Eye-Q Geschrieben 16. Dezember 2014 Teilen Geschrieben 16. Dezember 2014 Mahlzeit, ich habe gerade eine harte Nuss zu knacken, wo ich absolut nicht weiterkomme... Gegeben ist folgendes: Zentrale: Cisco Small Business RV042G, Firmware 4.2.3.03, wählt sich selbst über ein DSL-Modem in das Internet ein, leider keine statische IP-Adresse, sondern es ist DynDNS eingerichtet. Dort gibt es einen Server, der über das VPN erreicht werden muss.Außenstelle: Cisco Small Business RV042, Firmware 4.2.3.03, ist als Client hinter einer Fritzbox, die auch nicht ausgetauscht werden kann, da die VoIP-Telefoniefunktion genutzt wird; Ports 443 (für Remoteverwaltung des RV042), 500 und 4500 (für IPsec) sind in der Fritzbox auf die statische IP-Adresse des WAN1-Ports des RV042 weitergeleitet. Auch hier keine statische IP-Adresse, sondern DynDNS. Dort gibt es nur Kassensysteme mit Windows Embedded, also keine PCs, wo jemand dran arbeitet. Nun ist dort eine IPsec Site-to-Site-VPN-Verbindung eingerichtet, in der Zentrale gibt es noch weitere Site-to-Site-Verbindungen, die alle stabil laufen. Folgende Einstellungen sind für die IPsec-Verbindung definiert: Keying Mode: IKE with Preshared Key Phase 1 DH Group: Group 5 (1536 bit) Phase 1 Encryption: AES-256 Phase 1 Authentication: SHA1 Phase 1 SA Life Time: 28800 seconds Perfect Forward Secrecy: aktiv Phase 2 DH Group: Group 5 (1536 bit) Phase 2 Encryption: AES-256 Phase 2 Authentication: SHA1 Phase 2 SA Life Time: 3600 seconds Dementsprechender Preshared Key Unter Advanced ist folgendes eingestellt: - Aggressive Mode bei beiden Routern aktiv - Keep-Alive bei beiden Routern aktiv - NAT Traversal nur beim Router hinter der Fritzbox aktiv Die Security Groups (Local und Remote) sind so eingestellt, dass die jeweilige Local Security Group des einen Routers die Remote Security Group des anderen Routers ist. Die VPN-Verbindung ist auch ständig aufgebaut; wenn man die manuell trennt, wird die sofort wieder neu aufgebaut. Nun das Problem: solange ich vom Server einen Dauerping auf eine im Remotenetz erreichbare IP-Adresse schicke, können auch vom einen in das andere Netzwerk Daten übertragen werden. Sobald aber dieser Dauerping gestoppt wird, funktioniert nach 10 Minuten keine Datenübertragung mehr vom einen in das andere Netzwerk (mit einem Notebook im Außenstandort getestet). Währenddessen zeigt der VPN-Status jedoch immer an, dass die VPN-Verbindung besteht und im Systemlog gibt es auch keine Einträge, dass die VPN-Verbindung getrennt worden wäre. Das einzige, was dann hilft, ist sich auf den RV042 im Außenstandort anzumelden und in der Diagnose einmal einen Ping auf eine in der Zentrale erreichbare IP-Adresse zu schicken. Es hilft nicht, von einem Client im Außenstandort einen Ping in Richtung Zentrale zu schicken oder umgekehrt. Hatte jemand schon so etwas und hat das gelöst bekommen? Ich kann jeden Tipp brauchen... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.