Hallo,
ich hocke gerade in den USA und mich erreichte heute morgen ein Notruf aus der Firma in D. Der Kontakt einiger Außenstellen zur Zentrale ist abgerissen,d.h. die VPN-Verbindungen bauen sich nicht mehr auf. Installiert sind ein 1906VA in der Zentrale und (überwiegend) 1781VA in den Außenstellen. Installiert sind jeweils die aktuellsten FW-Versionen (wenn ich mich recht erinnere, war das eine von Mitte November).Die Router selbst sind über ihre festen öffentlichen IPs auch anpingbar,d.h. sie sind offenbar online.
Glücklicherweise läuft mein Rechner im Büro noch,so dass ich mich von hier aus via Laptop und Teamviewer dort einloggen kann. Wenn ich mir in Lanconfig mal die Geräteeigenschaften ankucke, sehe ich, dass von den 12 unserer VPN-Verbindungen 5 stabil laufen. Bei den anderen 7 Verbindungen wird entweder gar eine Verbindung aufgebaut (mit der im Titel genannten Meldung) oder sie nur für Sekunden auf, dann aber gleich wieder abgebaut wird. Wenn es bei mehreren VPN-Verbindungen gleichzeitig passiert, kann die Fehlerursache ja nur beim 1906VA in der Zentrale liegen. Testweise hab ich mal die Internetverbindung getrennt (wurde in einem früheren Posting hier zum gleichen Problem empfohlen),doch das brachte keine Abhilfe. Genausowenig Erfolg brachte das Einspielen einer alten Konfiguration, die Aktivierung der alten Firmware von 12.06.18 auch nicht.
Hat noch jemand eine Idee, wo die Ursache liegen könnte ?
Leider sind die meisten Router nicht in der Lancom-Cloud eingebunden,so dass ich defacto momentan remote keine Verbindung zu ihnen herstellen kann. Selbst der Zugang über die Weboberfläche ist nicht möglich,da die bei uns standardmäßig so eingestellt ist,dass man da nur über VPN draufkommt. Ich glaube,ich sollte mir Gedanken drüber zu machen, nicht nur in den Router in der Zentrale eine Einwahl via VPN-Client einzubauen,sondern auch auf denen in den Außenstellen.
keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201
Moderator: Lancom-Systems Moderatoren
Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201
Hi Werniman,
"keine Regel für id's gefunden" deutet daraufhin, daß die Netzbeziehungen nicht übereinstimmen. Da mu0t du schin einen VPN-Status-Trace auf dem Gerät machen, auf dem die Meldung auftaucht. Der sagt dir dann auch, welche Netzbeziehung angefordert wurde, für die es aber keine Regelg gab. Danach mußt du dann die Routing-Tabelle und VPN-Firewallregeln mit denen der betroffnenen Gegensteite vergleichen und festzustellen, warum die Netzbeziehung angefordert und weshalb sie nicht gefunden wurde...
Da es sich um eine Fehlkonfiguration handelt, ist es egal, ob du die Firmware wechselst oder die alte Konfig wieder einspielst...
Gruß
Backslash
"keine Regel für id's gefunden" deutet daraufhin, daß die Netzbeziehungen nicht übereinstimmen. Da mu0t du schin einen VPN-Status-Trace auf dem Gerät machen, auf dem die Meldung auftaucht. Der sagt dir dann auch, welche Netzbeziehung angefordert wurde, für die es aber keine Regelg gab. Danach mußt du dann die Routing-Tabelle und VPN-Firewallregeln mit denen der betroffnenen Gegensteite vergleichen und festzustellen, warum die Netzbeziehung angefordert und weshalb sie nicht gefunden wurde...
Da es sich um eine Fehlkonfiguration handelt, ist es egal, ob du die Firmware wechselst oder die alte Konfig wieder einspielst...
Gruß
Backslash
Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201
Danke für den Tip, werde ich tun.
Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201
Mmh...ich weiss nicht,ob ich das richtig interpretiere, aber wenn ich das richtig deute, dann scheint das Problem wohl bei den Gegenstellen,d.h. den Routern in den Aussenstellen, zu liegen. Im Trace sind naemlich alle paar Sekunden Eintraege wie der hier:
Tearing down ipsec-5-DRKSHLEISR01-pr0-l2-r0, because its remote gateway has changed from 80.151.199.199 to 0.0.0.0
...
Tearing down ipsec-5-DRKSHLEISR01-pr0-l2-r0, because its remote gateway has changed from 0.0.0.0 to 80.151.199.199
Scheint also, als wuerden die Gegenstellen staendig offline und wieder online gehen. Das wuerde auch erklaeren, warum die kein Protokoll aushandeln koennen (weil die Verbindung in der Zwischenzeit getrennt wird) bzw warum es manchmal kurze Zeit geht. Bleibt die Frage,warum das bei sovielen Gegenstellen auf einmal auftritt und wie ich das beheben kann. Da ich nicht selbst vor Ort bin und jemanden beauftragen muss, waere die einfachste Methode, wenn es ein 5sek-Reset tun wuerde. Wenn ich mich recht entsinne, hat Lancom da doch so eine Art 3stufigen Reset in ihren Routern verbaut: kurz Reset druecken entspricht in etwa einem Druck auf den Resettaster am PC, 5sek entspricht einem Kaltstart und 15sek war eine Art Reset auf Werkseinstellungen,wenn ich das richtig in Erinnerung habe. Koennte da ein 5sek-Reset u.U. helfen ?
Tearing down ipsec-5-DRKSHLEISR01-pr0-l2-r0, because its remote gateway has changed from 80.151.199.199 to 0.0.0.0
...
Tearing down ipsec-5-DRKSHLEISR01-pr0-l2-r0, because its remote gateway has changed from 0.0.0.0 to 80.151.199.199
Scheint also, als wuerden die Gegenstellen staendig offline und wieder online gehen. Das wuerde auch erklaeren, warum die kein Protokoll aushandeln koennen (weil die Verbindung in der Zwischenzeit getrennt wird) bzw warum es manchmal kurze Zeit geht. Bleibt die Frage,warum das bei sovielen Gegenstellen auf einmal auftritt und wie ich das beheben kann. Da ich nicht selbst vor Ort bin und jemanden beauftragen muss, waere die einfachste Methode, wenn es ein 5sek-Reset tun wuerde. Wenn ich mich recht entsinne, hat Lancom da doch so eine Art 3stufigen Reset in ihren Routern verbaut: kurz Reset druecken entspricht in etwa einem Druck auf den Resettaster am PC, 5sek entspricht einem Kaltstart und 15sek war eine Art Reset auf Werkseinstellungen,wenn ich das richtig in Erinnerung habe. Koennte da ein 5sek-Reset u.U. helfen ?
Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201
Hi Werniman,
Fehlerhafte Netzbeziehungen können i.Ü. auch zur Trennung der Verbindung führen, wenn du z.B. ein ICMP-Polling eingerichtet hast, dessen Quell- oder Ziel-Adresse nicht zu Netzbeziehungen paßt...
Hier einfach so ins Blaue rein kann dir niemand helfen. Hier mußt du schon selbst die Untersuchungen vorantreiben und eine genauere Fehlerbeschreibung liefern - oder du suchst dir jemanden, der Ahnung von der Thematik hat...
BTW: Wenn bisher alles problemlos gelaufen ist und das Problem plötzlich auftritt, obwohl nichts geändert wurde, dann solltest du genau überlegen, was nicht geändert wurde und das ggf. rückgängig machen...
Gruß
Backslash
diese Ausgabe kommt aus dem Regelparser und duetet nur darauf hin, daß die VPN-Verbindung ab- und danach neu aufgebaut wurde. Hier mußt du schauen, warum die Verbindung getrennt wird - auch das steht im VPN-Status-Trace entweder in der Zentrale oder der Filiale - jenachdem, welche Seite abbautTearing down ipsec-5-DRKSHLEISR01-pr0-l2-r0, because its remote gateway has changed from 80.151.199.199 to 0.0.0.0
...
Tearing down ipsec-5-DRKSHLEISR01-pr0-l2-r0, because its remote gateway has changed from 0.0.0.0 to 80.151.199.199
der Reset ist nur Zweistufig: kurz drücken bootet das Gerat und lang drücken - irgendwas zwischen 5 und 10 Skunden, bis alle LEDs angehen - führt einen Reset auf Werkseinstellungen aus.Wenn ich mich recht entsinne, hat Lancom da doch so eine Art 3stufigen Reset in ihren Routern verbaut: kurz Reset druecken entspricht in etwa einem Druck auf den Resettaster am PC, 5sek entspricht einem Kaltstart und 15sek war eine Art Reset auf Werkseinstellungen,wenn ich das richtig in Erinnerung habe.
bloss nicht... es sei denn, du willst alles neu konfigurierenKoennte da ein 5sek-Reset u.U. helfen ?
Fehlerhafte Netzbeziehungen können i.Ü. auch zur Trennung der Verbindung führen, wenn du z.B. ein ICMP-Polling eingerichtet hast, dessen Quell- oder Ziel-Adresse nicht zu Netzbeziehungen paßt...
Hier einfach so ins Blaue rein kann dir niemand helfen. Hier mußt du schon selbst die Untersuchungen vorantreiben und eine genauere Fehlerbeschreibung liefern - oder du suchst dir jemanden, der Ahnung von der Thematik hat...
BTW: Wenn bisher alles problemlos gelaufen ist und das Problem plötzlich auftritt, obwohl nichts geändert wurde, dann solltest du genau überlegen, was nicht geändert wurde und das ggf. rückgängig machen...
Gruß
Backslash
Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201
Hi,
Hört sich ein wenig danach an, dass sich in letzter Zeit IP-Addressen geändert habe und auf einmal Verbindungen nicht mehr richtig zugewiesen werden können. Das würde auch erklären, warum alte Konfigurationen keine Abhilfe schaffen.
Gruß
Hört sich ein wenig danach an, dass sich in letzter Zeit IP-Addressen geändert habe und auf einmal Verbindungen nicht mehr richtig zugewiesen werden können. Das würde auch erklären, warum alte Konfigurationen keine Abhilfe schaffen.
Gruß
Zuletzt geändert von MariusP am 04 Jan 2019, 14:07, insgesamt 1-mal geändert.
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: keine regel für id's gefunden:unbekannte verbindung oder fehlerhafte id 0x3201
Hi Werniman,
hört sich so an, als ob Ihr T-DSL Business Anschlüsse hättet und da die vermeintlich zugewiesene WAN-IP als feste IP betrachtet habt (hatte ein Kunde lange Zeit so genutzt) und nach einer DSL Neueinwahl war diese dann "auf einmal" anders...
Grüße
Cpuprofi
hört sich so an, als ob Ihr T-DSL Business Anschlüsse hättet und da die vermeintlich zugewiesene WAN-IP als feste IP betrachtet habt (hatte ein Kunde lange Zeit so genutzt) und nach einer DSL Neueinwahl war diese dann "auf einmal" anders...
Grüße
Cpuprofi