Firewall Update funktioniert nicht & IPSEC Dienst

andy · Beitrag von **andy** » Do 21.08.2008, 09:40

Hallo zusammen,

wir hatten die letzten 2 Tage bei einem Kunden von uns das Problem, das morgens die VPN Tunnel nicht liefen. Nach einem Neustart des IPSEC Dienstes liefen wieder alle.
Allerdings ist der Kunde schon ziemlich sauer, da die ca. 70 Außenstellen per VPN angebunden haben.

Daraufhin dachte ich mir ich mal ein Update bzw. prüfe erstmal auf Updates. Da bekomme ich aber die Fehlermeldung "show fwupdate_missing bei der Datenübertragung ist ein Fehler aufgetreten"
Dann ist mir aufgefallen das die DNS Server die eingetragen waren nicht aktuell waren, habe das geändert. Brachte aber beim Update keine Verbesserung.

Proxy ist keiner eingetragen, die FW kommt aber direkt ins Internet. Also Ping, DNS über Netzwerktools funktioniert.

1. Kann ich irgendwie testen ob der Kommunikation zum update Server in Ordnung ist? Auf welchen Server / Port greift die Update funktion zu?
2. Sonst irgendwelche Ideen, Vorschläge ?

Am besten vor morgen früh, wobei ich nciht hoffe das die VPN tunnel wieder nciht starten :?

A. Rietz · Beitrag von **A. Rietz** » Do 21.08.2008, 12:05

Mahlzeit alle zusammen,

ich schließe mich diesem Problem einfach mal an.
In meinem Fall sind beide Appliances auf aktuellem Patch Stand, leider bauen sich die IPSec Tunnel nachts nicht wieder auf.

Nach einem Dienste neustart des IPSec Dienst ist alles wieder ok, bis zum nächsten reconnect.

Grüße
A. Rietz

andy · Beitrag von **andy** » Mo 25.08.2008, 08:55

Hallo!

So das Problem mit den Updates hab ich erstmal behoben. Habe vor Ort per USB Stick auf die neuste Version geflasht.
Seit dem ist das IPSEC Problem nicht mehr aufgetreten. Schaun wir mal.

A. Rietz · Beitrag von **A. Rietz** » Mi 27.08.2008, 09:58

Morgen alle zusammen,

gibt es seitens des Supports noch mehr gemeldete Fälle oder sogar eine Lösung?
Im moment müssen jeden morgen die IPSec Tunnel manuell "angestoßen" werden.

Grüße
A. Rietz

carsten · Beitrag von **carsten** » Mi 27.08.2008, 10:03

Moin,

welche Version (56xx) ist denn auf beiden FW installiert?
Können über den aktuellsten Manager wirklich keine Updates mehr installiert werden?
Handelt es sich um Verbindungen mit dynamischen IPs?

A. Rietz · Beitrag von **A. Rietz** » Mi 27.08.2008, 12:54

Moin auch,

so nun die gewünschten Infos.
Beide SPs sind auf Version 5651.
Sowohl über den Manager als auch über die Console können keine Updates mehr installiert werden.
Es gibt 2 IPSec Tunnel:
Nr 1: Beides Dynamische IPs
Nr 2: Eine Dynamische und eine feste IP
Bis zu dem letzten Update liefen beide IPSec tunnel sehr stabil.

Grüße
A. Rietz

carsten · Beitrag von **carsten** » Do 28.08.2008, 23:13

Moin,

haben Sie schon mal versucht die neuen Funktionen DPD oder DynDNS zu aktivieren? Aktualisiert sich jetzt nämlich die IP wird der Dienst auch auf der Gegenstelle neu gestartet.

carsten · Beitrag von **carsten** » Do 28.08.2008, 23:14

Warum das so ist, kann ich natrülich ohne genau Logdaten nicht sagen

A. Rietz · Beitrag von **A. Rietz** » Fr 29.08.2008, 10:25

Morgen,

sowohl die Dead Peer Detection als auch das DynDns ist aktiviert und funktioniert bis zu dem Patch sehr gut.

Hier nun ein log auszug

Aug 27 18:20:39 name1 IPSEC Server "securepoint.name1.local__GT__securepoint-name2.local_14" #1: ERROR: asynchronous network error report on ppp0 for message to ip1 port 500, complainant ip1: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

Grüße
A. Rietz

carsten · Beitrag von **carsten** » Fr 29.08.2008, 14:50

Moin,

Montag bin ich wieder aus dem Urlaub zurück, dann mal im Support anrufen. Hoffe wir finden eine Lösung!

JUllrich · Beitrag von **JUllrich** » Fr 12.09.2008, 12:13

Gibt's dazu schon eine Lösung seitens des Support? Stehe exakt vor dem gleichen Problem.