IPSec VPN bricht ständig zusammen

Alles rund um die Hardware der DrayTek Vigor 2910 und Vigor 2910V Dual WAN Router Serie.

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

IPSec VPN bricht ständig zusammen

Beitragvon DigitalPhoenix » Mo 14.04.2008 - 16:20

Hallo,
ich habe an 3 Standorten Vigor 2910 Router mit der Firmware 3.1.2 an 16k Leitungen.
2 (Telekom(fest. IP)/Arcor(dyn. IP)) wählen sich via IPSec VPN (ohne Zertifikate) auf den 3ten ein (Telekom feste IP).
Ich habe alle Router so konfiguriert, dass sie gegen Mitternacht sowohl die DSL also auch die VPN Verbindungen kappen, um sich dann erneut einzuwählen. Gucke ich mir die online Verbindungszeit der einzelnen Router an, scheint das auch zu funktionieren. Nur das IPSec VPN verabschiedet sich regelmäßig (manchmal im Stundenrythmus). Jetzt gerade wieder: Verbindung 1 "trennt sich", 4 Minuten später Verbindung 2.
Ich habe auf allen Routern die MTU auf 1492.
Auch habe ich den Dauerping auf Router 3 bei den beiden anderen aktiviert.
Ich hab ein paar mächtig angenervte Terminal User. Wäre über jeden Hinweis dankbar.

Gruß
DP

PS: Die Tunnel liefen mit 3DES. Habe sie jetzt mal auf AES gesetzt. Mal schauen ...
DigitalPhoenix
User
 
Beiträge: 11
Registriert: Mo 14.04.2008 - 16:07

Beitragvon nobody » Mo 14.04.2008 - 17:11

Hi,
Ich habe nicht so viel Hilfreiches beizutragen, ausser:
Ich habe unter anderem auch 2 2910 im Einsatz mit FW 3.1.2:

Auch hier sind hin und wieder verbindungsabbrüche zu beobachten.
Die User haben sich aber hier bislang nicht beklagt.
Wenn sich ein PPTP client einwählt, so wird auch der ab und zu getrennt, und, beim nochmaligen Einwahlversuch gehts oft nicht.

das war früher noch nicht so, aber dann musste ich wegen problemen mit dyndns die Firmware aktualiseren.

Nun aber gibts eine neue FW: 3.1.3
Ich werde die mal ausprobieren. Vielleicht schafft das ja besserung ?

******************************************************************************************

Release Notes for Vigor 2910 series

Firmware Version : 3.1.3
Release Date : Mar 17, 2008

Applied Models : Vigor 2910 series (V/G/i)

******************************************************************************************

[ New Functions ]
1. Show Netbios Name in dataflow monitor and arp table.
2. Bandwidth Limit support IP group limit.
3. Implement a new DynDNS Provider TwoDNS for Germany.

[Improvement and Corrections]
1. Improve P2P application stability.
2. Fix 3G may disconnect issue.
3. 3G support Nokia N73, Nokia E65, C-Motech D-50, Sierra 875U, ASUS T500 Modem
4. VPN support MTU settings. (telnet command: vpn mss)
5. Improve VPN interoperability.
6. USB Support Cannon MF4600 printer.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon DigitalPhoenix » Mo 14.04.2008 - 17:21

Tz tz tz ... Da hab ich doch was "übersehen":

Man hilf mir! Da die Vigors sich anfangs nicht korrekt einwählen wollten dachte ich: Spiel mal mit der MTU rum. Ging! Nur,was mich schon immer ein wenig irritiert hat ist, das die Option im Vigor ppp_mss heißen soll. Nur wenn ich mir das so recht überlege ist MTU die gesammte Größe des Packetes und MSS doch nur die Nutzlast, oder?
Wenn ich jetzt einen MTU Wert von 1492 habe?!?!, welchen MSS sollte ich dann nutzen. Und hat Arcor eigentlich einen anderen MTU Wert? Im Netz findet man nur noch Mist darüber.

Da heißt es anstatt MTU auch wieder MSS ... Ist das nicht irritierend?
4. VPN support MTU settings. (telnet command: vpn mss)


Nachtrag: Ich habe jetzt mal die Arcor Gegenstelle auf 1488 gesetzt und rebootet. Funtzt. Mal sehen ob es jetzt runder läuft. Aus irgendeinem Grund stand da noch 1454 oder so drin.
Gruß
DP
DigitalPhoenix
User
 
Beiträge: 11
Registriert: Mo 14.04.2008 - 16:07

Beitragvon nobody » Mo 14.04.2008 - 18:13

Also, bei meinem 2950 da ist es die MTU und nicht MSS.
bei http://www.speedguide.net/
da gibts einen online tester.

Stelle bei deinem PC/MAC etc. die MTU auf 1500
Dann den Test machen.

Ansonsten MSS + 40 = MTU - so las ich das bisher überall.

TKom Business DSL/SDSL mit statischer IP: MTU 1442
TKom Business DSL/SDSL mit dynamischer IP: MTU 1492
andere: keine ahnung
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon DigitalPhoenix » Mo 14.04.2008 - 20:15

Ist ja witzig. Bei statischer IP eine andere MTU?
Gaaanz sicher? Weil auch ich habe hier Business DSL von den Telekomikern.
DigitalPhoenix
User
 
Beiträge: 11
Registriert: Mo 14.04.2008 - 16:07

Beitragvon nobody » Mo 14.04.2008 - 22:25

Ich erinnere mich sehr sicher daran, dass, wenn Du eine statische IP bei denen im Web beantragst, dass dann eine Warung kommt: MTU muss auf 1448 eingestellt werden, denn das habe ich schon oft eingerichtet.

Aber:
auch mit der FW 3.1.13 halten mein VPN verbindungen nur ca. 1-2H.

Ich habe mal das loggen auf beiden seiten eingeschaltet, vielleicht hilft das ja weiter.
Meine Vermutung ist, das es eventuell an den an der IKE Phase1 oder 2 Lifetime liegen könnte.
Beim profil einer eingehenden Verbindung kann man ja hier nichts einstellen. Dennoch denke ich, dass hier ein bestimmter wert erwartet wird.
Aber, das ist nur spekulation.

Immerhin, gut, dass noch jemand anderer die gleiche Erfahrung macht.
Ich dachte bisher immer das ich der einzige bin.
Und da keiner gemeckert hat .... denn die Verbindung wird ja sofort wiederhergestellt, bestehende TCP verbindungen leiden darunter nicht, habe ich es auf sich beruhen lassen.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon DigitalPhoenix » Mo 14.04.2008 - 23:00

Ich werde das Morgen früh mal checken.
Ich hatte halt den Verdacht das durch die unterschiedlich große Fragmentierung irgend ein Teil der IPSec Implementierung nach einiger Zeit den Geist aufgibt (Speicher Problem?) oder aber irgendwas einfach einen Timeout bekommt. Ist die Frage was. PPTP hält bisher durch bzw. wird nur selten gekickt und nicht zu gleichen Zeitpunkt wie die IPSec Tunnel.
Fakt ist, das es sich nicht vorher ankündigt (z.B. mit gefühlter Trägheit etc.).
Ich habe jetzt schon mehrere Berichte gefunden in denen Probleme bei IPSec über WLan auf Grund der Laufzeit beschrieben wurden. Könnte es sein das sich die Router bei "ausreichender" Fragmentierung ähnlich verhalten (ach, ich glaub nicht... )?
Aber das ist jetzt auch nix als Spekulation. Ich hatte bisher leider keine Zeit mich durch's Syslog zu quälen aber da bleibt wohl nichts anderes übrig. Leider kann ich im Moment nur auf einem Router loggen - Nr.3.

Warten wir was der Tag bringt.

Thx
DP
DigitalPhoenix
User
 
Beiträge: 11
Registriert: Mo 14.04.2008 - 16:07

Beitragvon nobody » Mo 14.04.2008 - 23:39

Beim zuschauen habe ich festgestellt, dass genau nach 1H die Verbindungen zu zwei anderen Draytek routern gekappt wurden.
Das entspricht den 3600 sekunden für die default IKE Phase 1 lifetime.

Meine Verbindung, die zu einem anderen Zeitpunkt hergestellt wurde, die lief weiter.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

test

Beitragvon DigitalPhoenix » Di 15.04.2008 - 12:46

Habe gerade mit den Jungens von T-Business gesprochen:
1952 oder 1954 - genau wusste er es auch nicht. *lol*
Er murmelte allerdings etwas davon, dass VPN Verbindungen sonst Theater machen würden.
Werde jetzt mal an den Routern schrauben und schon mal Rückmeldung zu den gestrigen Aktionen von den Usern einholen.

Nachtrag: Das mit dem Timeout von 3600 Sek. kann ich bestätigen.
Einen Fortschritt gab es seit gestern: Der an Arcor angebundene Router hat die Verbindung nach Umstellung seiner MTU aufrecht erhalten. Der an die Telekom angebundene hat sie wieder verloren. Habe die an die Telekom angebundenen Router beide auf 1452 gesetzt und das ganze durch gestartet. In 20 Minuten wissen wir mehr.
Zuletzt geändert von DigitalPhoenix am Di 15.04.2008 - 13:41, insgesamt 1-mal geändert.
DigitalPhoenix
User
 
Beiträge: 11
Registriert: Mo 14.04.2008 - 16:07

Beitragvon nobody » Di 15.04.2008 - 13:40

Bei mir bricht die verbindung wirklich meist nach genau einer stunde ab.
Mein setup ist aber etwas anders: die Router, die sich auf dem 2900 einwählen, das sind 2900.
Trotzdem, es sollte natürlich funktionieren.

Leider kann ich keine 2910 zu 2910 verbindung testen.
Nur 2950 zu 2910.Aber das mache ich jetzt trotzdem mal.

Wenn meine theorie stimmt, dann sollte ja eine pptp verbindung stabiler laufen.
Hast Du das mal länger getestet?

Meine erfahrung mit pptp und 2910 sind auch nicht gerade gut.
Ich habe 1 user, der, wenn er sich als dial in user einwaehlt, haufig abbrüche erlebt. Ein neue Einwahl ist danach erstmal nicht möglich.
Mit den gleichen Parametern, aber zu meinem 2950 ist es jedoch stabil.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon DigitalPhoenix » Di 15.04.2008 - 13:56

Lässt du deinen User via PPTP auf eine DYNDNS Adresse einwählen oder auf eine feste IP?
Wenn du bei einer Dyndns Adresse rausfliegst kann es gut sein das der DNS Cache noch nicht aktuallisiert wurde. Ekeliger Workaround wäre eine Batch auf dem Desktop: ipconfig /flushdns

Aber jetzt wo du es sagst: Bei älteren Modellen hatte ich das auch öffters.
Manchmal hatte ich das Gefühl, dass wenn ich in der PPTP Einwahlverbindung im Windows ihm gesagt habe, das er nicht autom. den VPN servertyp ermitteln soll, es klappt. Soll heißen: PPTP als Typ fest einstellen.

Uuuuuund: Seit 1,06 Std stehen alle Verbindungen. PPTP u. IPSec.
Noch.
Ich habe schon mal den Syslog Deamon angeschmissen. :-)

Gruß
DP
DigitalPhoenix
User
 
Beiträge: 11
Registriert: Mo 14.04.2008 - 16:07

Beitragvon DigitalPhoenix » Mi 16.04.2008 - 16:13

Was soll ich heute sagen: Es läuft! Zumindestens mit den IPSec VPNs hab ich keinen Stress mehr.
Cooler Thread - danke für's mitmachen. :-)

Gruß
DigitalPhoenix
DigitalPhoenix
User
 
Beiträge: 11
Registriert: Mo 14.04.2008 - 16:07

Beitragvon nobody » Mi 16.04.2008 - 22:31

DigitalPhoenix hat geschrieben:Was soll ich heute sagen: Es läuft! Zumindestens mit den IPSec VPNs hab ich keinen Stress mehr.
Cooler Thread - danke für's mitmachen. :-)

Gruß
DigitalPhoenix


Na immerhin.
Meine beiden Verbindungen sind nicht besser, denn auf 1448 hatte ich den wert schon eingestellt.
1452 = Magie ? Aber ich werde da auch nochmals probieren.

der PPTP user, der wählt eine statische IP an, an dyndns kanns nicht liegen.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Beitragvon DigitalPhoenix » Mi 16.04.2008 - 22:46

Ich werde das die Tage noch im Auge behalten.
Ich berichte ...
DigitalPhoenix
User
 
Beiträge: 11
Registriert: Mo 14.04.2008 - 16:07


Zurück zu DrayTek Vigor 2910 / Vigor 2910V Serie

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast