Mit Version 12.2.1.1 Probleme mit den IPSEC Verbindungen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Dietmar
Beiträge: 50
Registriert: Do 06.11.2014, 16:39

Mit Version 12.2.1.1 Probleme mit den IPSEC Verbindungen

Beitrag von Dietmar »

Nach dem Update unserer UTM’s auf die Version 12.2.1.1 haben wir massive Probleme mit den IPSEC Verbindungen. Praktisch täglich fällt eine der Verbindungen aus. Der Status zeigt zwar noch „grün“ an, es geht aber nichts mehr durch. Erst nach einem Neustart der IPSec Verbindung funktioniert es wieder. Es handelt sich hier um Verbindungen zwischen Securepoint UTM’s, keine Fremdfirewalls.


Da dies so nicht tragbar war, haben wir vor einigen Tagen die UTM’s wieder auf 12.1.9 zurückgesetzt und die Verbindungen sind seither wieder absolut stabil, keinerlei Ausfälle.
Ist dieses Problem bekannt? Müssen für 12.2.1.1 Einstellungen in den Verbindungen angepasst werden?

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Folgendes hab ich auch noch festgestellt:

UTM v12.2.1.1 - IPSec mit Zertifikaten funktioniert nicht

Da wir wo immer möglich Zertifikate einsetzen, habe ich unseren Kunden auch noch auf Updates verzichtet.

betamax65
Beiträge: 17
Registriert: Di 12.11.2019, 12:50

Beitrag von betamax65 »

Bei mir ist es so das das die IPSEC-Verbindungen jede Sekunde neu aufgebaut werden (lt. LOG). Als ob die UTM nicht merkt das
die IPSEC-Verbindungen nicht UP sind und daher stumpf versucht die Verbindung neu aufzubauen.

Das hat dazu geführt das dann der LOG-Server irgendwann auch noch dicht war. Allerdings gab es dadurch im Betrieb 
merkwürdigerweise bisher keine  spürbaren Auswirkungen. Gerade die SAP-Verbindung wäre da problematisch, da dann 
alle SAP-Clients praktisch hängenbleiben. Da hätten meine Anwender bereits ordentlich geflucht.

Alle IPSEC-Verbindungen werden zu Fremdroutern aufgebaut.

Dominik O.
Beiträge: 8
Registriert: Do 03.02.2022, 11:50

Beitrag von Dominik O. »

Das von Dietmar geschilderte Problem tritt hier ebenfalls auf.

Eine UTM Version 11.8.17 per S2S IPsec PSK mit einer UTM Version 12.2.1.2.
Das Zeitfenster ist geschätzt 12 Stunden wonach die Verbindung nicht mehr geht, aber als grün angezeigt wird.
Der Neustarten Button im IPsec Fenster stellt die Ferbindung ohne Verzögerung wieder her.
Aus dem Log des UI kann ich keine Fehler entnehmen.

Aufgrund der Aussagen von Mario im von Frank verlinkten Beitrag dass es unter der Haube bei IPsec größere Änderungen gab, werde ich testen ob es auch noch Auftritt wenn beide UTM's auf Version 12.2.1.2 sind.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Das Phänomen beobachte ich ebenfalls gelegentlich. Ich kann es nicht genau sagen, aber ich habe den Verdacht, dass das geschilderte Problem nach kurzzeitigen Störungen der Internetverbindung auftritt. Vielleicht ein Problem mit der DPD?

Dominik O.
Beiträge: 8
Registriert: Do 03.02.2022, 11:50

Beitrag von Dominik O. »

Ich behaupte bei mir hat das nichts mit einer Internet Störung zu tun.
Vermutlich sind dass zwei verschiedene Probleme die hier geschildert werden.

Beide Geräte sind jeweils hinter einem Telekom Anschluss (Business VDSL) dem Netzbetreiber.
Syncs sind wie gehabt an beiden Standorten stabil bei > 1 Monaten (letzte nächtliche Zwangsterennung).
Ein Stromausfall des Ortsnetzes bzw. zwischen den Standorten ist mir aktuell nicht bekannt gab es zuletzt vor ein paar Monaten.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ja, kann sein. Bei uns sind es Kombinationen aus Kabelanschlüssen von Vodafone bzw. Kevag Telekom, die nicht ganz so stabil sind, und als Gegenstelle Telekom Business VDSL-Anschlüsse.

Dominik O.
Beiträge: 8
Registriert: Do 03.02.2022, 11:50

Beitrag von Dominik O. »

Das Update der einen UTM ebenfalls auf Version 12.2.1.2 scheint bei mir die Lösung zu sein.
Warum dieses Update zum damaligen Zeitpunkt nicht gefunden bzw. vorgeschlagen wurde kann ich mir nicht erklären.
Scheinbar vertragen sich diese Versionen (11.8.17 <-> 12.2.1.2) bei IPsec S2S VPN nicht ganz untereinander trotz identischer Konfiguration.

Dominik O.
Beiträge: 8
Registriert: Do 03.02.2022, 11:50

Beitrag von Dominik O. »

Das Update ist doch nicht die Lösung.
Das Zeitfenster in dem der Fehler Auftritt ist ca. 12-36 Stunden.

Dominik O.
Beiträge: 8
Registriert: Do 03.02.2022, 11:50

Beitrag von Dominik O. »

Die Lösung für mein Problem:
IPsec S2S VPN Einträge auf beiden Seiten löschen und identisch neu anlegen. (Aufgrund des Beitrag: "Flappy Site to site VPN Sonicwall" https://community.spiceworks.com/topic/ ... -sonicwall)
In diesem Zug habe ich IKEv2 statt IKEv1 ausgewählt. (Aufgrund des Beitrag: "IKEV1: lost child_sa after ike_sa reauth" https://github.com/strongswan/strongswan/issues/390 - gefunden durch übereinstimmende Log Einträge bei Log Level 2)

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Gut, wo immer möglich, verwende ich ohnehin IKEv2 und Zertifikate, statt PSK. Hierbei ist nur zu beachten, dass auf dem Initiator (Outgoing) in Phase 2 „Neustart nach Abbruch“ aktiviert wird.
 
Eine Besonderheit ist mir jedoch in dem Zusammenhang aufgefallen: wenn der Initiator ausfällt (z.B. weil die Internetverbindung getrennt wurde), wird die Verbindung auf dem Responder (Incoming) weithin als aufgebaut (grün) angezeigt. Das bleibt vermutlich auch so bis zum Ablauf der SA. Aufgrund des immanenten DPD bei IKEv2 finde ich das seltsam.
 
Den Hinweis mit dem Neueinrichten der Verbindungen finde ich kurios, denn sowas sollte wegen eines einfachen Upgrades der Firmware nicht erforderlich werden.
 
Gib bitte mal Rückmeldung, ob die Sache wirklich dauerhaft stabil läuft.
 
Gruß
 
Franz

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Franz hat geschrieben:
Eine Besonderheit ist mir jedoch in dem Zusammenhang aufgefallen: wenn der Initiator ausfällt (z.B. weil die Internetverbindung getrennt wurde), wird die Verbindung auf dem Responder (Incoming) weithin als aufgebaut (grün) angezeigt. Das bleibt vermutlich auch so bis zum Ablauf der SA. Aufgrund des immanenten DPD bei IKEv2 finde ich das seltsam.
 
Auch nach 4 Tagen ohne Kontakt zur Gegenstelle (weil diese testweise ausgeschaltet ist) wird die Verbindung weiterhin als verbunden (grün) angezeigt.

Dominik O.
Beiträge: 8
Registriert: Do 03.02.2022, 11:50

Beitrag von Dominik O. »

Franz hat geschrieben: Gut, wo immer möglich, verwende ich ohnehin IKEv2 und Zertifikate, statt PSK. Hierbei ist nur zu beachten, dass auf dem Initiator (Outgoing) in Phase 2 „Neustart nach Abbruch“ aktiviert wird.
Die Verbindung läuft wieder 100% stabil seit 08.02 (8 Tage).
Auf beiden Seiten ist die Option "Neustart nach Abbruch" nach wie vor nicht aktiviert.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Franz hat geschrieben: Auch nach 4 Tagen ohne Kontakt zur Gegenstelle (weil diese testweise ausgeschaltet ist) wird die Verbindung weiterhin als verbunden (grün) angezeigt.
Wenn auf dem Responder in Phase 1 unter IKE das Rekeying vom Defaultwert "unbegrenzt" auf "3 mal" umgestellt wird, werden Verbindungsttrennung vom Responder erkannt und korrekt angezeigt.
War ein Hinweis vom Support.

Dominik O.
Beiträge: 8
Registriert: Do 03.02.2022, 11:50

Beitrag von Dominik O. »

Franz hat geschrieben: Wenn auf dem Responder in Phase 1 unter IKE das Rekeying vom Defaultwert "unbegrenzt" auf "3 mal" umgestellt wird, werden Verbindungsttrennung vom Responder erkannt und korrekt angezeigt.
War ein Hinweis vom Support.
Danke für deine Tipps und Hinweise.
Mein Problem ist gelöst, der Autor des Problem meldet sich nicht mehr, daher ist davon auszugehen er hat es anderweilig gelöst.



Ich erwarte seitens Securepoint dass die einfachst mögliche Konfiguration (nach Anleitung aus dem Wiki) standardmäßig eine stabile Verbindung herstellt und beibehält.
(auch nach Internetverlust oder Netzwerkstörung und das nach Versionupdates weiterhin tut)
Sollte das wie im Zitat geschrieben nicht der Fall sein sollte ein Update seitens Securepoint folgen, es kann meiner Meinung nach nicht erwartet werden dass jeder bei der Einrichtung eine IKE Option verändert. (Da sind Probleme vorprogrammiert - für Securepoint)
Meine Antwort vom Support als ich das Problem schon selbst gelöst hatte war kurzgefasst: Wir empfehlen OpenVPN das läuft stabiler. (das sagt mir schon viel)

Dieser Thread sollte als hilfreiches Feedback aufgefasst werden und für Securepoint und deren Kunden eine Verbesserung bringen.
Ich habe keine Zeit und Hardware um das Problem zu reproduzieren, wenn es zwei Personen gibt die sich hier Anmelden und das schildern gibt es sicherlich 4x so viele die das gleiche durchlaufen. 
Nicht jeder hat die Zeit soweit sich mit Problemen zu befassen, dann wird ggf. auch statt ein Update eingespielt die Hardware getauscht.
Updates (Sicherheitsupdates) sind für so ein zentraler Netzwerkpunkt meiner Meinung nach esentiell, weshalb ich sowieso verwundert bin warum diese nicht automatisiert erfolgen wie z.B. auf Routern.

Ohne Software Update (Bugfix) oder Upgrade Hinweis (IPsec Einträge neu erstellen oder Reset Werkeinstellung) ist diese Verbesserung leider nicht erfolgt.

Antworten