Nur 1 von 3 VPN Verbindungen funktioniert

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
sstuercke
Beiträge: 1
Registriert: 18 Jun 2015, 14:05

Nur 1 von 3 VPN Verbindungen funktioniert

Beitrag von sstuercke »

Hallo,

wir haben eine Anlage mit einen Lancom 1721+ VPN mit fester IP als Kopfstation.
Zu dieser Kopfstation werden 3 VPN Verbindungen ausgebaut. Da bei den Unterstationen kein DSL war sind dort 2 * 1751 UMTS und 1 * ein LUCOM LR77-v2. So lief die Anlage über Jahre gut.

Jetzt hat die Telekom den Anschluss umgestellt auf VoIP. Außerdem wird an der Kopfstation in ca. 6 Monaten ein LWL Anschluss bekommen. Darum wurde jetzt ein LANCOM 1640E für die Kopfstation angeschafft. Vor den Lancom ist jetzt eine Digitalisierungsbox Smart und dort sind alle Ports zum Lancom weitergeleitet. Nach der Umstellung funktioniert jetzt nur eine VPN Verbindenung von den 1751 UMTS. In den Logfiles stehen diverse Fehlermeldungen unter anderen:
VPN: Error for peer VPN1: IFC-I-License-exceeded;
VPN: License limit of 3 connections exceeded;
dropped message from 89.15.236.55 port 28058 due to notification type NO_PROPOSAL_CHOSEN;
message_negotiate_sa: no compatible proposal found;
attribute_unacceptable: conf_match_num failed, type [14]: Undefined error: 0;
VPN: Error for peer VPN1: IFC-I-Negotiator-no-remote;
last message repeated 3 times;
error for peer VPN1: No remote;

Jetzt die Fragen:
Es sollen doch 3 VPN-Kanäle möglich sein bzw. warum geht nur ein VPN-Kanäle?
Wie bekomme ich die anderen beiden Verbindungen zum laufen?

Falls sich jemand die Konfigs und/oder Logfiles ansehen könnte, würde ich Sie auch gerne zur Verfügung stellen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Nur 1 von 3 VPN Verbindungen funktioniert

Beitrag von Jirka »

sstuercke hat geschrieben: 13 Feb 2020, 20:49Darum wurde jetzt ein LANCOM 1640E für die Kopfstation angeschafft. Vor den Lancom ist jetzt eine Digitalisierungsbox Smart und dort sind alle Ports zum Lancom weitergeleitet.
Klasse Beispiel, wie man es nicht machen sollte. Da werden zwei Geräte gekauft, wo es eines auch getan hätte und es besser gewesen wäre. An der Stelle müsste man eigentlich aufhören, weil perfekt wird es eh nicht mehr.
sstuercke hat geschrieben: 13 Feb 2020, 20:49Nach der Umstellung funktioniert jetzt nur eine VPN Verbindenung von den 1751 UMTS.
Dann ist an den anderen definitiv was falsch. Je nachdem, wie man es sieht, auf der Seite des 1640E oder auf der Seite des 1751 UMTS/LUCOM. Die Seiten müssen harmonieren ("no compatible proposal found"). Ggf. wurde die Konfig vom 1721+ nicht korrekt übertragen oder andere (Default-)Einstellungen im 1640E überlagern das jetzt oder irgendwo wurde vergessen NAT-Traversal zu aktivieren.
sstuercke hat geschrieben: 13 Feb 2020, 20:49In den Logfiles stehen diverse Fehlermeldungen unter anderem:
VPN: Error for peer VPN1: IFC-I-License-exceeded;
VPN: License limit of 3 connections exceeded;
Das kommt, wenn VPN-Verbindungen mit Fehlern abbrechen und ist ein bekanntes Problem:
fragen-zum-thema-vpn-f14/vpn-lancom-fri ... tml#p84611
Heißt aber auch, dass wenn Du die Fehler nicht hast, Du das Problem auch nicht hast. Also die Ursache sind eigentlich Deine Fehler, nicht das Licence Limit.

Hier hilft nur, sich die VPN-Verbindungskonfigurationen einmal für jede Seite genau anzuschauen und so einzustellen, dass sich beide Seiten einig werden.

Viele Grüße,
Jirka
Pasadena
Beiträge: 23
Registriert: 13 Dez 2016, 15:49

Re: Nur 1 von 3 VPN Verbindungen funktioniert

Beitrag von Pasadena »

Jirka hat geschrieben: 14 Feb 2020, 10:39
sstuercke hat geschrieben: 13 Feb 2020, 20:49Darum wurde jetzt ein LANCOM 1640E für die Kopfstation angeschafft. Vor den Lancom ist jetzt eine Digitalisierungsbox Smart und dort sind alle Ports zum Lancom weitergeleitet.
Klasse Beispiel, wie man es nicht machen sollte. Da werden zwei Geräte gekauft, wo es eines auch getan hätte und es besser gewesen wäre. An der Stelle müsste man eigentlich aufhören, weil perfekt wird es eh nicht mehr.
Hallo,

klar ist es sinnvoller mit weniger Geräten auszukommen, wenn möglich, aber gerade wenn an dem Internetanschluss auch noch Telefonie hängt, kann es sein, dass man an solch einer Konfiguration mit vorgeschalteter Digitalisierungsbox nur schwer vorbei kommt wegen der übrigen Telefonie-Infrastruktur. Das ist bei uns leider auch der Fall und mit entsprechender Konfiguration der vorgeschalteten Digitalisierungsbox (in unserem Fall allerdings nicht Smart sondern Premium) bekommt man VPN-Verbindungen zum nachgelagerten LANCOM durchaus stabil hin.

Viele Grüße, Hans-Georg
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Nur 1 von 3 VPN Verbindungen funktioniert

Beitrag von Jirka »

Wer's mag, bitteschön. Es mag auch das ein oder andere Argument für die eine oder andere Lösung geben. Und Digitalisierungsbox Smart und Premium sind auch noch unterschiedliche Geräte (unterschiedlicher Hersteller). Aber man kann das Ganze auch sauber mit einem VoIP-LANCOM abwickeln. Da gibt es welche
mit einem ISDN-Port
mit zwei ISDN-Ports und zwei Analog-Ports
mit zwei ISDN-Ports und vier Analog-Ports
und mit vier ISDN-Ports.
Daneben gibt es ja auch noch intern SIP, das scheinen einige zu vergessen.
Und manche Geräte werden auch offiziell über die Telekom verkauft, die können auch noch eine zusätzliche Glasfaserverbindung vertragen.

Viele Grüße,
Jirka
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: Nur 1 von 3 VPN Verbindungen funktioniert

Beitrag von hyperjojo »

hi Jirka,

auch wenn mir das selten glückt, muss ich dich korrigieren.
Digibox Smart und Premium sind beide vom gleichen Hersteller (bintec-elmeg).
Digibox Basic ist von Zyxel.

Die Telekom verkauft eigentlich fast alle LANCOM Geräte. Wenn nicht über den Standard-Prozess, dann aber über Sonderprozesse :)

Gruß hyperjojo
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Nur 1 von 3 VPN Verbindungen funktioniert

Beitrag von 5624 »

Ich gehe mal davon aus, dass die VPN-Verbindungen als IKEv1 angelegt wurden. Hier ist das Problem, dass im Aggressive Mode alle VPN-Verbindungen in Phase 1 die gleichen Einstellungen haben müssen, da der 1721+ zu dem Zeitpunkt noch nicht weiß, mit wem er da redet. Wenn man eine feste IP-Adresse auf der Initiator-Seite hat, fällt das weg, bei einer dynamischen geht es nicht anders.

VPN-Verbindung manuell oder mit dem Assistenten angelegt?

Ist auf allen Routern NAT-T eingeschaltet? Ohne geht es nämlich nicht.
LCS NC/WLAN
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Nur 1 von 3 VPN Verbindungen funktioniert

Beitrag von Jirka »

hyperjojo hat geschrieben: 15 Feb 2020, 15:32 auch wenn mir das selten glückt, muss ich dich korrigieren.
Digibox Smart und Premium sind beide vom gleichen Hersteller (bintec-elmeg).
Digibox Basic ist von Zyxel.
Ja, nur zu :) Da hast Du natürlich Recht, war natürlich der Meinung ich hätte Basic gelesen... Danke für die Korrektur.
Und wenn Smart, na dann hätte man die VPNs da sicherlich auch drüber laufen lassen können.
Wie gesagt, es mag auch das ein oder andere Argument für die eine oder andere Lösung geben. Aber am Ende muss es irgendwo ordentlich sein und ggf. auch den vermutlich zusätzlichen Glasfaseranschluss da in Zukunft mit berücksichtigen (und dann z. B. die alte Telekom-Leitung als Backup-Leitung usw.).
5624 hat geschrieben: 15 Feb 2020, 20:16Ich gehe mal davon aus, dass die VPN-Verbindungen als IKEv1 angelegt wurden.
Davon kann man wohl ausgehen, wenn noch ein 1751 im Spiel ist, der IKEv2 gar nicht kann.

Vielleicht war bisher auch Dynamic-VPN (über UDP) mit im Spiel und da fehlt jetzt ein Portforwarding. Kann alles sein, ist hier ja nicht genau beschrieben und kann man vermutlich auch nur sehen, wenn man sich das anschaut...

Viele Grüße und einen schönen Sonntag,
Jirka
Antworten