Stabilität und Laufzeit von Draytek Vigor Routern

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Stabilität und Laufzeit von Draytek Vigor Routern

Beitragvon stkoepp » Mi 29.05.2013 - 15:33

Hallo,
Ich besitze seit längerer Zeit mehrere Vigor Router. Als Hauptrouter nutze ich den Vigor2920. an einem Unitymedia Anschluss 64/5 MBit. Betrieben an einem Cisco EPC3208 Modem.

Ich habe 12 VPN-Tunnel LAN to LAN eingerichtet. Alle Tunnel sind eingehend.
Verwendet werden die Modelle: Vigor 2920, Vigor2710, Vigor2900, Vigor2800, Vigor2600, Vigor2200E-plus, m0n0wall und FritzBoxen.
Es läuft alles soweit wie gewünscht. Die VPN Tunnel bei den Anschlüssen mit Dynamischer-IP werden alle per Schedule neu aufgebaut.

Die Stabilität der Router ist aber nicht zufriedenstellend. Nach einiger treten sporadische Fehler auf wie z.B. VPN Tunnel brechen ab, bestimmte Tunnel können nicht mehr azfgebaut werden, Router starten neu usw. Abhilfe schafft nur ein Neustart. Manchesmal muss auch die Konfiguration neu geflasht werden, damit die Router wieder funktionieren. Die Probleme treten bei allen Modellen unterschiedlich oft auf.
Ich schaffe es nie den Hauptrouter länger als ca. 14 Tage ohne Neustart zu betreiben.

Nach Aussagen vom Draytek Support soll ich die Router 1 mal täglich neustarten. Die vielen VPN-Tunnel würden Sehr hohe Anforderungen an die Hardware stellen. Das kann es doch nicht sein.

Hat jemand ähnliche Erfahrungen gemacht oder Woran kann es liegen?

Meine Vermutung DraytekOS könnte es sein, da die Probleme bei allen Modellen auftreten.

Vielen Dank
Gruss
Stephan
Zuletzt geändert von stkoepp am Sa 01.06.2013 - 20:37, insgesamt 2-mal geändert.
stkoepp
Grünschnabel
 
Beiträge: 2
Registriert: Mi 05.08.2009 - 02:51

Re: Stabilität und Laufzeit von Draytek Vigor Routern

Beitragvon nobody » Mi 29.05.2013 - 19:17

Das entspricht nicht meiner Erfahrung. Ich koennte mir aber vorstellen, dass bei der dead peer detection in zusammenhang mit nicht draytek routern, vielleicht manchmal probleme dieser art auftreten, aber, dass man die FW neu flashen muss, dass ist mir in >10 jahren erst 2x passiert.

Der draytek 2600, vielleicht auch der 2800 ist ein etwas unglueckliches modell.

Aber mit 2920, 2900, 2200 habe ich gute erfahrungen und lange uptimes.

Was sind das fuer VPN verbindungen ?
Ich empfehle bei Lan2Lan verbindungen einen IPSec Tunnel, und, wenn moeglich weder client noch server bzw. keiner der partner hinter NAT.
IKE phase 1 und 2 lifetime muss bei beiden partnern identisch sein.

Mein setup ist jedoch etwas anders:
Ich habe derzeit einen 2950, und, die meisten verbindungen sind abgehend, (aber nicht alle). Die router der gegenseite sind meist 2900, 2300, 2930, 2910, 5500, sonicwall, securepoint.
Mit dem securepoint system, da gab es mal ein problem, aber es hat sich dann herausgestellt, dass hier die ike lifetime auf der anderen seite nicht gestimmt hat.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Re: Stabilität und Laufzeit von Draytek Vigor Routern

Beitragvon stkoepp » Do 30.05.2013 - 03:03

Die VPN Verbindungen sind nur LAN to LAN und das nur zu Routern mit öffentlicher IP, nur äusserst sellten mal Teleworker. Die Tunnel sind gemischt IPsec AES; L2TP-3DES. Ich habe anstelle des Vigor2920 auch mal den Vigor2950 genutzt mit gleichem Ergebnis. Die Firmware habe ich vor dem Einsatz mit der aktuellen .rst geflascht. Der Vigor2950 rebootet auch sporalisch neu, ohne Schedule oder autoreboot. Ich denke, dass es ein memory leak sein könnte, da es bei allen von mir getesteten Routern zu gleichem Verhalten kommt. Desto mehr Tunnel aktiv sind, desto kürzer die uptime. Die Router auf denen nur 1 Tunnel aktiv ist kommen auf eine Höhere Laufzeit.
Zuletzt geändert von stkoepp am Sa 01.06.2013 - 11:43, insgesamt 1-mal geändert.
stkoepp
Grünschnabel
 
Beiträge: 2
Registriert: Mi 05.08.2009 - 02:51

Re: Stabilität und Laufzeit von Draytek Vigor Routern

Beitragvon nobody » Do 30.05.2013 - 11:01

Mein 2950 ist noch nie von selber gestartet ohne Grund, ich habe etwa 16 dauerhafte Tunnel eingerichtet. Meine Verbindungen sind immer an, und werden höchstens durch Telekom zwangs-neustart getrennt. Die Verbindungen über die Kabel-leitung, die laufen zuverlässig dauerhaft.
Daher würde ich mal annehmen, etwas in der Konfiguration führt zu einem reset.

So ein unerwarteter neustart auftritt, logge Dich mal per telnet ein, und dann:
sys ver dbg
was kommt da raus ?

Ich kenne die folgenden möglichkeiten für spontage reboots:
- DNS sever unerreichbar, und, dyndns konfiguriert
- Eine der VPN verbindungen hat eine Netzmaske/Netzwerk die wie eine default-gateway ist (0.0.0.0).

VPN verbindungen können unter umständen nicht mehr aufgebaut werden wenn:
jemand vom Internen Netz eine IPSec Verbindung durch den Router aufbaut, deren Endpunkt die gleiche IP hat wie eine existierende IPSec Verbindung.

Schalte doch mal die syslog funktion ein, und beobachte was passiert.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Re: Stabilität und Laufzeit von Draytek Vigor Routern

Beitragvon nobody » So 02.06.2013 - 23:31

kleine Zusammenfassung:
Vielleicht kommt man etwas näher an eine stabile konfiguration mit:
- DNS server der im Router eingetragen ist muss immer zuverlässig funktionieren (geht das nicht folgt sonst manchmal ein reboot), ich hatte das bei draytek auch mal als Bug gemeldet, mir wurde aber mitgeteilt, dass das eher ein feature als ein bug ist.
- RIP sicherheitshalber ausschalten (überall), ausser man ist wirklich überzeugt dass man es braucht, um einer verunreinigung der Routing Tabelle vorzubeugen, denn ist die routing tabelle mal falsch kann vielleicht deswegen keine VPN verbindung aufgebaut werden, und ein neustart ist notwendig.
- Eingehende VPN verbindungen möglichst nur mit einer option einrichten (ich empfehle einen IPSec tunnel, der hat die beste leistung)
- Lokale Netzwerk-subnetzmaske im VPN profil identisch zur tatsächlichen lokalen Subnetzmaske einstellen (oder wenigstens nicht größer), sonst könnte es mal sein, dass der router pakete nicht über das VPN schickt.
- Wenn der zugriff von partnern auf andere über den Zentralen VPN router verbundene partner notwendig ist, dann diese Routen manuell über die "more" option, jeweils bei beiden gegenstellen eintragen.
- Bei älteren geräten kann es notwendig sein, Internet-Explorer 6 oder 8 im kompatibilitätsmdus, und ohne popupblocker und andere zusätze zur änderung der Routereinstellunen zu verwenden, sonst führt das möglichweise zu unvollständigen VPN profilen.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45


Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron