VPN und ICMP Polling // Tunnel bricht nach 60s ab

[lonesome_walker]

Hallo zusammen,

ich benötige mal einen Tipp von euch, da ich total auf dem Schlauch stehe.

Wir haben eine Hand voll Lancom Router (4 von ca. 120 - LCOS 10.90RU3), die permanent aller 60s den S2S IKEv1/IPSec Tunnel zur "Zentrale1" (LCOS 10.80 RU12) neu aufbauen. Ein weiterer, identisch konfigurierter VPN-Tunnel auf dem gleichen Router der Filiale zu einem weiteren Lancom Router "Zentrale2" (LCOS 10.90 RU2), ist dauerhaft stabil.

Also grob:
Filiale --> Zentrale1 // bricht aller 60s ab
Filiale --> Zentrale2 // stabil über mehrere Wochen

Ein Problem an den Internetanbindungen der Filiale und Zentralen kann ich inzwischen komplett ausschließen. Die Kapselung des IPSec via HTTPS macht keinen Unterschied. DPD ist auf 60s konfiguriert.

Da die Filiale nur dynamische öffentliche IPs bekommt, nutzen wir bei beiden Tunneln von Filiale zu Zentrale1 und zu Zentrale2 das dynamic VPN via UDP Paket.

Folgendes ist im VPN-Status Trace bei der Filiale zu finden:

Code: Alles auswählen

[VPN-Status] 2025/07/28 13:53:20,948  Devicetime: 2025/07/28 13:53:20,453
VPN: poll timeout for Zentrale1 (IP1.IP2.IP3.IP4@3 IKEv1)
remote site did not answer during interval (1 retries left)
send poll frame to 172.16.2.254
set poll timer to 1000 ms

[VPN-Status] 2025/07/28 13:53:21,030  Devicetime: 2025/07/28 13:53:20,473
VPN: ICMP error received for Zentrale1 (IP1.IP2.IP3.IP4@3 IKEv1), ignored

[VPN-Status] 2025/07/28 13:53:22,009  Devicetime: 2025/07/28 13:53:21,453
VPN: poll timeout for Zentrale1 (IP1.IP2.IP3.IP4@3 IKEv1)
remote site did not answer during interval, no retries left, disconnect channel

Beim Verbindungsaufbau finde ich folgende Einträge im VPN-Status Trace der Filiale:

Code: Alles auswählen

[VPN-Status] 2025/07/28 13:53:23,052  Devicetime: 2025/07/28 13:53:22,508
VPN: start dynamic VPN negotiation for Zentrale1 (IP1.IP2.IP3.IP4) via ICMP/UDP

[VPN-Status] 2025/07/28 13:53:23,052  Devicetime: 2025/07/28 13:53:22,508
VPN: create dynamic VPN V2 authentication packet for Zentrale1 (IP1.IP2.IP3.IP4)
   DNS:  10.2.107.254, 0.0.0.0
   polling address: 10.2.107.254

[VPN-Status] 2025/07/28 13:53:23,052  Devicetime: 2025/07/28 13:53:22,509
VPN: dynamic VPN V2 packet send to Zentrale1 (IP1.IP2.IP3.IP4)

dynamic VPN V2 header:
    Version: 2
    HdrLen: 28
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x0
      Responder: no
    Challenge: 394671c0

[VPN-Status] 2025/07/28 13:53:23,062  Devicetime: 2025/07/28 13:53:22,543
PING_ECHO, AuthFlags: 1, LastConf: 8320, DynVpnMode: 8, StTunnel: 0

[VPN-Status] 2025/07/28 13:53:23,062  Devicetime: 2025/07/28 13:53:22,543
VPN: dynamic VPN V2 packet received from Zentrale1 (IP1.IP2.IP3.IP4)

dynamic VPN V2 header:
    Version: 2
    HdrLen: 20
    InfoLen: 40
    MsgType: address info (1)
    Flags: 0x1
      Responder: yes
    Challenge: 75fd9dea

[VPN-Status] 2025/07/28 13:53:23,062  Devicetime: 2025/07/28 13:53:22,544
VPN: received dynamic VPN V2 authentication packet from Zentrale1 (IP1.IP2.IP3.IP4)
   DNS:  172.16.2.254, 0.0.0.0
   polling address: 172.16.2.254

Für mich sieht es so aus, als würde die Filiale statt der herkömmlichen DPD, ein Polling via ICMP auf die interne IP der Zentrale1 verwenden. Ich kann mir das Verhalten nicht erklären, da Dinge wie IKE-CFG etc. nicht eingerichtet sind. Es gibt auch keinerlei ICMP Polling Einträge auf den Routern.

Ein Trace des Tunnels zu Zentrale2 ist vollkommen unauffällig und man sieht die DPD Pakete, die sauber von der Gegenstelle beantwortet werden.

Ein ICMP Trace in der Filiale zeigt u.a. folgendes:

Code: Alles auswählen

[ICMP] 2025/07/28 14:27:05,245  Devicetime: 2025/07/28 14:27:04,844
ICMP generate packet for Dest-IP: 172.16.2.254, Echo request (8), ID: 4113, Seq: 1

Ein ICMP Trace in der Zentrale1 zeigt keine eingehenden ICMP Pakete von der Filiale. Die Firewall Trance sind ebenfalls ohne Ergebnis.

Und das ist der Punkt an dem ich nicht weiter komme.

Vielen Dank schonmal vorab!

Grüße,
Norman.

[Dr.Einstein]

Du nutzt IKEv1 dynamic VPN mittels ICMP? Stell doch den Tunnel einfach auf IKEv2 um. Dann sollten die Probleme direkt weg sein.

[lonesome_walker]

Die Umstellung auf IKEv2 ist geplant, dauert aber auf Grund mangelnder menschlicher Ressourcen derzeit leider noch an...

Die Option für Dynamic VPN ist in der Filiale auf "Dynamisches VPN (ein UDP-Paket wird an die Gegenstelle gesendet um die IP-Adresse zu übermitteln)" gesetzt. Identisch zum zweiten Tunnel auf dem Router.

Grüße,
Norman.

[Dr.Einstein]

Dann kontrollier mal bitte die Line Polling Tabelle unter Kommunikation / Protokolle. Steht da ein Eintrag für die VPN-Gegenstelle drin? Wenn ja, korrigiere diese mal, bzw lösch den Eintrag direkt.

Und zwecks Umstellung auf IKEv2: Der Eintrag hier im Forum hat vermutlich länger gedauert als das Einrichten. Du machst
- ein Konfig-Backup
- startest auf beiden Seiten den Asisstenten via LanConfig
- löscht via Assistent die VPN-Gegenstelle
- Richtest via VPN-Assistent eine VPN-Verbindung, über Kreuz, also Entfernter Key / Identität ist die Lokale Key / Identität der anderen Seite
- Fertig solang du keine aussergewöhnlichen Einstellungen / Routing Einträge / Firewallregeln bezogen auf die VPN-Gegenstelle hast

[Frühstücksdirektor]

Als Alternative kannst Du mal IKEv1 Dynamic VPN mit ICMP statt UDP (wie jetzt) versuchen.

[lonesome_walker]

Es sind keine Einträge in der Polling Tabelle enthalten. Weder in der Zentrale, noch in der Filiale.

Die Umschaltung zwischen Dynamic VPN mit UDP vs. ICMP bringt leider auch keinen Unterschied.