RU7_DE.pdf

Code: Alles auswählen

Für ein Interface mit noch nicht ausgehandelter MTU wurde ein Standard-
Wert von 1280 Bytes verwendet. Da die Anpassung an die MTU nicht korrekt
funktionierte, wurde weiterhin der Standard-Wert von 1280 Bytes verwendet.
Dies führte dazu, dass größere Pakete mit gesetztem ‚Don‘t fragment‘
Flag über eine VPN-Verbindung nicht übertragen werden konnten und die
Kommunikation somit stark gestört oder nur sehr langsam möglich war.
Möglicherweise "erkennt" der LANCOM eine durch ihn aufgebaute IPSEC Verbindung?
Und meldet ggf eine zu große PMTU an den Draytec?

Du könntest auf dem LANCOM mal einen Packet Trace machen und das mit Wireshark ansehen...


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten