Instabile IP-Sec Verbindung RC100 (v10) - Black Dwarf (v11)

dnord · Beitrag von **dnord** » Di 03.06.2014, 17:05

Hallo Forum,

wir haben das Problem einer instabilen VPN-Verbindung (IP-Sec mit PreShared Key) zwischen einer RC100 (v10) in der Hauptfiliale
und einer BlackDwarf (v11) in der Aussenstelle. Die Verbindung funktioniert grundsätzlich, setzt allerdings mehrmals am Tag aus
unbekannter Ursache aus.
Als Mögliche Lösung wollten wir die Dead Peer Detection auf beiden Seiten aktivieren, allerdings haben wir diese Option nur in
den IP-Sec Settings (Phase1) der BlackDwarf gefunden. An gleicher Stelle auf der RC100 gibt es nur die Optionen "Initiiere Verbindung"
und "Kein Re-Keying" . Wo ist bei der v10 die "Dead Peer Detection" zu finden ?

Anbei ein Auszug aus dem Log des Black Dwarf:

03.06.2014 14:38:34 IPSec (charon) 15[IKE] retransmit 1 of request with message ID 0
03.06.2014 14:38:41 IPSec (charon) 09[IKE] retransmit 2 of request with message ID 0
03.06.2014 14:38:54 IPSec (charon) 08[IKE] retransmit 3 of request with message ID 0
03.06.2014 14:39:17 IPSec (charon) 10[IKE] retransmit 4 of request with message ID 0
03.06.2014 14:39:59 IPSec (charon) 11[IKE] retransmit 5 of request with message ID 0
03.06.2014 14:41:15 IPSec (charon) 13[IKE] giving up after 5 retransmits
03.06.2014 14:41:15 IPSec (charon) 13[IKE] peer not responding, trying again (320/0)
03.06.2014 14:41:15 IPSec (charon) 13[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:41:15 IPSec (charon) 13[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:41:19 IPSec (charon) 12[IKE] retransmit 1 of request with message ID 0
03.06.2014 14:41:26 IPSec (charon) 14[IKE] retransmit 2 of request with message ID 0
03.06.2014 14:41:39 IPSec (charon) 16[IKE] retransmit 3 of request with message ID 0
03.06.2014 14:42:02 IPSec (charon) 15[IKE] retransmit 4 of request with message ID 0
03.06.2014 14:42:44 IPSec (charon) 09[IKE] retransmit 5 of request with message ID 0
03.06.2014 14:44:00 IPSec (charon) 08[IKE] giving up after 5 retransmits
03.06.2014 14:44:00 IPSec (charon) 08[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:44:00 IPSec (charon) 08[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:44:04 IPSec (charon) 10[IKE] retransmit 1 of request with message ID 0
03.06.2014 14:44:11 IPSec (charon) 11[IKE] retransmit 2 of request with message ID 0
03.06.2014 14:44:24 IPSec (charon) 13[IKE] retransmit 3 of request with message ID 0
03.06.2014 14:44:48 IPSec (charon) 12[IKE] retransmit 4 of request with message ID 0
03.06.2014 14:45:30 IPSec (charon) 14[IKE] retransmit 5 of request with message ID 0
03.06.2014 14:46:45 IPSec (charon) 16[IKE] giving up after 5 retransmits
03.06.2014 14:46:45 IPSec (charon) 16[IKE] peer not responding, trying again (322/0)
03.06.2014 14:46:45 IPSec (charon) 16[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:46:45 IPSec (charon) 16[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:46:49 IPSec (charon) 15[IKE] retransmit 1 of request with message ID 0
03.06.2014 14:46:56 IPSec (charon) 09[IKE] retransmit 2 of request with message ID 0
03.06.2014 14:47:09 IPSec (charon) 08[IKE] retransmit 3 of request with message ID 0
03.06.2014 14:47:33 IPSec (charon) 10[IKE] retransmit 4 of request with message ID 0
03.06.2014 14:48:15 IPSec (charon) 11[IKE] retransmit 5 of request with message ID 0
03.06.2014 14:49:30 IPSec (charon) 13[IKE] giving up after 5 retransmits
03.06.2014 14:49:30 IPSec (charon) 13[IKE] peer not responding, trying again (323/0)
03.06.2014 14:49:30 IPSec (charon) 13[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:49:30 IPSec (charon) 13[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:49:34 IPSec (charon) 12[IKE] retransmit 1 of request with message ID 0
03.06.2014 14:49:41 IPSec (charon) 14[IKE] retransmit 2 of request with message ID 0
03.06.2014 14:49:54 IPSec (charon) 16[IKE] retransmit 3 of request with message ID 0
03.06.2014 14:50:18 IPSec (charon) 15[IKE] retransmit 4 of request with message ID 0
03.06.2014 14:50:55 IPSec (charon) 09[IKE] reauthenticating IKE_SA VNP2Werk1_1[38]
03.06.2014 14:50:55 IPSec (charon) 09[IKE] reauthenticating IKE_SA VNP2Werk1_1[38]
03.06.2014 14:50:55 IPSec (charon) 09[IKE] deleting IKE_SA VNP2Werk1_1[38] between 217.248.XXX.XXX[XXXX.spdns.de]...79.233.XXX.XXX[yyyyyyyyy.spdns.de]
03.06.2014 14:50:55 IPSec (charon) 09[IKE] deleting IKE_SA VNP2Werk1_1[38] between 217.248.XXX.XXX[XXXX.spdns.de]...79.233.XXX.XXX[yyyyyyyyy.spdns.de]
03.06.2014 14:50:55 IPSec (charon) 09[IKE] sending DELETE for IKE_SA VNP2Werk1_1[38]
03.06.2014 14:50:55 IPSec (charon) 09[IKE] reauthenticating IKE_SA VNP2Werk1_1[38]
03.06.2014 14:50:55 IPSec (charon) 09[IKE] deleting IKE_SA VNP2Werk1_1[38] between 217.248.XXX.XXX[XXXX.spdns.de]...79.233.XXX.XXX[yyyyyyyyy.spdns.de]
03.06.2014 14:50:55 IPSec (charon) 09[IKE] deleting IKE_SA VNP2Werk1_1[38] between 217.248.XXX.XXX[XXXX.spdns.de]...79.233.XXX.XXX[yyyyyyyyy.spdns.de]
03.06.2014 14:50:55 IPSec (charon) 09[IKE] sending DELETE for IKE_SA VNP2Werk1_1[38]
03.06.2014 14:50:55 IPSec (charon) 08[IKE] IKE_SA deleted
03.06.2014 14:50:55 IPSec (charon) 08[IKE] IKE_SA deleted
03.06.2014 14:50:55 IPSec (charon) 08[IKE] restarting CHILD_SA VNP2Werk1_1
03.06.2014 14:50:55 IPSec (charon) 08[IKE] initiating IKE_SA VNP2Werk1_1[39] to 79.233.XXX.XXX
03.06.2014 14:50:55 IPSec (charon) 08[IKE] initiating IKE_SA VNP2Werk1_1[39] to 79.233.XXX.XXX
03.06.2014 14:50:55 IPSec (charon) 10[IKE] authentication of 'XXXX.spdns.de' (myself) with pre-shared key
03.06.2014 14:50:55 IPSec (charon) 10[IKE] establishing CHILD_SA VNP2Werk1_1
03.06.2014 14:50:55 IPSec (charon) 10[IKE] establishing CHILD_SA VNP2Werk1_1
03.06.2014 14:50:55 IPSec (charon) 11[IKE] authentication of 'yyyyyyyyy.spdns.de' with pre-shared key successful
03.06.2014 14:50:55 IPSec (charon) 11[IKE] IKE_SA VNP2Werk1_1[39] established between 217.248.XXX.XXX[XXXX.spdns.de]...79.233.XXX.XXX[yyyyyyyyy.spdns.de]
03.06.2014 14:50:55 IPSec (charon) 11[IKE] IKE_SA VNP2Werk1_1[39] established between 217.248.XXX.XXX[XXXX.spdns.de]...79.233.XXX.XXX[yyyyyyyyy.spdns.de]
03.06.2014 14:50:55 IPSec (charon) 11[IKE] scheduling reauthentication in 2595s
03.06.2014 14:50:55 IPSec (charon) 11[IKE] maximum IKE_SA lifetime 3135s
03.06.2014 14:50:55 IPSec (charon) 11[IKE] CHILD_SA VNP2Werk1_1{51} established with SPIs c8a7a089_i cc2088b1_o and TS 192.168.1.0/24 === 192.168.0.0/24
03.06.2014 14:50:55 IPSec (charon) 11[IKE] CHILD_SA VNP2Werk1_1{51} established with SPIs c8a7a089_i cc2088b1_o and TS 192.168.1.0/24 === 192.168.0.0/24
03.06.2014 14:50:55 IPSec (charon) 11[IKE] received AUTH_LIFETIME of 2980s, scheduling reauthentication in 2440s
03.06.2014 14:51:00 IPSec (charon) 16[IKE] retransmit 5 of request with message ID 0
03.06.2014 14:52:15 IPSec (charon) 15[IKE] giving up after 5 retransmits
03.06.2014 14:52:15 IPSec (charon) 15[IKE] peer not responding, trying again (324/0)
03.06.2014 14:52:15 IPSec (charon) 15[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:52:15 IPSec (charon) 15[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:52:19 IPSec (charon) 09[IKE] retransmit 1 of request with message ID 0
03.06.2014 14:52:27 IPSec (charon) 08[IKE] retransmit 2 of request with message ID 0
03.06.2014 14:52:40 IPSec (charon) 10[IKE] retransmit 3 of request with message ID 0
03.06.2014 14:53:03 IPSec (charon) 11[IKE] retransmit 4 of request with message ID 0
03.06.2014 14:53:45 IPSec (charon) 12[IKE] retransmit 5 of request with message ID 0
03.06.2014 14:55:00 IPSec (charon) 14[IKE] giving up after 5 retransmits
03.06.2014 14:55:00 IPSec (charon) 14[IKE] peer not responding, trying again (325/0)
03.06.2014 14:55:01 IPSec (charon) 14[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:55:01 IPSec (charon) 14[IKE] initiating IKE_SA VNP2Werk1_1[15] to 79.233.XXX.XXX
03.06.2014 14:55:05 IPSec (charon) 16[IKE] retransmit 1 of request with message ID 0
03.06.2014 14:55:12 IPSec (charon) 15[IKE] retransmit 2 of request with message ID 0
03.06.2014 14:55:25 IPSec (charon) 09[IKE] retransmit 3 of request with message ID 0
03.06.2014 14:55:48 IPSec (charon) 08[IKE] retransmit 4 of request with message ID 0

Die Aussentstelle (BlackDwarf) ist übrigens Initiator, Startverhalten steht auf Outgoing.

Vielen Dank für Antworten oder andere Lösungsvorschläge im voraus !

Beitrag von **Erik** » Mi 04.06.2014, 10:01

Die IKEv2-Settings unterscheiden sich bei v10 und v11 etwas. Haben Sie schon mal eine IKEv1-Verbindung zwischen beiden Geräten aufgebaut?

dnord · Beitrag von **dnord** » Fr 06.06.2014, 10:44

Hallo Erik,

danke für den Hinweis. Ich habe jetzt die Verbindung mit IKEv1 neu eingerichtet.
Nun war plötzlich auch die Dead-Peer-Detection in der v10 Appliance verfügbar !? Diese habe ich nun auch auf beiden Seiten aktiviert.
Ich melde mich nur wieder, falls es noch Probleme gibt ;-)