VPN bricht laufend ab Netgear FVS336GV2 zu Netgear FVS336GV2 Gateway
Gateway zwischen zwei Netgear-Routern bricht nach einem Tag ab. Standardeinstellungen
Hallo liebes Forum,
folgendes Problem. Wir haben zwei Netgear-Routern (FVS336GV2), welche einen Gateway (vpn - Standardeinstellungen, IPSec) zwischen zwei Betrieben (DSL-Leitung Betrieb 1: 2000, DSL-Leitung: Betrieb 2: 6000, Business-DSL, in der Regel keine Trennung) herstellen soll.
Die Konfiguration zwischen beiden Routern läuft über den Wizard, es werden die Standardeinstellungen übernommen.
Die beiden zu verbindenden Netze sind 192.168.10.x und 192.168.20.x.
Bei der Vergabe der WAN-IP wurde von uns sowohl mal die feste IP also auch mit dyndns gearbeitet. Das macht keinen Unterschied, denn in sämtlichen Fällen kappt das vpn nach circa einem Tag.
Im Hintergrund läuft jeweils einSBS-2003 Server. Die DNS-Struktur wird gespiegelt, dürfte aber nicht das Problem verursachen.
Im Monitoring ist momentan:
xxx xxx.dyndns.org 38.24 192 IPsec SA Is Expiring
Das dürfte aber auch nicht das Problem sein, denn als IPsec SA Established war, konnte ich auch keine pings mehr zwischen beiden Knotenpunkten durchschieben.
Ich behalf mich halt, jeden Tag das vpn neu aufzusetzen!
Hier das komplette letzte Protokoll von Router 1 (kritische Daten gexxxt):
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] IKE started_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] Adding IKE configuration with identifer "xxxx"_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] Adding IPSec configuration with identifier "xxx"_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] accept a request to establish IKE-SA: xxx.dyndns.org_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Using IPsec SA configuration: 192.168.10.0/24<->192.168.20.0/24_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Initiating new phase 1 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: RFC XXXX_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: DPD_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] DPD is Enabled_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: KAME/racoon_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] For 80.xxx.xxx.xxx[500], Selected NAT-T version: RFC XXXX_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: KAME/racoon_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT-D payload matches for 80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT-D payload matches for 80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT not detected _
2011 Apr 13 09:24:11 [FVS336GV2] [IKE] ISAKMP-SA established for 80.xxx.xxx.xxx[500]-80.xxx.xxx.xxx[500] with spi:2423b957c950291b:063223377f930113_
2011 Apr 13 09:24:11 [FVS336GV2] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2011 Apr 13 09:24:12 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx<=>80.xxx.xxx.xxx_
2011 Apr 13 09:24:13 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=123918083(0x762d703)_
2011 Apr 13 09:24:13 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=45737224(0x2b9e508)_
2011 Apr 13 09:24:48 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 09:24:48 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx_
2011 Apr 13 09:24:49 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=222130974(0xd3d731e)_
2011 Apr 13 09:24:49 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=50499247(0x3028eaf)_
2011 Apr 13 09:24:55 [FVS336GV2] [IKE] Sending Informational Exchange: delete payload_
2011 Apr 13 09:24:55 [FVS336GV2] [IKE] an undead schedule has been deleted: 'pk_recvupdate'._
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] IPsec-SA expired: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=50499247(0x3028eaf)_
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx_
2011 Apr 13 10:12:51 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxxx.xxx->80.xxx.xxx.xxx with spi=175597396(0xa776754)_
2011 Apr 13 10:12:51 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=68812234(0x419fdca)_
Ich weiß einfach nicht weiter...
Viele Grüße
Herbert
Hallo liebes Forum,
folgendes Problem. Wir haben zwei Netgear-Routern (FVS336GV2), welche einen Gateway (vpn - Standardeinstellungen, IPSec) zwischen zwei Betrieben (DSL-Leitung Betrieb 1: 2000, DSL-Leitung: Betrieb 2: 6000, Business-DSL, in der Regel keine Trennung) herstellen soll.
Die Konfiguration zwischen beiden Routern läuft über den Wizard, es werden die Standardeinstellungen übernommen.
Die beiden zu verbindenden Netze sind 192.168.10.x und 192.168.20.x.
Bei der Vergabe der WAN-IP wurde von uns sowohl mal die feste IP also auch mit dyndns gearbeitet. Das macht keinen Unterschied, denn in sämtlichen Fällen kappt das vpn nach circa einem Tag.
Im Hintergrund läuft jeweils einSBS-2003 Server. Die DNS-Struktur wird gespiegelt, dürfte aber nicht das Problem verursachen.
Im Monitoring ist momentan:
xxx xxx.dyndns.org 38.24 192 IPsec SA Is Expiring
Das dürfte aber auch nicht das Problem sein, denn als IPsec SA Established war, konnte ich auch keine pings mehr zwischen beiden Knotenpunkten durchschieben.
Ich behalf mich halt, jeden Tag das vpn neu aufzusetzen!
Hier das komplette letzte Protokoll von Router 1 (kritische Daten gexxxt):
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] IKE started_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] Adding IKE configuration with identifer "xxxx"_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] Adding IPSec configuration with identifier "xxx"_
2011 Apr 13 09:24:03 [FVS336GV2] [IKE] accept a request to establish IKE-SA: xxx.dyndns.org_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Using IPsec SA configuration: 192.168.10.0/24<->192.168.20.0/24_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Initiating new phase 1 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: RFC XXXX_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: DPD_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] DPD is Enabled_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: KAME/racoon_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] For 80.xxx.xxx.xxx[500], Selected NAT-T version: RFC XXXX_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] Received Vendor ID: KAME/racoon_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT-D payload matches for 80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT-D payload matches for 80.xxx.xxx.xxx[500]_
2011 Apr 13 09:24:10 [FVS336GV2] [IKE] NAT not detected _
2011 Apr 13 09:24:11 [FVS336GV2] [IKE] ISAKMP-SA established for 80.xxx.xxx.xxx[500]-80.xxx.xxx.xxx[500] with spi:2423b957c950291b:063223377f930113_
2011 Apr 13 09:24:11 [FVS336GV2] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2011 Apr 13 09:24:12 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx<=>80.xxx.xxx.xxx_
2011 Apr 13 09:24:13 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=123918083(0x762d703)_
2011 Apr 13 09:24:13 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=45737224(0x2b9e508)_
2011 Apr 13 09:24:48 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 09:24:48 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx_
2011 Apr 13 09:24:49 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=222130974(0xd3d731e)_
2011 Apr 13 09:24:49 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=50499247(0x3028eaf)_
2011 Apr 13 09:24:55 [FVS336GV2] [IKE] Sending Informational Exchange: delete payload_
2011 Apr 13 09:24:55 [FVS336GV2] [IKE] an undead schedule has been deleted: 'pk_recvupdate'._
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] IPsec-SA expired: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=50499247(0x3028eaf)_
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] remote configuration for identifier "xxx.dyndns.org" found_
2011 Apr 13 10:12:50 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 80.xxx.xxx.xxx[500]<=>80.xxx.xxx.xxx_
2011 Apr 13 10:12:51 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxxx.xxx->80.xxx.xxx.xxx with spi=175597396(0xa776754)_
2011 Apr 13 10:12:51 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 80.xxx.xxx.xxx->80.xxx.xxx.xxx with spi=68812234(0x419fdca)_
Ich weiß einfach nicht weiter...
Viele Grüße
Herbert
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 164499
Url: https://administrator.de/contentid/164499
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
36 Kommentare
Neuester Kommentar
komisch
also normalerweise wird nach 24 Stunden eine Zwangstrennung vorgenommen sofern keine Standleitung (auch bei den Business-DSL T-com) so weit ich weiß.Würde dies mal beobachten ,ob sich die Router bei dem versuch des wiederaufbaus der VPN nach der 24st Zwangstrennung ordnungs gemäß verbinden .Es kan auch sein das es bei der (SA-Lebensdauer) Schlüsselübergabe zu Probleme kommt würd da die Zeit erhöhen.
sonst weis ich leider keine Lösung.
LG
also normalerweise wird nach 24 Stunden eine Zwangstrennung vorgenommen sofern keine Standleitung (auch bei den Business-DSL T-com) so weit ich weiß.Würde dies mal beobachten ,ob sich die Router bei dem versuch des wiederaufbaus der VPN nach der 24st Zwangstrennung ordnungs gemäß verbinden .Es kan auch sein das es bei der (SA-Lebensdauer) Schlüsselübergabe zu Probleme kommt würd da die Zeit erhöhen.
sonst weis ich leider keine Lösung.
LG
Mahlzeit Jungs,
@Baerle,
Ich habe mehrere von diesen bei mir und Kunden im Einsatz und alle arbeiten problemlos, auch wenn aqui das nicht gern hört.
Hast du mal die Uhrzeit der Geräte überprüft, es gab dort ein Problem mit der automatischen Umstellung auf Sommerzeit.
Kannst du mir bitte mal die Firmwareversion mitteilen?
Kennst du dieses Forum?
Dieser Beitrag hatte mir auch schon einmal geholfen, als es ein Problem gab. Nachdem ich die Einstellungen auf factory default zurückgesetzt und alles neu konfiguriert hatte, klappte es sehr zuverlässig.
PS: Auch bei Business-DSL-Tarifen gibt es idR eine Zwangstrennung alle 24h.
@Baerle,
nein, die alte vpn-verbindung löschen (vpn- und ike-einstellungen) und neu aufsetzen
Das kann ich ja jetzt nicht glauben?Ich habe mehrere von diesen bei mir und Kunden im Einsatz und alle arbeiten problemlos, auch wenn aqui das nicht gern hört.
Hast du mal die Uhrzeit der Geräte überprüft, es gab dort ein Problem mit der automatischen Umstellung auf Sommerzeit.
Kannst du mir bitte mal die Firmwareversion mitteilen?
Kennst du dieses Forum?
Dieser Beitrag hatte mir auch schon einmal geholfen, als es ein Problem gab. Nachdem ich die Einstellungen auf factory default zurückgesetzt und alles neu konfiguriert hatte, klappte es sehr zuverlässig.
PS: Auch bei Business-DSL-Tarifen gibt es idR eine Zwangstrennung alle 24h.
Moin,
[OT]
[/OT]
Gruß
[OT]
PS: Auch bei Business-DSL-Tarifen gibt es idR eine Zwangstrennung alle 24h.
- Keine Regel ohne Ausnahme - die uns wird nicht getrennt. (Warum auch - ich hab noch nie gehört das die das machen)
[/OT]
Gruß
Zitat von @Baerle:
> Kannst du mir bitte mal die Firmwareversion mitteilen?
System Name: FVS336GV2
Firmware Version: 3.0.6-28
Hast du die Firmware zwischenzeitlich auf diese Version upgedatet?> Kannst du mir bitte mal die Firmwareversion mitteilen?
System Name: FVS336GV2
Firmware Version: 3.0.6-28
Wenn ja, dann mach noch einmal, was hier beschrieben ist.
Deine SA-Lifetime kann auch mit 28.800 stehen bleiben, habe ich auch und bringt keinen Fehler.
Überprüfe bitte nochmal genau die anderen Einstellungen. In der VPN-Policy gibt es unter 'Auto Policy Parameters' Einstellungen, die schnell mal fehlerhaft sind.
@t-mo
du hast Recht, es wird bei Business-DSL-Tarifen nicht immer getrennt.
Allerdings stand in den Vertragsbedingungen, dass sich der Anbieter eine Trennung alle 24h vorbehält. Ich habe dies mit "Alle 24h wird getrennt" verwechselt.
Hi Baele,
klinkt villeicht banal aber der Fehler (Teufel) steckt nun mal leider im Detail.
> [xxx xxx.dyndns.org 38.24 192 IPsec SA Is Expiring] sagt klar und deutlich das etwas abläuft (ausläuft, verfällt, ungültig wird)
1. E-Mail an T-Online: Trennt Ihr uns alle xxx Std.
2. E-Mail an DynDNS.org: Liegt das an Euch
3. E-Mail an deutschen Support von Netgear (bitte auch dort posten was Du hier gepostet hast) besser noch auf die Zeile zwei in diesem Post hinweisen, dort arbeiten auch nur Menschen.
4. Enstellungen der FVS336Gv2 sichern (von beiden)
5. Firmwareupdate durchführen (auch auf beiden FVS336Gv2)
vorher vielleicht mal lesen was im Release info File auf der Netgear Seite über die neue Firmware steht (behobene Probleme, neue Funtionen, Änderungen) klärt manchmal schon super über eigene Probleme auf.
6. Lebensdauer und Gültigkeit des Zertifikates überprüfen.
7. Am Router anmelden und in WAN -- Einstellungen -- Routing Einstellungen überprüfen (classic routing, NAT) stehen zur Auswahl ob mit einer anderen Einstellung das Problem behoben wird, denn durch das abstellen von NAT versuchen einige Leute einfach den Durchsatz oder die Bandbreite die durch die Verschlüsselung abfällt zu kompensieren.
Wenn Du auf zack bist und es sich ermöglicht (Betriebszeiten) ist das in einer Stunde erledigt und Du kannst nachher zumindest alle anderen Fehlerquellen ausschließen.
Viel Glück ;)
MfG schuhi69
klinkt villeicht banal aber der Fehler (Teufel) steckt nun mal leider im Detail.
> [xxx xxx.dyndns.org 38.24 192 IPsec SA Is Expiring] sagt klar und deutlich das etwas abläuft (ausläuft, verfällt, ungültig wird)
1. E-Mail an T-Online: Trennt Ihr uns alle xxx Std.
2. E-Mail an DynDNS.org: Liegt das an Euch
3. E-Mail an deutschen Support von Netgear (bitte auch dort posten was Du hier gepostet hast) besser noch auf die Zeile zwei in diesem Post hinweisen, dort arbeiten auch nur Menschen.
4. Enstellungen der FVS336Gv2 sichern (von beiden)
5. Firmwareupdate durchführen (auch auf beiden FVS336Gv2)
vorher vielleicht mal lesen was im Release info File auf der Netgear Seite über die neue Firmware steht (behobene Probleme, neue Funtionen, Änderungen) klärt manchmal schon super über eigene Probleme auf.
6. Lebensdauer und Gültigkeit des Zertifikates überprüfen.
7. Am Router anmelden und in WAN -- Einstellungen -- Routing Einstellungen überprüfen (classic routing, NAT) stehen zur Auswahl ob mit einer anderen Einstellung das Problem behoben wird, denn durch das abstellen von NAT versuchen einige Leute einfach den Durchsatz oder die Bandbreite die durch die Verschlüsselung abfällt zu kompensieren.
Wenn Du auf zack bist und es sich ermöglicht (Betriebszeiten) ist das in einer Stunde erledigt und Du kannst nachher zumindest alle anderen Fehlerquellen ausschließen.
Viel Glück ;)
MfG schuhi69
Hi Bearle,
ergänzend zu Schuhi69 möchte ich dir noch folgende mitgeben:
Wenn ihr feste IP-Adressen habt, dann lass doch DYN-DNS weg. So ersparst du dir eine potentielle Fehlerquelle.
Steht die Internetverbindung noch, wenn das VPN weg ist?
Du kannst im FVS336 unter 'Monitoring' -> 'Show Statistics' sehen, welcher Link wie lange verbunden ist. Auch kannst du dir die kompletten Protokolle per Mail zukommen lassen (bspw. stündlich) und so sehen, was gerade passiert, wenn die Verbindung nicht will.
Über die Administrationsseite kannst du dir auch einen Paketmitschnitt anfertigen, allerdings reicht der interne Speicher nicht für längere Zeiten.
ergänzend zu Schuhi69 möchte ich dir noch folgende mitgeben:
Wenn ihr feste IP-Adressen habt, dann lass doch DYN-DNS weg. So ersparst du dir eine potentielle Fehlerquelle.
Steht die Internetverbindung noch, wenn das VPN weg ist?
Du kannst im FVS336 unter 'Monitoring' -> 'Show Statistics' sehen, welcher Link wie lange verbunden ist. Auch kannst du dir die kompletten Protokolle per Mail zukommen lassen (bspw. stündlich) und so sehen, was gerade passiert, wenn die Verbindung nicht will.
Über die Administrationsseite kannst du dir auch einen Paketmitschnitt anfertigen, allerdings reicht der interne Speicher nicht für längere Zeiten.
Du schreibst, dass du die Konfig via Wizzard vornimmst.
Hast du diese VPNs mal manuell eingetragen, ohne über den Wizzard zu gehen?
Ich habe diesen noch nie benutzt, weil ich bei einem älteren Gerät (FVS124G) das Problem hatte, dass diverse VPNs über den Wizzard gar nicht zum Laufen kamen, manuell eingetippte mit identischen Einstellungen aber sauber funktionierten.
Dukannst wirst uns ja informieren.
Edit: Ach ja, kannst du bitte beim Antworten auf die Vollzitate deiner Beiträge verzichten. Das liest sich echt gruselig.
Hast du diese VPNs mal manuell eingetragen, ohne über den Wizzard zu gehen?
Ich habe diesen noch nie benutzt, weil ich bei einem älteren Gerät (FVS124G) das Problem hatte, dass diverse VPNs über den Wizzard gar nicht zum Laufen kamen, manuell eingetippte mit identischen Einstellungen aber sauber funktionierten.
KURZER ZWISCHNENSTAND:
1. NAchfrage beim "rosa" Anbieter: Zwangstrennung alle 24 h
2. Einstellungen gesichert
Kann nie schaden, oder?1. NAchfrage beim "rosa" Anbieter: Zwangstrennung alle 24 h
2. Einstellungen gesichert
3. Firmware konnte nicht geupdatet werden, da die momentane Firmware die aktuellste ist:
http://kb.netgear.com/app/products/model/a_id/13334
4. Sowohl bei den IKE-Einstellungen als auch bei den vpn-Einstellungen die SA-Lifetime erhöht (jeweils verdoppelt).
Hast du dort auch den selben Wert stehen (also jetzt 57600)?http://kb.netgear.com/app/products/model/a_id/13334
4. Sowohl bei den IKE-Einstellungen als auch bei den vpn-Einstellungen die SA-Lifetime erhöht (jeweils verdoppelt).
Momentane Wirkung: DAS VPN Steht noch!
Wäre doch schön, wenn das Problem damit behoben ist.Du
Edit: Ach ja, kannst du bitte beim Antworten auf die Vollzitate deiner Beiträge verzichten. Das liest sich echt gruselig.
Hallöle Baerle,
Dann wurdet Ihr definitiv nicht vom rosanen getrennt und ich gwürde dann nur noch nach einer Möglichkeit suchen die im Zusammenhang mit der Lease Time der VPN Verbindung oder der Gültigkeitsdauer des Zertifikats.
Noch ein Fragen, gibt es eine exakte ZEIT zu der die pipe zusammenbricht oder immer nach einem gewissen ZEITRAUM, ich Frage das nur um noch enger eingrenzen zu können.
Hast Du eine Route eingerichtet (eine ständige Route ?)
Habt Ihr einen Kerberos Server v2 v3 v5 oder Radius Server im Unternehmen oder nutzt Du den Storage im FVS336Gv2 ?
Ich frage das nur falls, diese Server in einem Backupplan integriert sind und dann nartürlich kurzzeitig die Authent. nicht vollzogen werden kann, genau das gleiche passiert wenn am Ende der VPN Pipe die Ports auf Datenbankserver gelinkt / geroutet sind, denn die melden sich zum Backup auch ab was die Verbindung natürlich auch wieder beeinflussen bzw beeinträchtigen kann.
Last but not least bietet dieser Router Dir die Möglichkeiten logs (Syslogs) per E-Mail oder auf einen externen Logserver zu senden, Da in diesen Geräten nur ein begrenzter Platz zur Verfügung steht, der natürlich auch wieder durch das ablegen Eines CA´s (Zertifikates) geschmälert wird und wenn hast Du keinen Logerserver Eingetragen, lehrt der Router wenn der Space für Logs voll ist den Router RAM, das bedeutet er steht für millisekunden still und flushed (löscht) den RAM und die Verbindung ist weg !!! Bitte sieh mal nach wo Du die logfiles hin schreibst und versuche mal ohne logs wenn Du keinen Logserver hast.
Ich weis wieder zu viel geschrieben, nur leider ist das so bei der Fehlersuche und wenn alle so ausführlich Fragen würden wie ich antworte wäre vieles einfacher.
MfG schuhi69
steht die Internetverbindung noch, wenn das VPN weg ist?
ja, die verbindung steht
Dann wurdet Ihr definitiv nicht vom rosanen getrennt und ich gwürde dann nur noch nach einer Möglichkeit suchen die im Zusammenhang mit der Lease Time der VPN Verbindung oder der Gültigkeitsdauer des Zertifikats.
Noch ein Fragen, gibt es eine exakte ZEIT zu der die pipe zusammenbricht oder immer nach einem gewissen ZEITRAUM, ich Frage das nur um noch enger eingrenzen zu können.
Hast Du eine Route eingerichtet (eine ständige Route ?)
Habt Ihr einen Kerberos Server v2 v3 v5 oder Radius Server im Unternehmen oder nutzt Du den Storage im FVS336Gv2 ?
Ich frage das nur falls, diese Server in einem Backupplan integriert sind und dann nartürlich kurzzeitig die Authent. nicht vollzogen werden kann, genau das gleiche passiert wenn am Ende der VPN Pipe die Ports auf Datenbankserver gelinkt / geroutet sind, denn die melden sich zum Backup auch ab was die Verbindung natürlich auch wieder beeinflussen bzw beeinträchtigen kann.
Last but not least bietet dieser Router Dir die Möglichkeiten logs (Syslogs) per E-Mail oder auf einen externen Logserver zu senden, Da in diesen Geräten nur ein begrenzter Platz zur Verfügung steht, der natürlich auch wieder durch das ablegen Eines CA´s (Zertifikates) geschmälert wird und wenn hast Du keinen Logerserver Eingetragen, lehrt der Router wenn der Space für Logs voll ist den Router RAM, das bedeutet er steht für millisekunden still und flushed (löscht) den RAM und die Verbindung ist weg !!! Bitte sieh mal nach wo Du die logfiles hin schreibst und versuche mal ohne logs wenn Du keinen Logserver hast.
Ich weis wieder zu viel geschrieben, nur leider ist das so bei der Fehlersuche und wenn alle so ausführlich Fragen würden wie ich antworte wäre vieles einfacher.
MfG schuhi69
Zitat von @berrynson:
Das hört sich ja gut an .
Wir haben um die 24st ZW ein wenig selbs in der hand zu haben ,an unsern Netgear Routern Elektronische Zeitschaltuhren im
einsatz.Damit Trennen wir jeden abend zur gleichen Zeit den Strom . Damit der Router neu synchronisiert und die 24st ZW auf die
Nacht fällt.
Hi berrynson,Das hört sich ja gut an .
Wir haben um die 24st ZW ein wenig selbs in der hand zu haben ,an unsern Netgear Routern Elektronische Zeitschaltuhren im
einsatz.Damit Trennen wir jeden abend zur gleichen Zeit den Strom . Damit der Router neu synchronisiert und die 24st ZW auf die
Nacht fällt.
ich habe viele dieser VPN-Router von Netgear im Einsatz (bei mir und Kunden).
Darunter sind die ganz billigen (FVS114), die ich anfangs aus Unwissenheit verbaut habe.
Dieses Phänomen konnte ich aber bisher nicht feststellen.
Auch an dich die Frage:
Welche Geräte mit welchem Firmwarestand setzt du ein?
Hast du beim Firmwareupdate den von mir oben erwähnten Werksreset mit Neukonfig durchgeführt?
Hallo berrynson,
das hört sich wirklich gut an und ich weiß auch nicht ob die Einstellungen den Selben Effekt haben (sync) aber nach Anmeldung auf dem FVS336Gv2 sind im Menue Security, Untermenü Schedule drei Karteireiter sichtbar, auf denen man die Komplette Woche nach Tagen und Uhrzeiten einstellen kann zum an und abschalten des Routers.
MfG schuhi69
das hört sich wirklich gut an und ich weiß auch nicht ob die Einstellungen den Selben Effekt haben (sync) aber nach Anmeldung auf dem FVS336Gv2 sind im Menue Security, Untermenü Schedule drei Karteireiter sichtbar, auf denen man die Komplette Woche nach Tagen und Uhrzeiten einstellen kann zum an und abschalten des Routers.
MfG schuhi69
Kannst du bitte deine anderen Einstellungen aus den IPSEC und VPN-Policies mitteilen?
Hallo Baerle,
schau bitte mal hier nach Dein, Router ist auch aufgeführt, vielleicht findest Du ja Einstellungen an die noch nicht gedacht hast, Bilder sagen mehr als tausend Worte;)
Anmeldung ist erforderlich, aber in der Regel ca. 2 Stunden bekommst Du diese auch per mail.
http://vpncasestudy.com/casestudies.html
Ansonsten das was Du oben bereits getan hast log posten ist immer gut.
MfG schuhi69
schau bitte mal hier nach Dein, Router ist auch aufgeführt, vielleicht findest Du ja Einstellungen an die noch nicht gedacht hast, Bilder sagen mehr als tausend Worte;)
Anmeldung ist erforderlich, aber in der Regel ca. 2 Stunden bekommst Du diese auch per mail.
http://vpncasestudy.com/casestudies.html
Ansonsten das was Du oben bereits getan hast log posten ist immer gut.
MfG schuhi69
Hi Baerle,
Sie Dir bitte noch mal http://kb.netgear.com/app/answers/detail/a_id/172 kann auch sein der Tunnel deswegen zusammenbricht
MfG schuhi69
Sie Dir bitte noch mal http://kb.netgear.com/app/answers/detail/a_id/172 kann auch sein der Tunnel deswegen zusammenbricht
MfG schuhi69
Zitat von @schuhi69:
Hi Baerle,
Sie Dir bitte noch mal http://kb.netgear.com/app/answers/detail/a_id/172 kann auch sein der Tunnel deswegen zusammenbricht
Hi Schuhi,Hi Baerle,
Sie Dir bitte noch mal http://kb.netgear.com/app/answers/detail/a_id/172 kann auch sein der Tunnel deswegen zusammenbricht
dein Link führt eher in die komplett falsche Richtung, denn das Baerli hat ein Problem mit einer LAN-LAN-Verbindung und nicht Client-LAN.
@Baerli,
warum nimmst du unterschiedliche SA-Lifetimes für IKE und VPN?
Ich habe bisher überall identische Einstellungen in meinen VPNs.
Die Funktion 'enable keepalive' kannst du in deinem Fall ja mal testen, da dann automatisch eine Neuaushandlung stattfindet, wenn die, von dir vorgegebene Anzahl, Pings ins Leere laufen.
Hi nochmals,
@goscho --> gut war mein Fehler, hast ja recht, ich dachte nur das (andere Verbindungen) die VPN Verbindung mit einbezieht.
@Baerle --> ruf doch bitte mal https://<router ip>/scgi-bin/dbglog.cgi auf und guck nach ob da was eingetragen ist was Dich auf den richtigen Weg bringt.
MfG schuhi69
@goscho --> gut war mein Fehler, hast ja recht, ich dachte nur das (andere Verbindungen) die VPN Verbindung mit einbezieht.
@Baerle --> ruf doch bitte mal https://<router ip>/scgi-bin/dbglog.cgi auf und guck nach ob da was eingetragen ist was Dich auf den richtigen Weg bringt.
MfG schuhi69
Zitat von @schuhi69:
Hi nochmals,
@goscho --> gut war mein Fehler, hast ja recht, ich dachte nur das (andere Verbindungen) die VPN Verbindung mit einbezieht.
Nicht tragisch,Hi nochmals,
@goscho --> gut war mein Fehler, hast ja recht, ich dachte nur das (andere Verbindungen) die VPN Verbindung mit einbezieht.
du meinst es ja wirklich gut und bist wohl auch schon ein bisschen älter, wenn die Zahl in deinem Nick dein Geburtsjahr ist, wirst du mit 92%iger Wahrscheinlichkeit älter sein als ich.
@Baerle --> ruf doch bitte mal https://<router ip>/scgi-bin/dbglog.cgi auf und guck nach ob da was eingetragen ist was
Dich auf den richtigen Weg bringt.
Danke für diesen Tipp. Dich auf den richtigen Weg bringt.
Ich hatte diesen Weg, die Logs herauszuholen nicht gekannt.
BTW: Wie komme ich an die Infos aus casestudies? Ich habe dort schon versucht mich anzumelden, bekam aber keine Rückantwort.
hi goscho,
nein bin erst 41 Jahre alt.
Ich bin schon vor etwas längerer Zeit auf http://vpncasestudy.com/casestudies.html gegangen und habe dann eine E-Mail an info@vpncasestudy.com geschickt und
erzählt das ich non provid user @home bin und einenFVS336Gv2 habe und mir die Dateien zu meinem Router gerne runterladen möchte um damit besser umgehen zu können. Zwei Stunden später hatte ich einen Account und konnte mir die Daten ziehen. Aber wenn Du denen schreibst das Du ein Problem hast und die Case study nehmen willst um das Problem zu lösen ist das auch im gewerblichen Bereich kein Problem.
Da ich ein kleines Netzwerk zu Hause habe und nicht oft mit CLI arbeite obwohl es sehr viel schneller gehen würde, die Cisco Hardware aber nun mal nicht nur sein Geld wert ist, sondern die Cisco Leute das auch haben wollen, und diese Hardware auch eigentlich für den professionellen Einsatz konzipiert wurde, also demnach
nicht für Maus schubsende home user wie mich habe ich komplett auf Netgear umgestellt, einheitlich verträgt sich und für die paar Rechner und Server die ich habe
mehr als ausreichend. Ausserdem kenne ich Leute die bei Netgear arbeiten (Deutschland, USA), zum Glück war das bis jetzt noch nicht der Fall, aber wenn dann ist es besser man hat noch Ansprechpartner auérhalb des Supporter Teams;)
Daher meine Affinität zu Fragen die Produkte von dieser Firma betreffen.
P.S. Die Case Studys sind sehr beliebt und deshalb auch stark frquentiert, weil das alles Anwender und Admins sind die dort Ihre Erfahrungen veröffentlichen, z.B. mit Cisco, Green Bow, usw. Geräten ein VPN mit Netgear Geräten aufsetzen. Falls Dir das zu lange dauert sieh mal unter Technical Docs nach da sind auch ein paar Perlen gestreut;)
Sogar ein Link zu einem Simulator für den FVS336Gv2 gibt es dort.
MfG schuhi69
schönes WE
nein bin erst 41 Jahre alt.
Ich bin schon vor etwas längerer Zeit auf http://vpncasestudy.com/casestudies.html gegangen und habe dann eine E-Mail an info@vpncasestudy.com geschickt und
erzählt das ich non provid user @home bin und einenFVS336Gv2 habe und mir die Dateien zu meinem Router gerne runterladen möchte um damit besser umgehen zu können. Zwei Stunden später hatte ich einen Account und konnte mir die Daten ziehen. Aber wenn Du denen schreibst das Du ein Problem hast und die Case study nehmen willst um das Problem zu lösen ist das auch im gewerblichen Bereich kein Problem.
Da ich ein kleines Netzwerk zu Hause habe und nicht oft mit CLI arbeite obwohl es sehr viel schneller gehen würde, die Cisco Hardware aber nun mal nicht nur sein Geld wert ist, sondern die Cisco Leute das auch haben wollen, und diese Hardware auch eigentlich für den professionellen Einsatz konzipiert wurde, also demnach
nicht für Maus schubsende home user wie mich habe ich komplett auf Netgear umgestellt, einheitlich verträgt sich und für die paar Rechner und Server die ich habe
mehr als ausreichend. Ausserdem kenne ich Leute die bei Netgear arbeiten (Deutschland, USA), zum Glück war das bis jetzt noch nicht der Fall, aber wenn dann ist es besser man hat noch Ansprechpartner auérhalb des Supporter Teams;)
Daher meine Affinität zu Fragen die Produkte von dieser Firma betreffen.
P.S. Die Case Studys sind sehr beliebt und deshalb auch stark frquentiert, weil das alles Anwender und Admins sind die dort Ihre Erfahrungen veröffentlichen, z.B. mit Cisco, Green Bow, usw. Geräten ein VPN mit Netgear Geräten aufsetzen. Falls Dir das zu lange dauert sieh mal unter Technical Docs nach da sind auch ein paar Perlen gestreut;)
Sogar ein Link zu einem Simulator für den FVS336Gv2 gibt es dort.
MfG schuhi69
schönes WE
Worauf bezog sich dein nein?
Ich bin schon vor etwas längerer Zeit auf http://vpncasestudy.com/casestudies.html gegangen und habe dann eine E-Mail an
info@vpncasestudy.com geschickt und
erzählt das ich non provid user @home bin und einenFVS336Gv2 habe und mir die Dateien zu meinem Router gerne runterladen
möchte um damit besser umgehen zu können. Zwei Stunden später hatte ich einen Account und konnte mir die Daten
ziehen. Aber wenn Du denen schreibst das Du ein Problem hast und die Case study nehmen willst um das Problem zu lösen ist das
auch im gewerblichen Bereich kein Problem.
Ich habe das ebenso probiert, aber nie eine Antwort erhalten. Ich denke, ich werde es erneut versuchen, denn dort sind viele interessante Sachen zu den Netgear Produkten.
Doch seit ein paar Jahren stehen diese VPNs mit Netgear-Geräten (oft FVS336G) sehr zuverlässig und es kommen gelegentlich neue dazu.
Aber auch die ganz billigen Teile (FVS114, 318) arbeiten zuverlässig, sind aber nicht in hochkritischen Umgebungen am Werk (zumeist nur eine LAN-LAN + 1,2 Client-VPNs).
Ist bei mir nicht viel anders.
wenn die Zahl in deinem Nick dein Geburtsjahr ist, wirst du mit 92%iger Wahrscheinlichkeit älter sein als ich.
Ich bin aus dem selben guten Jahrgang. Ich bin schon vor etwas längerer Zeit auf http://vpncasestudy.com/casestudies.html gegangen und habe dann eine E-Mail an
info@vpncasestudy.com geschickt und
erzählt das ich non provid user @home bin und einenFVS336Gv2 habe und mir die Dateien zu meinem Router gerne runterladen
möchte um damit besser umgehen zu können. Zwei Stunden später hatte ich einen Account und konnte mir die Daten
ziehen. Aber wenn Du denen schreibst das Du ein Problem hast und die Case study nehmen willst um das Problem zu lösen ist das
auch im gewerblichen Bereich kein Problem.
Da ich ein kleines Netzwerk zu Hause habe und nicht oft mit CLI arbeite obwohl es sehr viel schneller gehen würde, die Cisco
Hardware aber nun mal nicht nur sein Geld wert ist, sondern die Cisco Leute das auch haben wollen, und diese Hardware auch
eigentlich für den professionellen Einsatz konzipiert wurde, also demnach
nicht für Maus schubsende home user wie mich habe ich komplett auf Netgear umgestellt, einheitlich verträgt sich und
für die paar Rechner und Server die ich habe
mehr als ausreichend.
Ich nutze die Produkte der Prosafe-Serien nur im gewerblichen Umfeld in KMU. Natürlich hatte ich auch schon Probleme mit der VPN-Einrichtung, speziell mit den ersten Gehversuchen.Hardware aber nun mal nicht nur sein Geld wert ist, sondern die Cisco Leute das auch haben wollen, und diese Hardware auch
eigentlich für den professionellen Einsatz konzipiert wurde, also demnach
nicht für Maus schubsende home user wie mich habe ich komplett auf Netgear umgestellt, einheitlich verträgt sich und
für die paar Rechner und Server die ich habe
mehr als ausreichend.
Doch seit ein paar Jahren stehen diese VPNs mit Netgear-Geräten (oft FVS336G) sehr zuverlässig und es kommen gelegentlich neue dazu.
Aber auch die ganz billigen Teile (FVS114, 318) arbeiten zuverlässig, sind aber nicht in hochkritischen Umgebungen am Werk (zumeist nur eine LAN-LAN + 1,2 Client-VPNs).
Ausserdem kenne ich Leute die bei Netgear arbeiten (Deutschland, USA), zum Glück war das bis jetzt noch
nicht der Fall, aber wenn dann ist es besser man hat noch Ansprechpartner auérhalb des Supporter Teams;)
Das ist bestimmt nicht nachteilig.nicht der Fall, aber wenn dann ist es besser man hat noch Ansprechpartner auérhalb des Supporter Teams;)
Ist bei mir nicht viel anders.
MfG schuhi69
Gruß GoschoZitat von @schuhi69:
Hi Goscho,
das ----> nein bezog sich auf meinen Nickname und die Zahl 69 (nicht mein Alter).
Das hatte ich mir schon gedacht, dass du aus dem Jahr 1969 bin und nicht 69 Jahre alt. Hi Goscho,
das ----> nein bezog sich auf meinen Nickname und die Zahl 69 (nicht mein Alter).