VPN Verbindung bricht unregelmäßig ab

[fuige]

Ein herzliches HALLO an die gesamte Forumsgemeinde!

Ich habe mich heute Morgen hier registrieren lassen da ich in der Vergangenheit bereits öfter Lösungen hier finden konnte und nun selbst vor einem wie es scheint unlösbaren Problem stehe.
Kurz zu mir. Ich arbeite als EDV Verantwortlicher in einem mittelständigen Fertigungsbetrieb und betreue ein Netzwerk welches an seinen Knotenpunkten (Switche u. Router) mit LANCOM Geräten aufgebaut ist.

Zu meinem Problem
Mit zwei LANCOM 1711 VPN betreiben wir eine VPN Verbindung zwischen unserem deutschen Standort und der Filiale in den USA.
Die Verbindung besteht bereits seit ein paar Jahren und lief im großen und ganzen immer gut. Nichts um Filme zu kopieren, aber für die Arbeit auf einem Windows 2008 R2 Terminalserver und die Nutzung des in Deutschland installierten ERP Systems über Terminalserver Sitzungen ausreichend.
Nun besteht aber seit einigen Wochen das Problem, das die Verbindung in unregelmäßigen Abständen getrennt wird.
Fehlermeldung im Lanmonitor in USA: No rule matched IDs - unknown Connection or incorrect ID (e.g. IP Network Definition) (Responder, IPSec) [0x3201]
Fehlermeldung im Lanmonitor in Deutschland: Kein übereinstimmendes Proposal gefunden (Aktiver Verbindungsaufbau, IPSec) [0x3102]
Ich habe die Proposals an beiden Geräten bereits geprüft und konnte keine fehlenden oder falschen Übereinstimmungen finden.

Was hat sich verändert: In USA wurde in ein anderes Büro gewechselt und es gab neue Computer für alle Mitarbeiter.
Ich gehe davon aus, das es an der Internetverbindung oder Konfigurationsfehlern im US Netzwerk hängt.
Die Fehlermeldung der beiden Geräte besteht bereits länger. Ob die Verbindungsabbrüche seit dem Umzug oder den neuen Rechnern erst auftreten kann mir von den US Kollegen niemand genau sagen.
Daher würde ich wenn es irgendwie möglich ist, gerne die Fehlermeldung beseitigen um Sie als Ursache der Abbrüche ausschließen zu können.

An beiden Standorten habe ich mit Speedtest.net die Geschwindigkeit getestet und einen Durchschnittswert gebildet.
USA: Download 1,06Mbps / Upload 0,8Mbps
Deutschland: Download 11,76Mbps / Upload 0,95Mbps


Im Anhang noch ein Screenshot vom Syslog des deutschen Router von gestern Abend!


Vielen Dank Euch allen bereits im Voraus!
Fuige

[Bernie137]

Hallo Fuige und herzlich willkomen hier,

vermutlich haben diese Fehlermeldungen nicht primär mit dem Problem etwas zu tun.

Vielmehr die Meldung "CONNECTION_ERROR: VPN: Error for Peer XY: IKE-I-DPD-Timeout". Das bedeutet das Ziel VPN Netz in den USA war nicht erreichbar. Nun müsste man zu der fraglichen Zeit die Syslog Meldungen vom USA Router prüfen. War dort einfach gerade keine Internetverbindung (weil die Leitung seit dem Umzug in den USA haspelt/Aussetzer hat)?

Hat sich an der Konfig im Router USA (oder Deutschland) etwas geändert?

vg Bernie

[Dr.Einstein]

Die Fehlermeldung bezieht sich garantiert auf die VPN Netzbeziehung zwischen den Standorten.

Falls es eine Standardkonfiguration ist, wird automatisch ein VPN Pärchen zwischen den lokalen Netzen unter TCP-IP / Netzwerke (Typ Intranet) und der Routing Tabelle IP-Router / Routing / Routing Tabelle (Eintrag Router VPN) gebildet. Dieses Pärchen muss am anderen Standort über Kreuz übereinstimmen. Scheinbar hat jemand was am Router gemacht, bestimmt die lokale IP verändert oder so.

Gruß Dr.Einstein

[fuige]

Hallo!

Erste einmal vielen Dank für die sehr schnellen Antworten.

Am SysLog des US Router arbeite ich aktuell noch.
Wie im Anhang zu sehen fehlt in der Tat im US Router der Eintrag unserer festen IP hier in Deutschland. In Deutschland ist die IP von USA eingetragen.
Links = USA und Rechts = Deutschland im Screenshot.

Muss ich also im US Router die Tabelle um unsere feste IP (ersten 3 Zahlenblöcke) erweitern?

[Dr.Einstein]

Die lokalen Netze sind auf dem Screenshot nicht zu sehen. Außerdem ist die Routing Tabelle unstimmig. Dort sind auf beiden Seiten jeweils 192.168.1.0 + 192.168.2.0 hinterlegt. Eine Seite kann diese aber nur haben.

[fuige]

Wir haben hier das 192.168.1.... Netz und USA 192.168.2....
Wenn ich Dich korrekt verstehe müsste ich also in USA die 192.168.1 entfernen und in Deutschland die 192.168.2 entfernen.
Korrekt?

Was ist mit unserer festen öffentlichen IP die im US Router komplett fehlt?
Muss diese dort nicht eingetragen sein?

[Dr.Einstein]

Die öffentlichen IP Adressen der Gegenseiten haben im Regelfall nichts in der Routing Tabelle zu suchen, da die Defaultroute 255.255.255.255 diese erreichbar macht. Ist diese eine 69.x.y.z die WAN IP? rauslöschen? Die doppelten 192.168.1 bzw 2 ebenfalls löschen, so das wirklich nur das lokale Netzwerk der Gegenseite hinterlegt ist.

[fuige]

Ja, bei der 69.x.y.z handelt es sich um die öffentliche WAN IP.

[fuige]

Das Überarbeiten der Tabelle scheint schon mal was die Fehlermeldung im Lanmonitor angeht geholfen zu haben.
Ich habe beide Router eben neu gestartet und es wird nun auf beiden Seiten eine Verbindung OHNE Fehler angezeigt.

Vielen Dank für die schnelle und gute Hilfe!

Den SysLog habe ich inzwischen laufen, so das auch hier evtl. eine tiefere Analyse der Ursache auf beiden Seiten möglich wird.
Da ich gleich noch zu einem Termin muss und anschl. erst einmal im Urlaub bin, werde ich mich später hier wieder zum Thema mit hoffentlich neuen Erkenntnissen melden.


Euch allen ein schönes WE!
Fuige

[MariusP]

Hi,
Mit dem Consolenbefehl "show vpn" oder für mehr Details "show vpn long" kannst du dir anschauen, was aus deiner Konfig am Ende herrauskommt.
Gruß

[fuige]

Hi!

Nachdem ich mit Eurer Hilfe mal in der Router Konfiguration aufgeräumt habe, scheint die Verbindung wieder ohne Ausfälle zu laufen.
Auch mit Syslog konnte ich nun nichts Besonderes feststellen.
Seit mehr als einer Woche gab es keinen ungeplanten Verbindungsabbruch mehr.

Euch allen vielen Dank für die hervorragende Hilfe hier im Forum.


Gruß
Fuige