Über VPN verbundene elmeg IP630 Telefone verlieren immer wieder die Registrierung

[edv-oellinger]

Hallo,

Wir haben folgende Konstellation:

Standort A:

• hybird 300 Telefonanlage mit IP 192.168.2.250
• bintec RS123w-4G Firewall mit IP 192.168.2.254
• IPSEC IKEv2 VPN zu Standort B

Standort B:

• elmeg IP630 Telefone
  • 192.168.8.197
  • 192.168.8.180
• Zyxel USG Flex 700H Firewall mit IP 192.168.8.254
• IPSEC IKEv2 VPN zu Standort A

Nun zum Problem:
Seitdem wir am Standort B unsere alte bintec RXL12100 Firewall durch die Zyxel USG Flex 700H ausgetauscht haben, verlieren unsere Telefone des öfteren die Registrierung.
Wenn manuell eine Registrierung über die Web GUI des Telefons gestartet wird, dann bekommen wir immer die Meldung "Provisionierung fehlgeschlagen".
Sobald ich auf der Zyxel Firewall die Session des Telefons 192.168.8.197 entferne, baut das Telefon automatisch eine neue Verbindung mit der Telefonanlage auf und man kann wieder telefonieren.
Auf der Seite der Telefonanlage ist das Telefon dann wieder registriert, jedoch wird dort immer noch angezeigt "Telefon derzeit nicht verfügbar".
Eine manuelle Provisionierung nach dem Entfernen der Session schlägt immer noch fehl.
Den Trace der Geräte habe ich im Anhang hinzugefügt.

Infos zu den Traces:

• tcpdump(1)
  • Der Trace des Telefons 192.168.8.197 während der Provisionierung mit der Telefonanlage 192.168.2.250
  • Dieses Telefon funktioniert zum großteil, nach löschen der Session ist es wieder verbunden.
• trcbuf(1)
  • Der Trace der Telefonanlage 192.168.2.250 während der Provisionierung des Telefons 192.168.8.197
• tcpdump(2)
  • Der Trace des Telefons 192.168.8.180 während der Provisionierung mit der Telefonanlage 192.168.2.250
  • Dieses Telefon registriert sich gar nicht mehr mit der Telefonanlage (es wurde auch bereits zurückgesetzt).
• trcbuf(2)
  • Der Trace der Telefonanlage 192.168.2.250 während der Provisionierung des Telefons 192.168.8.180

Ich bitte um Unterstützung, wir finden den Fehler leider nicht.

Mit freundlichen Grüßen,
Simon Leonhartsberger

 

[tango501]

Hallo, ich frage jetzt mal NICHT nach der installierten Firmware, vermute aber mal ganz stark, dass sowohl auf der RS123w-4G als auch auf der RXL12100 das letzte verfügbare Release 10.2.12 Patch 4 installiert ist.

Leider gibt es dort bei aktiven IKEv2-Peers Probleme. Der Support schrieb mir damals 2023 nach der Veröffentlichung von Release 10.2.12 Patch 4 Folgendes:

"Wir hatten im Zuge dieses Bugfixes zusätzlich auch in IKEv2 ein paar Bugs behoben, jedoch offensichtlich nicht das von ihnen (und anderen Kunden) geschilderte IKEv2-Problem bei aktiven IKEv2-Peers. Unsere Entwicklung ist derzeit dran dieses IKEv2-Problem bei aktiven IKEv2-Peers zu lösen. Wann ein Fix dafür verfügbar sein wird, ist derzeit nicht absehbar. Bis dahin empfehlen wir ihnen in jedem Fall 10.2.12 Patch 4 einzusetzen und nur IKEv1-Peers einzurichten und zu verwenden, um das Stabilitätsproblem zu umgehen." Quelle: Support bintec elmeg GmbH

Da bleibt als Lösung leider nur IKEv1-Peers einzurichten oder auch die RS123w-4G auszumustern. Sorry und schöne Grüße nach Wien und Enns, aber an dem Problem wird sich leider nichts mehr ändern.

 

[Kalle2006]

Seitdem wir am Standort B unsere alte bintec RXL12100 Firewall durch die Zyxel USG Flex 700H ausgetauscht haben

IPSec - Verbindungen zwischen Systemen unterschiedlicher Hersteller ist immer eine Herausforderung und eine Fehlerquelle. Ich behaupte mal, das der VPN - Tunnel abbricht.

 

[tango501]

Hallo edv-oellinger, ich hätte da noch zwei Nachfragen:
Lief es vorher mit der bintec RS123w-4G Firewall und der alten bintec RXL12100 Firewall ohne Probleme?
Mit IPSEC IKEv2 VPN oder nur mit IPSEC IKEv1 VPN?
Und wie wurde das Thema VPN Clients gelöst? Wird immer noch mit denen von bintec elmeg gearbeitet und wenn ja mit welcher Version? Oder auf Teldat oder gleich direkt auf NCP gewechselt und wenn ja auf welchem Weg erfolgte dann der Wechsel?

 

[edv-oellinger]

[Edit Novize: Überflüssiges Fullquote des Beitrags #3 gelöscht - siehe Forumsregeln]

Hallo,

Der VPN Tunnel wurde nie unterbrochen, da sich Geräte zwischen den Standorten weiterhin erreicht hatten.

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
Hallo,

Zwischen RS123w-4G und RXL12100 Firewall lief die IKEv2 VPN ohne Probleme.
IKEv1 hatten wir dort nicht im Einsatz.

Wir haben die VPN Verbindung zwischen Zyxel und RS123w-4G auf IKEv1 umgestellt und nun läuft es ohne Probleme.

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote des Beitrags #2 gelöscht - siehe Forumsregeln]

Hallo,

Ja, danke für die Antwort, seitdem wir auf IKEv1 umgestellt haben, funktioniert wieder alles.

 

[tango501]

Danke für die Rückinfo. Und wie wurde das Thema VPN Clients gelöst? Wird immer noch mit denen von bintec elmeg gearbeitet und wenn ja mit welcher Version? Oder auf Teldat oder gleich direkt auf NCP gewechselt und wenn ja auf welchem Weg erfolgte dann der Wechsel?

 

[edv-oellinger]

Und wie wurde das Thema VPN Clients gelöst? Wird immer noch mit denen von bintec elmeg gearbeitet und wenn ja mit welcher Version? Oder auf Teldat oder gleich direkt auf NCP gewechselt und wenn ja auf welchem Weg erfolgte dann der Wechsel?

Sorry für die späte Antwort, aber es war mit selber noch nicht ganz klar.
- zuerst hatte ich noch ein paar Lizenzen auf Lager
- jetzt werde ich NCP verwenden, was ja das idente Produkt ist
Lieferbar beim Distibutor ALSO oder über Partner

Vertriebspartner finden

www.ncp-e.com

LG

 

[tango501]

jetzt werde ich NCP verwenden, was ja das idente Produkt ist

Falls es da eine "vergünstigte" Umstiegsmöglichkeit gibt wäre ein Hinweis dazu hier sehr hilfreich.
Derzeit bleibt leider nur der "Normalbezug" von NCP. Updates, Upgrades oder Crossgrades von alten elmeg Lizenzen, welche dann vergünstigt wären, werden leider derzeit nicht angeboten.