IPsec VPN zwischen Lancom und Securepoint - IKE Lifetime Problem?

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
MarcusM
Beiträge: 56
Registriert: Fr 30.06.2017, 14:09

IPsec VPN zwischen Lancom und Securepoint - IKE Lifetime Problem?

Beitrag von MarcusM »

Ich habe bei einem Kunden eine IPsec VPN zwischen einem Lancom 1783VAW (Fw 10.32.0092RU2) und einer Securepoint UTM RC100 G3 (Fw 11.8.5_Final) eingerichtet.

Anfangs stand die IKE Lifetime und Schlüssel-Lebensdauer auf 1 Stunde und die VPN wurde immer nach 55 Minuten kurz unterbrochen. Durch das Hochsetzen der IKE Lifetime in Phase 1 und der Schlüssel-Lebensdauer in Phase 2 auf 8 Std. wurde die VPN Verbindung immer bei knapp 8 Std. kurz getrennt. Nun habe ich die IKE Lifetime und Schlüssel Lebensdauer auf 24 Std. hochgesetzt und noch immer wird die Verbindung bei knapp 8 Std. kurz getrennt. Meldung im Syslog des Lancoms: "VPN: Error for peer XXXXXX: IKE-R-No-proposal-matched". Nach Neuaufbau hält die Verbindung aber ohne Fehler wieder für knapp 8 Std.....

Wenn ich die Außenstelle die Verbindung aufbauen lasse (Lancom) dann hält sie immer nur ca 55 Minuten, nun lasse ich die SP UTM die Verbindung aufbauen und komme zumindest auf knapp 8 Std. Wobei sich mir hier schon die Frage nach der Funktion des Schalters "Neuaufbau nach Abbruch" gestellt hat, denn selber initiiert die UTM keine VPN Verbindung.
Im Lancom hatte ich bereits das durch den Wizard erstellte IKE Proposal in der PSK Gültigkeitsdauer auf 24 Std. angepasst (war Standardmäßig höher) . 
Soeben habe ich aber auch noch die IPSec Proposal Verschlüsselungs-Gültigkeitsdauer auf 24 Std. angehoben. Mal sehen ob das nun hilft.

BTW: Habe vergeblich versucht eine IKEv2 Verbindung aufzubauen, leider ohne Erfolg. Gibt es da ein Best practice mit Lancom Gegenstelle oder so?

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

im Lancom müssen Sie die Lifetime anpassen. Diese ist per default auf 108.000 Sekunden. In der Securepoint ist jedoch max. 86400 also 24 Stunden einstellbar. Laut dem Lancom Support soll in Phase 1 und Phase 2 unterschiedlich sein. So würde ich die default Werte in der Securepoint empfehlen. Phase 1 eine Stunde und Phase 2 8 Stunden. Weiterhin wkann es helfen im Lancom eine eigene Verschlüsselung anzulegen wobei auch nur eine Hinterlegt wird. In der Securepoint dementsprechend das gleiche eintragen und Srtrict in Phase 1 unter IKE aktivieren. Neustart nach abbruch in der Phase 2 kommt der Lancom häufig nicht mit klar.

Zusätzlich können Sie prüfen ob die Uhrzeiten auf beiden Geräten Synchron sind. In der Securepoint gibt es den Dienst NTPD.

Gruß Björn

Antworten