sysad
Goto Top

Draytek2700 trennt VPN nach genau 1h

Liebe Mitstreiter,

mein neuer Draytek 2700VG Testrouter hat die 'schöne Eigenschaft', dass er VPN-Clients nach genau 1h trennt. Neuaufbau danach ist kein Problem, aber wieder wird nach 1h getrennt (L2TP und IPSEC). Haben bei den externen Benutzern als max. Leerlauf -1 eingeben. Habe ich da was vergessen?

Danke!

Content-ID: 102131

Url: https://administrator.de/contentid/102131

Ausgedruckt am: 18.12.2024 um 15:12 Uhr

brammer
brammer 18.11.2008 um 23:52:07 Uhr
Goto Top
Hallo,

hast du irgendwo angegeben ob du eine Flatrate oder einen Zeittarif hast? das der Router deshalb nach einer Stunde trennt?
Passiert die Trennung den auch ohne Tunnel bei direkter Verbindung ins Internet ?

brammer
sysad
sysad 19.11.2008 um 00:08:31 Uhr
Goto Top
Zitat von @brammer:
Hallo,

hast du irgendwo angegeben ob du eine Flatrate oder einen Zeittarif
hast? das der Router deshalb nach einer Stunde trennt?

Nein.

Passiert die Trennung den auch ohne Tunnel bei direkter Verbindung
ins Internet ?

Nein, ist nur beim Tunnel. Die Router trennen auch nicht die Verbindung zum Internet, es wird nur der VPN-User getrennt. Wenn ich nicht den Draytek als VPN-Endpunkt nehme sondern direkt den dahinterliegenden W2003S, läuft VPN ewig (bis zur täglichen Zwangstrennung der Telekomiker halt). Daher meine Vermutung, der 2700er hätte geheime Features.
Crusher79
Crusher79 19.11.2008 um 12:35:37 Uhr
Goto Top
Hi,

hmm auf Draytek.de haben sie in den Beispielen "0" Sekunden eingetragen. Kannst es mit diesen Wert nochmal probieren.

http://draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm

Ich weiss, "-1" funktioniert bei der WAN Anbindung bei mir ohne Probleme. Kannst es ja mal mit der "0" testen.
sysad
sysad 19.11.2008 um 14:37:49 Uhr
Goto Top
Zitat von @Crusher79:
Hi,

hmm auf Draytek.de haben sie in den Beispielen "0" Sekunden
eingetragen. Kannst es mit diesen Wert nochmal probieren.

http://draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm

Ich weiss, "-1" funktioniert bei der WAN Anbindung bei mir
ohne Probleme. Kannst es ja mal mit der "0" testen.

Danke, das war der Fehler. RTFM hilft auch manchmal, aber nicht immer....

EDIT: Zu früh gefreut, er trennt wieder nach 1h
Crusher79
Crusher79 19.11.2008 um 18:47:41 Uhr
Goto Top
Hmm, betrifft das wirklich ALLE User oder nur einen? Gab mal nen Windows Bug, der VPN nach 1 min. trennte.

Kannst du Teleworker Betriebssytem als Ursache ausschliessen?
sysad
sysad 19.11.2008 um 19:31:54 Uhr
Goto Top
Zitat von @Crusher79:
Hmm, betrifft das wirklich ALLE User oder nur einen?

Alle User, auch der Admin wird so schlecht behandelt!

Gab mal nen
Windows Bug, der VPN nach 1 min. trennte.

Ist diesmal wohl ausnahmsweise nicht W, weil auch OSX Clients abgemeldet werden.


Kannst du Teleworker Betriebssytem als Ursache ausschliessen?

Habe einen Testaufbau, wo nur ein OSX Client lokal (um irgendwelche Mätzchen von T-Online auszuschliessen) per L2TP-IPSEC sich am 2700er anmeldet, sonst ist nichts mit drin. Auch da wird nach 3639 s getrennt (=Anzahl der Dauerpings, die durchkommen). Es ist was im 2700er.
Crusher79
Crusher79 19.11.2008 um 19:43:04 Uhr
Goto Top
Mir gehen auch langsam die Ideen aus!

Wie wärs mit Firmware Update? 2.8.2 - musst halt nur Englisch können ;)


Oder schreib direkt den Draytek Support an. Die Kisten sind ja nicht gerade billig und die sind für sowas da. Wenns wirklich ein Leerlauf trennen ist, könnte man sich mit einen Keep alive ping über Wasser halten. Heisst jeder Teleworker muss das von sich aus irgendwie realisieren. Meine Windows Boardmittel haben diese Funktion nicht - oder irre ich mich da?
sysad
sysad 19.11.2008 um 22:30:08 Uhr
Goto Top
Das Problem tritt leider nicht nur im Leerlauf auf, sondern auch mitten in einer Übertragung oder Eingabe.
Crusher79
Crusher79 19.11.2008 um 22:39:35 Uhr
Goto Top
Verstehe. Bin mal eben die Firmware Versionen durchgegangen.

ftp://ftp.draytek.com/Vigor2700/Firmware/


Also zu WOL und VPN hab ich nicht viel gefunden. In Bezug auf VPN gibs nur zwei neue Feature:
- Improve VPN pass through issue when use Nortel VPN client >>>> 2.8.0
- support VPN IKE/IPSec NAT-T function >>>> 2.8.1


Passt zwar nicht 100% auf dein Problem, aber zumindest wurden in diesen Bereich Verbesserungen vorgenommen. Evtl. ist dann dein Problem automatisch mit gelöst!

Wie gesagt, könntest Update auf 2.8.2 probieren....


PS: Was sagt eigentlich das VPN Log? Steht dort irgendwas relevantes drin? Bekommst du ja, wenn du das Syslog Tool installiert hast.
sysad
sysad 20.11.2008 um 07:31:42 Uhr
Goto Top
Danke, das könnte es sein:

- support VPN IKE/IPSec NAT-T function >>>> 2.8.1


Habe heute nacht Dauerping gemacht, und siehe da, die Trennung tritt bei PPTP nicht auf, nur bei L2TP/IPSEC. Und NAT-T habe ich auch...werde also Deinen Rat befolgen und FW updaten.

Passt zwar nicht 100% auf dein Problem, aber zumindest wurden in
diesen Bereich Verbesserungen vorgenommen. Evtl. ist dann dein Problem
automatisch mit gelöst!

Hoffentlich.


Wie gesagt, könntest Update auf 2.8.2 probieren....


PS: Was sagt eigentlich das VPN Log? Steht dort irgendwas relevantes
drin? Bekommst du ja, wenn du das Syslog Tool installiert hast.

Leider nichts relevantes: Er meldet zum Abbruch nur einen LCP-Timeout, auch dann, wenn viel Netzwerkverkehr durch den VPN geht.
Ignitor
Ignitor 16.06.2009 um 16:41:24 Uhr
Goto Top
Falls das Problem noch besteht: Ich habe momentan ein ähnliches Problem. Ist zwar ein anderer Router, aber vielleicht hast du ja das gleiche Problem:

Trennung nach einer Stunde hört sich schwer nach Kommunikationsproblemen zwischen Client und Gateway beim IKE an! Die Lifetime vom IKE Key ist nämlich in der Regel standardmäßig 3600 s und wenn Client und Gateway beim Neuverhandeln des Keys Probleme haben wird die Verbindung getrennt.

Ich hab das Problem momentan bei NCP Client und Netgear Gateway. Aber leider hab ich auch noch keine Lösung gefunden. =/
sysad
sysad 16.06.2009 um 21:59:15 Uhr
Goto Top
Hi, Problem ist noch immer. Support von Draytek ist zwar vorhanden aber war keine richtige gute Hilfe. Mit dem von Draytek mitgelieferten Smart VPN Client geht es mit Windows, aber alles andere wir nach 1h getrennt.
Ignitor
Ignitor 17.06.2009 um 09:18:00 Uhr
Goto Top
Also für mich hört sich das schwer nach einem Problem beim IKE Rekeying an. Was ist denn die IKE Lifetime? Wenn die 3600 Sekunden ist, dann versuche doch mal sie runter zu setzen (z.b. auf 2700s) und schau, ob die Trennung dann schon nach 45 min statt findet. Wenn ja, dann würde ich mal probieren die Lifetimes bei Client und Gateway unterschiedlich einzustellen (beim Einen ein paar Minuten früher als beim Anderen). Vielleicht funktioniert das Rekeying wenn der Client (oder im umgekehrten Fall das Gateway) das Rekeying beginnt. Hat zwar bei meinem Problem auch nicht geholfen, aber vielleicht hilft es ja bei dir.
Ignitor
Ignitor 17.06.2009 um 21:21:20 Uhr
Goto Top
Hab inzwischen die Lösung für mein Problem gefunden: Beim IKE Rekeying wird die VPN Verbindung zwangsläufig getrennt. Das ist aber kein Problem weil die IKE Lifetime standardmäßig auf 28800s steht und nicht wie ich dachte auf 3600s! Habe nämlich IKE und IPSec Lifetime vertauscht! face-smile Nachdem ich die Werte getauscht hab bleibt die VPN Verbindung 8 Stunden stabil.