Hallo,
wenn ich mich mit dem Adv. VPN Client zu einem Netzwerk verbinde (Einwahl mit Zertifikat), bricht die Verbindung immer nach ca. 6h ab. Im Client habe ich unter IPSEC Richtlinie bei Gültigkeit alles schon entsprechend hoch gesetzt, hilft aber nicht. Wo muss ich im Lancom Router schauen, um diese Zeiten zu erhöhen?
Danke vorab,
Christian
AVC trennt Verbindung nach ca. 6h
Moderator: Lancom-Systems Moderatoren
Hi chrischan
also im Default hält das LANCOM Phase-1 SAs 8000 Sekunden und Phase-2 SAs 2000 - also weit länger als 6 Stunden. Desweiteren wird nach Ablauf der Zeit auch ein Rekeying durchgeführt (i.A. vom Client), so daß die Verbindung vom LANCOM aus nie unterbrochen werden sollte (außer bei der Zwangstrennung).
Um aber sicher zu gehen, welche Timeouts für die SAs tatsächlich verwendet werden kannst du unter /Status/VPN/IKE nachschauen, wie lange eine Phase-1 SA gültig ist (Max-Sec). Den Wert für die Phase-2 findest du unter /Status/VPN/ESP. Das Rekeying startet immer zum Zeitpunkt "Soft-Sec"...
Gruß
Bckslash
also im Default hält das LANCOM Phase-1 SAs 8000 Sekunden und Phase-2 SAs 2000 - also weit länger als 6 Stunden. Desweiteren wird nach Ablauf der Zeit auch ein Rekeying durchgeführt (i.A. vom Client), so daß die Verbindung vom LANCOM aus nie unterbrochen werden sollte (außer bei der Zwangstrennung).
Um aber sicher zu gehen, welche Timeouts für die SAs tatsächlich verwendet werden kannst du unter /Status/VPN/IKE nachschauen, wie lange eine Phase-1 SA gültig ist (Max-Sec). Den Wert für die Phase-2 findest du unter /Status/VPN/ESP. Das Rekeying startet immer zum Zeitpunkt "Soft-Sec"...
Gruß
Bckslash
Leider habe ich das selbe Problem mit einem 9100 (8.00RU2) und dem AVC (2.23). Die Verbindungen brechen nach ca. 5:35 Stunden ab. Dies kommt bei unterschiedlichen A-DSL Anschlüssen mit unterschiedlichen Routern vor. Ich habe alle IKE/IPSec Richtlinien überprüft und alle Zeiten sind weitaus größer.
Wo könnte man noch gucken bzw. hat jemand das Problem gelöst?
Wo könnte man noch gucken bzw. hat jemand das Problem gelöst?
Hallo backslash,backslash hat geschrieben:Hi chrischan
also im Default hält das LANCOM Phase-1 SAs 8000 Sekunden und Phase-2 SAs 2000 - also weit länger als 6 Stunden.
Phase 1 sind im default 8000 Sekunden. Das sind aber nur 2 Stunden , 13 Minuten und 20 Sekunden (Pingel
).Das Rekeying würde normalerweise nach 8000s - 10% = 7200s also 2 Stunden durchgeführt.
Für Phase 2 würde das Rekeying nach 2000s - 10% = 1800s also einer halben Stunde durchgeführt.
@ Flatman: Ich würde auf dem 9100 mal tracen (trace # vpn-stat @ <Verbindungsname>) wer das Rekeying durchführt und ob es zu Fehlermeldungen kommt.
JuergenS
Hi,
stimmt, die "Default" Proposals im LCOS sind bei Phase1 mit 8000s und Phase2 mit 2000s angelegt.
Jedoch die Phase1 Proposals, die durch den Assistenten/Wizzard beim erstellen einer Verbindung angelegt werden, haben laengere Zeiten definiert, 108000s also 30 Stunden. Und um die Phase1 Proposals geht es ja hier.
Ciao
LoUiS
stimmt, die "Default" Proposals im LCOS sind bei Phase1 mit 8000s und Phase2 mit 2000s angelegt.
Jedoch die Phase1 Proposals, die durch den Assistenten/Wizzard beim erstellen einer Verbindung angelegt werden, haben laengere Zeiten definiert, 108000s also 30 Stunden. Und um die Phase1 Proposals geht es ja hier.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.