Löschen eines VPN-Fehlers im LANmonitor

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
MB2020
Beiträge: 8
Registriert: 25 Aug 2020, 09:32

Löschen eines VPN-Fehlers im LANmonitor

Beitrag von MB2020 »

Welche Auswirkung hat das Löschen eines Fehlers zu einer VPN-Verbindung, die im LANmonitor dargestellt wird?

Konkret kommt es an einem 17er LANcom-Router (sehr selten) vor, dass 5 VPN-Verbindungen aktiv sind. Das wäre eigentlich noch von der 5er-Lizenz für VPN-Verbindungen gedeckt.

Trotzdem kommt dann die Fehlermeldung "License limit of 5 connections exceeded". Eigentlich dürfte das nicht sein.

Zuvor hatee ich aber eine andere VPN-Verbindung-Fehlermeldung im LANmonitor gelöscht mittels Rechtsklick auf die mit "!" gekennzeichnete VPN-Verbindung und dann "Fehler löschen" ausgewählt. Diese andere Fehlermeldung hatte nichts mit der Anzahl der VPN-Verbindungen zu tun.

Könnte das Löschen des Fehlers trotzdem die Ursache für eine fehlerhafte Zählung der Anzahl der nach der Lizenz zulässigen VPN-Verbindungen sein?

Es wird ja auch die Eingabe des Passwort für das Löschen des Fehlers verlangt. Daher vermute ich, dass beim Löschen des Fehlers etwas wesentliches passiert. Aber was?

Oder gibt es einen anderen Grund, dass schon bei 5 VPN-Verbindungen die Fehlermeldung "License limit of 5 connections exceeded" kommt?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Löschen eines VPN-Fehlers im LANmonitor

Beitrag von backslash »

Hi MB2020,
Welche Auswirkung hat das Löschen eines Fehlers zu einer VPN-Verbindung, die im LANmonitor dargestellt wird?
In der Tabelle "/Status/VPN/Connections" wird für die Verbindung die Spalte "Last-Error" auf "(none)" gesetzt. Und falls die Verbindung abgebaut ist (Spalte "Stare" entält "Ready"), wird die Zeile aus der Tabelle gelöscht
Trotzdem kommt dann die Fehlermeldung "License limit of 5 connections exceeded". Eigentlich dürfte das nicht sein.
Kann es sein, daß du die Verbindungen so konfiguriert hast, daß beide Seiten sie aufbauen können? In dem Fall könnte es eine Überschneidung von aktivem und passivem Aubau kommen, wodurch das Limit dann überschritten wird
Es wird ja auch die Eingabe des Passwort für das Löschen des Fehlers verlangt. Daher vermute ich, dass beim Löschen des Fehlers etwas wesentliches passiert. Aber was?
Es wird ein Schreibzugriff auf das Gerät ausgeführt (Setzen des Fehlercodes in der Tabelle) - und Schreibzugriffe erfordern nunmal das Paßwort

Gruß
Backslash
MB2020
Beiträge: 8
Registriert: 25 Aug 2020, 09:32

Re: Löschen eines VPN-Fehlers im LANmonitor

Beitrag von MB2020 »

Danke, Backslash, für Deine Antwort!
Kann es sein, daß du die Verbindungen so konfiguriert hast, daß beide Seiten sie aufbauen können? In dem Fall könnte es eine Überschneidung von aktivem und passivem Aubau kommen, wodurch das Limit dann überschritten wird
Das könnte tatsächlich so sein, insb. durch ICMP-Polling, kann die Verbindung von beiden Seiten aufgebaut werden.

Werden dann immer mehr Verbindungen gezählt, als tatsächlich bestehen?

Können derartige Doppelzählungen im LancomRouter verhindert bzw. richtig gestellt werden?

Oder geht das nur durch eine Änderung der VPN-Konfigurationen? Das wäre großer Mist, da viel Aufwand.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Löschen eines VPN-Fehlers im LANmonitor

Beitrag von backslash »

Hi MB2020,
Werden dann immer mehr Verbindungen gezählt, als tatsächlich bestehen?
solange eine einkommende Verbindung nicht authtentisiert ist, ist ja unbekannt, wer das ist. Daher kann sie nicht keiner ausgehenden Verbinung "zugeschlagen" werden und muß erstmal "extra" gezählt werden...
Können derartige Doppelzählungen im LancomRouter verhindert bzw. richtig gestellt werden?
Einfach indem da dafür sorgst, daß die Verbindungen immer nur in eine Richtung aufgebaut werden...
wenn du IKEv2 nutzt, reicht es aus, einfach auf einer Seite als Gateway-Adresse 0.0.0.0 einzutragen.
Wenn du noch IKEv1 nutzt, dann mußt du die Verbindung zusätzlich auf Zertifikate umstellen (oder dynamic VPN nutzen). Den Aggressive-Mode des IKEv1 sollte man tunlichst nicht verwenden, weil dieser quasi "offline" angreifbar ist.
Oder geht das nur durch eine Änderung der VPN-Konfigurationen? Das wäre großer Mist, da viel Aufwand.
irgendwas mußt du schon machen - "wegbeten" funktioniert nunmal nicht...

Gruß
Backslash
MB2020
Beiträge: 8
Registriert: 25 Aug 2020, 09:32

Re: Löschen eines VPN-Fehlers im LANmonitor

Beitrag von MB2020 »

Hi Backslash und danke für Deine Antwort.

Nun lief endlich VPN-mäßig alles einwandfrei und das nächste Problem (ein vermeintliches Lizenzproblem, das eigentlich gar keins ist) kommt hoch :( Sehr enervierend.
solange eine einkommende Verbindung nicht authtentisiert ist, ist ja unbekannt, wer das ist. Daher kann sie nicht keiner ausgehenden Verbinung "zugeschlagen" werden und muß erstmal "extra" gezählt werden...
Heißt das, dass eine nicht authentisierte Verbindung als Verbindung gezählt wird?

Ist denn eine nicht authentisierte Verbindung nutzbar oder zählt Lancom auch nicht-nutzbare Verbindungen??

Klingt für mich irgendwie nach Abzocke, sollte das so sein.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Löschen eines VPN-Fehlers im LANmonitor

Beitrag von backslash »

Hi MB2020
Heißt das, dass eine nicht authentisierte Verbindung als Verbindung gezählt wird?
natrülich... Der Verbinungsaufbau muß abgelehnt werden *bevor* der Tunnel ausgehandelt wurde - und da für die Feststellung der Identität einer Einwahl mehrere Pakete ausgetauscht werden müssen hängt die Verhandlung während dessen zwar "in der Luft", muß aber dennoch gezählt werden.
Ist denn eine nicht authentisierte Verbindung nutzbar oder zählt Lancom auch nicht-nutzbare Verbindungen??
nein, denn sie ist ja noch nicht ausverhandet...
Klingt für mich irgendwie nach Abzocke, sollte das so sein.
wieso ist das Abzocke? Wenn du es richtig konfigurierst, gibt es das Problem nicht.

Gruß
Backslash
MB2020
Beiträge: 8
Registriert: 25 Aug 2020, 09:32

Re: Löschen eines VPN-Fehlers im LANmonitor

Beitrag von MB2020 »

Hi Backslash,

wie finde ich denn heraus, welche Verbindung doppelt gezählt wird?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Löschen eines VPN-Fehlers im LANmonitor

Beitrag von backslash »

Hi MB2020
wie finde ich denn heraus, welche Verbindung doppelt gezählt wird?
da sollte ein Blick in die Konfigs (beachte den Plural!) reichen - alle die beidseitig aufbauen können, können auch doppelt gezählt werden...

Gruß
Backslash
MB2020
Beiträge: 8
Registriert: 25 Aug 2020, 09:32

Re: Löschen eines VPN-Fehlers im LANmonitor

Beitrag von MB2020 »

Toll! Das kostet wieder Stunden!

Das sind gewachsene Strukturen über mehrere Generationen von Administratoren an Routern unterschiedlicher Hersteller.

Was für ein Mist!

Die Anzahl der VPN-Verbindungen wird im LANmonitor mit 5 angegeben. Im Syslog steht dann zur gleichen Zeit die maximalen Anzahl von 5 sei überschritten. Das ist doch nicht normal. Deine Begründung, lieber Backslash, kann mich auch nicht überzeugen, da einfach nie mehr als 5 VPN-Verbindungen aktiv sind. Nicht nur weil Lancom es so will; sondern weil einfach nicht mehr Teilnehmer vorhanden sind.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Löschen eines VPN-Fehlers im LANmonitor

Beitrag von backslash »

Hi MB2020
Toll! Das kostet wieder Stunden!
wieso kostet das Stunden... Ein Blick auf die VPN-Konfig auf beiden Setien reicht um zu sehen, ob die altiv aufbauen können (Adresse der Gegenstrelle eingetragen oder eben nicht). Bei 5 Gegenstellen sind das insgesamt maximal 5 Minuten!

Ind was kannst du an "A ruft B an und gleichzeitig ruft B A an und wird auf A als {b]TEMPORÄRE{/b] zweite Verbindung gezählt", nicht nachvollziehen? Wenn dann schon vier andere Verbindungen stehen, ist das Limit halt überschritten. So simpel ist das!

Alles andere werte ich jetzt einfach als "Mimimimi, ich will das aber, gib mir mein Räppelchen"
EOC

Backslash
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Löschen eines VPN-Fehlers im LANmonitor

Beitrag von Dr.Einstein »

backslash hat geschrieben: 08 Feb 2022, 15:49 natrülich... Der Verbinungsaufbau muß abgelehnt werden *bevor* der Tunnel ausgehandelt wurde - und da für die Feststellung der Identität einer Einwahl mehrere Pakete ausgetauscht werden müssen hängt die Verhandlung während dessen zwar "in der Luft", muß aber dennoch gezählt werden.
Klingt nach einer praktischen DoS-Möglichkeit :G)
Antworten