ipSec Tunnelaufbau plötzlich nicht mehr möglich!

[Tolotos]

Hallo! Bisher hat sich meine Kollegin aus dem Büro in Wien (UTA, zuvor Chello)zum Server in Salzburg (Inode) per ipSec-Client verbunden. Hat wunderbar geklappt und plötzlich, von einem Tag auf den anderen ging`s nicht mehr, der Tunnel konnte nicht mehr aufgebaut werden, übliche Fehlermeldung, dass man checken soll, ob der Empfänger online ist etc. Es geht aber interessanterweise nur von diesem Standort aus nicht mehr, von meinem Heimbüro (Aon)geht es nach wie vor ohne Probleme. Da der PC sowieso schon altersschwach war, hab ich vorige Woche einen neuen PC installiert, Software drauf, genau dasselbe, kein Tunnel möglich. Bei Inode sagen sie, es wurde nichts verändert an der Bintec-Firewall (am Server in Sbg.)usw., bei UTA wurde lt. Support-Auskunft ebenfalls nichts geändert, müßte gehen.
Haben den PC auch gescannt mit McAfee Antivirus, Spybot Search & destroy, usw. Hab auch probiert, den McAfee abzuschalten, nichts geändert.
Hat noch wer eine Idee, an was es liegen könnte?
Danke für Infos.
Beste Grüße Tolotos

[LouCypher]

liegt imho auf der uta seite, was anderes bleibt ja sonst nicht übrig, ausser du verwendest einen router. Check mal die performance des uta zugangs, vielleicht eine leitungsstörung die den tunnelaufbau verhindert. DSL modem wirst ja schon neu gestartet haben.

[Tolotos]

Es wird ein Siemens E 110 Router/modem verwendet. Neu gestartet wurde es, war gleich der erste Gedanke. Lt. UTA kein Problem an der Leitung und es hat ja auch geklappt die erste Zeit. Internetzugang ist kein Problem, geht einwandfrei und auch schnell genug.

[Qsecofr]

windows interne firewall?

[Tolotos]

Windows Firewall komplett abgeschaltet, schon als die Schwierigkeiten begonnen haben.

[LouCypher]

dann würde ich auf den siemens tippen, hast ein normales dsl modem zum testen?

[maxb]

Die Siemens Santis / E110 Router der UTA sperren unter Umständen auch ausgehende UDP Verbindungen die für IPsec Verbindungen notwenig sind, wenn die router interne Firewall aktiviert wird bzw auf high security gestellt wird.

Mein Santis 20 Router z.B. hat folgende Regeln, der E110 ist moderner aber ähnlich.

Code:

Security Level  	Low  	Medium  	High
Service 	Port 	In 	Out 	In 	Out 	In 	Out
HTTP(tcp) 	80 	Yes 	Yes 	No 	Yes 	No 	Yes
DNS(udp) 	53 	Yes 	Yes 	No 	Yes 	No 	Yes
FTP(tcp) 	21 	Yes 	Yes 	No 	Yes 	No 	Yes
Telnet(tcp) 	23 	Yes 	Yes 	No 	Yes 	No 	Yes
ICMP 	N/A 	Yes 	Yes 	Yes 	Yes 	No 	Yes
SMTP(tcp) 	25 	Yes 	Yes 	No 	Yes 	No 	Yes
POP3(tcp) 	110 	Yes 	Yes 	No 	Yes 	No 	Yes
Lotus Note(tcp/udp) 	1352 	YES 	Yes 	No 	Yes 	No 	YES
HTTP-SSL(tcp) 	443 	Yes 	Yes 	No 	Yes 	No 	Yes
News-NNTP(tcp) 	119 	Yes 	Yes 	No 	Yes 	No 	No
Internet Locator Server(tcp) 	389 	Yes 	Yes 	Yes 	Yes 	No 	No
User Location Server(tcp) 	522 	Yes 	Yes 	Yes 	Yes 	No 	No
T.120(tcp) 	1503 	Yes 	Yes 	Yes 	Yes 	No 	No
H.323 call setup(tcp) 	1720 	Yes 	Yes 	Yes 	Yes 	No 	No
Audio call control(tcp) 	1731 	Yes 	Yes 	Yes 	Yes 	No 	No
MSN Messager File Transfer(tcp) 	6891-6900 	Yes 	Yes 	Yes 	Yes 	No 	No
Remote Messenger Remote Assistance(tcp) 	3389 	Yes 	Yes 	Yes 	Yes 	No 	No
MSN Messenger Messaging(tcp) 	1863 	Yes 	Yes 	Yes 	Yes 	No 	No
MSN Messenger Voice Comm(tcp/udp) 	6901 	Yes 	Yes 	Yes 	Yes 	No 	No
Yahoo! Messenger Webcam(tcp) 	5100 	Yes 	Yes 	Yes 	Yes 	No 	No
mIRC Client(tcp) 	6667 	No 	Yes 	No 	Yes 	No 	No
CuSeeMe(tcp) 	7648 	No 	Yes 	No 	Yes 	No 	No
RealAudio/Video(tcp/udp) 	554 	Yes 	Yes 	No 	No 	No 	No
RealAudio/Video(tcp) 	7070-7071 	Yes 	Yes 	No 	No 	No 	No
RealAudio/Video(udp) 	6770-7170 	Yes 	Yes 	No 	No 	No 	No
MS Media Player(tcp/udp) 	1755 	Yes 	Yes 	No 	No 	No 	No
UDP 	10000-65535 	No 	Yes 	No 	Yes 	No 	No
PPTP(tcp/udp) 	1723 	Yes 	Yes 	Yes 	Yes 	No 	No
GRE(47) 	N/A 	Yes 	Yes 	Yes 	Yes 	No 	No
ESP(50) 	N/A 	Yes 	Yes 	Yes 	Yes 	No 	No
AH(51) 	N/A 	Yes 	Yes 	Yes 	Yes 	No 	No
IKE(udp) 	500 	Yes 	Yes 	Yes 	Yes 	No 	No
ICQ(tcp) 	5190 	Yes 	Yes 	Yes 	Yes 	No 	No

Würde im Router prinzipiell per Regel alle ausgehenden TCP/UDP Verbindungen zulassen um solche Probleme zu vermeiden. Verwende selbst seit Jahren IPsec über UTA und Siemens Router
Santis 20/E110 problemlos.

[Tolotos]

Das mit den Regeln liest sich gut, werde ich probieren. Mein Problem derzeit ist nur, dass meine Kollegin da absolut nix machen kann, das heißt, ich sollte per Remote Desktop ihren PC fernsteuern oder geht das auch anders, ich kenne ja die fixe IP sowie die IP, mit der ich den Siemens ansprechen kann, kann ich damit was anfangen?
Ich sitze ja in Salzburg und sie in Wien, ist immer ziemlich aufwendig, wenn da was zu ändern ist.

[maxb]

Wenn die Firewall am Router aktiviert ist, kommt man auch mit RDP nicht durch, wenn nicht aktiviert, sollte auch IPSec gehen. Allerdings sollte es nicht am Router liegen, wenn nichts an der Konfiguration geändert wurde! Router schon mal neu gestartet?

[LouCypher]

muss man beim siemens einstellungen nicht speichern damit sie einen reboot überstehen?

Bei vielen routern kann man einstellungen aktivieren, die dann auch sofort aktiv sind aber einen reboot erst überstehen wenn sie gespeichert sind.

Somit könnte es doch sein das die einstellungen die fürs vpn notwendig sind nicht gespeichert wurden und das teil hat so lange funktioniert bis es mal neu gestartet wurde und das wars dann.