baerle
Goto Top

VPN bricht laufend ab Netgear FVS336GV2 zu Netgear FVS336GV2 Gateway

Gateway zwischen zwei Netgear-Routern bricht nach einem Tag ab. Standardeinstellungen

Hallo liebes Forum,

folgendes Problem. Wir haben zwei Netgear-Routern (FVS336GV2), welche einen Gateway (vpn - Standardeinstellungen, IPSec) zwischen zwei Betrieben (DSL-Leitung Betrieb 1: 2000, DSL-Leitung: Betrieb 2: 6000, Business-DSL, in der Regel keine Trennung) herstellen soll.

Die Konfiguration zwischen beiden Routern läuft über den Wizard, es werden die Standardeinstellungen übernommen.
Die beiden zu verbindenden Netze sind 192.168.10.x und 192.168.20.x.

Bei der Vergabe der WAN-IP wurde von uns sowohl mal die feste IP also auch mit dyndns gearbeitet. Das macht keinen Unterschied, denn in sämtlichen Fällen kappt das vpn nach circa einem Tag.

Im Hintergrund läuft jeweils einSBS-2003 Server. Die DNS-Struktur wird gespiegelt, dürfte aber nicht das Problem verursachen.
Im Monitoring ist momentan:

xxx xxx.dyndns.org 38.24 192 IPsec SA Is Expiring

Das dürfte aber auch nicht das Problem sein, denn als IPsec SA Established war, konnte ich auch keine pings mehr zwischen beiden Knotenpunkten durchschieben.

Ich behalf mich halt, jeden Tag das vpn neu aufzusetzen!


Hier das komplette letzte Protokoll von Router 1 (kritische Daten gexxxt):

2011 Apr 13 09:24:03 [FVS336GV2] [IKE] IKE started_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] Adding IKE configuration with identifer "xxxx"_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] Adding IPSec configuration with identifier "xxx"_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] accept a request to establish IKE-SA: xxx.dyndns.org_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Using IPsec SA configuration: 192.168.10.0/24<->192.168.20.0/24_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Initiating new phase 1 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: RFC XXXX_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: DPD_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] DPD is Enabled_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: KAME/racoon_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] For 80.xxx.xxx.xxx[500], Selected NAT-T version: RFC XXXX_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: KAME/racoon_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT-D payload matches for 80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT-D payload matches for 80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT not detected _
2011 Apr 13 09:24:11 [FVS336GV2] [IKE] ISAKMP-SA established for 80.xxx.xxx.xxx[500]-80.xxx.xxx.xxx[500] with spi:2423b957c950291b:063223377f930113_
2011 Apr 13 09:24:11 [FVS336GV2] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2011 Apr 13 09:24:12 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx<=>80.xxx.xxx.xxx_
2011 Apr 13 09:24:13 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=123918083(0x762d703)_
2011 Apr 13 09:24:13 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=45737224(0x2b9e508)_
2011 Apr 13 09:24:48 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 09:24:48 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx_
2011 Apr 13 09:24:49 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=222130974(0xd3d731e)_
2011 Apr 13 09:24:49 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=50499247(0x3028eaf)_
2011 Apr 13 09:24:55 [FVS336GV2] [IKE] Sending Informational Exchange: delete payload_
2011 Apr 13 09:24:55 [FVS336GV2] [IKE] an undead schedule has been deleted: 'pk_recvupdate'._
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] IPsec-SA expired: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=50499247(0x3028eaf)_
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx_
2011 Apr 13 10:12:51 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxxx.xxx->80.xxx.xxx.xxx with spi=175597396(0xa776754)_
2011 Apr 13 10:12:51 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=68812234(0x419fdca)_


Ich weiß einfach nicht weiter...

Viele Grüße

Herbert

Content-ID: 164499

Url: https://administrator.de/contentid/164499

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

aqui
aqui 13.04.2011 um 12:37:02 Uhr
Goto Top
Das IPsec Log zeigt keinerlei Fehler auf. Vermutlich musst du dich dann in die Reihe der NetGear VPN Geschädigten einreihen. Generell keine gute Hardware Wahl bei VPNs wie dir die zahllosen Leidensthreads hier zeigen...
berrynson
berrynson 13.04.2011 um 12:55:44 Uhr
Goto Top
Servus,
1 gleich ne Frage wen die VPN nach 1 Tag nicht mehr geht was machst du dan , reicht es die VPN Router neu zu starten ?
Baerle
Baerle 13.04.2011 um 13:02:15 Uhr
Goto Top
nein, die alte vpn-verbindung löschen (vpn- und ike-einstellungen) und neu aufsetzen
berrynson
berrynson 13.04.2011 um 13:21:32 Uhr
Goto Top
komisch
also normalerweise wird nach 24 Stunden eine Zwangstrennung vorgenommen sofern keine Standleitung (auch bei den Business-DSL T-com) so weit ich weiß.Würde dies mal beobachten ,ob sich die Router bei dem versuch des wiederaufbaus der VPN nach der 24st Zwangstrennung ordnungs gemäß verbinden .Es kan auch sein das es bei der (SA-Lebensdauer) Schlüsselübergabe zu Probleme kommt würd da die Zeit erhöhen.
sonst weis ich leider keine Lösung.

LG
goscho
goscho 13.04.2011 um 13:44:20 Uhr
Goto Top
Mahlzeit Jungs,

@Baerle,
nein, die alte vpn-verbindung löschen (vpn- und ike-einstellungen) und neu aufsetzen
Das kann ich ja jetzt nicht glauben?

Ich habe mehrere von diesen bei mir und Kunden im Einsatz und alle arbeiten problemlos, auch wenn aqui das nicht gern hört. face-wink

Hast du mal die Uhrzeit der Geräte überprüft, es gab dort ein Problem mit der automatischen Umstellung auf Sommerzeit.
Kannst du mir bitte mal die Firmwareversion mitteilen?
Kennst du dieses Forum?
Dieser Beitrag hatte mir auch schon einmal geholfen, als es ein Problem gab. Nachdem ich die Einstellungen auf factory default zurückgesetzt und alles neu konfiguriert hatte, klappte es sehr zuverlässig.

PS: Auch bei Business-DSL-Tarifen gibt es idR eine Zwangstrennung alle 24h.
60730
60730 13.04.2011 um 14:40:27 Uhr
Goto Top
Moin,

[OT]
PS: Auch bei Business-DSL-Tarifen gibt es idR eine Zwangstrennung alle 24h.

  • Keine Regel ohne Ausnahme - die uns wird nicht getrennt. (Warum auch - ich hab noch nie gehört das die das machen)
Wenn Bodo mit dem Bagger jedoch wieder baggert - dann..... Kann die Leitung auch mal 24 Stunden weg sein...
[/OT]

Gruß
Baerle
Baerle 13.04.2011 um 14:42:00 Uhr
Goto Top
Zitat von @goscho:
Mahlzeit Jungs,

@Baerle,
> nein, die alte vpn-verbindung löschen (vpn- und ike-einstellungen) und neu aufsetzen
Das kann ich ja jetzt nicht glauben?

doch ist so!


Ich habe mehrere von diesen bei mir und Kunden im Einsatz und alle arbeiten problemlos, auch wenn aqui das nicht gern hört.
face-wink

Hast du mal die Uhrzeit der Geräte überprüft, es gab dort ein Problem mit der automatischen Umstellung auf
Sommerzeit.

Nein, gab es nicht - ich benutze bei beiden geräten die standard ntps - sommerzeit wird in keinem gerät repliziert!
Date / Time:
Automatically Adjust for Daylight Savings Time
Use Default NTP Servers
Use Custom NTP Servers
Current Time: Wed Apr 13 13:36:48 GMT+0100 2011


Kannst du mir bitte mal die Firmwareversion mitteilen?

System Name: FVS336GV2
Firmware Version: 3.0.6-28

Kennst du dieses Forum?
Dieser Beitrag hatte mir auch schon einmal geholfen, als es ein Problem gab.
Nachdem ich die Einstellungen auf factory default zurückgesetzt und alles neu konfiguriert hatte, klappte es sehr
zuverlässig.

PS: Auch bei Business-DSL-Tarifen gibt es idR eine Zwangstrennung alle 24h.
Baerle
Baerle 13.04.2011 um 14:42:43 Uhr
Goto Top
Zitat von @berrynson:
komisch
also normalerweise wird nach 24 Stunden eine Zwangstrennung vorgenommen sofern keine Standleitung (auch bei den Business-DSL
T-com) so weit ich weiß.Würde dies mal beobachten ,ob sich die Router bei dem versuch des wiederaufbaus der VPN nach
der 24st Zwangstrennung ordnungs gemäß verbinden .Es kan auch sein das es bei der (SA-Lebensdauer)

wäre ein versuch: momentan standard: 28.800

Schlüsselübergabe zu Probleme kommt würd da die Zeit erhöhen.
sonst weis ich leider keine Lösung.

LG


goscho
goscho 13.04.2011 um 15:09:48 Uhr
Goto Top
Zitat von @Baerle:

> Kannst du mir bitte mal die Firmwareversion mitteilen?

System Name: FVS336GV2
Firmware Version: 3.0.6-28
Hast du die Firmware zwischenzeitlich auf diese Version upgedatet?
Wenn ja, dann mach noch einmal, was hier beschrieben ist.

Deine SA-Lifetime kann auch mit 28.800 stehen bleiben, habe ich auch und bringt keinen Fehler.
Überprüfe bitte nochmal genau die anderen Einstellungen. In der VPN-Policy gibt es unter 'Auto Policy Parameters' Einstellungen, die schnell mal fehlerhaft sind.

@t-mo
du hast Recht, es wird bei Business-DSL-Tarifen nicht immer getrennt.
Allerdings stand in den Vertragsbedingungen, dass sich der Anbieter eine Trennung alle 24h vorbehält. Ich habe dies mit "Alle 24h wird getrennt" verwechselt. face-sad
Baerle
Baerle 13.04.2011 um 15:25:54 Uhr
Goto Top
Erst einmal vielen Dank an alle, die mir helfen!!!!!!! Super Forum!


Zitat von @goscho:
> Zitat von @Baerle:
>
> > Kannst du mir bitte mal die Firmwareversion mitteilen?
>
> System Name: FVS336GV2
> Firmware Version: 3.0.6-28
Hast du die Firmware zwischenzeitlich auf diese Version upgedatet?
Wenn ja, dann mach noch einmal, was hier beschrieben ist.

Die Firmware war schon auf dieser Version, als es ausgeliefert wurde!



Deine SA-Lifetime kann auch mit 28.800 stehen bleiben, habe ich auch und bringt keinen Fehler.
Überprüfe bitte nochmal genau die anderen Einstellungen. In der VPN-Policy gibt es unter 'Auto Policy
Parameters' Einstellungen, die schnell mal fehlerhaft sind.


passt alles - auch die zurodnung zur richtigen ike


@t-mo
du hast Recht, es wird bei Business-DSL-Tarifen nicht immer getrennt.
Allerdings stand in den Vertragsbedingungen, dass sich der Anbieter eine Trennung alle 24h vorbehält. Ich habe dies mit
"Alle 24h wird getrennt" verwechselt. face-sad

jepp, hab ich inzwischen auch gemerkt ;-(


schuhi69
schuhi69 13.04.2011 um 16:38:24 Uhr
Goto Top
Hi Baele,

klinkt villeicht banal aber der Fehler (Teufel) steckt nun mal leider im Detail.

> [xxx xxx.dyndns.org 38.24 192 IPsec SA Is Expiring] sagt klar und deutlich das etwas abläuft (ausläuft, verfällt, ungültig wird)

1. E-Mail an T-Online: Trennt Ihr uns alle xxx Std.

2. E-Mail an DynDNS.org: Liegt das an Euch

3. E-Mail an deutschen Support von Netgear (bitte auch dort posten was Du hier gepostet hast) besser noch auf die Zeile zwei in diesem Post hinweisen, dort arbeiten auch nur Menschen.

4. Enstellungen der FVS336Gv2 sichern (von beiden)

5. Firmwareupdate durchführen (auch auf beiden FVS336Gv2)
vorher vielleicht mal lesen was im Release info File auf der Netgear Seite über die neue Firmware steht (behobene Probleme, neue Funtionen, Änderungen) klärt manchmal schon super über eigene Probleme auf.

6. Lebensdauer und Gültigkeit des Zertifikates überprüfen.

7. Am Router anmelden und in WAN -- Einstellungen -- Routing Einstellungen überprüfen (classic routing, NAT) stehen zur Auswahl ob mit einer anderen Einstellung das Problem behoben wird, denn durch das abstellen von NAT versuchen einige Leute einfach den Durchsatz oder die Bandbreite die durch die Verschlüsselung abfällt zu kompensieren.

Wenn Du auf zack bist und es sich ermöglicht (Betriebszeiten) ist das in einer Stunde erledigt und Du kannst nachher zumindest alle anderen Fehlerquellen ausschließen.

Viel Glück ;)

MfG schuhi69
goscho
goscho 13.04.2011 um 16:51:36 Uhr
Goto Top
Hi Bearle,
ergänzend zu Schuhi69 möchte ich dir noch folgende mitgeben:

Wenn ihr feste IP-Adressen habt, dann lass doch DYN-DNS weg. So ersparst du dir eine potentielle Fehlerquelle.

Steht die Internetverbindung noch, wenn das VPN weg ist?
Du kannst im FVS336 unter 'Monitoring' -> 'Show Statistics' sehen, welcher Link wie lange verbunden ist. Auch kannst du dir die kompletten Protokolle per Mail zukommen lassen (bspw. stündlich) und so sehen, was gerade passiert, wenn die Verbindung nicht will.

Über die Administrationsseite kannst du dir auch einen Paketmitschnitt anfertigen, allerdings reicht der interne Speicher nicht für längere Zeiten.
Baerle
Baerle 14.04.2011 um 00:10:26 Uhr
Goto Top
Zitat von @schuhi69:
Hi Baele,

klinkt villeicht banal aber der Fehler (Teufel) steckt nun mal leider im Detail.

> [xxx xxx.dyndns.org 38.24 192 IPsec SA Is Expiring] sagt klar und deutlich das etwas abläuft (ausläuft,
verfällt, ungültig wird)

1. E-Mail an T-Online: Trennt Ihr uns alle xxx Std.

2. E-Mail an DynDNS.org: Liegt das an Euch

3. E-Mail an deutschen Support von Netgear (bitte auch dort posten was Du hier gepostet hast) besser noch auf die Zeile zwei in
diesem Post hinweisen, dort arbeiten auch nur Menschen.

4. Enstellungen der FVS336Gv2 sichern (von beiden)

gemacht!

5. Firmwareupdate durchführen (auch auf beiden FVS336Gv2)
vorher vielleicht mal lesen was im Release info File auf der Netgear Seite über die neue Firmware steht (behobene Probleme,
neue Funtionen, Änderungen) klärt manchmal schon super über eigene Probleme auf.

es gibt keine neuere firmware als meine


6. Lebensdauer und Gültigkeit des Zertifikates überprüfen.

7. Am Router anmelden und in WAN -- Einstellungen -- Routing Einstellungen überprüfen (classic routing, NAT) stehen zur
Auswahl ob mit einer anderen Einstellung das Problem behoben wird, denn durch das abstellen von NAT versuchen einige Leute einfach
den Durchsatz oder die Bandbreite die durch die Verschlüsselung abfällt zu kompensieren.


hab ich gemacht


Wenn Du auf zack bist und es sich ermöglicht (Betriebszeiten) ist das in einer Stunde erledigt und Du kannst nachher
zumindest alle anderen Fehlerquellen ausschließen.

Viel Glück ;)

MfG schuhi69


Baerle
Baerle 14.04.2011 um 00:12:08 Uhr
Goto Top
Zitat von @goscho:
Hi Bearle,
ergänzend zu Schuhi69 möchte ich dir noch folgende mitgeben:

Wenn ihr feste IP-Adressen habt, dann lass doch DYN-DNS weg. So ersparst du dir eine potentielle Fehlerquelle.

es ist egal, ob ich es mit oder ohne dyndns mache - ich habe immer die gleichen erscheinungen. dyndns hat keine auswirkungen!



Steht die Internetverbindung noch, wenn das VPN weg ist?

ja, die verbindung steht

Du kannst im FVS336 unter 'Monitoring' -> 'Show Statistics' sehen, welcher Link wie lange verbunden ist.
Auch kannst du dir die kompletten Protokolle per Mail zukommen lassen (bspw. stündlich) und so sehen, was gerade passiert,
wenn die Verbindung nicht will.

Über die Administrationsseite kannst du dir auch einen Paketmitschnitt anfertigen, allerdings reicht der interne Speicher
nicht für längere Zeiten.

alles klar
goscho
goscho 14.04.2011 um 08:50:45 Uhr
Goto Top
Morgen Bearle,
mir fällt hier noch was ein:

Welchen DSL-Anbieter nutzt ihr?
Ich habe die Erfahrung machen dürfen, dass die MTU bei Arcor (jetzt Vodafone) Business-DSL eine andere ist (1455), als bei Standard-T-Rosa-DSL.
Baerle
Baerle 14.04.2011 um 13:50:37 Uhr
Goto Top
Zitat von @goscho:
Morgen Bearle,
mir fällt hier noch was ein:

Welchen DSL-Anbieter nutzt ihr?

das rosane face-wink)))

Ich habe die Erfahrung machen dürfen, dass die MTU bei Arcor (jetzt Vodafone) Business-DSL eine andere ist (1455), als bei
Standard-T-Rosa-DSL.
Baerle
Baerle 14.04.2011 um 13:58:46 Uhr
Goto Top
Zitat von @Baerle:
Hallo liebes Forum,

folgendes Problem. Wir haben zwei Netgear-Routern (FVS336GV2), welche einen Gateway (vpn - Standardeinstellungen, IPSec) zwischen
zwei Betrieben (DSL-Leitung Betrieb 1: 2000, DSL-Leitung: Betrieb 2: 6000, Business-DSL, in der Regel keine Trennung) herstellen
soll.

Die Konfiguration zwischen beiden Routern läuft über den Wizard, es werden die Standardeinstellungen übernommen.
Die beiden zu verbindenden Netze sind 192.168.10.x und 192.168.20.x.

Bei der Vergabe der WAN-IP wurde von uns sowohl mal die feste IP also auch mit dyndns gearbeitet. Das macht keinen Unterschied,
denn in sämtlichen Fällen kappt das vpn nach circa einem Tag.

Im Hintergrund läuft jeweils einSBS-2003 Server. Die DNS-Struktur wird gespiegelt, dürfte aber nicht das Problem
verursachen.
Im Monitoring ist momentan:

xxx xxx.dyndns.org 38.24 192 IPsec SA Is Expiring

Das dürfte aber auch nicht das Problem sein, denn als IPsec SA Established war, konnte ich auch keine pings mehr zwischen
beiden Knotenpunkten durchschieben.

Ich behalf mich halt, jeden Tag das vpn neu aufzusetzen!


Hier das komplette letzte Protokoll von Router 1 (kritische Daten gexxxt):

2011 Apr 13 09:24:03 [FVS336GV2] [IKE] IKE started_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] Adding IKE configuration with identifer "xxxx"_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] Adding IPSec configuration with identifier "xxx"_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] accept a request to establish IKE-SA: xxx.dyndns.org_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Using IPsec SA configuration: 192.168.10.0/24<->192.168.20.0/24_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Initiating new phase 1 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: RFC XXXX_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: DPD_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] DPD is Enabled_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: KAME/racoon_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] For 80.xxx.xxx.xxx[500], Selected NAT-T version: RFC XXXX_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: KAME/racoon_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT-D payload matches for 80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT-D payload matches for 80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT not detected _
2011 Apr 13 09:24:11 [FVS336GV2] [IKE] ISAKMP-SA established for 80.xxx.xxx.xxx[500]-80.xxx.xxx.xxx[500] with
spi:2423b957c950291b:063223377f930113_
2011 Apr 13 09:24:11 [FVS336GV2] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2011 Apr 13 09:24:12 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx<=>80.xxx.xxx.xxx_
2011 Apr 13 09:24:13 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with
spi=123918083(0x762d703)_
2011 Apr 13 09:24:13 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with
spi=45737224(0x2b9e508)_
2011 Apr 13 09:24:48 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 09:24:48 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx_
2011 Apr 13 09:24:49 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with
spi=222130974(0xd3d731e)_
2011 Apr 13 09:24:49 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with
spi=50499247(0x3028eaf)_
2011 Apr 13 09:24:55 [FVS336GV2] [IKE] Sending Informational Exchange: delete payload_
2011 Apr 13 09:24:55 [FVS336GV2] [IKE] an undead schedule has been deleted: 'pk_recvupdate'._
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] IPsec-SA expired: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with
spi=50499247(0x3028eaf)_
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx_
2011 Apr 13 10:12:51 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxxx.xxx->80.xxx.xxx.xxx with
spi=175597396(0xa776754)_
2011 Apr 13 10:12:51 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with
spi=68812234(0x419fdca)_


Ich weiß einfach nicht weiter...


KURZER ZWISCHNENSTAND:

1. NAchfrage beim "rosa" Anbieter: Zwangstrennung alle 24 h
2. Einstellungen gesichert
3. Firmware konnte nicht geupdatet werden, da die momentane Firmware die aktuellste ist:
http://kb.netgear.com/app/products/model/a_id/13334
4. Sowohl bei den IKE-Einstellungen als auch bei den vpn-Einstellungen die SA-Lifetime erhöht (jeweils verdoppelt).


Momentane Wirkung: DAS VPN Steht noch!

Viele Grüße

Herbert
goscho
goscho 14.04.2011 um 14:20:20 Uhr
Goto Top
Zitat von @Baerle:
>
> Ich weiß einfach nicht weiter...
Du schreibst, dass du die Konfig via Wizzard vornimmst.
Hast du diese VPNs mal manuell eingetragen, ohne über den Wizzard zu gehen?
Ich habe diesen noch nie benutzt, weil ich bei einem älteren Gerät (FVS124G) das Problem hatte, dass diverse VPNs über den Wizzard gar nicht zum Laufen kamen, manuell eingetippte mit identischen Einstellungen aber sauber funktionierten.

KURZER ZWISCHNENSTAND:

1. NAchfrage beim "rosa" Anbieter: Zwangstrennung alle 24 h
2. Einstellungen gesichert
Kann nie schaden, oder?
3. Firmware konnte nicht geupdatet werden, da die momentane Firmware die aktuellste ist:
http://kb.netgear.com/app/products/model/a_id/13334
4. Sowohl bei den IKE-Einstellungen als auch bei den vpn-Einstellungen die SA-Lifetime erhöht (jeweils verdoppelt).
Hast du dort auch den selben Wert stehen (also jetzt 57600)?
Momentane Wirkung: DAS VPN Steht noch!
Wäre doch schön, wenn das Problem damit behoben ist.

Du kannst wirst uns ja informieren. face-wink

Edit: Ach ja, kannst du bitte beim Antworten auf die Vollzitate deiner Beiträge verzichten. Das liest sich echt gruselig.
schuhi69
schuhi69 14.04.2011 um 14:29:30 Uhr
Goto Top
Hallöle Baerle,

steht die Internetverbindung noch, wenn das VPN weg ist?

ja, die verbindung steht

Dann wurdet Ihr definitiv nicht vom rosanen getrennt und ich gwürde dann nur noch nach einer Möglichkeit suchen die im Zusammenhang mit der Lease Time der VPN Verbindung oder der Gültigkeitsdauer des Zertifikats.

Noch ein Fragen, gibt es eine exakte ZEIT zu der die pipe zusammenbricht oder immer nach einem gewissen ZEITRAUM, ich Frage das nur um noch enger eingrenzen zu können.

Hast Du eine Route eingerichtet (eine ständige Route ?)

Habt Ihr einen Kerberos Server v2 v3 v5 oder Radius Server im Unternehmen oder nutzt Du den Storage im FVS336Gv2 ?
Ich frage das nur falls, diese Server in einem Backupplan integriert sind und dann nartürlich kurzzeitig die Authent. nicht vollzogen werden kann, genau das gleiche passiert wenn am Ende der VPN Pipe die Ports auf Datenbankserver gelinkt / geroutet sind, denn die melden sich zum Backup auch ab was die Verbindung natürlich auch wieder beeinflussen bzw beeinträchtigen kann.

Last but not least bietet dieser Router Dir die Möglichkeiten logs (Syslogs) per E-Mail oder auf einen externen Logserver zu senden, Da in diesen Geräten nur ein begrenzter Platz zur Verfügung steht, der natürlich auch wieder durch das ablegen Eines CA´s (Zertifikates) geschmälert wird und wenn hast Du keinen Logerserver Eingetragen, lehrt der Router wenn der Space für Logs voll ist den Router RAM, das bedeutet er steht für millisekunden still und flushed (löscht) den RAM und die Verbindung ist weg !!! Bitte sieh mal nach wo Du die logfiles hin schreibst und versuche mal ohne logs wenn Du keinen Logserver hast.

Ich weis wieder zu viel geschrieben, nur leider ist das so bei der Fehlersuche und wenn alle so ausführlich Fragen würden wie ich antworte wäre vieles einfacher.

MfG schuhi69
berrynson
berrynson 14.04.2011 um 14:44:18 Uhr
Goto Top
Das hört sich ja gut an .
Wir haben um die 24st ZW ein wenig selbs in der hand zu haben ,an unsern Netgear Routern Elektronische Zeitschaltuhren im einsatz.Damit Trennen wir jeden abend zur gleichen Zeit den Strom . Damit der Router neu synchronisiert und die 24st ZW auf die Nacht fällt.

LG
goscho
goscho 14.04.2011 um 15:10:07 Uhr
Goto Top
Zitat von @berrynson:
Das hört sich ja gut an .
Wir haben um die 24st ZW ein wenig selbs in der hand zu haben ,an unsern Netgear Routern Elektronische Zeitschaltuhren im
einsatz.Damit Trennen wir jeden abend zur gleichen Zeit den Strom . Damit der Router neu synchronisiert und die 24st ZW auf die
Nacht fällt.
Hi berrynson,
ich habe viele dieser VPN-Router von Netgear im Einsatz (bei mir und Kunden).
Darunter sind die ganz billigen (FVS114), die ich anfangs aus Unwissenheit verbaut habe.
Dieses Phänomen konnte ich aber bisher nicht feststellen.

Auch an dich die Frage:
Welche Geräte mit welchem Firmwarestand setzt du ein?
Hast du beim Firmwareupdate den von mir oben erwähnten Werksreset mit Neukonfig durchgeführt?
schuhi69
schuhi69 14.04.2011 um 15:50:59 Uhr
Goto Top
Hallo berrynson,

das hört sich wirklich gut an und ich weiß auch nicht ob die Einstellungen den Selben Effekt haben (sync) aber nach Anmeldung auf dem FVS336Gv2 sind im Menue Security, Untermenü Schedule drei Karteireiter sichtbar, auf denen man die Komplette Woche nach Tagen und Uhrzeiten einstellen kann zum an und abschalten des Routers.

MfG schuhi69
Baerle
Baerle 15.04.2011 um 12:07:34 Uhr
Goto Top
Hallo Jungs,


keine Chance!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Nach fast genau 46 Stunden jetzt wieder ein Abbruch!
goscho
goscho 15.04.2011 um 12:12:15 Uhr
Goto Top
Zitat von @Baerle:
Hallo Jungs,

Nach fast genau 46 Stunden jetzt wieder ein Abbruch!
Kannst du bitte deine anderen Einstellungen aus den IPSEC und VPN-Policies mitteilen?
Baerle
Baerle 15.04.2011 um 12:30:05 Uhr
Goto Top
So, hab jetzt folgendes gemacht (nach Rückfrage NETGEAR-Support)

1. Statische IPs eingesetzt (obwohl ich da kein Unterschied sehe, aber gut!)
2. beim Key Sonderzeichen entfernt (trägt verdammt gut zur Sicherheit bei)
3. IKE-Lifetime (wie schon gehabt) auf 28800 erhöht
4. SA-Lifetime bei den VPN-Pol. auf 3600 erhöht
5. Keepalive eingeschaltet

gruß

i hope, es geht jetzt
schuhi69
schuhi69 15.04.2011 um 12:34:14 Uhr
Goto Top
Hallo Baerle,

schau bitte mal hier nach Dein, Router ist auch aufgeführt, vielleicht findest Du ja Einstellungen an die noch nicht gedacht hast, Bilder sagen mehr als tausend Worte;)
Anmeldung ist erforderlich, aber in der Regel ca. 2 Stunden bekommst Du diese auch per mail.

http://vpncasestudy.com/casestudies.html

Ansonsten das was Du oben bereits getan hast log posten ist immer gut.

MfG schuhi69
schuhi69
schuhi69 15.04.2011 um 12:48:47 Uhr
Goto Top
Hi Bearle,

wenn Du das Gerät über ein Webinterface administrierst, dann kann es vor kommen das der Browser den Du verwendest die Sonderzeichen nicht umsetzt und das führt dann auch wieder zu Problemen:

MfG schuhi69
Baerle
Baerle 15.04.2011 um 12:54:55 Uhr
Goto Top
Zitat von @schuhi69:

Sonderzeichen nicht umsetzt und das führt dann auch wieder zu Problemen:

ja, das meinte der junge auch, wobei dann nicht klar ist, dass es am anfang funktionierte, denn wenn es hier zu übersetzungsfehlern kommt, kann apriori der schlüssel nicht ausgetauscht werden - fakt ist: die verbndung steht 46 stunden...

das log ist das gleiche wie das erste - nur natürlich jetzt mit einem anderen datum!
schuhi69
schuhi69 15.04.2011 um 13:16:01 Uhr
Goto Top
Hi Baerle,

Sie Dir bitte noch mal http://kb.netgear.com/app/answers/detail/a_id/172 kann auch sein der Tunnel deswegen zusammenbricht

MfG schuhi69
goscho
goscho 15.04.2011 um 13:30:00 Uhr
Goto Top
Zitat von @schuhi69:
Hi Baerle,

Sie Dir bitte noch mal http://kb.netgear.com/app/answers/detail/a_id/172 kann auch sein der Tunnel deswegen zusammenbricht
Hi Schuhi,
dein Link führt eher in die komplett falsche Richtung, denn das Baerli hat ein Problem mit einer LAN-LAN-Verbindung und nicht Client-LAN.

@Baerli,
warum nimmst du unterschiedliche SA-Lifetimes für IKE und VPN?
Ich habe bisher überall identische Einstellungen in meinen VPNs.
Die Funktion 'enable keepalive' kannst du in deinem Fall ja mal testen, da dann automatisch eine Neuaushandlung stattfindet, wenn die, von dir vorgegebene Anzahl, Pings ins Leere laufen.
schuhi69
schuhi69 15.04.2011 um 14:32:28 Uhr
Goto Top
Hi nochmals,

@goscho --> gut war mein Fehler, hast ja recht, ich dachte nur das (andere Verbindungen) die VPN Verbindung mit einbezieht.

@Baerle --> ruf doch bitte mal https://<router ip>/scgi-bin/dbglog.cgi auf und guck nach ob da was eingetragen ist was Dich auf den richtigen Weg bringt.

MfG schuhi69
goscho
goscho 15.04.2011 um 16:50:46 Uhr
Goto Top
Zitat von @schuhi69:
Hi nochmals,

@goscho --> gut war mein Fehler, hast ja recht, ich dachte nur das (andere Verbindungen) die VPN Verbindung mit einbezieht.
Nicht tragisch,
du meinst es ja wirklich gut und bist wohl auch schon ein bisschen älter, wenn die Zahl in deinem Nick dein Geburtsjahr ist, wirst du mit 92%iger Wahrscheinlichkeit älter sein als ich. face-wink
@Baerle --> ruf doch bitte mal https://<router ip>/scgi-bin/dbglog.cgi auf und guck nach ob da was eingetragen ist was
Dich auf den richtigen Weg bringt.
Danke für diesen Tipp. face-smile
Ich hatte diesen Weg, die Logs herauszuholen nicht gekannt.

BTW: Wie komme ich an die Infos aus casestudies? Ich habe dort schon versucht mich anzumelden, bekam aber keine Rückantwort.
schuhi69
schuhi69 15.04.2011 um 17:22:19 Uhr
Goto Top
hi goscho,

nein bin erst 41 Jahre alt.

Ich bin schon vor etwas längerer Zeit auf http://vpncasestudy.com/casestudies.html gegangen und habe dann eine E-Mail an info@vpncasestudy.com geschickt und
erzählt das ich non provid user @home bin und einenFVS336Gv2 habe und mir die Dateien zu meinem Router gerne runterladen möchte um damit besser umgehen zu können. Zwei Stunden später hatte ich einen Account und konnte mir die Daten ziehen. Aber wenn Du denen schreibst das Du ein Problem hast und die Case study nehmen willst um das Problem zu lösen ist das auch im gewerblichen Bereich kein Problem.

Da ich ein kleines Netzwerk zu Hause habe und nicht oft mit CLI arbeite obwohl es sehr viel schneller gehen würde, die Cisco Hardware aber nun mal nicht nur sein Geld wert ist, sondern die Cisco Leute das auch haben wollen, und diese Hardware auch eigentlich für den professionellen Einsatz konzipiert wurde, also demnach
nicht für Maus schubsende home user wie mich habe ich komplett auf Netgear umgestellt, einheitlich verträgt sich und für die paar Rechner und Server die ich habe
mehr als ausreichend. Ausserdem kenne ich Leute die bei Netgear arbeiten (Deutschland, USA), zum Glück war das bis jetzt noch nicht der Fall, aber wenn dann ist es besser man hat noch Ansprechpartner auérhalb des Supporter Teams;)

Daher meine Affinität zu Fragen die Produkte von dieser Firma betreffen.

P.S. Die Case Studys sind sehr beliebt und deshalb auch stark frquentiert, weil das alles Anwender und Admins sind die dort Ihre Erfahrungen veröffentlichen, z.B. mit Cisco, Green Bow, usw. Geräten ein VPN mit Netgear Geräten aufsetzen. Falls Dir das zu lange dauert sieh mal unter Technical Docs nach da sind auch ein paar Perlen gestreut;)
Sogar ein Link zu einem Simulator für den FVS336Gv2 gibt es dort.

MfG schuhi69

schönes WE
goscho
goscho 15.04.2011 um 17:37:18 Uhr
Goto Top
Zitat von @schuhi69:
hi goscho,

nein bin erst 41 Jahre alt.
Worauf bezog sich dein nein?
wenn die Zahl in deinem Nick dein Geburtsjahr ist, wirst du mit 92%iger Wahrscheinlichkeit älter sein als ich.
Ich bin aus dem selben guten Jahrgang. face-wink

Ich bin schon vor etwas längerer Zeit auf http://vpncasestudy.com/casestudies.html gegangen und habe dann eine E-Mail an
info@vpncasestudy.com geschickt und
erzählt das ich non provid user @home bin und einenFVS336Gv2 habe und mir die Dateien zu meinem Router gerne runterladen
möchte um damit besser umgehen zu können. Zwei Stunden später hatte ich einen Account und konnte mir die Daten
ziehen. Aber wenn Du denen schreibst das Du ein Problem hast und die Case study nehmen willst um das Problem zu lösen ist das
auch im gewerblichen Bereich kein Problem.
Ich habe das ebenso probiert, aber nie eine Antwort erhalten. Ich denke, ich werde es erneut versuchen, denn dort sind viele interessante Sachen zu den Netgear Produkten.
Da ich ein kleines Netzwerk zu Hause habe und nicht oft mit CLI arbeite obwohl es sehr viel schneller gehen würde, die Cisco
Hardware aber nun mal nicht nur sein Geld wert ist, sondern die Cisco Leute das auch haben wollen, und diese Hardware auch
eigentlich für den professionellen Einsatz konzipiert wurde, also demnach
nicht für Maus schubsende home user wie mich habe ich komplett auf Netgear umgestellt, einheitlich verträgt sich und
für die paar Rechner und Server die ich habe
mehr als ausreichend.
Ich nutze die Produkte der Prosafe-Serien nur im gewerblichen Umfeld in KMU. Natürlich hatte ich auch schon Probleme mit der VPN-Einrichtung, speziell mit den ersten Gehversuchen.
Doch seit ein paar Jahren stehen diese VPNs mit Netgear-Geräten (oft FVS336G) sehr zuverlässig und es kommen gelegentlich neue dazu.
Aber auch die ganz billigen Teile (FVS114, 318) arbeiten zuverlässig, sind aber nicht in hochkritischen Umgebungen am Werk (zumeist nur eine LAN-LAN + 1,2 Client-VPNs).

Ausserdem kenne ich Leute die bei Netgear arbeiten (Deutschland, USA), zum Glück war das bis jetzt noch
nicht der Fall, aber wenn dann ist es besser man hat noch Ansprechpartner auérhalb des Supporter Teams;)
Das ist bestimmt nicht nachteilig.

Ist bei mir nicht viel anders.
MfG schuhi69
Gruß Goscho
schuhi69
schuhi69 15.04.2011 um 17:43:32 Uhr
Goto Top
Hi Goscho,

das ----> nein bezog sich auf meinen Nickname und die Zahl 69 (nicht mein Alter).

MfG schuhi69
goscho
goscho 15.04.2011 um 17:47:33 Uhr
Goto Top
Zitat von @schuhi69:
Hi Goscho,

das ----> nein bezog sich auf meinen Nickname und die Zahl 69 (nicht mein Alter).
Das hatte ich mir schon gedacht, dass du aus dem Jahr 1969 bin und nicht 69 Jahre alt. face-wink