Moderator: Lancom-Systems Moderatoren
kann ich nicht mehr sagen, auf meiner Seite ist immer die neuste FW gewesen, auf der anderen war eine viel ältere, die dann aber auf 8.84 geupdatet wurde...MariusP hat geschrieben:Hi,hast du auf eine neuere Firmware gewechselt? Und seitdem erst den Fehler? und wenn ja von welcher Firmware bist du aus, auf welche Firmware umgestiegen?
dieser Ansatz hat mir weiter geholfen. Nur habe ich das nicht mit Schnittstellen Tags gelöste, sondern mit manuellen VPN-Regeln. Das fand ich sinvoller, da ich so einfacher auf die verschiedenen IP Netze im Router zugreifen kann.Bernie137 hat geschrieben:Hi,hast Du in einem Standort im Lancom Router mehrere IP Netze? Weil in dem Falle hatte ich exakt die gleichen Fehlermeldungen, bis ich die Schnittstellen Tags in meinem Falle auf der Seite mit den mehreren IP Netzen eingetragen habe.
Code: Alles auswählen
(Zeit*10s)*2+Wiederholungen*1s=Zeit bis Verbindung abgebaut wird
Achtung diese Information gilt nur für VPN-Verbindungen in der PPP-Liste, bei anderen Verbindungen sind diese 2 Werte anders zu interpretieren.DPD wird nur gemacht, wenn keine Daten über die Verbindung empfangen wurden...Ich schätze,dass das Line-polling das DPD ersetzt und der Router daher keins macht, das ist allerdings nur eine Vermutung, das werde ich wohl morgen erst herrausfinden können.
Wenn das dynamic-VPN-Polling alle 30 Sekunden läuft, dann kommt ein DPD mit 60-Sekunden-Intervall niemals zum pollen...Warum machen die Router untereinander kein DPD, obwohl das bei beiden auf 60 Sek. eingestellt ist???
Dann hast du auf der Gegenseite aber auch die Default-Route auf dem VPN-Tunnel liegen...Ich musste bei meinem und bei den anderen Router unter "Firewall -> PING blockieren: Aus" einstellen (war vorher auf: Nur über Default-Route).
Ich habe aber kein "Dynamic-VPN"...backslash hat geschrieben:Wenn das dynamic-VPN-Polling alle 30 Sekunden läuft, dann kommt ein DPD mit 60-Sekunden-Intervall niemals zum pollen...
Nun ja, spätestens wenn du eine Eintrag in der PPP-Tabelle für die Gegesntelle hast und da unter "Time" nicht 0 steht, wird gepollt.Ich habe "Kein dynamisches VPN" in der VPN Verbindungs-Liste angehakt!
Wieso dann das Polling...?
das kann aber so nicht sein. Ich hätte das gerne so (und will Dir auch glauben), aber die Realität sieht anders aus.backslash hat geschrieben:Nun ja, spätestens wenn du einen Eintrag in der PPP-Tabelle für die Gegenstelle hast und da unter "Time" nicht 0 steht, wird gepollt.
Ist denn Dynamic-VPN - auch bei statischen IP-Adressen auf beiden Seiten, d. h. wo man Dynamic-VPN eigentlich nicht benötigt - besser als das "normale" VPN?!backslash hat geschrieben:Jetzt verstehe ich auch, wieso du das Ping-Blocking auf der Default-Route abschalten mußtest, denn wenn du kein dynamic VPN machst,
Was heißt/bedeutet "was genau so gut ist wie DPD" in diesem Zusammenhang genau? Heißt das, dass das Polling eigentlich besser und aussagekräftiger ist als DPD? Und nur wenn das Polling, also die Pings, _nicht_ mehr auf Ziele hinter dem Tunnel (also z. B. auf den DNS-Server oder die private, lokale IP des LANCOMs) gehen, sondern an die öffentliche WAN-IP, dass es dann mit seiner Aussagekraft dem DPD gleichgestellt ist, was ja als Teil im ISAKMP-Protokoll dazu führt, dass man nur bis zur WAN-Seite des LANCOMs überprüft (und dann stillschweigend und mit 99 %-iger Sicherheit davon ausgeht, dass der "Rest", d. h. die Weitergabe ins lokale LAN, eben auch funktioniert)?backslash hat geschrieben:dann erzählt dir die Gegenseite auch nicht, welche IP-Adresse gepollt werden soll... Dann macht das Polling zwei Fallbacks: Zuerst auf den DNS-Server der Gegenseite und wenn du da keinen eingetragen hast, wird als letzter Rettungsanker noch die öffentliche IP gepingt (was genau so gut ist wie DPD)...
Ich bin nach dem Lesen dieses Threads und den Blick auf meine VPN-Strecken der Meinung, dass es - einen Eintrag mit Zeit-Angabe in PPP-Tabelle vorausgesetzt - zum Polling nur kommt, wenn es sich entweder um eine Dynamic-VPN-Verbindung handelt, oder aber um eine normale VPN-Verbindung mit _manueller_ Regelerzeugung. Sprich der "Normalfall", wie er vielfach läuft, d. h. mit festen IPs auf beiden Seiten oder DynDNS-Namen und automatischer Regelerzeugung, verwendet DPD. (Was zu beweisen wäre...)backslash hat geschrieben:Spätestens das Pingen der öffentlichen IP führt dann auch dazu, daß DPD läuft (weil das Ping am Tunnel vorbei geht) - aber auch das kommt bei einem Intervall von 60 Sekunden nicht mehr drann, wenn das VPN-Polling bei 30 Sekunden liegt - und selbst, wenn es dran käme: ein fehlgeschlagener Ping führt in jedem Fall zum Abbau der Verbindung.
Vom Löschen würde ich abraten, das gibt eine unschöne (und niemals weggehende) Fehlermeldung im LANmonitor, auch wenn man gar kein Dynamic-VPN nutzt: "Dynamic VPN - kein passender Eintrag in PPP-Liste vorhanden (Initiator) [0x1104]".backslash hat geschrieben:Trage also entweder in der IP-Parameterliste einen DNS-Server für die gegenüberliegende Seite ein oder stell in der PPP-Tabelle den "Time"-Eintrag auf 0 - bzw. löschen den PPP-Eintrag einfach komplett, da er eh überflüssig ist, wenn du kein dynamic VPN machst.
