Haken dauerhaft halten ist in der FB gesetzt.

Hier noch eine Korrektur der Ereignisse:

Der VPN-Tunnel steht noch, ich kann von der FB auch weiterhin den be.ip plus erreichen aber nicht umgekehrt.

auf dem Bild sind die Meldungen vom Monitoring des be.ip plus zu sehen...

@wari1957 

allerdings werde ich aus den Einträgen unten in den Nachrichten, die nach dem Abbruch erscheinen, nicht schlau...

@aquapool 

Und was zeigt die FB in ihren Ereignissen an?

Lifetime expired?

Die Meldungen im IPSec Monitoring der be.ip kann man vergessen.

Die im normalen Monitoring (Subsystem IPSec) sind aussagekräftiger.

@wari1957 

In der Fritzbox gibt es hierzu kein Ereignis.

Und im Bild in der Anlage nun noch das Monitoring des Subsystems IPSec bzw. den Eintrag den ich dort gefunden habe.

@wari1957 

hier nun noch ein paar aktuellere Einträge im Bild....

@aquapool 

Die Meldungen sehen für mich normal aus.

Jetzt warten wir mal eine Stunde.

@wari1957 

...dann wird der Fehler dort nicht protokolliert da die FB nicht erreichbar ist (siehe Bild).

@wari1957 

... um die FB wieder erreichbar zu machen, muss ich die VPN-Verbindung in der be.ip plus deaktivieren und nach ein paar sek. wieder aktivieren, dann ist der Ping Status wieder grün und die FB ist erreichbar.

@aquapool 

Einfach mal ins Blaue geschossen.

Ändere in der be.ip in den entsprechenden Phase1 und Phase2 Profilen der IPSec-Verbindung die Einträge Erreichbarkeitsprüfung von Automatisch auf Heartbeats (Nur Senden).

Dann die Verbindung neu starten und beobachten.

@wari1957 

ich sehe gerade, dass es im letzten Release folgende Fehlerkorrektur gibt:

IPSec – Verbindungsabbruch (#4286): Aufgrund einer von bintec-elmegGeräten nicht beantworteten Informational Request konnte es zum Abbruch von IPSec-Verbindungen kommen.

Ich werde dieses letzte Release mal installieren und schauen, ob sich dadurch etwas verbessert...

@wari1957 

ok, teste ich und werde berichten!

@wari1957 

Heartbeats (Nur Senden) hat leider nicht geholfen.

@aquapool 

Was ich nicht verstehe, daß der Tunnel aktiv ist/sein soll, aber keine Datenübertragung von der be.ip möglich ist.

In der be.ip kann man ja auch einen Traceroute-Test durchführen.

Wenn die Stunde vorbei ist, gibts dann da noch eine korrekte Ausgabe?

@wari1957 

das update war leider auch erfolglos und Traceroute Ergebnis sieht auch nicht gut aus: (siehe Bild)

@wari1957 

Als Krücke habe ich nun die Leasetime der IKE Phase1 in der FB, welche dort beim Proposal Phase1 auf 1h gesetzt war, auf 8h hochgesetzt. Damit ist das stündliche Problem nun ein 8 stündliches geworden....

@aquapool 

Dann müßte man das ja nach einer Stunde in den Systemmeldungen (Monitoring) sehen.

Nachtrag:

Was hat es denn für Auswirkungen wenn man always_renew = yes setzt?

@wari1957 

nachdem nun 8 Stunden abgelaufen waren, hat das rekeying merkwürdigerweise, mit der oben im Bild hochgeladenen vpn.cfg funktioniert.

Ich hatte es vorher mit den Standardeinstellungen der FB mit Leasetime von 1h in Phase1 und im be.ip. plus unter Phase1 3600sek. probiert, dass hatte nicht funktioniert! Nun mit 8h (phase1ss = "LT8h/all/all/all";), und 28800sek. unter Phase1 im be.ip.plus funktioniert es... Sehr merkwürdig.

always_renew = yes oder eben no scheint dabei keine Rolle zu spielen.