Vpn problem -> Vigor 2900

[randy 10]

hi

 

erst mal zu meinem problem :D

 

ich bin mit meiner vpn verbindung komplett am verzweifeln.

netz 1: 192.168.1.0

netz 2: 192.168.10.0

 

jeweils in der haupt und nebenstelle eine telekom 2 mbit

sdsl leitung mit festen ips.

als router jeweils ein vigor2900i mit neuster firmware.

 

das problem. baue ich eine vpn verbindung über l2tp auf,

bleibt diese stabil, die ping zeiten und das arbeiten über die

leitung ist nicht möglich. pingzeiten - jeder 2. ping >400 ms.

 

stelle ich die verbindung über ipsec her, ist sie zwar super schnell

(dauerhaft ca. 45 ms) aber nach ~2 minuten gehen immer mehr packete verloren, bis schließlich keine mehr hin und her geschickt werden...

quasi leitung tot. am router sehe ich allerdings, dass die verbindung noch aktiv ist.

auch online bleibt er ganz normal.

 

natürlich habe ich durch das ganze enorme probleme mit den usern der außenstelle, welche natürlich nicht gescheit auf dem terminal server arbeiten können.

 

hat jemand erfahrungen damit ?! tips? hinweise ?! lösungsansätze ?!

weitere infos die gebraucht werden liefere ich super schnell nach...

 

 

demjenigen, der mit den entscheidenden tip gibt dem garantiere ich auf diesem wege einen kasten leckerers bier :) hand drauf. der jenige erhält dann von mir eine pm, und ich werde ihn auch hier bekannt geben, also keine gefahr des drückens.

[FLOST 10]

hmm. wieweit kommen die pakte denn? schick mal nen ping mit tracert, dann weist du wo die pakete hängenbleiben.

 

die antwort nicht wegen der belohnung motiviert :)

 

fg

 

fLOST

[randy 10]

die pakete gehen schon durch, nur die verzögerung ist total wahnsinn.

 

wenn ich wie angesprochen ipsec verwende werden erst nach ein paar minuten ein paar packete verloren vom netz a ins netz b. kurze zeit später bricht die verbindung komplett zusammen :(

[CoolAce 17]

Wie sieht das mit dem Packerverlust aus wenn man den selben Test von der anderen Seite fährt.

 

irgenwelche Firewall settings drin ???

 

Gruß´

 

CoolAce

[randy 10]

alle firewall settings sind im test komplett aus.

 

von der anderen seite aus tritt das problem nicht auf...

[CoolAce 17]

wenn dies auf der anderen Seite nicht auftritt muss irgenwas an der Routerkonfig anders

sein.

[CoolAce 17]

Unter umständen hilft des vielleicht bei dem Router wo des Problem auftritt die Konfig zu sichern und den Router auf Werkseinstellung zu reseten die Konfig zurückzuspielen.

 

Auf beiden Routern selber Firmwarestand ??

 

Gruß

 

CoolAce

[randy 10]

ja auf beide router habe ich die neuste engl. firmware aufgespielt.

 

auf werks einstellungen zurückgesetzt und nur die verbindung wieder eingerichtet

habe ich auch schon versucht...

 

die router config ist absolut identisch bis auf die einwahldaten und dass ein router immer rein, und einer immer raus wählt...

[CoolAce 17]

Also ist an beiden Routern eingestellt das Sie eingehende Verbindung sowohl akzeptieren als auch die Ausgehende Verbindung richtig aufbauen.

 

Was heist Einwahldaten anders ???

 

Gruß

 

CoolAce :cool:

[randy 10]

also bei einem router ist halt hinterlegt, dass er die vpn verbindung ausgehend aktiviert, bei dem anderen, dass die verbindung eingehend akzeptiert wird.

 

mit einwahldaten meine ich die sdsl einwahldaten der telekom

[Data1701 10]

Hi,

 

Wieviel zahlst Du denn :D .

 

Also:

 

1. Firewall spielt bei VPN keine Rolle. Bei der Kopplung der Netze wird das gesamte Regelwerk ignoriert. Macht ja auch Sinn.

 

2. IPSec mit 3DES- AES ? ESP -3DES - MH -3DES ? KEIN LT2P

 

3. Prinzipiell würde ich empfehlen ESP - AES - oder ESP - 3DES. Beide Router dürfen den Tunnel jeweils zum Partner öffnen (Direction = Both) - Dann aber das preshared secret in Dial-in und out setzen.

 

4. Installiere einmal das SYSLOG Tool auf jeweils einem Rechner und logge die Router mit, evtl. findest Du dort einen hinweis.

 

Mein Draytek 2600 etabliert verschiedene VPN-Verbindungen ohne Probleme. Versuch mal die o.g. Ansätze. Bei Fragen immer wieder gerne.

 

Gruß Data

[randy 10]

den kasten bier zahle ich ;)

 

hey, die optionen so muß ich unbedingt versuchen.

normal wollte ich ipsec mit 3des verwenden, aber da klappt

die verbindung zusammen.

(es gehen keine daten durch die verbindung...)

 

ich muß sagen die schnellste (soweit mann das so nennen kann :( )

leitung hatte ich bisher mit l2tp.

 

die firewall hatte ich jetzt zum testen auch konfiguriert, da ich vermutet hatte,

dass die verbindung bzw. der/die router durch irgendwelche "schrottpakete"

quasi einfach ausgebremst werden...

 

die syslog tools bringen mir irgendwie nicht viel. ich habe bei mir auf einem kiwi syslog daemon das ganze mitlaufen lassen. da erhalte ich aber nicht sehr viele infos, dir mir was bringen würden. keine fehler nix...

 

die verbindungsrichtung auf beide ?! wovon hängt dann ab, wer sich quasi bei wem einwählt ?!

 

schon mal DANKE !

[Data1701 10]

Hi,

 

Wer sich bei wem einwählt hängt von den Clients/Hosts in den jeweiligen Netzen ab. Prinzipiell sollte man bei Deiner Konfig immer beide Richtungen öffnen. Windowssysteme sind ansich sehr geschwätzig, also lass Sie sich unterhalten.

 

AES ist die bessere Verschlüsselung und nicht so rechenintensiv wie 3DES.

L2TP ist der Tunner für Arme ;) .

 

Wenn Du willst, kannst Du einmal Screenshots von den Configseiten beifügen.

 

Gruß Data

[randy 10]

klar, von was alles soll ich einen screenshot online stellen ?!

alles was gebraucht wird stell ich online ;)

[Data1701 10]

IPSEC-Einstellungen

 

LAN-LAN Dialer Profil