IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+

Beitrag von CyberT »

Hallo zusammen,

ich bekomme aktuell einfach keine IKEv2 VPN-Verbindung zwischen zwei LANCOM-Routern (Site-to-Site) hin, obwohl ich gemäß dem Tutorial: Einrichtung von IKEv2 unter LANconfig (https://www.lancom-systems.de/docs/LCOS ... orial.html) beide Router entsprechend konfiguriert habe.

Standort 1 (FILIALE)
- LANCOM 1781VA-4G (LCOS 10.12.0488RU10)
- Nur Mobilfunk-Modem ist mit Datenkarte aktiv (steht im Ausland)
- Der Mobilfunkanbieter bietet für die LTE-Verbindung wie so oft nur eine private IP-Adresse an.
- Der VPN-Verbindungsaufbau erfolgt durch den Mobilfunk-Router.
- Haltezeit: 9999
- Entferntes Gateway: Feste IP-Adresse der ZENTRALE

Standort 2 (ZENTRALE)
- LANCOM 1781EF+ (LCOS 10.12.0488RU10)
- Feste IP-Adresse
- Haltezeit: 0
- Entferntes Gateway: (Da die FILIALE eine dynamische/private IP-Adresse erhält, habe ich dieses Feld leer gelassen.)

Fehlermeldung im LANmonitor der FILIALE:
Gegenstelle antwortet nicht mehr - Dead Peer Detection Timeout (Aktiver Verbindungsaufbau, IKE) [0x210D]

Falls notwendig, kann ich gerne einen Trace bereitstellen.

Kann es sein, dass VPN ausgehend durch den Mobilfunk-Provider aktiv geblockt wird?

Vielen Dank.
Gruß.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+

Beitrag von GrandDixence »

Bitte diese Anleitung verwenden (Filiale: Haltezeit:=9999):
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+

Beitrag von Jirka »

Hallo,

die Fehlermeldung hört sich aber eher so an, als ob zuvor die Verbindung bestand. Da sollte man mal genau schauen, was tatsächlich passiert (Syslog/Trace).
Falls da wirklich was geblockt wird, kann man die VPN über Port 443 (HTTPS) laufen lassen (unter Verbindungs-Parameter einstellen).

Viele Grüße,
Jirka
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+

Beitrag von CyberT »

Hallo zusammen,

vielen Dank für Eure Antworten.

Also das hatte mir natürlich keine Ruhe gelassen: Ich hatte die Config etliche Male geprüft, eine Haltezeit von 9999 war in der FILIALE von Anfang an auch so eingestellt und einen Unterschied in den wesentlichen Punkten von der Anleitung von GrandDixence zu der von LANCOM konnte ich ebenfalls nicht ausmachen.

Ich habe dann am Standort FILIALE mit dem LANCOM AVC eine ausgehende VPN-Verbindung zur ZENTRALE aufgebaut und das klappte sofort (und sogar ohne SSL-Kapselung). Im LANmonitor und Syslog des 1781VA-4G konnte ich dann im Nachgang sehen, dass der konfigurierte S2S-VPN-Tunnel wenige Sekunden nach dem Aufbau des Tunnels durch den VPN-Client ebenfalls erfolgreich aufgebaut wurde und dann auch Bestand hatte. Das bedeutet demnach, dass das LANCOM-Tutorial so korrekt ist und ich es auch korrekt umgesetzt hatte. - Das verstehe ich jetzt natürlich überhaupt nicht. Gibt es hierfür eine mögliche Erklärung?
Jirka hat geschrieben: 03 Nov 2018, 09:03kann man die VPN über Port 443 (HTTPS) laufen lassen (unter Verbindungs-Parameter einstellen).
Vielen Dank! - Die Konfiguration zu IPSec-HTTPS hierbei hatte ich lange gesucht, aber immer nur bei den Einstellungen der "Verbindungs-Liste..." geschaut.

Jetzt müsste ich nur noch bei bestehender IKEv2 VPN-Verbindung mit dem LANCOM AVC zur ZENTRALE, von meinem Client aus über die ZENTRALE auch die FILIALE erreichen können. Dann wäre es perferkt.

Danke und Gruß.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+

Beitrag von GrandDixence »

Wahrscheinlich kein VPN-Konfigurationsproblem. Wurde das Mobilfunkmodul-Firmware-Update auf v3.5.24 installiert?
viewtopic.php?f=65&t=17076&p=96906#p96906

Es sind für die Fehlersuche die relevanten Ausgaben von trace vpn-status und vpn-ike erforderlich.

Weiter sollte mit Packet Capturing am WAN-Port und mit Wireshark kontrolliert werden, ob bei fehlenden VPN-Tunnelverkehr in einem Abstand von maximal 15 Sekunden "Keep Alive" Pakete durch NAT-Traversal versendet werden.

Bitte in die Thematik einlesen:
fragen-zum-thema-firewall-f15/connectio ... 16551.html

viewtopic.php?f=31&t=16558&p=93544&hili ... sal#p93544
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: IKEv2 Site-To-Site VPN-Verbindung (IPv4) zwischen 1781VA-4G --> 1781EF+

Beitrag von CyberT »

Hallo,

wie gesagt, der Tunnel steht mittlerweile und funktioniert auch dauerhaft und einwandfrei! Und das eben mit genau der VPN-Konfiguration, wie ich sie zuerst auch umgesetzt hatte. - Kein Ahnung, warum es urplötzlich (ohne Konfigurationsänderung) ging ...

GrandDixence hat geschrieben: 03 Nov 2018, 16:21Wahrscheinlich kein VPN-Konfigurationsproblem.
Sehe ich auch so.

GrandDixence hat geschrieben: 03 Nov 2018, 16:21Wurde das Mobilfunkmodul-Firmware-Update auf v3.5.24 installiert?
viewtopic.php?f=65&t=17076&p=96906#p96906
Ja, schon vor Inbetriebnahme vor Ort.

GrandDixence hat geschrieben: 03 Nov 2018, 16:21Es sind für die Fehlersuche die relevanten Ausgaben von trace vpn-status und vpn-ike erforderlich.
Das hat sich dann ja vorerst erübrigt.

NAT-Traversal war in der Config auch schon von Anfang an aktiv gesetzt.


Danke und Gruß.
Antworten