Hallo zusammen,
ich bekomme aktuell einfach keine IKEv2 VPN-Verbindung zwischen zwei LANCOM-Routern (Site-to-Site) hin, obwohl ich gemäß dem Tutorial: Einrichtung von IKEv2 unter LANconfig (https://www.lancom-systems.de/docs/LCOS ... orial.html) beide Router entsprechend konfiguriert habe.
Standort 1 (FILIALE)
- LANCOM 1781VA-4G (LCOS 10.12.0488RU10)
- Nur Mobilfunk-Modem ist mit Datenkarte aktiv (steht im Ausland)
- Der Mobilfunkanbieter bietet für die LTE-Verbindung wie so oft nur eine private IP-Adresse an.
- Der VPN-Verbindungsaufbau erfolgt durch den Mobilfunk-Router.
- Haltezeit: 9999
- Entferntes Gateway: Feste IP-Adresse der ZENTRALE
Standort 2 (ZENTRALE)
- LANCOM 1781EF+ (LCOS 10.12.0488RU10)
- Feste IP-Adresse
- Haltezeit: 0
- Entferntes Gateway: (Da die FILIALE eine dynamische/private IP-Adresse erhält, habe ich dieses Feld leer gelassen.)
Fehlermeldung im LANmonitor der FILIALE:
Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Aktiver Verbindungsaufbau, IKE) [0x210D]
Falls notwendig, kann ich gerne einen Trace bereitstellen.
Kann es sein, dass VPN ausgehend durch den Mobilfunk-Provider aktiv geblockt wird?
Vielen Dank.
Gruß.
IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+
Moderator: Lancom-Systems Moderatoren
-
GrandDixence
- Beiträge: 1148
- Registriert: 19 Aug 2014, 22:41
Re: IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+
Bitte diese Anleitung verwenden (Filiale: Haltezeit:=9999):
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
Re: IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+
Hallo,
die Fehlermeldung hört sich aber eher so an, als ob zuvor die Verbindung bestand. Da sollte man mal genau schauen, was tatsächlich passiert (Syslog/Trace).
Falls da wirklich was geblockt wird, kann man die VPN über Port 443 (HTTPS) laufen lassen (unter Verbindungs-Parameter einstellen).
Viele Grüße,
Jirka
die Fehlermeldung hört sich aber eher so an, als ob zuvor die Verbindung bestand. Da sollte man mal genau schauen, was tatsächlich passiert (Syslog/Trace).
Falls da wirklich was geblockt wird, kann man die VPN über Port 443 (HTTPS) laufen lassen (unter Verbindungs-Parameter einstellen).
Viele Grüße,
Jirka
Re: IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+
Hallo zusammen,
vielen Dank für Eure Antworten.
Also das hatte mir natürlich keine Ruhe gelassen: Ich hatte die Config etliche Male geprüft, eine Haltezeit von 9999 war in der FILIALE von Anfang an auch so eingestellt und einen Unterschied in den wesentlichen Punkten von der Anleitung von GrandDixence zu der von LANCOM konnte ich ebenfalls nicht ausmachen.
Ich habe dann am Standort FILIALE mit dem LANCOM AVC eine ausgehende VPN-Verbindung zur ZENTRALE aufgebaut und das klappte sofort (und sogar ohne SSL-Kapselung). Im LANmonitor und Syslog des 1781VA-4G konnte ich dann im Nachgang sehen, dass der konfigurierte S2S-VPN-Tunnel wenige Sekunden nach dem Aufbau des Tunnels durch den VPN-Client ebenfalls erfolgreich aufgebaut wurde und dann auch Bestand hatte. Das bedeutet demnach, dass das LANCOM-Tutorial so korrekt ist und ich es auch korrekt umgesetzt hatte. - Das verstehe ich jetzt natürlich überhaupt nicht. Gibt es hierfür eine mögliche Erklärung?
Jetzt müsste ich nur noch bei bestehender IKEv2 VPN-Verbindung mit dem LANCOM AVC zur ZENTRALE, von meinem Client aus über die ZENTRALE auch die FILIALE erreichen können. Dann wäre es perferkt.
Danke und Gruß.
vielen Dank für Eure Antworten.
Also das hatte mir natürlich keine Ruhe gelassen: Ich hatte die Config etliche Male geprüft, eine Haltezeit von 9999 war in der FILIALE von Anfang an auch so eingestellt und einen Unterschied in den wesentlichen Punkten von der Anleitung von GrandDixence zu der von LANCOM konnte ich ebenfalls nicht ausmachen.
Ich habe dann am Standort FILIALE mit dem LANCOM AVC eine ausgehende VPN-Verbindung zur ZENTRALE aufgebaut und das klappte sofort (und sogar ohne SSL-Kapselung). Im LANmonitor und Syslog des 1781VA-4G konnte ich dann im Nachgang sehen, dass der konfigurierte S2S-VPN-Tunnel wenige Sekunden nach dem Aufbau des Tunnels durch den VPN-Client ebenfalls erfolgreich aufgebaut wurde und dann auch Bestand hatte. Das bedeutet demnach, dass das LANCOM-Tutorial so korrekt ist und ich es auch korrekt umgesetzt hatte. - Das verstehe ich jetzt natürlich überhaupt nicht. Gibt es hierfür eine mögliche Erklärung?
Vielen Dank! - Die Konfiguration zu IPSec-HTTPS hierbei hatte ich lange gesucht, aber immer nur bei den Einstellungen der "Verbindungs-Liste..." geschaut.Jirka hat geschrieben: 03 Nov 2018, 09:03kann man die VPN über Port 443 (HTTPS) laufen lassen (unter Verbindungs-Parameter einstellen).
Jetzt müsste ich nur noch bei bestehender IKEv2 VPN-Verbindung mit dem LANCOM AVC zur ZENTRALE, von meinem Client aus über die ZENTRALE auch die FILIALE erreichen können. Dann wäre es perferkt.
Danke und Gruß.
-
GrandDixence
- Beiträge: 1148
- Registriert: 19 Aug 2014, 22:41
Re: IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+
Wahrscheinlich kein VPN-Konfigurationsproblem. Wurde das Mobilfunkmodul-Firmware-Update auf v3.5.24 installiert?
viewtopic.php?f=65&t=17076&p=96906#p96906
Es sind für die Fehlersuche die relevanten Ausgaben von trace vpn-status und vpn-ike erforderlich.
Weiter sollte mit Packet Capturing am WAN-Port und mit Wireshark kontrolliert werden, ob bei fehlenden VPN-Tunnelverkehr in einem Abstand von maximal 15 Sekunden "Keep Alive" Pakete durch NAT-Traversal versendet werden.
Bitte in die Thematik einlesen:
fragen-zum-thema-firewall-f15/connectio ... 16551.html
viewtopic.php?f=31&t=16558&p=93544&hili ... sal#p93544
viewtopic.php?f=65&t=17076&p=96906#p96906
Es sind für die Fehlersuche die relevanten Ausgaben von trace vpn-status und vpn-ike erforderlich.
Weiter sollte mit Packet Capturing am WAN-Port und mit Wireshark kontrolliert werden, ob bei fehlenden VPN-Tunnelverkehr in einem Abstand von maximal 15 Sekunden "Keep Alive" Pakete durch NAT-Traversal versendet werden.
Bitte in die Thematik einlesen:
fragen-zum-thema-firewall-f15/connectio ... 16551.html
viewtopic.php?f=31&t=16558&p=93544&hili ... sal#p93544
Re: IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+
Hallo,
wie gesagt, der Tunnel steht mittlerweile und funktioniert auch dauerhaft und einwandfrei! Und das eben mit genau der VPN-Konfiguration, wie ich sie zuerst auch umgesetzt hatte. - Kein Ahnung, warum es urplötzlich (ohne Konfigurationsänderung) ging ...
Danke und Gruß.
wie gesagt, der Tunnel steht mittlerweile und funktioniert auch dauerhaft und einwandfrei! Und das eben mit genau der VPN-Konfiguration, wie ich sie zuerst auch umgesetzt hatte. - Kein Ahnung, warum es urplötzlich (ohne Konfigurationsänderung) ging ...
Sehe ich auch so.
Ja, schon vor Inbetriebnahme vor Ort.GrandDixence hat geschrieben: 03 Nov 2018, 16:21Wurde das Mobilfunkmodul-Firmware-Update auf v3.5.24 installiert?
viewtopic.php?f=65&t=17076&p=96906#p96906
Das hat sich dann ja vorerst erübrigt.GrandDixence hat geschrieben: 03 Nov 2018, 16:21Es sind für die Fehlersuche die relevanten Ausgaben von trace vpn-status und vpn-ike erforderlich.
NAT-Traversal war in der Config auch schon von Anfang an aktiv gesetzt.GrandDixence hat geschrieben: 03 Nov 2018, 16:21Bitte in die Thematik einlesen:
fragen-zum-thema-firewall-f15/connectio ... 16551.html
viewtopic.php?f=31&t=16558&p=93544&hili ... sal#p93544
Danke und Gruß.