Site-to-Site Tunnel IPSec nach Zwangstrennung tot

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
hgruber
Beiträge: 5
Registriert: Mi 17.04.2013, 07:31
Wohnort: Bayern

Site-to-Site Tunnel IPSec nach Zwangstrennung tot

Beitrag von hgruber »

Wir haben an einer zentralen UTM (V11) zwei IPSEC-Tunnel: Einmal zu einer FritzBox 7390, und zu einer anderen UTM. Anbindung ist VDSL bzw. ADSL, alles fixe IP´s.

Eindeutig nach der Telekom-Zwangstrennung an der zentralen UTM "sterben" die Tunnel. Es hilft weder "laden", "initiieren" oder der stop/start der IPSec-Anwendung.
Im IKE habe ich bereits "Rekeying -> unbegrenzt" gesetzt.
Einzig hilft der Neustart der UTM in der Zentrale.

Wer hat einen Rat (außer der, eine Zeitschaltuhr einzubauen)?

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Tritt das Problem nur mit dem Tunnel zur Fritz!Box auf?

Wenn ja, dann sind das die Instabilitäten, die ich hier erwähnte: http://www.securepoint.de/support/topic ... 5#post7685 Ob der Tunnel wieder aufgebaut (erneuert) wurde, hing dann auch davon ab, welche Seite beispielsweise zuerst von der Zwangstrennung betroffen war.

Mich würde interessieren, ob es jemand geschafft hat, die IPSec-Verbindung zwischen UTM11 (nicht UTM10) und Fritz!Box wirklich stabil ans Laufen zu bekommen.

FriedlCertus
Beiträge: 11
Registriert: Di 25.01.2011, 11:37

Beitrag von FriedlCertus »

Haben ähnliches Problem bei zwei Kunden-Appliance(allerdings V10). Immer nach der Zwangstrennung können sich zwei Site-to-Site-IPSEC-VPN-Tunnel nicht mehr verbinden. Bei uns reicht das Akutalisieren der Schnitstellen(was bei der 11er aber so in der GUI nicht mehr implementiert is?): Die tunnel laufen dann wieder bis zur nächsten Zwangstrennung.

Porblem besteht seit dem wir bei beiden Kunden auf VDSL umgestellt haben. Die VDSL-Einwahl macht die Firewall, verwendet wird ein Zyxel VMG1312 VDSL-Modem.
Vorher hat die VDSL-Einwahl das Modem übernommen, zwischen Modem und Firewall, war dann jediglich ein Zwischwennetz -> keine Probleme.

hgruber
Beiträge: 5
Registriert: Mi 17.04.2013, 07:31
Wohnort: Bayern

Beitrag von hgruber »

An der FritzBox hängt VDSL-50, an der anderen Gegenstelle UTM11+ADSL-16000. Die Zentrale hat UTM11+VDSL-25.

Heute war folgendes Phänomen:
In der Zentrale haben wir gestern eine Zeitschaltuhr installiert. Um 4 Uhr heute Nacht haben wir *unsere individuelle* Zwangstrennung gestartet. Danach liefen die Tunnel wieder hoch, kontrolliert um 7:30. Heute morgen reklamiert der Kunde um 8:30 WIEDERUM, dass die Tunnel nicht gehen. Grund: In der Aussenstelle (ADSL-16000) hatte die Zwangstrennung der Telekom um ca. 8:15 wieder zugeschlagen. Interessanterweise reichte eine Neustart in der Zentrale, um die Tunnel wieder zu aktivieren.

Ich krieg noch einen Vogel... :evil:

Kenn jemand eine Lösung, wie man die UTM11 per Software neu starten kann? So ein eintrag in der crontab mit "init 6" würde alle Sorgen erledigen...

hgruber
Beiträge: 5
Registriert: Mi 17.04.2013, 07:31
Wohnort: Bayern

Beitrag von hgruber »

@franz: das IPSEC mit der fritzbox 7390 haut (bis auf die versch... zwangstrennung) 23,99h lang sehr gut hin, durchsatz Tunnel liegt gemessen mit iperf beim technischen Maximum.

hgruber
Beiträge: 5
Registriert: Mi 17.04.2013, 07:31
Wohnort: Bayern

Beitrag von hgruber »

Der Support hat sich eingeschaltet und auf den UTM11´s kontrolliert: Lokale IPSEC-ID von der eingetragenen fixen IP-Adresse geändert auf "ppp0", und das Redial im ppp0 auf "1" (Uhr) gesetzt. Das sollte es richten, weil danach kommt ja unsere Zeitschaltuhr. Naja, nach dem Klick auf "OK" waren die Tunnel wieder weg :( ; auch nach ipSEC-Dienst-Neustart: Negativ. Nach UTM Neustart: Tunnel wieder da. :shock:

Ich bin immer noch skeptisch; mal sehen was der Tunnel morgen früh sagt...
Zuletzt geändert von hgruber am Fr 26.04.2013, 10:20, insgesamt 1-mal geändert.

FriedlCertus
Beiträge: 11
Registriert: Di 25.01.2011, 11:37

Beitrag von FriedlCertus »

@hgruber welches Modem verwendet ihr an der Zentrale?

Antworten