5. VPN Verbindung meistens nicht möglich

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
tom-1
Beiträge: 124
Registriert: 28 Dez 2005, 10:46

5. VPN Verbindung meistens nicht möglich

Beitrag von tom-1 »

Hallo zusammen,

ich habe hier einen LC 1783VAW, 10.50 RU9 mit 5 VPN Verbindungen ab Werk. Die 5 möglichen VPN Verbindungen werden in Lanconfig auch angezeigt.

Der VPN Server des LC zickt nur herum, wenn 4 VPN Verbindungen aufgebaut sind und die 5. VPN Verbindung aufgebaut werden soll. Aus Sicht des Endgerätes sieht es dann aus wie ein Timeout. Wenn vorher eine andere VPN Verbindung deaktiviert wurde (egal ob im Endgerät oder im LanMonitor), geht VPN des vorher nicht möglichen Endgerätes aber nahezu sofort, das kann man im Ring tauschen, es ist kein Endgerät Problem. Im Test konnte ich aber sehen, dass es nach vielen Versuchen tatsächlich möglich war, die 5. VPN Verbindung aufzubauen - das dauerte aber außergewöhnlich lange (20s?)

Im Trace ist mit vorher - auch nach LanMonitor - vier aufgebauten VPN Verbindungen beim erfolglosen Versuch der 5. VPN Verbindung z.B. zusehen:

[VPN-Status] 2023/01/27 16:21:02,379 Devicetime: 2023/01/27 16:21:03,345 -All VPN licenses are currently in use => Reject

Das ist sachlich nicht richtig, auch der LanMonitor zeigt 4 an, 5 sind aber lizenziert.

Der Router und die Einwahlclients laufen schon lange Zeit, ohne Probleme, nur wurde das Limit mit 5 Verbindungen erst erreicht, seit 2 site2site Tunnel dauerhaft laufen.

Ein bekanntes Problem? Oder ein individueller Spezialfall? Irgend ein Cache oder Timing Problem?
Lösungsvorschläge außerhalb "alles mal vorsorglich resetten und per Hand neu konfigurieren"?

Nein VPN25 ist unnötig, die 5. Verbindung ist eher seltener Fall, mehr wird nicht gebraucht.

Vielen Dank für Hinweise - Tom
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: 5. VPN Verbindung meistens nicht möglich

Beitrag von backslash »

Hi tom-1
Der Router und die Einwahlclients laufen schon lange Zeit, ohne Probleme, nur wurde das Limit mit 5 Verbindungen erst erreicht, seit 2 site2site Tunnel dauerhaft laufen.
und das deutet auch schon auf eine mögliche Ursache hin... Wenn nä,lich die site2site Tunnel gleichzeitig von beiden Seiten aufgenaut werden, dann ist zumindest solange, bis ein Aufbau steht und der andere wieder abgebaut wurde, zwei Lizenzen für vermeindlich eine Verbindung in Gebrauch... Das löst du am einfachsten dadurch, daß du den Aufbau von einer Seite her erzwingst. Das geht z.B. dadurch, daß du auf eine Seite als Remote-Gateway 0.0.0.0 (also keins) einträgst...

Gruß
Backslash
tom-1
Beiträge: 124
Registriert: 28 Dez 2005, 10:46

Re: 5. VPN Verbindung meistens nicht möglich

Beitrag von tom-1 »

backslash hat geschrieben: 27 Jan 2023, 17:14 ...
Wenn nä,lich die site2site Tunnel gleichzeitig von beiden Seiten aufgenaut werden, dann ist zumindest solange, bis ein Aufbau steht und der andere wieder abgebaut wurde, zwei Lizenzen für vermeindlich eine Verbindung in Gebrauch.
Danke. Ein site2site Tunnel stand zu dem Test heute seit 12 Tagen, der andere seit 54d. Oder ist das egal weil sich die Tunnel zwischendurch immer wieder "erneuern" und ich hatte mit der einen erfolgreichen 5. VPN Verbindung beim heutigen Test nur Glück?

Tom
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: 5. VPN Verbindung meistens nicht möglich

Beitrag von GrandDixence »

Auf dem LANCOM-Router muss für jeden VPN-Tunnel, also für alle 3x Einwahlverbindung (RAS) und 2x Site2Site-VPN-Tunnel DPD (Dead peer detection) korrekt konfiguriert sein. Nur mit korrekt konfiguriertem DPD kann der LANCOM-Router zeitnah (innerhalb 30 Sekunden) erkennen, das ein VPN-Tunnel getrennt wurde und kann dann diese VPN-Lizenz für den nächsten VPN-Tunnelaufbau freigeben.

/Setup/VPN/IKEv2/Allgemeines/

Siehe dazu die entsprechende VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268

fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86774

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Das löst du am einfachsten dadurch, daß du den Aufbau von einer Seite her erzwingst. Das geht z.B. dadurch, daß du auf eine Seite als Remote-Gateway 0.0.0.0 (also keins) einträgst...
Den einseitigen Aufbau des VPN-Tunnels erzwingt man mit der Konfiguration von:

/Setup/VPN/IKEv2/Gegenstellen/SH-Zeit

Oder habe ich da etwas übersehen?!

Siehe dazu:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268

Ausführliche Informationen zu DPD findet man in den unter:
fragen-zum-thema-vpn-f14/ikev2-vpn-tunn ... ml#p103501
verlinkten Beiträgen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: 5. VPN Verbindung meistens nicht möglich

Beitrag von backslash »

Hi GrandDixence
Den einseitigen Aufbau des VPN-Tunnels erzwingt man mit der Konfiguration von:

/Setup/VPN/IKEv2/Gegenstellen/SH-Zeit

Oder habe ich da etwas übersehen?!
ja, denn auch wenn auf der "passiven" Seite die Haltezeit 0 ist, kann ein Paket, daß in den Tunnel geroutet werden soll den Verbinungsaufbau auslösen (dial-on-demand). Sicher Unterbinden kannst du das nur, wenn die "passive" Seite die IP-Adresse der "aktiven" Seite nicht kennt - die "aktive" Seite muß dann natürlich die Haltezeit 9999 haben, damit sie auch immer wieder aufbaut.

Gruß
Backslash
Antworten