Watchguard VPN: Unerklärliche Verbindungsabbrüche
Hallo,
ich wollte den Case eigentlich an Watchguard selbst weiter geben, aber deren nicht vorhandener Support lässt die Erstellung von Cases ganz am Ende des Prozesses nicht zu.
Zum Problem:
Wir haben 2 XTM330 Devices, die via Branch Office VPN verbunden sind. Beide Seiten haben eine feste IP, einer ist ein VDSL50, einer ein 400/50 Anschluss von Vodafone.
Der VPN steht permanent, und ich kann unterbrechnungsfrei alles auf der Gegenseite anpingen. Wir haben Antwortzeiten von 60ms, sporadisch auch mal mehr.
Auf 4250 Pakete habe ich aktuell 5 verlorene.
Wenn wir nun via RDP auf einer entfernten Maschine arbeiten habe ich sporadisch das Verhalten, dass der Bildschirm nicht mehr aktualisiert. Manchmal kommt dann recht fix ein Reconnect, manchmal steht minutenlang "Verbindungsversuch 1 von 20" da, bis ein Reconnect statt findet. RDP schließen und neu verbinden funktioniert kurioserweise zumeist, aber eben nicht immer.
Ein FTP Transfer, den ich mal testweise nebenhe laufen hatte brach zur gleichen Zeit ab. Ping läuft währenddessen durch, ohen Auffälligkeiten.
Wir haben schon die MTU angepasst, nachdem ich einen Artikel fand der das empfohlen hat, weil zuviele Pakete verloren gehen und der Tunnel daher instabil wird: https://www.boc.de/watchguard-info-portal/2010/08/fireware-xtm-ha-cluste ...
Wir dachten auch an Probleme mit dem ReKey-ing und haben das mal hoch gesetzt, aber das war es nicht. Da das Latein von mir und dem anderen mit dem Problem betrauten Kollegen leicht am Ende ist wollte ich einmal hier anfragen.
MfG Maik
ich wollte den Case eigentlich an Watchguard selbst weiter geben, aber deren nicht vorhandener Support lässt die Erstellung von Cases ganz am Ende des Prozesses nicht zu.
Zum Problem:
Wir haben 2 XTM330 Devices, die via Branch Office VPN verbunden sind. Beide Seiten haben eine feste IP, einer ist ein VDSL50, einer ein 400/50 Anschluss von Vodafone.
Der VPN steht permanent, und ich kann unterbrechnungsfrei alles auf der Gegenseite anpingen. Wir haben Antwortzeiten von 60ms, sporadisch auch mal mehr.
Auf 4250 Pakete habe ich aktuell 5 verlorene.
Wenn wir nun via RDP auf einer entfernten Maschine arbeiten habe ich sporadisch das Verhalten, dass der Bildschirm nicht mehr aktualisiert. Manchmal kommt dann recht fix ein Reconnect, manchmal steht minutenlang "Verbindungsversuch 1 von 20" da, bis ein Reconnect statt findet. RDP schließen und neu verbinden funktioniert kurioserweise zumeist, aber eben nicht immer.
Ein FTP Transfer, den ich mal testweise nebenhe laufen hatte brach zur gleichen Zeit ab. Ping läuft währenddessen durch, ohen Auffälligkeiten.
Wir haben schon die MTU angepasst, nachdem ich einen Artikel fand der das empfohlen hat, weil zuviele Pakete verloren gehen und der Tunnel daher instabil wird: https://www.boc.de/watchguard-info-portal/2010/08/fireware-xtm-ha-cluste ...
Wir dachten auch an Probleme mit dem ReKey-ing und haben das mal hoch gesetzt, aber das war es nicht. Da das Latein von mir und dem anderen mit dem Problem betrauten Kollegen leicht am Ende ist wollte ich einmal hier anfragen.
MfG Maik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384234
Url: https://administrator.de/forum/watchguard-vpn-unerklaerliche-verbindungsabbrueche-384234.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
13 Kommentare
Neuester Kommentar
Hallo Maik,
zumindest ich nutze RDP sehr intensiv, nur haben wir keinen festen Tunnel, sondern wählen uns per NCP-Client auf unserer XTM330 ein. Die von Dir beschriebenen Spässe kenne ich in dem Ausmass NICHT, nur sporadisch treten ähnliche Fehler auf. Und diese konnte ich in den meisten Fällen auf dem Weg der Pakete durchs Netz lokalisieren : Das von mir benutzte WLAN am Wohnort, früher der Übergang von Telekom zu Vodafone (fällt mittlerweile weg, da ich privat Vodafone nutze und auch der Arbeitgeber mit Vodafone arbeitet). Immer dann habe ich an meinem lokalen PC ein "traceroute <öffentliche IP meines Arbeitgebers>" eingegeben und erhielt, wenn die Störung nicht sehr schnell wieder weg war und ich eine gewisse Geduld aufbrachte, die Information, WO es hakte. Und zusätzlich sollten die Logdateien auf beiden XTM330 etwas erzählen. Wir überwachen die mit einer virtuellen Appliance "Dimension" von Watchguard, da können wir etwas mehr als einen Monat in die Vergangenheit sehen.
mfg/Wolfgang
zumindest ich nutze RDP sehr intensiv, nur haben wir keinen festen Tunnel, sondern wählen uns per NCP-Client auf unserer XTM330 ein. Die von Dir beschriebenen Spässe kenne ich in dem Ausmass NICHT, nur sporadisch treten ähnliche Fehler auf. Und diese konnte ich in den meisten Fällen auf dem Weg der Pakete durchs Netz lokalisieren : Das von mir benutzte WLAN am Wohnort, früher der Übergang von Telekom zu Vodafone (fällt mittlerweile weg, da ich privat Vodafone nutze und auch der Arbeitgeber mit Vodafone arbeitet). Immer dann habe ich an meinem lokalen PC ein "traceroute <öffentliche IP meines Arbeitgebers>" eingegeben und erhielt, wenn die Störung nicht sehr schnell wieder weg war und ich eine gewisse Geduld aufbrachte, die Information, WO es hakte. Und zusätzlich sollten die Logdateien auf beiden XTM330 etwas erzählen. Wir überwachen die mit einer virtuellen Appliance "Dimension" von Watchguard, da können wir etwas mehr als einen Monat in die Vergangenheit sehen.
mfg/Wolfgang
Moin,
Das scheint ein anderes Thema als der Tunnel zu sein.
Wenn der Ping durchläuft ist die Strecke ja nicht weg!
Wenn du einen Case aufmachen möchtest, dann über euren Dienstleister!
Wir haben immer sofort jemanden von WA am Hörer. Der Endkundensupport läuft hier meine ich nur über einen Service Vertrag. Da bin ich mir allerdings nicht sich.
Habt ihr ne Dimension im Einsatz und somit einen Überblick was passiert?
Ansonsten installiert den Server und schau dir dann die Logs an.
Nebenbei, hol den Dienstleister mit ins Bot welche die WA verkauft hat.
Gruß
Spirit
Das scheint ein anderes Thema als der Tunnel zu sein.
Wenn der Ping durchläuft ist die Strecke ja nicht weg!
Wenn du einen Case aufmachen möchtest, dann über euren Dienstleister!
Wir haben immer sofort jemanden von WA am Hörer. Der Endkundensupport läuft hier meine ich nur über einen Service Vertrag. Da bin ich mir allerdings nicht sich.
Habt ihr ne Dimension im Einsatz und somit einen Überblick was passiert?
Ansonsten installiert den Server und schau dir dann die Logs an.
Nebenbei, hol den Dienstleister mit ins Bot welche die WA verkauft hat.
Gruß
Spirit
N'Abend,
Wenn ihr Support habt, solltet ihr den auch nutzen. Der Support ist OK, notfalls dann per Telefon in englisch.
Den System Manager mitlaufen laufen und gucken was der sagt, notfalls die Debugging Einstellungen für IKE mal hochstellen.
Für längeres Logging die Dimension einfach flott als VM-Image installieren (umsonst für WG Kunden) und in der Firewall einstellen.
Vielleicht ist euer VDSL auch einfach überlastet, sieht du auch beim System Manager ...
VG,
Deepsys
Zitat von @RottenSon667:
ich wollte den Case eigentlich an Watchguard selbst weiter geben, aber deren nicht vorhandener Support lässt die Erstellung von Cases ganz am Ende des Prozesses nicht zu.
???ich wollte den Case eigentlich an Watchguard selbst weiter geben, aber deren nicht vorhandener Support lässt die Erstellung von Cases ganz am Ende des Prozesses nicht zu.
Wenn ihr Support habt, solltet ihr den auch nutzen. Der Support ist OK, notfalls dann per Telefon in englisch.
Der VPN steht permanent, und ich kann unterbrechnungsfrei alles auf der Gegenseite anpingen. Wir haben Antwortzeiten von 60ms, sporadisch auch mal mehr.
Dann würde ich auch mal sagen, der Tunnel ist es nicht.Auf 4250 Pakete habe ich aktuell 5 verlorene.
Hmm, das ist doch nicht permanent, wie hoch ist die Auslastung der Strecke?Wir dachten auch an Probleme mit dem ReKey-ing und haben das mal hoch gesetzt, aber das war es nicht. Da das Latein von mir und dem anderen mit dem Problem betrauten Kollegen leicht am Ende ist wollte ich einmal hier anfragen.
Etwas wichtiges fehlt hier, was sagen die Logs?Den System Manager mitlaufen laufen und gucken was der sagt, notfalls die Debugging Einstellungen für IKE mal hochstellen.
Für längeres Logging die Dimension einfach flott als VM-Image installieren (umsonst für WG Kunden) und in der Firewall einstellen.
Vielleicht ist euer VDSL auch einfach überlastet, sieht du auch beim System Manager ...
VG,
Deepsys
Zitat von @RottenSon667:
Tja, dann ist das wohl so, oder?- Wir können keinen Case auf machen. Ich habe mich bei denen eingeloggt, den Case gestartet, ewig Zeit in die Beschreibung des Problems und die Angabe aller meiner Kontaktdaten investiert, und am Ende wurde mir gesagt der Case kann nicht erstellt werden weil wir keine live Security gekauft haben: "The database cannot associate an active support contract for this serial number. If you believe this is in error, please contact Customer Care at +1(206)613-0456 Option #1."
Ohne Live Security hast du aber auch keine anderen Abo-Dienste wie Antivirus, IDS, ...
Ach ja, ohne die Live Security kannst du auch kein Update installieren.
Ich traue mich kaum zu fragen, welche Fireware Version hast du?
Wenn die zu alt ist, kann das schon der Fehler sein ...
Zitat von @RottenSon667:
Zusammenfassend kann man sagen die Geräte wurden untauglich geliefert, Nachbesserung in Sachen Software muss auf Jahre zurück gezahlt werden (2014 ist die ältere ausgelaufen) und somit fliegen die Geräte dahin wo sie hin gehören: Auf den Müll.
Dann sende mir die Kisten zu, ich nehme die Zusammenfassend kann man sagen die Geräte wurden untauglich geliefert, Nachbesserung in Sachen Software muss auf Jahre zurück gezahlt werden (2014 ist die ältere ausgelaufen) und somit fliegen die Geräte dahin wo sie hin gehören: Auf den Müll.
Wir stellen das Ganze auf LANCOM um und haben dann Ruhe.
Na dann noch mehr Spaß, ich habe das mal bei einer Firewall probiert und die Syntax nicht verstanden. Das fand ich bei WG besser.Aber OK, eure Entscheidung.
Es gibt übrigens etliche Hersteller wo du neue Versionen nur nach Support bekommst.
Übrigens, finde ich das die Kisten was taugen, klar sind das viele Fehler. Aber WG gibt die wenigsten zu, andere packen unter "others errors" oder so.
Ich bin damit jedenfalls zufrieden und die allermeisten Fehler merkst du nicht, und wenn du einen Fehler hast, wird der wohl gefixt.
Schon öfter gehabt.
Wir hatten mal einen defekten Cisco-Router vor Jahren, da wollte uns Cisco auch nicht helfen, da der 3 Tage aus der Garantie war ...