SP UTM V11 IPSEC Verbindung läuft nicht stabil

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
cnachtigall
Beiträge: 15
Registriert: Di 08.01.2008, 22:42

SP UTM V11 IPSEC Verbindung läuft nicht stabil

Beitrag von cnachtigall »

Hallo,
auf einer UTM 200 läuft eine S2S IPsec Verbindung.
Der Tunnel baut sich einwandfrei auf, leider hängt sich der IPSec Dienst ständig auf,was auch dazu führt das die Verbindung nicht mehr zur Verfügung steht.
Dies erfolgt teilweise mehrfach pro Tag.
Nach aktivieren der Perfect Forward Secrecy läuft die Verbindung zwar stabiler (obwohl ich mir nicht erklären kann, wie das damit zusammen hängt), dennoch hängt das System des Öfteren.
Die Dead Peer Detection scheint gar nicht zu greifen.
Ein Neustart des IPSEC DIenstes bringt die Leitung umgehend wieder Online.
Ein Umstellen des Startverhaltens von Outgoing auf Route hat leider auch keine Änderung des Verhaltens gebracht.

Woran kann dieses Problem liegen?

VIelen Dank für Lösungsansätze.

Christian

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

was ist denn auf der anderen Seite? Wenn es z.B. eine Fritzbox ist muss die Lifetime jeweils auf eine Stunde abgeändert werden. Sehen Sie denn auf der WAN Schnittstelle ESP Pakete rausgehen?

tcpdump -i (WAN Schnittstelle) proto 50 -nnp

und dann ein Ping auf die Gegenseite absetzten. Wenn Sie hier ESP Pakete sehen schickt die SP das schon mal in den Tunnel. Nun müsste man nachsehen was auf der anderen Seite ankommt bzw. Meldungen gibt. Sollten keine ESP Pakete zusehen sein schauen Sie mal mit proto 1 auf der WAN nach.

Gruß Björn

cnachtigall
Beiträge: 15
Registriert: Di 08.01.2008, 22:42

Beitrag von cnachtigall »

Hallo Björn,
vielen Dank für die Antwort.
Auf der anderen Seite befindet sich ein Fremd System, auf das ich leider keinen Zugriff habe. Leider ist mir unbekannt, welcher Hersteller oder welcher Gerätetyp auf der anderen Seite zur Verfügung gestellt wird, allerdings kann ich mitteilen, dass es definitiv keine Fritzbox ist.
Leider sind ICMP Pakete in der Gegenseite geblockt, sodass auch dieses nicht möglich ist.
Die Thematik der ESP Pakete prüfe ich nach, sobald die Verbindung das nächste Mal weg ist.
Ich melde mich im Anschluss selbstverständlich. Danke.

Viele Grüße
Christian

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo Christian,

ich würde empfehlen hier einmal die Einstellungen mit der Lifetime unter Phase 1 und Phase 2 abzugleichen. Das mit ICMP muss ja nicht einmal beantwortet werden es reicht wenn diese Pakete in den Tunnel gehen. Ob Sie verworfen werden oder nicht ist in diesem Falle nicht relevant.

Gruß Björn

Antworten