ignitor
Goto Top

VPN Verbindung mit Netgear ProSafe DGFV338 - Programme verlieren ständig Verbindung

Hallo!

In der Firma haben wir einen Netgear ProSafe DGFV338 Gateway bei dem ich VPN Zugang eingerichtet hab. Der Zugang funktioniert eigentlich auch aber manche (alle?) Programme verlieren regelmäßig die Verbindung (ca. jede Stunde). Die VPN Verbindung bleibt erhalten, aber die Programme finden die Server nicht mehr. Man muss dann einfach die Verbindung mit den Programmen neu aufbauen und alles funktioniert wieder (bis zur nächsten Trennung). Ich benutze z.B. Symantec pcAnywhere für Remote Access auf einem Server. Außerdem haben wir noch eine ERP Software laufen, die ständig die Verbindung zu unserem DB Server verliert, wenn wir per VPN zugreifen. Wenn wir direkt im LAN hängen gibt es keine Probleme - es hängt also mit der VPN Verbindung zusammen.

Hier mal ein paar Daten zur Verbindung:

IKE Richtlinie:
Pre-Shared Key, AES 128 Bit, SHA1 Hash
SA-Lifetime: 3600 s

IPSec Richtlinie:
Pre-Shared Key, AES 128 Bit, SHA1 Hash
SA-Lifetime: 28800 s

Exchange Mode: Agressive

PFS-Group: DH 2

Als Client benutzen wir den NCP/Lancom Advanced VPN Client.

Da die Verbindung ca. jede Stunde verloren geht hatte ich schon die SA-Lifetime vom IKE im Verdacht, aber eigentlich sollte das doch keine Auswirkungen haben (sollte doch eigentlich für die Programme transparent sein). Vielleicht hat es auch was damit zu tun, dass die Verbindung von den beiden oben genannten Programmen ebenfalls verschlüsselt ist (bei diesen beiden Programmen ist mir das Problem aufgefallen, weil ich damit auch mal Verbindungen länger als eine Stunde offen hab).

Hat jemand eine Idee woran das liegen könnte oder zumindest was ich zur Fehlersuche tun könnte?

Vielen Dank schonmal für die Antworten.

Gruß, Jochen

Content-ID: 117539

Url: https://administrator.de/contentid/117539

Ausgedruckt am: 18.12.2024 um 16:12 Uhr

aqui
aqui 05.06.2009 um 11:52:08 Uhr
Goto Top
Das die VPN Verbindung erhalten bleibt ist zu bezweifeln !! Was macht dich da so sicher ??
Du solltest einen Dauerping durch den VPN Tunnel parallel laufen lassen und prüfen ob der Ping im Falle des Sessionabruchs der Applikation auch eine Unterbrechung hat. Das deutet dann auch auf einen VPN Tunnelabbruch hin !

Vermutlich ist der VPN Tunnel kurz weg, denn das ist zu 98% der Grund für solche Abbrüche.
Deine Vermutung ist wahrscheinlich richtig das es sich um Inkompatibilitäten der Parameter zwischen Client und Server handelt. Das solltest du überprüfen auf beiden Seiten um sicher zu gehen.
Hast du als Alternative mal einen anderen Client wie z.B. Shrew oder gateProtect ausprobiert oder noch besser den NetGear Client ??
Ignitor
Ignitor 05.06.2009 um 13:26:59 Uhr
Goto Top
ShrewSoft hab ich auch schon probiert - selbes Problem
gateProtect kannte ich noch nicht - probier ich vielleicht mal noch aus
Den NetGear Client wollten wir nicht, weil man sich bei dem nicht per VPN in der Domäne anmelden kann (also VPN Verbindung aufbauen bevor Login)

Dauerping war eine gute Idee! Die VPN Verbindung reist wirklich kurz ab. Und zwar genau nach der IKE Lifetime. Der Client baut dann eine neue Verbindung auf: (Auszug aus Logdatei)
NCPIKE-phase1:name(Name der Site) - outgoing connect request - aggressive mode.
und es wird eine neue Verbindung aufgebaut.

Irgendwelche Ideen, wie man das lösen könnte? Wir würden gerne beim Lancom Client bleiben. =/
aqui
aqui 05.06.2009 um 18:51:48 Uhr
Goto Top
Wie vermutet mit dem VPN Tunnelabbruch.....
Vermutlich ein Parameter Mismatch ??

Hat der NetGear einen Syslog wie Draytek oder Lancom den du aktivieren kannst um mal Syslog Messages auf einen Syslog Server wie z.B. den freien Kiwi Syslog zu schicken ???
http://www.kiwisyslog.com/kiwi-syslog-server-overview/

Dann siehst du meistens gleich woran es liegt !!

Sonst musst du wohl oder übel sniffern mit dem Wireshark...
Ignitor
Ignitor 10.06.2009 um 17:39:17 Uhr
Goto Top
Der NetGear unterstützt zwar SysLog aber leider nur für die Firewall- und System-Logs und nicht für die VPN-Logs. =/
Die Logs vom Gateway selbst sind aber recht ausführlich. Ich werd mal sniffen und mit den Logs vergleichen. Vielleicht sieht man da irgendwas.
Ignitor
Ignitor 17.06.2009 um 21:18:44 Uhr
Goto Top
Problem gelöst:
Hatte beim Client die IKE und IPSec Lifetimes vertauscht! Beim IKE Rekeying wird die VPN Verbindung zwangsläufig getrennt. Mit IPSec Lifetime auf 3600s und IKE Lifetime auf 28800s bleibt die Verbindung 8 Stunden bestehen.