IPSec-Verbindungen nach Failover (Cluster)
Verfasst: Fr 20.03.2026, 13:14
Meine Standort-Firewalls verbinden sich nicht wieder zuverlässig (oder zum Teil gar nicht) nach einem Failover des Clusters.
Gerne möchte ich meine Konfiguration auf den Prüfstand stellen und hier ggf. nachbessern.
Konfigurationen
Standort X
Phase1
Local Gateway: Beliebiges Interface
Local Gateway ID: xxx.vpn
Remote Host / Gateway: xxx.xxx.de (Domain verweist auf zwei A-Records, TTL 10 (WAN1 u. WAN2 im RZ))
Remote Host / Gateway ID_: xxxx.vpn
Lokale Authentifizierungsmethode: Pre-Shared Key
Pre-Shared Key: xxxxxxxxxxxxxxxxxxxxxxx
Startverhalten: Ausgehend
Dead Peer Detection: EIN
DPD Intervall: 10
Compression: AUS
MOBIKE aktivieren: JA
Kapseln von ESP Paketen in UDP erzwingen: Nein
Phase2
Neustart nach Abbruch: JA
Subnetzkombinationen gruppieren: JA
DHCP: AUS
RZ (Cluster-Betrieb)
Phase1
Local Gateway: Beliebiges Interface
Local Gateway ID: xxxx.vpn
Remote Host / Gateway: Beliebige Gegenstelle
Remote Host / Gateway ID_: xxx.vpn
LOkale Authentifizierungsmethode: Pre-Shared Key
Pre-Shared Key: xxxxxxxxxxxxxxxxxxxxxxx
Startverhalten: Eingehend
Dead Peer Detection: EIN
DPD Intervall: 10
Compression: AUS
MOBIKE aktiviren: JA
Kapseln von ESP Paketen in UDP erzwingen: Nein
Phase2
Neustart nach Abbruch: JA
Subnetzkombinationen gruppieren: JA
DHCP: AUS
Gerne möchte ich meine Konfiguration auf den Prüfstand stellen und hier ggf. nachbessern.
Konfigurationen
Standort X
Phase1
Local Gateway: Beliebiges Interface
Local Gateway ID: xxx.vpn
Remote Host / Gateway: xxx.xxx.de (Domain verweist auf zwei A-Records, TTL 10 (WAN1 u. WAN2 im RZ))
Remote Host / Gateway ID_: xxxx.vpn
Lokale Authentifizierungsmethode: Pre-Shared Key
Pre-Shared Key: xxxxxxxxxxxxxxxxxxxxxxx
Startverhalten: Ausgehend
Dead Peer Detection: EIN
DPD Intervall: 10
Compression: AUS
MOBIKE aktivieren: JA
Kapseln von ESP Paketen in UDP erzwingen: Nein
Phase2
Neustart nach Abbruch: JA
Subnetzkombinationen gruppieren: JA
DHCP: AUS
RZ (Cluster-Betrieb)
Phase1
Local Gateway: Beliebiges Interface
Local Gateway ID: xxxx.vpn
Remote Host / Gateway: Beliebige Gegenstelle
Remote Host / Gateway ID_: xxx.vpn
LOkale Authentifizierungsmethode: Pre-Shared Key
Pre-Shared Key: xxxxxxxxxxxxxxxxxxxxxxx
Startverhalten: Eingehend
Dead Peer Detection: EIN
DPD Intervall: 10
Compression: AUS
MOBIKE aktiviren: JA
Kapseln von ESP Paketen in UDP erzwingen: Nein
Phase2
Neustart nach Abbruch: JA
Subnetzkombinationen gruppieren: JA
DHCP: AUS