R883+ keine VPN Einwahl mit 10.72.0203

[jueRgenB]

Hallo,

ich habe hier einen R883+, der lief immer prima und der externe Client konnte sich mit Shrewsoft VPN einwählen.
Angeschlossen an einem Telekom VDSL (Cloud PBX Vertrag).

Seit knapp 10 Tagen ist eine Einwahl nicht mehr möglich, es kommt nur zu Timeouts.

Im Syslog sind keine Einträge für´s VPN zu sehen.
Ein Paket Capture (LL-VDSL) zeigt auch keine Einwahl Versuche (Shrewsoft Client und Lancom Advanced Client).
Shrewsoft unter Windows 11.

Ich hab einen Firmware Upgrade von 10.50.1153 auf 10.72.0203 in Verdacht, incl. Upgrade der Config.
Ein Downgrade auf 10.50.1153 hat nix gebracht.

Kann mir jemand weiterhelfen oder einen Tip geben?

Shrewsoft nutzt diese Config

Code: Alles auswählen

General		
Host Name:	a.b.c.d

Authentication
Authentication Method:	Mutual PSK

Local Identity:	
Identification:	User Fully Qualified Domain Name
UFQDN String:	vpn02@company.de	
		
Remote Identity:
Identification:	User Fully Qualified Domain Name
UFQDN String:	vpn02@vpn02@company.de

Credentials:
Pre Shared Key:	******************

Phase 1:	aggressive, group 2, aes, 256, sha2-256, 86400, 0
Phase 2:	esp-aes, 256, sha1, group 14, disabled, 28800, 0
Policy:		Obtain Topology Automatically (Remove)
Add:		192.168.2.0, 255.255.255.0

Schönen Gruß

Jürgen

[Dr.Einstein]

Ein PC / Client oder mehrere PCs gleichzeitig betroffen?

[jueRgenB]

Verschiedene Clients sind betroffen.

Könnte eine Dead Peer detection zuschlagen?
Auch nach Reboot..

Warum seh ich nix im capture…
Wurden eventuell irgendwelche DH Gruppen gesperrt?

Eine ausgehend Site2Site Strecke läuft weiterhin.

[Dr.Einstein]

Wenn du nichts im Capture siehst, dann liegts nicht an DH Gruppen oder LCOS Update. Hast du eine Portweiterleitung auf dem 883+ aktiv? Nutzt du statt einer festen IP einen DynDNS Account / Hostnamen? Hast du mal bei deiner Site-to-Site Verbindung kontrolliert, welche Quell IP dort beim VPN angezeigt wird? Ist diese identisch mit den Client Ziel-IPs? Kommst du über die feste IP / DynDNS Namen via SSH oder HTTPs auf deinen 883+?

[jueRgenB]

Danke für die Rückmeldung.

Es gibt keine Portweiterleitung.

Es gibt eine feste IP, auf diese komme ich über https prima drauf. Wenn ich SNMPv3 aktiviere klappt auch der WAN Monitor.

Die S2S IP ist mit der Client Ziel IP identisch. Es gibt ja nur eine.

ICMP klappt auch.

Ggfs. blockt die deutsche Glasfaser.
Ich Sitz hinter eine FRITZ!Box, da war mal VPN S2S aktiv, ist aber gelöscht.

Vielleicht fehlt hier ein FB reboot.

Ich werde das morgen mal von einem Glasfaser Anschluss der Telekom testen… allerdings wieder ne Firewall dazwischen.

Aber hab noch nen VDSL 884VA im Zugriff (mit VDSL)

Seltsam …

[jueRgenB]

Ursache gefunden,

die Einträge in der Verbindungs-Liste für die VPN Clients hatten keine IPv4 Regel mehr .
Hier waren die Einträge leer, dafür war das IPv6 Profil auf Default gesetzt.

Nach dem setzen der IPv4 Regel GENERIC-RAS-ACCESS-FOR-WIZ konnte sich auch der Shrewsoft Client wieder verbinden.

Ich kann nur vermuten, das mit einem Firmware Update diese Regel geändert wurde.

Ein zweites Problem trat bei den Tests auf.

Ich hatte einen identischen dritten VPN User angelegt um das zu testen (da wurde auch die IPv4 Regel vom Wizard gesetzt).

Jedoch war eine Einwahl nicht möglich, es kam zum Fehler VPN: Error for peer VPN-CLIENT-3: IKE-R-General-failure.

Jetzt hat der R883+ schon 3 Einträge in der Verbindungs-Liste gehabt.
Greift hier schon das 3 VPN Limit, auch wenn nur 1 aktiv ist?

Schönen Tag noch ...

Jürgen

[Dr.Einstein]

Jetzt hat der R883+ schon 3 Einträge in der Verbindungs-Liste gehabt.
Greift hier schon das 3 VPN Limit, auch wenn nur 1 aktiv ist?

Greift nur für aktive Sessions, nicht konfigurierte.

Aber wieso war dann dein Wireshark leer? Du musst irgendwas falsches mitgeschnitten haben, sonst hätten deine VPN-Pakete sichtbar sein müssen...

[jueRgenB]

Mitgeschnitten hatte ich mal auf Verdacht DSL-1, LL-VDSL und LL-VDSL-CTRL

Zu dem Capture Zeitpunkt war die IPv4 Regel GENERIC-RAS-ACCESS-FOR-WIZ aber noch nicht gesetzt.
Naja, jetzt läuft´s wieder. Warum auch immer die IPv4 Regel in der Verbindungsliste flöten ging... keine Ahnung.

Schönen Dank für die Unterstützung

[Hagen2000]

Das kam mit LCOS 10.70, ab dieser Version werden VPN-Regeln zur Erzeugung von Netzbeziehungen (SAs) in der IPv4-Firewall nicht mehr unterstützt. Statt dessen müssen nun die Netzwerk-Regeln im VPN-Menü benutzt werden. Die Konfiguration sollte eigentlich automatisch konvertiert werden, aber das hatte bei mir auch nicht vollständig funktioniert, so das die VPN-Einwahl nach dem Upgrade nicht mehr funktionierte.