Router 1790EF + VPN

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

mrpresident
Beiträge: 8
Registriert: 17 Feb 2022, 15:16

Router 1790EF + VPN

Beitrag von mrpresident »

Hallo,

wir betreiben an 3 Standorten jeweils 1 LANCOM 1790EF.

Einer davon weißt im Log jede Menge Fehler aus, unter anderem melden die Benutzer Verbindungsabbrüche nach ca. 5 Minuten.
Screenshot der Fehler (Auszug) im Log ist angehängt.

NAT-Traversal ist aktiviert, DPD bin ich der Meinung auch.
lancom_connectionlost-1.JPG
Hat da Jemand eine Idee?


Gruß Kai Busch
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Router 1790EF + VPN

Beitrag von backslash »

Hi mrpresident,

da ist eigentlich nur ein "Fehler" zu sehen, nämlich der DPD-Timeout für User KASSNER....
Alles ansdere ist normales Rauschen aus dem Internet, wo irgendelche Script-Kiddies versuchen SSH-Verbindungen aufzubauen ("login via SSH failed") oder bestimmte Ports zu scannen ("connection refused"). Das kann man alles getrost ignorieren. Wobei schon interrssant ist, daß dein Gerät offenbar aus dem Internet per SSH erreichbar ist...

Warum das DPD für die VPN-Verbuindung "KASSNER" nicht funktioniert, kann dir so niemand sagen. So gut ist keine Kristallkugel und selbst der teuerste Kaffeesatz hilft da nicht weiter... Die Fehlersuche beginnt da mit einem VPN-Status-Trace vom Abbruch - am besten auf beiden Seiten gelichzeitig.

Hängst du vielleciht hinter einem NAT und der UDP-Timeout dieses NATs ist zu kurz für das DPD-Intervall? Früher hatten LANCOMs z.B. ein UDP-Timeout von 20 Sekunden, was für DPD zu kurz war - mitlerweile ist der Default 120 Sekunden hochgesetzt worden.

Gruß
Backslash
mrpresident
Beiträge: 8
Registriert: 17 Feb 2022, 15:16

Re: Router 1790EF + VPN

Beitrag von mrpresident »

Hallo backslash,

danke für dein Feedback.

Ich bin mir nicht sicher, noch kein richtiger Router-Profi, ob ich DPD überhaupt gefunden habe.
Sollte sich DPD unter IKEv2 befinden respektive Verbinungslisten, dann steht bei "Haltezeit" bei allen Usern eine 0.
lancom_connectionlost-2.JPG
Wie gesagt, ich hab den Posten hier übernommen.
Wenn SSH ein Problem darstellt, sollten wir es schließen, oder?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Router 1790EF + VPN

Beitrag von backslash »

Hi mrpresident,

DPD findest du unter VPN -> IKEv2/IPSec -> Verbindungs-Parameter. Dort sind Profile hinterlegt. Das Profil DEFAULT, das du beim Client KASSNER verwendest hat DPD aktiviert. Wenn der Client KASSNER kein DPD unterstützt, dann mußt du ihm ein Parameter-Profil ohne DPD zuweisen (Spalte "Parameter" in der Verbindungsliste).

Haltezei 0 ist für RAS-Clients OK

Gruß
Backsalsh
mrpresident
Beiträge: 8
Registriert: 17 Feb 2022, 15:16

Re: Router 1790EF + VPN

Beitrag von mrpresident »

Hallo backslash,

wie kann ich feststellen, ob der Benutzer DPD unterstützt?
Er verwendet ein unternehmenseigenes Notebook mit dem LANCOM-VPN-Client.
Wie sein lokales Profil eingerichtet ist, weiß ich nicht. - gefunden.
DPD ist auf Intervall 20 Sek. bei 8 Versuchen eingestellt.

Woher bitte soll ich ein Profil ohne DPD nehmen?


Gruß mrpresident
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Router 1790EF + VPN

Beitrag von backslash »

Hi mrpresident,
DPD ist auf Intervall 20 Sek. bei 8 Versuchen eingestellt.
d.h. der Client macht schon selbst DPD - dann verstehe ich allerdings nicht, warum im Syslog die Verbindung mit einem DPD-Error steht... (es sei denn, sie wäre "unsauber" abgebaut worden)
Woher bitte soll ich ein Profil ohne DPD nehmen?
unter VPN -> IKEv2/IPSec -> Verbindungs-Parameter anlegen und unter VPN -> IKEv2/IPSec -> Verbindungs-Liste der Gegenstelle in der Spalte Parameter zuweisen...

Zum Thema "unsauberer" Abbau fällt mir halt wieder ein mögliches NAT ein, das die Session stört. ist das KASSNER-Notebook hinter einem NAT? Hast du im LANCOM die Nutzung von NAT-Traversal erlaubt (unter VPN -> Allgemein)?

Ist KASSNER überhaupt einer der Nutzer die sich über Verbindungsabbrüche beschweren?


Gruß
Backslash
mrpresident
Beiträge: 8
Registriert: 17 Feb 2022, 15:16

Re: Router 1790EF + VPN

Beitrag von mrpresident »

Hallo backslash,

bisher ja, der Kassner ist der Einzige der sich beschwert hat.

Hier die Einstellungen des VPN allgemein:
lancom_connectionlost-3.JPG

Dieses Profil hab ich jetzt erstellt:
lancom_connectionlost-4.JPG

Hier die einzigen Verbindungsparameter:
lancom_connectionlost-5.JPG
Ok, die sind gleich. Welche Werte müsste ich ändern?

Da wir mit 192.168.x.x Adressen arbeiten, gehe ich von NAT aus. Werde das aber prüfen bzw. erfragen.
Aber wenn ich mir so das Log genauer anschaue, gibt es noch weitere User die nach mehr oder weniger 5 Minuten gekegelt werden.
Die Benutzer arbeiten natürlich von zuhause aus. Sollten wir ein NAT haben, wären sie aus meiner Sicht draussen, also VOR dem NAT, oder?
Und wenn kein SSH notwendig, nicht offen sein sollte, wo bitte deaktiviere ich das?

Wir haben ja 3 Geräte gleichen Typs. In der Doku hab ich gelesen, das die untereinander mit IKEv1 arbeiten.


Gruß mrpresident
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Router 1790EF + VPN

Beitrag von backslash »

Hi mrpresident,

um DPD im Profil abzuschalten mußt du das Intervall auf 0 stellen
Und als "Encapsulation" solltest wie im Default auch "keine" wählen- Ebenso sollte der Port auf 0 stehen. "Encapsulation" und "Port" müssen nur dann gesetzt werden, wenn du aktiv den Tunnel aufbaust und sie nicht automatisch ausgehandelt werden - KASSNER ist aber eine Einwahl.

Aber ehrlich gesagt, hab ich da sonst auch keine Möglchkeit dir weiterzuhelkfen - da mußt du schon mit Traces (als erstes: VPN-Status, später ggf. VPN-IKE oder gar VPN-Debug) arbeiten und dir genau anschauen, was da passiert und wo ggf. Pakete verloren geghen. Ebenso schreibt der VPN-Client ein Log-File, in den du nachschauen könnetst, um dem Fehler auf den Grund zugehenm. Und vor dem Client steht auch noch ein Router der NAT macht. Da mußt du dann ins Handbuch des Routers schauen, welche Diagnosemöglichkeiten er bietet...

Gruß
Backslash
mrpresident
Beiträge: 8
Registriert: 17 Feb 2022, 15:16

Re: Router 1790EF + VPN

Beitrag von mrpresident »

Moin backslash,

danke für die Tipps.

Wenn ich dich also richtig verstanden hab, muss ich gemäß folgendem Screenshot die Werte "Encapsulation auf keine" und "Port auf "0" setzen.
lancom_connectionlost-6.JPG

Mein "Account"....
lancom_connectionlost-7.JPG

Die Frage war noch.... SSH benötigt keiner, wo deaktiviere ich das?
Das würde die Fehlermeldungen deutlich minimieren, hoffe ich.


Gruß mrpresident
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Dr.Zett
Beiträge: 89
Registriert: 02 Apr 2019, 11:04

Re: Router 1790EF + VPN

Beitrag von Dr.Zett »

mrpresident hat geschrieben: 24 Feb 2022, 09:06
Die Frage war noch.... SSH benötigt keiner, wo deaktiviere ich das?

Servus,

unter Konfiguration -> Management -> Admin -> Zugriffs-Rechte Protokolle.

Grüße

Dr. Zett
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Router 1790EF + VPN

Beitrag von backslash »

Hi mrpresident,
Wenn ich dich also richtig verstanden hab, muss ich gemäß folgendem Screenshot die Werte "Encapsulation auf keine" und "Port auf "0" setzen.
ja, das ist auch der Default. Aber wie gesagt: "Encapsulation" und "Port" haben eh nur einen Einfluß, wenn das LÖANCOM den Tunnel aufbaut. Bei einkommendne Verbidungen sind sie egal - da wird das von der Gegenseite vorgegeben.
Mein "Account"....
bei einer Haltezeit von 30 Sekunden darfst du dich nicht wundern, wenn der Tunnel ständig abgebaut wird - und zwar genau 30 Sekunden nachdem das letze Paket übertragen wurde

Gruß
Backslash
mrpresident
Beiträge: 8
Registriert: 17 Feb 2022, 15:16

Re: Router 1790EF + VPN

Beitrag von mrpresident »

Welchen Wert statt der 30 sollte ich dann nehmen?
Ich weiß ja nicht, wie lange der User so online ist.
Es muss ja einen Wert geben, der die Verbindung so lange offen hält wie es eben dauert.

Encapsulation und Port hab´ ich jetzt entsprechend abgeändert.
Wobei, DEFAULT betrifft ja wohl auch die Verbindungen der Router untereinander, richtig?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Router 1790EF + VPN

Beitrag von backslash »

Hi mrpresident,
Welchen Wert statt der 30 sollte ich dann nehmen? Ich weiß ja nicht, wie lange der User so online ist.
Da ist eigentlich 0 der richtige Wert - nur bleibt die Verbindung dann auch weiter bestehen wenn sie ohne sauberen Abbau wegbricht. Um das festzutellen dient eigentlich DPD, das die Verbindung abbaut, wenn die Gegenseite nicht mehr antwortet. Aber da drehen wir uns irgendwann im Kreis...
Wobei, DEFAULT betrifft ja wohl auch die Verbindungen der Router untereinander, richtig?
"DEFAULT" betrifft alle Gegenstellen, die das Profil "DEFAULT" als Parameter-Profil verwenden (Spalte "Parameter" in der "Verbvndungs-Liste").

Gruß
Backslash
mrpresident
Beiträge: 8
Registriert: 17 Feb 2022, 15:16

Re: Router 1790EF + VPN

Beitrag von mrpresident »

Die 0 war ja auch überall, werde ich also zurück schrauben.

Kann es sein, das meine Änderungen das Login berühren?
Seit ich gegen Mittag unsere letzte Mail im Router geprüft habe, kann ich mich nicht mehr anmelden.
Entweder Login gesperrt oder falsche Daten / Zeit abgelaufen, soll es erneut probieren.

Das bisher genutze Passwort stimmt definitiv, sonst hätte ich mich ja nicht anmelden können.
Und da ich stets rein kam, hab ich auch keine fehlerhaften Anmeldungen produziert.

Sicher gibt es da den Time-Out.... nur wie lange.
Wenn Du keine Idee hast und eine Alternative zum üblichen Login "root/passwort", dann warte ich bis morgen mal.
Apropos alternativer Login.... gibt es da einen, eine Art Hintertür? Vlt. sollte ich mir einen 2. Admin anlegen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Router 1790EF + VPN

Beitrag von backslash »

Hi mrpresident,
Kann es sein, das meine Änderungen das Login berühren?
ich weiss ja nicht, was du alles geändert hast - aber zumindest die Eintellungen im VPN haben keinen Einfluß.
Sicher gibt es da den Time-Out.... nur wie lange.
im Default kannst du dich pro Protokoll 5 mal mit falschen Account-Daten anmelden. Danach gibt es eine 5 Minütige Sperre.
Wenn Du keine Idee hast und eine Alternative zum üblichen Login "root/passwort", dann warte ich bis morgen mal.
Alternativen gibt es nur im Protokoll: es gibt jeweils eine Loginsperre für
  • HTTP(S)
  • SSH/Telnet(S)
  • SNMP
  • TFP
  • die serielle Schnittstrelle
Um die Loginsperre durch Script-Kiddies zu vermeiden, sollte die Konfiguration aus dem WAN komplett gesperrt oder zumindest auf VPN eingeschränkt werden (Mangemenet -> Admin -> Zugriffs-Eintellungen -> Zugriffs-Rechte -> von einer WAN-Verbidung). Aber das hatten wir am Anfang dieses Threads auch schon... Das sollte aber eigentlich der Erstinstallations-Wizard erledigt haben.
Apropos alternativer Login.... gibt es da einen, eine Art Hintertür? Vlt. sollte ich mir einen 2. Admin anlegen.
Die Loginsperre ist unabhängiug vom Usernamen.

Gruß
Backslash
Antworten