Hallo,
auf einer UTM 200 läuft eine S2S IPsec Verbindung.
Der Tunnel baut sich einwandfrei auf, leider hängt sich der IPSec Dienst ständig auf,was auch dazu führt das die Verbindung nicht mehr zur Verfügung steht.
Dies erfolgt teilweise mehrfach pro Tag.
Nach aktivieren der Perfect Forward Secrecy läuft die Verbindung zwar stabiler (obwohl ich mir nicht erklären kann, wie das damit zusammen hängt), dennoch hängt das System des Öfteren.
Die Dead Peer Detection scheint gar nicht zu greifen.
Ein Neustart des IPSEC DIenstes bringt die Leitung umgehend wieder Online.
Ein Umstellen des Startverhaltens von Outgoing auf Route hat leider auch keine Änderung des Verhaltens gebracht.
Woran kann dieses Problem liegen?
VIelen Dank für Lösungsansätze.
Christian
SP UTM V11 IPSEC Verbindung läuft nicht stabil
Moderator: Securepoint
-
- Beiträge: 15
- Registriert: Di 08.01.2008, 22:42
Hallo,
was ist denn auf der anderen Seite? Wenn es z.B. eine Fritzbox ist muss die Lifetime jeweils auf eine Stunde abgeändert werden. Sehen Sie denn auf der WAN Schnittstelle ESP Pakete rausgehen?
tcpdump -i (WAN Schnittstelle) proto 50 -nnp
und dann ein Ping auf die Gegenseite absetzten. Wenn Sie hier ESP Pakete sehen schickt die SP das schon mal in den Tunnel. Nun müsste man nachsehen was auf der anderen Seite ankommt bzw. Meldungen gibt. Sollten keine ESP Pakete zusehen sein schauen Sie mal mit proto 1 auf der WAN nach.
Gruß Björn
was ist denn auf der anderen Seite? Wenn es z.B. eine Fritzbox ist muss die Lifetime jeweils auf eine Stunde abgeändert werden. Sehen Sie denn auf der WAN Schnittstelle ESP Pakete rausgehen?
tcpdump -i (WAN Schnittstelle) proto 50 -nnp
und dann ein Ping auf die Gegenseite absetzten. Wenn Sie hier ESP Pakete sehen schickt die SP das schon mal in den Tunnel. Nun müsste man nachsehen was auf der anderen Seite ankommt bzw. Meldungen gibt. Sollten keine ESP Pakete zusehen sein schauen Sie mal mit proto 1 auf der WAN nach.
Gruß Björn
-
- Beiträge: 15
- Registriert: Di 08.01.2008, 22:42
Hallo Björn,
vielen Dank für die Antwort.
Auf der anderen Seite befindet sich ein Fremd System, auf das ich leider keinen Zugriff habe. Leider ist mir unbekannt, welcher Hersteller oder welcher Gerätetyp auf der anderen Seite zur Verfügung gestellt wird, allerdings kann ich mitteilen, dass es definitiv keine Fritzbox ist.
Leider sind ICMP Pakete in der Gegenseite geblockt, sodass auch dieses nicht möglich ist.
Die Thematik der ESP Pakete prüfe ich nach, sobald die Verbindung das nächste Mal weg ist.
Ich melde mich im Anschluss selbstverständlich. Danke.
Viele Grüße
Christian
vielen Dank für die Antwort.
Auf der anderen Seite befindet sich ein Fremd System, auf das ich leider keinen Zugriff habe. Leider ist mir unbekannt, welcher Hersteller oder welcher Gerätetyp auf der anderen Seite zur Verfügung gestellt wird, allerdings kann ich mitteilen, dass es definitiv keine Fritzbox ist.
Leider sind ICMP Pakete in der Gegenseite geblockt, sodass auch dieses nicht möglich ist.
Die Thematik der ESP Pakete prüfe ich nach, sobald die Verbindung das nächste Mal weg ist.
Ich melde mich im Anschluss selbstverständlich. Danke.
Viele Grüße
Christian
Hallo Christian,
ich würde empfehlen hier einmal die Einstellungen mit der Lifetime unter Phase 1 und Phase 2 abzugleichen. Das mit ICMP muss ja nicht einmal beantwortet werden es reicht wenn diese Pakete in den Tunnel gehen. Ob Sie verworfen werden oder nicht ist in diesem Falle nicht relevant.
Gruß Björn
ich würde empfehlen hier einmal die Einstellungen mit der Lifetime unter Phase 1 und Phase 2 abzugleichen. Das mit ICMP muss ja nicht einmal beantwortet werden es reicht wenn diese Pakete in den Tunnel gehen. Ob Sie verworfen werden oder nicht ist in diesem Falle nicht relevant.
Gruß Björn