IPsec-Tunnel baut sich nicht wieder automatisch auf

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
MarRic
Beiträge: 6
Registriert: Mi 20.11.2013, 16:14

IPsec-Tunnel baut sich nicht wieder automatisch auf

Beitrag von MarRic »

Hallo,
wir haben zur Zeit das Problem, dass häufiger die IPsec-VPN-Tunnel einfach abbrechen und sich nicht automatisch wieder aufbauen.
Der Tunnel wird zwischen zwei Securepoint Firewalls aufgebaut und die Dead Peer Detection ist auch auf beiden Seiten aktiviert.
Daher müsste der IPsec-Tunnel ja bei einem Abbruch wieder automatisch aufgebaut werden. Jedoch tut sie das nicht!
Das Startverhalten der Firewall Zentrale steht auf "Outgoing" und bei der Außenstelle auf "Incoming".
Ich habe auch schon beide auf "Outgoing" gestellt, jedoch bleibt das Problem bestehen.
Die Firmware der Firewalls sind auf dem neusten Stand (11.6.11).
Weiß jemand eine Lösung für das Problem ?
Vielen Dank!

Ludger
Beiträge: 14
Registriert: Do 24.03.2016, 17:40

Beitrag von Ludger »

wird zumindest auf einer seite des tunnels eine feste ip verwendet?
wenn nein, dann einrichten!!!

imho gibt es immer wieder probleme, das dynamsche adressen per dns-auflösung zum zeitpunkt des verbindungsaufbaues nicht aktuell genug sind und sich so der tunnelaufbau "verhaspelt" ;)

HINWEIS an die coder bei securepoint:
bitte mal prüfen, ob eine zwangsweise dns-abfrage ohne den cache zu nutzen, vorgeschaltet werden kann. (ich habe beobachten können, das wenn die dns-dienste auf beiden seiten des tunnels neu gestertet werden, der aufbau im normalfall 1a funktioniert.)

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

es gibt mehrere Faktoren die dort das ggf. verhindern. Ist auf einer bzw. beiden Seiten ein NAT Router vor der Securepoint? Wenn ja kann es daran schon liegen.
Helfen kann sonst auch ein SSL-VPN Site-to-Site Tunnel.

Gruß Björn

Ludger
Beiträge: 14
Registriert: Do 24.03.2016, 17:40

Beitrag von Ludger »

Helfen kann sonst auch ein SSL-VPN Site-to-Site Tunnel.
jups - das funktioniert meist eh besser und man ist flexibler ;)
leider jedoch in gemischten umgebungen nicht immer möglich.

MarRic
Beiträge: 6
Registriert: Mi 20.11.2013, 16:14

Beitrag von MarRic »

Hallo,
vielen Dank für die Rückmeldung!
auf allen Seiten wird eine statische Adresse verwendet. Wir haben auch keinen NAT Router davor geschaltet.
Wir haben insgesamt fünf Tunnel, komischerweise bauen sich nur die Tunnel wieder von alleine auf, wo auf der Gegenstelle keine Securepoint installiert ist. Das sind zwei Stück.
Normalerweise sollte es ja genau unter zwei Securepoint Firewalls funktionieren !?
Komischerweise lief das damals mit der Version 10 noch reibungslos.
Eigentlich kann es ja nur ein Konfigurationsproblem sein, obwohl man da jetzt nicht so viel falsch machen kann.

Viele Grüße!

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

am besten ist es wenn Sie einmal ein Ticket erstellen lassen. Dann können wir uns das ganze einmal ansehen.

Gruß Björn

Manuel Berfelde
Beiträge: 5
Registriert: Mi 22.02.2017, 19:53

Beitrag von Manuel Berfelde »

Wir haben aktuell ein ähnliches Problem.

SSLVPN-Verbindung kommen zuverlässig und selbständig wieder, aber die IPsec-Tunnel bauen sich erst nach Neustart des Diensts wieder auf.

MarRic
Beiträge: 6
Registriert: Mi 20.11.2013, 16:14

Beitrag von MarRic »

Hallo,
da in letzter Zeit wieder verstärkt die IPsec-Tunnel abbrechen und sich nicht von selbst wieder aufbauen wollte ich das Thema nochmal aufgreifen.
Ich hatte gehofft, dass dieses Problem evt. mit Fimwareupdates gefixt wird. Leider bis heute ohne Erfolg.
So viel kann man bei der Einrichtung ja auch nicht falsch machen. Damals unter der v10 lief die DPD bei IPsec ohne Probleme.
Wozu gibt es denn dann in den IPsec Einstellungen die Option DPD, wenn das nur bei einer SSLVPN-Verbindung funktionieren soll?
Auf SSLVPN umstellen ist jetzt für uns keine Option.
Hat noch jemand eine Idee ?

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Die letzten Updates (11.7.x) haben nach meinen Erfahrungen Verbesserungen hinsichtlich IPSec gebracht, die 11.6.x war sehr viel hakeliger.
Allerdings hatte ich seltsame Effekte im Zusammenhang mit der Verwendung von Zertifikaten (Authentifizierung und ID) nach der Umstellung von 11.6.x auf 11.7.x.
Seit Umstellung auf PSK laufen die betreffenden Tunnel völlig problemlos. Genauer untersucht habe ich die Sache jedoch nicht mehr.
 
Vielleicht sollten Sie dem Vorschlag von Bjoern folgen und ein Ticket beim Support erstellen, dann kann sich der Support die Sache mal anschauen. Hilfsbereit sind die Leute auf jeden Fall.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

ich verstehe den Zusammenhang DPD und SSLVPN nicht. Das eine hat mit dem anderen nichts zu tun. In der 11.7.x wurde der IPSec Dienst von Plute komplett auf Charon umgestellt. Der Pluto hat mehr Spielraum zugelassen was der Charon nicht mehr macht. Hier hilft es in der Regel "DPD" in der Phase 1 und in der Phase 2 "neustart nach Abbruch" zu aktivieren. Stehen NAT Router vor der/den Firewall/Firewalls?

Gruß Björn

detwue
Beiträge: 11
Registriert: Sa 14.07.2018, 14:03

Beitrag von detwue »

Hallo zusammen,
gibt es bzgl. des Nichtwiederaufbaus der IPSEC-Tunnel neue Erkenntnisse? Ich habe nämlich exakt das selbe Problem.
Tunnel die irgendwann "aussteigen" werden von der Securepoint nicht wiederaufgebaut. Erst nachdem "initiieren" gedrückt wird kommen sie wieder.
An den falschen IPs kann es nicht liegen da die WAN-IP-Adressen statisch sind.
Bin für jeden brauchbaren Hinweis dankbar.

Gruß Detwue

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

haben Sie in der Phase1 DPD aktiv und in der Phase2 "Neustart nach Abbruch"?

Gruß Björn

detwue
Beiträge: 11
Registriert: Sa 14.07.2018, 14:03

Beitrag von detwue »

Ja das ist beides aktiviert

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

ich glaube es wäre das beste wenn wir uns das einmal ansehen wenn es auftritt.

Gruß Björn

Antworten