Folgendes Problem: Ein IPSec-Tunnel Site-to-Site wird nach Leitungsunterbrechungen (Zwangstrennung oder kurze Störungen) nicht wieder korrekt aufgebaut. Wird der betreffende Black Dwarf oder auch nur IPSec aber neu gestartet, wird der Tunnel neu aufgebaut.
Zur Konfiguration:
Standort A: Black Dwarf V11 mit einem einfachen DSL-Modem. Dieses Gerät befindet sich am Hauptstandort und es sind dort fünf Außenstellen über IPSec Site-to-Site angebunden. Vier Außenstellen laufen stabil, und auch bei einem Verbindungsausfall wird nach kurzer Zeit der IPSec Tunnel wieder aufgebaut. Nur die fünfte Filiale mit einem VoIP Anschluss bereitet die dargestellten Probleme.
Standort B: Black Dwarf V10 an einem VoIP Anschluss der Telekom. Da VoIP genutzt wird, ist dort eine Fritz!Box im Einsatz und der Black Dwarf ist als Exposed Host definiert. Die Fritz!Box enthält die Zugangsdaten und den DynDNS Client, so wie das hier im Forum auch schon als Lösung dargestellt wurde.
Wie beschrieben wird der Tunnel aufgebaut, wenn die Fritz!Box läuft und der Black Dwarf zugeschaltet wird. Trennt man dann kurz DSL, so wird nicht wieder neu verbunden. Im Log findet sich folgende Fehlermeldung:
IPSEC Server packet from 88.153.66.33:500: initial Main Mode message received on 192.168.178.250:500 but no connection has been autorized with policy=PSK
Die IP 88.153.66.33 ist die IP von Black Dwarf am zentralen Standort A. Die 192.168.178.250 ist die IP von meinem Black Dwarf im Transfernetz hinter der Fritz!Box. Mein Black Dwarf an Standort A hat wahrscheinlich keine "passende" Verbindung für eine ID 192.168.178.250 (Wenn das die ID ist?) - was ich nachvollziehen kann, da er ja nur den DynDNS-Namen kennt. Wie muss eine solche Konfiguration korrekt aussehen? Gibt es dazu schon irgendwo eine Howto im Wiki (das Problem wird ja bald öfter auftreten), welchen ich übersehen habe?
Vielen Dank im Voraus!
VoIP-Anschluss/Fritz!Box/IPSec
Moderator: Securepoint
Hallo,
ich würde hier als erstes empfehlen DPD zu aktivieren und das auf beiden Seiten. Sollte dies keine Abhilfe schaffen kann man noch die V11 noch zu einem ANY Tunnel abändern. Hier ist der Vorteil egal welche ID oder IP kommt wird erstmal als positiv angesehen. Der Tunnel baut sich aber nur auf wenn die Verschlüsselung, PSK und die komplette PHASE2 übereinstimmen. Wie man ein any Tunnel in der V11 einrichtet ist ganz einfach. Sie wählen bei Remote Host / Gateway any aus und bei Remote Host / Gateway ID 0.0.0.0 aus. Das Start-verhalten setzten Sie auf Incomming und im Außenstandort auf Initiierend.
Gruß Björn
ich würde hier als erstes empfehlen DPD zu aktivieren und das auf beiden Seiten. Sollte dies keine Abhilfe schaffen kann man noch die V11 noch zu einem ANY Tunnel abändern. Hier ist der Vorteil egal welche ID oder IP kommt wird erstmal als positiv angesehen. Der Tunnel baut sich aber nur auf wenn die Verschlüsselung, PSK und die komplette PHASE2 übereinstimmen. Wie man ein any Tunnel in der V11 einrichtet ist ganz einfach. Sie wählen bei Remote Host / Gateway any aus und bei Remote Host / Gateway ID 0.0.0.0 aus. Das Start-verhalten setzten Sie auf Incomming und im Außenstandort auf Initiierend.
Gruß Björn
Zwischenstand: ALso der Hinweis auf die Konfiguration als ANY Tunnel hat geholfen, das Gespann aus Fritz!Box und UTM arbeitet jetzt sehr zuverlässig. Ich habe alle möglichen (Aus)Fälle nachgestellt und die Verbindung wird sauber nach spätestens 5 Minuten wieder hergestellt.
Ein kleines zusätzliches Problem hatte ich dabei noch: Bei einem kompletten Neustart - also kpl. Aus- und wieder Einschalten - startet die Fritz!Box 7390 so langsam, dass die LAN Verbindung zum Black Dwarf nicht sauber läuft. ETH0 ist dabei direkt mit dem LAN-Port an der Fritz!Box eingestöpselt und die IP im Zwerg ist auch fest eingestellt, also kein DHCP. Ich vermute, die LAN-Ports an der Fritz!Box werden beim Startvorgang erst recht spät initialisiert, wodurch es dann Probleme gibt, da der Zwerg schon lange fertig ist. Startet man dann den Zwerg neu, läuft alles, was nicht so toll ist. Das Problem lässt sich aber einfach durch einen kleinen Switch im Transfernetzwerk zwischen beiden Geräten beheben.
Zwei Fragen noch zur Anwendung eines ANY Tunnels in der Konfiguration:
1. Was ist, wenn ich weitere Filialen in dieser Form anbinden möchte? Funktionieren mehrere ANY Tunnel mit verschiedenen PSK, kommen die sich in die Quere oder geht prinzipiell nur ein so konfigurierter Tunnel?
2. Nach der Konfiguration lief ein L2TP-IPSec Roadwarrior zum Standort A nicht mehr. Im Log ist zu sehen, dass der Verbindungsversuch immer am ANY Tunnel landet. Kann das irgendwo priorisiert werden?
Ein kleines zusätzliches Problem hatte ich dabei noch: Bei einem kompletten Neustart - also kpl. Aus- und wieder Einschalten - startet die Fritz!Box 7390 so langsam, dass die LAN Verbindung zum Black Dwarf nicht sauber läuft. ETH0 ist dabei direkt mit dem LAN-Port an der Fritz!Box eingestöpselt und die IP im Zwerg ist auch fest eingestellt, also kein DHCP. Ich vermute, die LAN-Ports an der Fritz!Box werden beim Startvorgang erst recht spät initialisiert, wodurch es dann Probleme gibt, da der Zwerg schon lange fertig ist. Startet man dann den Zwerg neu, läuft alles, was nicht so toll ist. Das Problem lässt sich aber einfach durch einen kleinen Switch im Transfernetzwerk zwischen beiden Geräten beheben.
Zwei Fragen noch zur Anwendung eines ANY Tunnels in der Konfiguration:
1. Was ist, wenn ich weitere Filialen in dieser Form anbinden möchte? Funktionieren mehrere ANY Tunnel mit verschiedenen PSK, kommen die sich in die Quere oder geht prinzipiell nur ein so konfigurierter Tunnel?
2. Nach der Konfiguration lief ein L2TP-IPSec Roadwarrior zum Standort A nicht mehr. Im Log ist zu sehen, dass der Verbindungsversuch immer am ANY Tunnel landet. Kann das irgendwo priorisiert werden?
Ein ähnliches Problem hatte ich auch mal mit einer Fritz!Box. Die aktivierte Energiesparfunktion (Green Mode) auf der betreffenden LAN-Schnittstelle der FB war damals die Ursache für das eigenartige Verhalten.ikri hat geschrieben: Ein kleines zusätzliches Problem hatte ich dabei noch: Bei einem kompletten Neustart - also kpl. Aus- und wieder Einschalten - startet die Fritz!Box 7390 so langsam, dass die LAN Verbindung zum Black Dwarf nicht sauber läuft. ETH0 ist dabei direkt mit dem LAN-Port an der Fritz!Box eingestöpselt und die IP im Zwerg ist auch fest eingestellt, also kein DHCP. Ich vermute, die LAN-Ports an der Fritz!Box werden beim Startvorgang erst recht spät initialisiert, wodurch es dann Probleme gibt, da der Zwerg schon lange fertig ist. Startet man dann den Zwerg neu, läuft alles, was nicht so toll ist. Das Problem lässt sich aber einfach durch einen kleinen Switch im Transfernetzwerk zwischen beiden Geräten beheben.
Danke erstmal für die Hinweise. 
Die Problematik mit den Energiesparfunktionen hatte ich schon auf dem Radar (im Forum gab es schon eine Aussage dazu) und geprüft.
Für mehrere VoIP Anschlüsse mit Tunnel zu einem zentralen Punkt habe ich noch keine wirkliche Lösung, aber das wird in Zukunft ja öfter auf dem Plan stehen.
Die Problematik mit den Energiesparfunktionen hatte ich schon auf dem Radar (im Forum gab es schon eine Aussage dazu) und geprüft. Für mehrere VoIP Anschlüsse mit Tunnel zu einem zentralen Punkt habe ich noch keine wirkliche Lösung, aber das wird in Zukunft ja öfter auf dem Plan stehen.