IPsec VPN nach Azure

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
jmld2501
Beiträge: 7
Registriert: Di 31.08.2021, 08:50

IPsec VPN nach Azure

Beitrag von jmld2501 »

Hallo zusammen,
ich versuche gerade eine VPN/IPsec Verbindung nach Azure aufzubauen. Die Verbindung wird in der UTM als "grün" angezeigt. Auf dem Azure Gateway jedoch als nicht verbunden. Es gehen auch keine Daten über die Verbindung.
Laut Protokoll wird die Verbindung aufgebaut:

establishing CHILD_SA Azure

Und dann nach ca. 10 Sekunden wieder verworfen:

deleting IKE_SA Azure_7[670] between

In Phase1 haben ich folgende Werte verwendet:
aes256/sha1/modp1024
Strict
Lifetime 1h
Rekeying unbegrenzt

In Phase2 haben ich folgende Werte verwendet:
aes256
sha2_256
PFS keine
Lebensdauer 8h
neustart = nein

Hat vielleicht jemand bereits ein funktionierende Azure VPN und kann mir die Parameter kurz durchgeben? Dann wüsste ich wenigstens das diese korrekt sind.
Vielen Dank!

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Wie viele SAs haben Sie angelegt?

Fuer die Azure Cloud bei IKEv2 muessen Sie wahrscheinlich alle SAs in einem SA unterbringen. Das klappt nur ueber die CLI.

Beispiel:

ipsec get

ipsec subnet set subnet_id x local_subnet [ "192.168.123.0/24,192.168.213.0/24" ]
... remote_subnet [ "xxx.xxx.xxx.xxx/xx,xxx.xxx.xxx.xxx/xx" ]

In den kommenden Softwareversionen wird das auch ueber die GUI funktionieren.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

jmld2501
Beiträge: 7
Registriert: Di 31.08.2021, 08:50

Beitrag von jmld2501 »

Danke für die Info. Es gibt nur eine SA:

lokal: 192.168.1.0/24 
remote - Azure: 10.100.0.0/16

Somit sollte meine Einstellungen über die GUI reichen?

jmld2501
Beiträge: 7
Registriert: Di 31.08.2021, 08:50

Beitrag von jmld2501 »

Komisch war das es gestern mit den gleichen Einstellungen kurz lief. Ich konnte nach Azure Pings senden, nach dem ich die passenden Firewallregeln für lokal -> Azure eingerichtet hatte. Habe dann auch Azure -> lokal freigeschaltet und dann ging nach 2 erfolgreichen Pings (auch in diese Richtung) keine Daten mehr über die Verbindung... :(

jmld2501
Beiträge: 7
Registriert: Di 31.08.2021, 08:50

Beitrag von jmld2501 »

Noch eine neue Erkenntnis: Nach einem Neustart der UTM kommt die Verbindung zustande und kann genutzt werden. Nach ca. 1 Stunde bricht dies dann aber wieder ab und lässt sich nicht mehr aufbauen.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Dann stimmen die Einstellungen fuer die Proposals nicht. Bitte abgleichen. Die Securepoint aktuell bitte nicht auf Strict konfigurieren!

Im Log koennen Sie sehen, was bei Erstaufbau des Tunnels passiert und welche Proposals gewaehlt werden.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ich hatte auch Probleme mit den IPSec-VPN mit IKEv2 zu Azure.
Die Tunnel bauten sich nur dann korrekt auf, wenn die UTM den Tunnelaufbau initiierte, aber es kam dennoch zu gelegentlichen Störungen.

Der Tipp von Mario, alle Subnet-Paare in einer Phase2-SA unterzubringen, war die Lösung.

Hier mal die Parameter, die inzwischen seit Monaten stabil laufen:


Code: Alles auswählen

Phase 1
IKE Version:			IKEv2
Authentifizierung		Pre-Shared Key
Startverhalten: 		Outgoing (Incoming müsste aber auch gehen)
Dead Peer Detection:  		Aus
Compression:			Aus

Verschlüsselung:  		aes256  
Authentifizierung:   		sha2_256
Diffie-Hellman Group:   	modp 1024
Strict:   			Ein
IKE Lifetime:   		8 Stunden

Phase 2
Verschlüsselung:    		aes256
Authentifizierung:   		sha2_256
DH-Gruppe (PFS):    		modp2048s256
Schlüssel-Lebensdauer:   	4 Stunden
Neustart nach Abbruch:   	Nein

jmld2501
Beiträge: 7
Registriert: Di 31.08.2021, 08:50

Beitrag von jmld2501 »

Vielen Dank für die Parameter und die Rückmeldung! Ich habe dies in meine Verbindung übernommen. Leider habe ich weiterhin das gleich Problem. Die Verbindung kommt nur nach Neustart der ganzen UTM zustande und bricht dann aber auch nach ein paar Stunden wieder ab :-(
Ich denke auch das es mit den SAs zusammen hängen könnte. Wir haben zwar nur eine SA:
[font="Lucida Grande", "Trebuchet MS", Verdana, Helvetica, Arial, sans-serif]lokal: 192.168.1.0/24 [/font]
[font="Lucida Grande", "Trebuchet MS", Verdana, Helvetica, Arial, sans-serif]remote - Azure: 10.100.0.0/16[/font]

Beim Abbruch meldet er aber immer im Log das die SA zwischen 192.168.178.xxx (IP des WAN Interface hinter einer Fritz!Box) "deleted" wird...

Über weitere Idee würde ich mich freuen!

joser19330
Beiträge: 45
Registriert: Do 26.03.2020, 15:08

Beitrag von joser19330 »

Hast du zufällig vor dem "IKE_SA deleted" ein "reauthenticating IKE_SA" und passiert es immer nach 1h also der Zeit die in Phase 1 bestimmt ist? Traffic geht keiner mehr aber in der UTM ist es als Verbunden markiert.
Klingt verdächtig nach demselben Problem was ich auch hatte. 

jmld2501
Beiträge: 7
Registriert: Di 31.08.2021, 08:50

Beitrag von jmld2501 »

Ja, genau. VPN wird immer als grün in der GUI angezeigt, es gehen aber keine Daten durch die Leitung.
Ein "reauthenticating" habe ich nicht im Log. Dort sieht es bei Abbruch wie folgt aus:


<Azure_7|753>  config: 192.168.1.0/24, received: 0.0.0.0/0 => match: 192.168.1.0/24
<Azure_7|753> selecting traffic selectors for other:
<Azure_7|753>  config: 10.100.0.0/24, received: 0.0.0.0/0 => match: 10.100.0.0/24
<Azure_7|753> CHILD_SA Azure_7{1130} established with SPIs c06f8d7a_i 36f8b232_o and TS 192.168.1.0/24 === 10.100.0.0/24
nach ca. 10 - 60 Sekunden:
<Azure_7|752> deleting IKE_SA Azure_7[752] between 192.168.178.240[217.XX.XX.XX]...51.XX.XX.XX[51.XX.XX.XX]


Was hast du gemacht, damit es bei dir lief?

jmld2501
Beiträge: 7
Registriert: Di 31.08.2021, 08:50

Beitrag von jmld2501 »

So, nach langem Suchen habe ich den Fehler gefunden. Auf dem eth2 (Telekom VDSL Anschluss mit fester IP - Fritz!Box) Interface hatte der vorherige Betreuer eine weitere IP-Adresse konfiguriert. Angeblich wegen NAT für eine andere VPN. Habe diese entfernt und nun läuft die Verbindung super!
Zwischen zeitlich hatte ich noch eine Hostroute für die Gegenstelle über das eth2 explizit gesetzt (normale Webtraffic läuft über ein anderes Interface). Dann kam die Verbindung wenigstens auch mal ohne Neustart zustande.
Danke für die Hilfe hier!

Antworten