Hallo zusammen,
ich benötige mal einen Tipp von euch, da ich total auf dem Schlauch stehe.
Wir haben eine Hand voll Lancom Router (4 von ca. 120 - LCOS 10.90RU3), die permanent aller 60s den S2S IKEv1/IPSec Tunnel zur "Zentrale1" (LCOS 10.80 RU12) neu aufbauen. Ein weiterer, identisch konfigurierter VPN-Tunnel auf dem gleichen Router der Filiale zu einem weiteren Lancom Router "Zentrale2" (LCOS 10.90 RU2), ist dauerhaft stabil.
Also grob:
Filiale --> Zentrale1 // bricht aller 60s ab
Filiale --> Zentrale2 // stabil über mehrere Wochen
Ein Problem an den Internetanbindungen der Filiale und Zentralen kann ich inzwischen komplett ausschließen. Die Kapselung des IPSec via HTTPS macht keinen Unterschied. DPD ist auf 60s konfiguriert.
Da die Filiale nur dynamische öffentliche IPs bekommt, nutzen wir bei beiden Tunneln von Filiale zu Zentrale1 und zu Zentrale2 das dynamic VPN via UDP Paket.
Folgendes ist im VPN-Status Trace bei der Filiale zu finden:Beim Verbindungsaufbau finde ich folgende Einträge im VPN-Status Trace der Filiale:
Für mich sieht es so aus, als würde die Filiale statt der herkömmlichen DPD, ein Polling via ICMP auf die interne IP der Zentrale1 verwenden. Ich kann mir das Verhalten nicht erklären, da Dinge wie IKE-CFG etc. nicht eingerichtet sind. Es gibt auch keinerlei ICMP Polling Einträge auf den Routern.
Ein Trace des Tunnels zu Zentrale2 ist vollkommen unauffällig und man sieht die DPD Pakete, die sauber von der Gegenstelle beantwortet werden.
Ein ICMP Trace in der Filiale zeigt u.a. folgendes:Ein ICMP Trace in der Zentrale1 zeigt keine eingehenden ICMP Pakete von der Filiale. Die Firewall Trance sind ebenfalls ohne Ergebnis.
Und das ist der Punkt an dem ich nicht weiter komme.
Vielen Dank schonmal vorab!
Grüße,
Norman.
ich benötige mal einen Tipp von euch, da ich total auf dem Schlauch stehe.
Wir haben eine Hand voll Lancom Router (4 von ca. 120 - LCOS 10.90RU3), die permanent aller 60s den S2S IKEv1/IPSec Tunnel zur "Zentrale1" (LCOS 10.80 RU12) neu aufbauen. Ein weiterer, identisch konfigurierter VPN-Tunnel auf dem gleichen Router der Filiale zu einem weiteren Lancom Router "Zentrale2" (LCOS 10.90 RU2), ist dauerhaft stabil.
Also grob:
Filiale --> Zentrale1 // bricht aller 60s ab
Filiale --> Zentrale2 // stabil über mehrere Wochen
Ein Problem an den Internetanbindungen der Filiale und Zentralen kann ich inzwischen komplett ausschließen. Die Kapselung des IPSec via HTTPS macht keinen Unterschied. DPD ist auf 60s konfiguriert.
Da die Filiale nur dynamische öffentliche IPs bekommt, nutzen wir bei beiden Tunneln von Filiale zu Zentrale1 und zu Zentrale2 das dynamic VPN via UDP Paket.
Folgendes ist im VPN-Status Trace bei der Filiale zu finden:
Code:
[VPN-Status] 2025/07/28 13:53:20,948 Devicetime: 2025/07/28 13:53:20,453VPN: poll timeout for Zentrale1 (IP1.IP2.IP3.IP4@3 IKEv1)remote site did not answer during interval (1 retries left)send poll frame to 172.16.2.254set poll timer to 1000 ms[VPN-Status] 2025/07/28 13:53:21,030 Devicetime: 2025/07/28 13:53:20,473VPN: ICMP error received for Zentrale1 (IP1.IP2.IP3.IP4@3 IKEv1), ignored[VPN-Status] 2025/07/28 13:53:22,009 Devicetime: 2025/07/28 13:53:21,453VPN: poll timeout for Zentrale1 (IP1.IP2.IP3.IP4@3 IKEv1)remote site did not answer during interval, no retries left, disconnect channelCode:
[VPN-Status] 2025/07/28 13:53:23,052 Devicetime: 2025/07/28 13:53:22,508VPN: start dynamic VPN negotiation for Zentrale1 (IP1.IP2.IP3.IP4) via ICMP/UDP[VPN-Status] 2025/07/28 13:53:23,052 Devicetime: 2025/07/28 13:53:22,508VPN: create dynamic VPN V2 authentication packet for Zentrale1 (IP1.IP2.IP3.IP4) DNS: 10.2.107.254, 0.0.0.0 polling address: 10.2.107.254[VPN-Status] 2025/07/28 13:53:23,052 Devicetime: 2025/07/28 13:53:22,509VPN: dynamic VPN V2 packet send to Zentrale1 (IP1.IP2.IP3.IP4)dynamic VPN V2 header: Version: 2 HdrLen: 28 InfoLen: 40 MsgType: address info (1) Flags: 0x0 Responder: no Challenge: 394671c0[VPN-Status] 2025/07/28 13:53:23,062 Devicetime: 2025/07/28 13:53:22,543PING_ECHO, AuthFlags: 1, LastConf: 8320, DynVpnMode: 8, StTunnel: 0[VPN-Status] 2025/07/28 13:53:23,062 Devicetime: 2025/07/28 13:53:22,543VPN: dynamic VPN V2 packet received from Zentrale1 (IP1.IP2.IP3.IP4)dynamic VPN V2 header: Version: 2 HdrLen: 20 InfoLen: 40 MsgType: address info (1) Flags: 0x1 Responder: yes Challenge: 75fd9dea[VPN-Status] 2025/07/28 13:53:23,062 Devicetime: 2025/07/28 13:53:22,544VPN: received dynamic VPN V2 authentication packet from Zentrale1 (IP1.IP2.IP3.IP4) DNS: 172.16.2.254, 0.0.0.0 polling address: 172.16.2.254Ein Trace des Tunnels zu Zentrale2 ist vollkommen unauffällig und man sieht die DPD Pakete, die sauber von der Gegenstelle beantwortet werden.
Ein ICMP Trace in der Filiale zeigt u.a. folgendes:
Code:
[ICMP] 2025/07/28 14:27:05,245 Devicetime: 2025/07/28 14:27:04,844ICMP generate packet for Dest-IP: 172.16.2.254, Echo request (8), ID: 4113, Seq: 1Und das ist der Punkt an dem ich nicht weiter komme.
Vielen Dank schonmal vorab!
Grüße,
Norman.
Statistik: Verfasst von lonesome_walker — Heute, 14:38
