Einwahl-VPN funktioniert plötzlich nicht mehr - "neues" 1-Click funktioniert.

[firefox_i]

Hi zusammen,
ich bin gerade maximal verwirrt.

Router ist ein 1800EF mit 10.80.RU9

Wie hier
fragen-zum-thema-vpn-f14/selbst-1-click ... 20968.html
beschrieben, hatte ich bei Ersteinrichtung etwas Probleme, die sich dann aber gelöst haben.
Ich hab dann auch einen zertifikatsbasierten IKEv2 RAS Zugang eingerichtet.

Ich muss zugeben, ich habe das VPN nur zu administrativen Zwecken genutzt, wenn ich "mal schnell" was von unterwegs machen musste.
Es scheint aber mal funktioniert zu haben.

Gestern der Versuch, mich einzuwählen.....
AVC (Advanced VPN Client) in der aktuellsten Variante der Hauptversion 6 zeigt grün, aber Null Traffic.....
Selbst das V>PN Gateway ist nicht anpingbar.
Weder die damals eingerichtete zertifikatsbasierte, noch die 1-Click VPN Verbindung funktioniert.

Was jetzt spannend ist:
Wie gesagt: das damalig eingerichtete 1-Click VPN (per PSK) funktioniert nicht.
Ich hab dann eben mal ein neues eingerichtet und siehda: das tut.

Was ich mir jetzt angeschaut habe:
- Ich hab dann die Profile aus dem AVC exportiert. Die sind - bis auf logischerweise den FQDN und Namen der Verbindung - 100% gleich.
- die Verbindungen in der Verbindungsliste sind exakt gleich konfiguriert (Unterschied logischerweise: Adresspool und Authentifizierung)
- Authentifizierungen sind bis auf FQDN und Passwort exakt gleich konfiguriert
- beide verwenden dieselben IPV4 Regeln

Ich habe dann mal die "alte" Verbindung die nicht funktioniert auf den Adresspool der neuen Verbindung umgestellt und sieheda: es funktioniert.

Mein Verdacht: da passt was im Routing oder den SAs nicht, aber ich sehe nichts, wo ich da was konfigurieren könnte.
In der Firewall oder dem Routerbereich der GUI sind keine Einträge die was mit der neuen Verbindung zu tun haben...

Hat mir da jemand nen Tipp was das erklärt?

Was sich gegenüber März geändert hat:
a) Provider
Bis Juni hatten wir Internet über Kabel mit fester IP, jetzt Glasfaser mit dynamischer IP.
Die wird aber via DYNDNS.ORG an einen FQDN gebunden, der für die Site2Site Verbindung seit Juni problemlos funktioniert und auch neue IPs werden korrekt aufgelöst - da erwarte ich keine Themen.
Allerdings hat sich der der Name der DSL Gegenstelle (also des Routers) geändert von VF_Cable auf Telek_GF.
Ich finde aber bei der Suche nach VF_Cable in der GUI keine Hits, die auch nur im entferntesten was mit VPN zu tun haben.....

b) Adresspool
Ich habe den Adresspool der nicht funktionierenden Verbinding von A.B.C.200-205 auf A.B.C.200-201 verkleinert, da es eh nur einen Client gibt, der sich verbindet.

Können da noch irgendwo Relikte der "alten" Routen oder VPN Einstellungen drin sein die ich nur nicht sehe?
Der Router wurde jetzt auch längere Zeit nicht neu gestartet.

Bevor ich jetzt stumpf auf die aktuellse LCOS aktualisiere:
Kann es ggf. mit dem Hinweis zur RU10 in den ReleaeNotes was zu tun haben:

Wenn sich die WAN-IP-Adresse des LANCOM Routers änderte (z.B. nach einer Zwangstrennung durch den Provider) wurden vorhandene Firewall-Sessions nicht entfernt. In der Folge wurde die veraltete WAN-IP-Adresse weiterhin verwendet, was dazu führte, das vorhandene VPN-Verbindungen nicht mehr genutzt werden konnten. Erst nach einem Neustart des LANCOM Routers wurde die aktuelle WAN-IP-Adresse verwendet und das Fehlverhalten damit behoben.

Wäre für jeden Ansatz dankbar.

S.

[Dr.Einstein]

Das Fehlerbild kenn ich seit 2016 oder so. OneClick funktioniert auf Dauer nicht zuverlässig. Du siehst es im Client daran, dass Rx auf 0 bleibt, und beim Router keine Pakete ankommen. Wenn du den Clients einen statischen Eintrag in der Routing Tabelle gibts, funktioniert alles immer, solang die IP nicht doppelt verwendet wird. Erklären kann ich es dir nicht.

[firefox_i]

Hi,
danke für die Antwort.
Klingt als ob die Routen nicht zuverlässig funktionieren und irgendwann aufhören zu funktionieren, kann das sein?

Was muss ich da wo eintragen?
In der Routingtabelle oder was meinst Du?


Sorry dass ich da so nachhake, aber der Router stresst mich gerade.

Jetzt gerade bekommen die WLAN Clients keine Ip Adressen mehr, weil "DHCP pool for network XXX exhausted, discarding request".
Funfact: die DHCP Tabelle ist leer und der Adressbereich für die WLAN Clients liegt komplett getrennt (INTRANET ist A.B.30.xx, WLAN ist A.B.40.xx).

[Dr.Einstein]

Also in der Routing-Tabelle direkt für den VPN-Client/Gegenstelle einen Eintrag machen mit /32 als Maske, und wenn es geht eine IP nehmen, die nicht im selben Netz ist wie der Lancom, damit es wirklich auf Layer 3 geroutet werden muss. Nur, falls deine Anwendungen es erlauben ... So kannst du auch Proxy ARP etc vermeiden.

[firefox_i]

Okay verstehe,
ich seh aber gerade den Wald vor lauter Bäumen nicht.

Aktuell sind die Netze
- A.B.10.x (entferntes Netz das via Site2Site VPN angebunden ist)
- A.B.30.x (INTRANET)
- A.B.40.x (WLAN 1)
- A.B.50.x (Gast WLAN)

verwendet.

Du sagst jetzt ich solle in der Routingtabelle einen Eintrag machen und dann z.B, die A.B.60.100 vergeben.
Ich nehme an über das Routing Tag lege ich dann fest, dass er der Cient auch mit de, 30er und 10 er kommunizieren darf?

Was ist denn der Grund, die VPN Clients in einen eigenen Bereich zu nehmen?
Ich muss halt schauen, dass die VPN Clients so arbeiten können, als ob sie vor Ort sind. Und da war irgendwie der Ansatz "gleiches Subnetz" naheliegend.


Zu dem DHCP Thema zufällig ne Idee?
Ich bin mit meinem Verständnis irgendwie am Ende, denn ein Pool, aus dem nix vergeben wird (DHCP Tabelle ist wie gesagt leer) kann dich nicht erschöpft sein....

Oder kann ich da durch meine VPN Versuche gestern was zerschossen haben?

S.

[Dr.Einstein]

Sind halt alles nur meine persönlichen Erfahrungen.

Hintergrund ist, dass ein anderes IP-Netz zwingend geroutet werden muss, statt via Proxy ARP auf Layer 2 ins Netz reingefakt wird. D.h. die ganz normalen Routingmechanismen greifen für die Clients, in beide Richtungen.

Ja, das Routing Tag identisch setzen wie von deinem Zielnetz damit du keine Umtag-Firewallregeln brauchst.

[firefox_i]

Danke Dir,
ich teste das heut abend mal.

Sprich das VPN Modul gibt dann basierend auf dieser Route die darin festgelegte IP per IKE Config an den VPN Client oder muss ich das dort statisch eintragen?
DNS kommen dann aus IPv4 -> Allgemein -> Adressen -> Nameserver-Adressen

Hab ich das so richtig kapiert?
Muss ich manuell noch was für die SAs einstellen - ich wüsste nicht wo ?




Irgendeinen Típp zu dem dem DHCP?

[firefox_i]

Ich antworte mir mal mit dem was ich jetzt gesehen habe selbst.

Neustart des Routers bringt leider keine Verbesserung hinsichtlich dem DHCP.
Ich habe dann eine lcf eingespielt, die VOR dem ganzen VPN Zeug gestern erstellt wurde ---> es tut wieder

Sowohl DHCP als auch der "alte" admionistrative VPN Zugang der gestern nicht funktioniert hat.

Soweit so gut.

Dann mal Schritt für Schritt.....
Ziel soll ja sein, dass es insgesamt 3 VPN Einwahlen gibt.
Eine administrative und 2 für Notebooks.
Bei den beiden letzteren möchte ich gerne nachvollziehen können, wann sich wer anmeldet, von daher gibt es für jedes Gerät nachher einen eigenen Eintrag in der Verbindungsliste.

a) Anlegen der 2 neuen zertifikatsbasierten Authentifizierungen
--> keine Veränderung, DHCP tut und auch die adminstrative VPN Verbindung tut

b) Anlegen der IP Pools wie ich es gestern gemach habe
Da ich den "neuen" Laptops fixe IP Adressen geben möchte, ist mein naiver Ansatz:
IP Pools mit nur einem Eintrag:

2025-11-12 18_53_47-IPv4-Adressen.png

Ich habe das Subnettz mal geschwärzt. ist aber überall gleich und liegt auch im Subnetz des eigentlichen Intranets aber in einem Bereich der nicht via DHCP vergeben wird (die IP Adressen des Intranets werden von einem Windows Domänencontroller per DHCP vergeben)

--> keine Veränderung nachdem ich das angelegt habe, alles tut

c) Verwenden eines der Pools in der VPN Verbindung
Einfach mal einen der Pools mit Umfang 1 bei der funktionierenden Verbindung als IPv4 AdressPool reingezogen.....

-->
Die Einwahl funktioniert, der AVC meldet grün, aber Null Traffic. DHCP scheint auch noch zu laufen....
Er bekommt die einzige IP Adresse in dem Pool....

Wieder zurück gestellt auf den mit mehr Adressen:
Es tut wieder alles.....


Kann es sein, dass ein IPv4 Pool mit nur einer Adresse dem Router mal so garnicht schmeckt?
Was mir nämlich auffiel:
dem VPN Client wird scheinbar nie die erste Adresse aus dem Pool zugewiesen, sondern immer erst die zweite......

Kann es eventuell sein, dass die erste Adresse nicht vergeben wird, weil die ne Sonderstellung hat?

Irgendwie seltsam das Ganze.....

Mal ne blöde Frage:
Die VPN Clients bekommen ja ne IP Adresse über den Router (entweder aus dem Pool oder wenn ich das mit der statischen Route mache darüber)....kann ich es irgendwie bewerkstelligen, dass der VPN Client sich im DNS der Domäne registriert und dadurch unter dem Namen anpingbar ist?

Oder hab ich hier nen Knoten im Hirn?

S.

[Dr.Einstein]

Jetzt gerade bekommen die WLAN Clients keine Ip Adressen mehr, weil "DHCP pool for network XXX exhausted, discarding request".
Funfact: die DHCP Tabelle ist leer und der Adressbereich für die WLAN Clients liegt komplett getrennt (INTRANET ist A.B.30.xx, WLAN ist A.B.40.xx).

Bis jetzt stimmt die Meldung immer.

bitte folgendes hier posten:

Code: Alles auswählen

l /Setup/DHCP/Network-list/
l /Status/TCP-IP/DHCP/DHCP-Table/
ggf. trace # dhcp

wenn sich ein WLAN Client anmelden möchte. Ich tippe auf ein Gerät, dass den kompletten Pool blockiert.

[firefox_i]

Hey,
wiegesagt, ich habe durch einspielen der "alten" Konfig das Ganze wieder zum Laufen gebracht, da ein Neustart nicht geholfen hat.
Ich hab leider aktuell keine Möglichkeit die gewünschten Dinge zu posten, hab es mir aber angeschaut gehabt:

Code: Alles auswählen

l /Setup/DHCP/Network-list/

Da gab es keine Änderungen zwischen der Konfig, die funktioniert und die, bei der der DHCP rumspinnt.

Code: Alles auswählen

l /Status/TCP-IP/DHCP/DHCP-Table/

Die war komplett leer (!)

Code: Alles auswählen

trace # dhcp

Ich hab ihn nur noch aus dem Kopf:
Es wird die Größe des Pools für die einzelnen DHCP Netzwerke angezeigt.
Dann taucht alle paar Sekunden (eben solange sich einer versucht anzumelden) eine Zeile mit DHCPDISCOVER auf, von der Meldung im Trace dann aber nach dem Motto "keine IP mehr frei"....

Sorry dass ich es nimmer konkret und wörtlich hinbekome.

Ich vermute aber, dass es durch die "Spielereien" mit den 1 Adresse große IP Pools für die VPNs zu tun hat.
Meinem Verständnis nach geht die Adresszuweisung auch für die VPN (IKE Config) durch das DHCP Modul.

Mich hat eben gewundert, dass sich das Ganze durch einen Neustart nicht gefangen hat (Power ausgesteckt...kein Soft Reset).
Erst Einspielen einer "alten" Konfig brachte dann den Erfolg.

S.
Hey,

[Dr.Einstein]

Mir fällt dazu nur eins ein, passt aber nicht zu deiner Aussage. Befindet sich im Netzwerk-DHCP-Pool ein VPN-Pool, so wird der DHCP-Pool um genau diesen Bereich verkleinert. Wenn du sagst, da war trotzdem noch genug Luft, oder der VPN-Pool bestand sogar nur aus einer IP-Adresse, kann natürlich auch ein Softwarefehler im LCOS vorliegen.

Da ich seit mehr als einem Jahrzehnt keine VPN-Pools mehr benutze, kann ich dir leider dazu nichts sagen.

[firefox_i]

Alles gut.
Ich behalte das mal weiter im Auge.

Auf Deine Anregung hin werde ich auch versuchen, die Sache mit der festen Route umzusetzen.

Deshalb - bevor ich wieder was kaputt konfiguriere - die Fragen:
Habe ich es richtig verstanden:
- basierend auf der Route vergibt das VPN Modul die darin festgelegte IP per IKE Config an den VPN Client? (ich nehme an, dass ich diese Adresse auf Clientseite NICHT statisch eintrage sondern den als IKE Config Client belasse)
- DNS kommen dann aus IPv4 -> Allgemein -> Adressen -> Nameserver-Adressen ?

mich verwirrt da ein Hinweis unter
https://knowledgebase.lancom-systems.de ... t+anpassen
Denn da sieht es so aus, als ob nur bei IKEv1 die DNS von dort kommen...oder wo ist mein Denkfehler?

Adressen.png

- Muss ich manuell noch was für die SAs einstellen - ich wüsste nicht wo ?

Und blöde Frage:
Melden sich die VPN Clients denn an dem übergebenen DNS Server und registrieren sich dort?
Durch einen Site-2-Site Tunnel scheinen sie es zu machen.

S.

[Dr.Einstein]

Habe ich es richtig verstanden:
- basierend auf der Route vergibt das VPN Modul die darin festgelegte IP per IKE Config an den VPN Client? (ich nehme an, dass ich diese Adresse auf Clientseite NICHT statisch eintrage sondern den als IKE Config Client belasse)
- DNS kommen dann aus IPv4 -> Allgemein -> Adressen -> Nameserver-Adressen ?

Korrekt. Kann auch sein, dass du den Pool mit 0.0.0.0 - 0.0.0.0 angeben kannst, und trotzdem DNS-Server im Pool hinterlegst. Nie probiert

- Muss ich manuell noch was für die SAs einstellen - ich wüsste nicht wo ?

Die Standard SA ist ja RAS-WITH-CONFIG-PAYLOAD mit 0.0.0.0/0 auf 0.0.0.0/32. Solang du diese verwendest, passt ja alles, Client /32 auf ANY.

[firefox_i]

ich werds mal testen und berichten