Securepoint Support Forum

site-t-site vpn-ipsec, 1x fixe ip, 1x variable ip. Die variable ip initiiert ipsec. Funktioniert prächtig - einen Tag lang, dann muß ich ipsec-Dienste neustarten und die Verbindung kommt sofort wieder.
a) warum?
b) kann man den Neustart automatisieren- wie?

Danke für Hinweise!

Wenn es mal wieder nicht geht, klicken Sie doch mal auf "Initiieren" und sagen mir dann, was im Log steht. Ansonsten: Ist die Dead-Peer-Detection auf beiden Seiten an?

Initiieren funktioniert auch. Das Log dazu:
Aug 22 17:27:10 charon: 07[IKE] sending keep alive
Aug 22 17:26:50 kernel: ACCEPT(rule:1) IN=eth1 OUT=eth0 SRC=192.168.175.20 DST=192.168.9.1 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=17405 DF PROTO=TCP SPT=49572 DPT=49000 WINDOW=8192 RES=0x00 SYN URGP=0
Aug 22 17:26:44 kernel: ACCEPT(rule:1) IN=eth1 OUT=eth0 SRC=192.168.175.20 DST=192.168.9.1 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=17396 DF PROTO=TCP SPT=49572 DPT=49000 WINDOW=8192 RES=0x00 SYN URGP=0
Aug 22 17:26:41 kernel: ACCEPT(rule:1) IN=eth1 OUT=eth0 SRC=192.168.175.20 DST=192.168.9.1 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=17392 DF PROTO=TCP SPT=49572 DPT=49000 WINDOW=8192 RES=0x00 SYN URGP=0
Aug 22 17:26:39 named[6486]: success resolving '_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.oz.local/SRV' (in '.'?) after reducing the advertised EDNS UDP packet size to 512 octets
Aug 22 17:26:38 named[6486]: success resolving '_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.oz.local/SRV' (in '.'?) after reducing the advertised EDNS UDP packet size to 512 octets
Aug 22 17:26:35 kernel: ACCEPT(rule:1) IN=eth1 OUT=eth0 SRC=192.168.175.105 DST=192.228.79.201 LEN=117 TOS=0x00 PREC=0x00 TTL=127 ID=5424 PROTO=UDP SPT=62534 DPT=53 LEN=97
Aug 22 17:26:34 charon: 07[IKE] received AUTH_LIFETIME of 2537s, scheduling reauthentication in 1997s
Aug 22 17:26:34 charon: 07[IKE] CHILD_SA saturn.whd.local__GT__oz-ipsec_3{23} established with SPIs c50564bd_i c3c3811d_o and TS 192.168.175.0/24 === 10.194.124.0/24
Aug 22 17:26:34 charon: 07[IKE] CHILD_SA saturn.whd.local__GT__oz-ipsec_3{23} established with SPIs c50564bd_i c3c3811d_o and TS 192.168.175.0/24 === 10.194.124.0/24
Aug 22 17:26:34 charon: 07[IKE] maximum IKE_SA lifetime 3223s
Aug 22 17:26:34 charon: 07[IKE] scheduling reauthentication in 2683s
Aug 22 17:26:34 charon: 07[IKE] IKE_SA saturn.whd.local__GT__oz-ipsec_3[23] established between 192.168.9.200[wddyn.dyndns.info]...217.91.33.110[217.91.33.110]
Aug 22 17:26:34 charon: 07[IKE] IKE_SA saturn.whd.local__GT__oz-ipsec_3[23] established between 192.168.9.200[wddyn.dyndns.info]...217.91.33.110[217.91.33.110]
Aug 22 17:26:33 charon: 07[IKE] authentication of '217.91.33.110' with pre-shared key successful
Aug 22 17:26:33 charon: 16[IKE] establishing CHILD_SA saturn.whd.local__GT__oz-ipsec_3
Aug 22 17:26:33 charon: 16[IKE] establishing CHILD_SA saturn.whd.local__GT__oz-ipsec_3
Aug 22 17:26:33 charon: 16[IKE] authentication of 'wddyn.dyndns.info' (myself) with pre-shared key
Aug 22 17:26:33 charon: 16[IKE] sending cert request for "C=DE, ST=BW, L=FN, O=WD, OU=IT, CN=wd_CA, E=it@dor-is.net"
Aug 22 17:26:33 charon: 16[IKE] received cert request for unknown ca with keyid 48:b7:4d:79:fd:01:99:87:9c:a1:82:28:da:91:3b:a9:7c:7a:16:c7
Aug 22 17:26:33 charon: 16[IKE] local host is behind NAT, sending keep alives
Aug 22 17:26:33 charon: 08[IKE] initiating IKE_SA saturn.whd.local__GT__oz-ipsec_3[23] to 217.91.33.110
Aug 22 17:26:33 charon: 08[IKE] initiating IKE_SA saturn.whd.local__GT__oz-ipsec_3[23] to 217.91.33.110
Aug 22 17:26:33 charon: 13[CFG] received stroke: initiate 'saturn.whd.local__GT__oz-ipsec_3'

Ich möchte die Verbindung aber einfach ohne Bedienung haben. Das ist ja der Sinn einer site2site.
Zur Info: vor der initiierenden etho steht noch eine fritzbox (aber kein problem).

Nochn Tip?

Führen Sie (auf beiden Seiten!) auf der CLI aus: Dann starten Sie den IPSEC-Dienst neu - das sollte helfen.

Edith meint:
Den Verbindungsnamen finden Sie auf der Gegenseite mittels CLI-Befehl "show ipsec" heraus.