Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Franz
Themen-Autor
Beiträge: 276
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Sa 25.01.2020, 21:33

Bei VPN-S2S-Verbindungen, die mit IKE v2 in Phase 1 betrieben werden, kommt es ab dem ersten Erneuern der SA zu ständigem Neuaufbau der Verbindung im Abstand von 10 Sekunden. Das führt natürlich zu unnötiger Systembelastung.
Dieser Effekt tritt bei S2S-Verbindungen von SP UTM zu MS Azure als Gegenstelle nicht auf. Hier laufen diese Verbindungen bei unseren Kunden störungsfrei.
 
Hat jemand hier Ähnliches bemerkt?

Gruß

Franz
 
kennethj
Beiträge: 297
Registriert: Di 25.04.2017, 10:17

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

So 26.01.2020, 13:15

Hallo,

welche Seite initiert die Verbindung? Bei IKEv2 habe ich immernur eine Seite initieren lassen und habe damit sehr gute Erfahrungen gemacht.

Gruß
 
Franz
Themen-Autor
Beiträge: 276
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Mo 27.01.2020, 12:52

Hallo Kenneth,
 
ja, wenn nur eine Seite initiiert, dann tritt der Effekt nicht auf!
 
Aber wenn ich dann den IPSec-Dienst beim Responder mal neu starten muss, bekommt der Initiator das mitgeteilt, er sieht dann die Verbindung als beendet an und baut sie anschließend nicht selbständig neu auf.
Man muss dann erst beim Initiator den Verbindungsaufbau manuell auslösen, oder dort den IPSec-Dienst bzw. die ganze UTM neu starten.
 
Gruß
 
Franz
 
Franz
Themen-Autor
Beiträge: 276
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Di 28.01.2020, 09:17

Ergänzung:
Nach einem Neustart der Responder-UTM (z.B. wegen Firmwareupdate etc.) baut der Initiator die Verbindung nicht neu auf (vermutlich, weil ihm ja mitgeteilt wurde, dass die Verbindung zu beenden ist).
Auch hier hilft nur manuelles Initiieren oder IPSec-Dienst-Neustart beim Initiator.
 
Bei IKE v1 hatte ich deswegen in den Fällen damit beholfen, beide Seiten auf „Outgoing“ (Initiator) zu stellt. Bei IKE v2 führt das jedoch anscheinend zu dem genannten Problem.
 
Franz
Themen-Autor
Beiträge: 276
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Mi 29.01.2020, 09:27

Ergänzung 2:
Wenn die UTM Responder (Incoming) für mehrere dieser IPSec-Verbindungen mit IKE v2 ist, kommt es auch wieder zum ständigen Neuaufbau der Verbindungen.
 
Benutzeravatar
Mario
Securepoint
Beiträge: 188
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Mi 29.01.2020, 10:08

Sind denn die IPSEC-Secrets auf beiden Seiten korrekt hinterlegt?

Oder gibt es mehrere IPSEC-Tunnel, die theoretisch alles annehmen koennen? Beobachten Sie bitte das Log. Welche Gegenstelle landet an welchem Tunnel?
Rise from your grave!
 
Franz
Themen-Autor
Beiträge: 276
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Mi 29.01.2020, 19:22

Hallo Mario,
 
die Authentifizierung erfolgt über Zertifikate!
 
Nein, im vorliegenden Fall gibt es nur einen Tunnel, der alles annehmen könnte.
Die Gegenstellen landen im richtigen Tunnel.
 
Außerdem habe ich bemerkt, dass Verbindungsabbrüche anscheinend nicht oder nicht zuverlässig erkannt werden. Wenn ich beispielsweise den Internetzugang der UTM durch abziehen des Netzwerksteckers unterbreche, wird die VPN-Verbindung auf beiden weiterhin (auch noch nach einigen Minuten) als verbunden angezeigt.

Gruß

Franz
 
Benutzeravatar
Mario
Securepoint
Beiträge: 188
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Do 30.01.2020, 10:01

Doppeltes NAT?
Rise from your grave!
 
Franz
Themen-Autor
Beiträge: 276
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Do 30.01.2020, 15:11

Hallo Mario,

das ist momentan noch ein Versuchsaufbau mit 3 UTM ohne NAT!
Die WAN-Anschlüsse der 3 UTM sind an einem Switch angeschlossen.

Beim Kunden möchte ich das erst in Betrieb nehmen, wenn ich sicher bin, dass es ordnungsgemäß funktioniert.

Mit freundlichem Gruß

Franz Grimm
 
Benutzeravatar
Mario
Securepoint
Beiträge: 188
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Do 30.01.2020, 15:56

Spricht etwas dagegen, IKEv1 zu probieren? Sonst schlage ich vor, ein Supportticket bei uns zu eroeffnen. Dann koennen wir uns das einmal anschauen.
Rise from your grave!
 
Franz
Themen-Autor
Beiträge: 276
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Do 30.01.2020, 16:19

IKE v2 ist Stand der Technik. Inzwischen kommen vermehrt Anwendungsfälle auf uns zu, in denen IKE v2 gewünscht wird.
 
Am 23.03.2018 hatte ich schon einmal ein Ticket zu diesem Thema eröffnet.
Das Ticket wurde am 18.12.2018 geschlossen, ohne dass eine Lösung mitgeteilt wurde.
 
Am 11.01.2020 habe ich nun nochmal ein neues Ticket eröffnet. ;)
 
Franz
Themen-Autor
Beiträge: 276
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Mo 17.02.2020, 22:58

Aktuelle Erkenntnisse:
  1. Auf der Seite des Responders in Phase 2 „Neustart nach Abbruch“ auf „Nein“ stellen. Wenn beide Seiten die Verbindung initiieren können, muss hier auf beiden Seiten „Nein“ eingestellt werden. Dann kommt es nicht mehr zu den ständigen Neustarts der Verbindung.
  2. Wenn der Responder neu gestartet oder die WAN-Verbindung (mit anschließendem IP-Wechsel) getrennt wird, wird die Verbindung nicht wiederaufgebaut. In der Weboberfläche auf der Initiator-Seite wird die Verbindung dann als aufgebaut und auf der Responder-Seite als getrennt angezeigt. Im Unterschied dazu wird bei IKEv1 die Verbindung in diesen Fällen als getrennt angezeigt.

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste