VPN tunnel nach 90min tot

[maxb]

Hi,

ich baue von einem D-Link DSL-G804V vpn router eine pptp basierende vpn verbindung zu einem isa server auf.

Der tunnel bleibt zwar solange bestehen bis der ADSL router eine neue IP bekommt (und den tunnel automatisch neu aufbaut), aber das PROBLEM ist, dass nach genau 90min durch den VPN tunnel nichts mehr durchgeht!?!

Also die pptp/RAS verbindung steht, aber es geht nichts mehr durch. Erst nach dem Neuaufbau.

Meine Fragen:
- welcher 90min timer könnte da ansprechen
(tcp/ip protokoll, sicherheitsrichtlinien, routingtabelle ...)
- könnte es am netzwerk dazwischen liegen
(eher nicht, da ja noch pptp pakete laufen)
- eher d-link oder isa server problem?


Keine Ahnung wo ich mit der Fehlersuche beginnen soll


Grüße
maxb

PS: ich schicke mit einem connection verifyer regelmäßig pings durch, aber auch das hilft nichts. nach 90min kommt der alarm.

[LouCypher]

kanns sein das der isa durch den dauerping nach einiger zeit blockt?

Ich würde mal eine pptp verbindung woanders hin aufbauen und schauen was nach 90min passiert, dann weisst obs am dlink oder am isa liegt.

[maxb]

Danke, hab' jetzt was probiert.

Hinterm d-link router steht ein winxp rechner. wenn ich mit dem eine vpn verbindung zum isa server aufbaue, dann bleibt die stehen (zumindest mal 3h).

aber was sagt mir das jetzt? dass MS vpn server mit einem MS vpn client besser zusammenspielt? ist auch nicht genau das gleiche, denn der xp rechner schickt bei einer stehen vpn verbindung in regelmäßigen abständen pings und netbios anfragen zum isa server, das macht der d-link nicht (da ich noch keine route definiert habe).

na zumindest liegts nicht an den ISPs dazwischen.


hab' jetzt am d-link router die firewall neu konfiguriert, sodass am vpn subnetz alles durchdarf und dieses GRE protokoll von aussen komplett offen ist. vielleicht wird's dadruch besser.

mal sehen


PS: die pings stammen vom isa server, damit wird die erreichbarkeit eines externen servers getestet und notfalls ein alarm ausgelöst bzw. logeintrag geschrieben. damit muss ich nicht mit der stoppuhr dasitzen und warten bis der komische timeout auftritt

[maxb]

Hat leider nichts geholfen, nach 90min tot.


bzw. scheintot, den komischerweise ist es noch möglich vom netz hinter dem d-link router einen ping zum isa server zu schicken, der kommt laut firewall auch dort an, nur das reply zurück verschwindet irgendwo.

ich vermute mal im d-link, schade, keine ahnung was ich noch probieren soll...

[The_Lord_of_Midnight]

naja, anderen router, wenn du vermutest "im dlink".

[maxb]

Zitat:

Original geschrieben von The_Lord_of_Midnight
naja, anderen router, wenn du vermutest "im dlink".

ok, und die 140€ die er gekostet hat ziehe ich mir von der nächsten strom-rechnung als stranded costs ab

[The_Lord_of_Midnight]

verscherbeln und was gscheites kaufen

na, habe ja nur von testen geredet.
vielleicht kannst ja einen router von jemand anders testen ?

[maxb]

Zitat:

Original geschrieben von maxb
Hi,

ich baue von einem D-Link DSL-G804V vpn router eine pptp basierende vpn verbindung zu einem isa server auf.

Der tunnel bleibt zwar solange bestehen bis der ADSL router eine neue IP bekommt (und den tunnel automatisch neu aufbaut), aber das PROBLEM ist, dass nach genau 90min durch den VPN tunnel nichts mehr durchgeht!?!

Also die pptp/RAS verbindung steht, aber es geht nichts mehr durch. Erst nach dem Neuaufbau.

Meine Fragen:
- welcher 90min timer könnte da ansprechen
(tcp/ip protokoll, sicherheitsrichtlinien, routingtabelle ...)
- könnte es am netzwerk dazwischen liegen
(eher nicht, da ja noch pptp pakete laufen)
- eher d-link oder isa server problem?


Keine Ahnung wo ich mit der Fehlersuche beginnen soll


Grüße
maxb

PS: ich schicke mit einem connection verifyer regelmäßig pings durch, aber auch das hilft nichts. nach 90min kommt der alarm.

Kurze Story zum Abschluss, denn es funktioniert jetzt, aber ich habe keine Ahnung warum.


Gestern habe ich per Zufall entdeckt, dass ich zusätzlich zu dem oben beschrieben Problem noch ein massive MTU size Problem über den Tunnel dazubekommen habe. Konnte vom VPN-client nichts mehr vernünftig Richtung server schicken. "Schuld" daran eindeutig der d-link router, da es mit dem alten siemens modem noch funktionierte. Habe dann die max. MTU ermittelt und auf der winxp rechner NIC auf 1350 gesetzt. MTU size Problem war behoben. Am Server habe ich zusätzlich (wiedereinmal) EnablePMTUDiscovery aktiviert. Wahrscheinlich könnte man das Problm auch lösen wenn man auf beiden win rechnern EnablePMTUBHDetect aktviert.

Gut, das hat aber noch immer nichts mit dem obigen Problem zu tun, deswegen habe ich auch den Router "neu aufgesetzt". Auf Werkseinstellungen zurückgestellt und alte backup settings reingeladen, firewall regeln vereinfacht.

Überaschet habe ich dann festgestellt, dass der VPN Tunnel jetzt (seit über 18h stabil) funktioniert.


...und ich habe' keine Ahung warum

Zitat:

6. Was kann ich tun, wenn ich einen eigenen Router habe und Probleme mit verschlüsselten Verbindungen oder beim E-Mailversand habe ?

Falls Sie einen eigenen Router bzw. Accesspoint hinter der Tele2 Easy Box betreiben, kann es unter Umständen zu Erreichbarkeitsproblemen von verschlüsselten Internetseiten (Online-Banking, EBAY,...), E-Mailversand und VPN-Verbindungen kommen! Um dies zu beheben, stellen Sie bitte die MTU-Größe (Maximum Transmission Unit oder maximale Paketgröße) auf Ihrem Router auf den Wert 1420. Wie die Einstellung auf Ihrem Router vorgenommen wird, entnehmen Sie bitte dem Handbuch Ihres Routers oder kontaktieren Sie den Support des Hardwareherstellers.

Das habe ich auch gemacht, kann aber nicht sagen, ob das nicht schon so eingestellt war.