keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Werniman
Beiträge: 46
Registriert: 06 Jul 2018, 07:36

keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201

Beitrag von Werniman »

Hallo,
ich hocke gerade in den USA und mich erreichte heute morgen ein Notruf aus der Firma in D. Der Kontakt einiger Außenstellen zur Zentrale ist abgerissen,d.h. die VPN-Verbindungen bauen sich nicht mehr auf. Installiert sind ein 1906VA in der Zentrale und (überwiegend) 1781VA in den Außenstellen. Installiert sind jeweils die aktuellsten FW-Versionen (wenn ich mich recht erinnere, war das eine von Mitte November).Die Router selbst sind über ihre festen öffentlichen IPs auch anpingbar,d.h. sie sind offenbar online.
Glücklicherweise läuft mein Rechner im Büro noch,so dass ich mich von hier aus via Laptop und Teamviewer dort einloggen kann. Wenn ich mir in Lanconfig mal die Geräteeigenschaften ankucke, sehe ich, dass von den 12 unserer VPN-Verbindungen 5 stabil laufen. Bei den anderen 7 Verbindungen wird entweder gar eine Verbindung aufgebaut (mit der im Titel genannten Meldung) oder sie nur für Sekunden auf, dann aber gleich wieder abgebaut wird. Wenn es bei mehreren VPN-Verbindungen gleichzeitig passiert, kann die Fehlerursache ja nur beim 1906VA in der Zentrale liegen. Testweise hab ich mal die Internetverbindung getrennt (wurde in einem früheren Posting hier zum gleichen Problem empfohlen),doch das brachte keine Abhilfe. Genausowenig Erfolg brachte das Einspielen einer alten Konfiguration, die Aktivierung der alten Firmware von 12.06.18 auch nicht.
Hat noch jemand eine Idee, wo die Ursache liegen könnte ?

Leider sind die meisten Router nicht in der Lancom-Cloud eingebunden,so dass ich defacto momentan remote keine Verbindung zu ihnen herstellen kann. Selbst der Zugang über die Weboberfläche ist nicht möglich,da die bei uns standardmäßig so eingestellt ist,dass man da nur über VPN draufkommt. Ich glaube,ich sollte mir Gedanken drüber zu machen, nicht nur in den Router in der Zentrale eine Einwahl via VPN-Client einzubauen,sondern auch auf denen in den Außenstellen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201

Beitrag von backslash »

Hi Werniman,

"keine Regel für id's gefunden" deutet daraufhin, daß die Netzbeziehungen nicht übereinstimmen. Da mu0t du schin einen VPN-Status-Trace auf dem Gerät machen, auf dem die Meldung auftaucht. Der sagt dir dann auch, welche Netzbeziehung angefordert wurde, für die es aber keine Regelg gab. Danach mußt du dann die Routing-Tabelle und VPN-Firewallregeln mit denen der betroffnenen Gegensteite vergleichen und festzustellen, warum die Netzbeziehung angefordert und weshalb sie nicht gefunden wurde...

Da es sich um eine Fehlkonfiguration handelt, ist es egal, ob du die Firmware wechselst oder die alte Konfig wieder einspielst...

Gruß
Backslash
Werniman
Beiträge: 46
Registriert: 06 Jul 2018, 07:36

Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201

Beitrag von Werniman »

Danke für den Tip, werde ich tun.
Werniman
Beiträge: 46
Registriert: 06 Jul 2018, 07:36

Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201

Beitrag von Werniman »

Mmh...ich weiss nicht,ob ich das richtig interpretiere, aber wenn ich das richtig deute, dann scheint das Problem wohl bei den Gegenstellen,d.h. den Routern in den Aussenstellen, zu liegen. Im Trace sind naemlich alle paar Sekunden Eintraege wie der hier:

Tearing down ipsec-5-DRKSHLEISR01-pr0-l2-r0, because its remote gateway has changed from 80.151.199.199 to 0.0.0.0
...
Tearing down ipsec-5-DRKSHLEISR01-pr0-l2-r0, because its remote gateway has changed from 0.0.0.0 to 80.151.199.199

Scheint also, als wuerden die Gegenstellen staendig offline und wieder online gehen. Das wuerde auch erklaeren, warum die kein Protokoll aushandeln koennen (weil die Verbindung in der Zwischenzeit getrennt wird) bzw warum es manchmal kurze Zeit geht. Bleibt die Frage,warum das bei sovielen Gegenstellen auf einmal auftritt und wie ich das beheben kann. Da ich nicht selbst vor Ort bin und jemanden beauftragen muss, waere die einfachste Methode, wenn es ein 5sek-Reset tun wuerde. Wenn ich mich recht entsinne, hat Lancom da doch so eine Art 3stufigen Reset in ihren Routern verbaut: kurz Reset druecken entspricht in etwa einem Druck auf den Resettaster am PC, 5sek entspricht einem Kaltstart und 15sek war eine Art Reset auf Werkseinstellungen,wenn ich das richtig in Erinnerung habe. Koennte da ein 5sek-Reset u.U. helfen ?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201

Beitrag von backslash »

Hi Werniman,
Tearing down ipsec-5-DRKSHLEISR01-pr0-l2-r0, because its remote gateway has changed from 80.151.199.199 to 0.0.0.0
...
Tearing down ipsec-5-DRKSHLEISR01-pr0-l2-r0, because its remote gateway has changed from 0.0.0.0 to 80.151.199.199
diese Ausgabe kommt aus dem Regelparser und duetet nur darauf hin, daß die VPN-Verbindung ab- und danach neu aufgebaut wurde. Hier mußt du schauen, warum die Verbindung getrennt wird - auch das steht im VPN-Status-Trace entweder in der Zentrale oder der Filiale - jenachdem, welche Seite abbaut
Wenn ich mich recht entsinne, hat Lancom da doch so eine Art 3stufigen Reset in ihren Routern verbaut: kurz Reset druecken entspricht in etwa einem Druck auf den Resettaster am PC, 5sek entspricht einem Kaltstart und 15sek war eine Art Reset auf Werkseinstellungen,wenn ich das richtig in Erinnerung habe.
der Reset ist nur Zweistufig: kurz drücken bootet das Gerat und lang drücken - irgendwas zwischen 5 und 10 Skunden, bis alle LEDs angehen - führt einen Reset auf Werkseinstellungen aus.
Koennte da ein 5sek-Reset u.U. helfen ?
bloss nicht... es sei denn, du willst alles neu konfigurieren

Fehlerhafte Netzbeziehungen können i.Ü. auch zur Trennung der Verbindung führen, wenn du z.B. ein ICMP-Polling eingerichtet hast, dessen Quell- oder Ziel-Adresse nicht zu Netzbeziehungen paßt...

Hier einfach so ins Blaue rein kann dir niemand helfen. Hier mußt du schon selbst die Untersuchungen vorantreiben und eine genauere Fehlerbeschreibung liefern - oder du suchst dir jemanden, der Ahnung von der Thematik hat...

BTW: Wenn bisher alles problemlos gelaufen ist und das Problem plötzlich auftritt, obwohl nichts geändert wurde, dann solltest du genau überlegen, was nicht geändert wurde und das ggf. rückgängig machen...

Gruß
Backslash
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201

Beitrag von MariusP »

Hi,
Hört sich ein wenig danach an, dass sich in letzter Zeit IP-Addressen geändert habe und auf einmal Verbindungen nicht mehr richtig zugewiesen werden können. Das würde auch erklären, warum alte Konfigurationen keine Abhilfe schaffen.
Gruß
Zuletzt geändert von MariusP am 04 Jan 2019, 14:07, insgesamt 1-mal geändert.
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201

Beitrag von cpuprofi »

Hi Werniman,

hört sich so an, als ob Ihr T-DSL Business Anschlüsse hättet und da die vermeintlich zugewiesene WAN-IP als feste IP betrachtet habt (hatte ein Kunde lange Zeit so genutzt) und nach einer DSL Neueinwahl war diese dann "auf einmal" anders...

Grüße
Cpuprofi
Antworten