Lancom VPN Probleme

Hallo,

seit kurzer Zeit bin ich im Besitz eines Lancom VPN Router (Lancom 1721+ VPN). Über diesen möchte ich selbstverständlich auch VPN nutzen. Das VPN Profil ist dank Lanconfig Software sehr schnell und einfach eingerichtet - nun zu meinem Problem.

Der Lancom sitzt hinter einer FritzBox 6490 (Private Vodafone Leitung). Die benötigten Ports (4500 UDP, 500 UDP) sind eingerichtet und zeigen auf den Lancom. Die Verbindung kann auch wunderbar mittels "Shrew Soft VPN Client" aufgebaut werden. Das Problem ist: Nach einiger Zeit (mehreren Stunden) kann diese Verbindung nicht mehr aufgebaut werden!

Die Software spuckt einen Timeout aus - Dieses Problem kann man aber ganz einfach beheben, in dem ich bei der FritzBox die Portfreigabe kurzzeitig auf ein anderes Gerät zeigen lasse, und anschließend wieder zurück zum Lancom Router. Nachdem ich das gemacht habe kann die Verbindung wieder ohne Probleme hergestellt werden... bis dieses Problem erneut auftritt, und ich wieder kurzzeitig die Portfreigabe ändern muss.

Frage ist jetzt natürlich - wieso passiert das???

Unter den Netzwerkgeräten ist der Lancom aufgeführt und die IP-Adresse stimmt ebenfalls (ändert sich auch nicht, da statisch vergeben außerhalb des DHCP Bereich).

Weiß irgendjemand einen Rat ?

Setz den LANCOM doch mal in die DMZ.

was genau würde das denn ändern - das Problem würde doch trotzdem auftreten, oder nicht ?

Das würde dahingehend etwas ändern, dass erst einmal alle Anfragen, egal auf welchem Port, an den Lancom gehen würden. DMZ/Exposed Host in Consumergeräten hat mit einer klassischen IT-bezogenen DMZ recht wenig bezogen aber den Herstellern fiel halt nix besseres ein.
So kann man einfach herausfinden, ob nicht noch ggf. weitere Ports freigegeben werden müssen. Sollte bei dir aber nicht der Fall sein.

Zur weiteren Hilfe wäre es hilfreich zu wissen, wie du das VPN eingerichtet hast, also mit welchen Optionen. Anhand der genannten Ports ist ja ersichtlich, dass es sich wohl um ein IPSec-VPN handelt aber die Feinheiten wie Transport- oder Tunnelmodus, AH oder ESP.

Bei Timeouts nach einiger Zeit vermute ich mal stark, dass dein Client keine Keep-Alive Pakete sendet. Dafür gibt's entweder die Dead Peer Detection oder UDP-Keepalive. Beim Einsatz von NAT, was bei dir der Fall ist, würde ich letzteres bevorzugen.