IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Franz
Beiträge: 280
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

IPSec S2S mit IKE v2 - Die Verbindung wird im Abstand von 10 Sekunden ständig neu aufgebaut

Beitrag von Franz »

Bei VPN-S2S-Verbindungen, die mit IKE v2 in Phase 1 betrieben werden, kommt es ab dem ersten Erneuern der SA zu ständigem Neuaufbau der Verbindung im Abstand von 10 Sekunden. Das führt natürlich zu unnötiger Systembelastung.
Dieser Effekt tritt bei S2S-Verbindungen von SP UTM zu MS Azure als Gegenstelle nicht auf. Hier laufen diese Verbindungen bei unseren Kunden störungsfrei.
 
Hat jemand hier Ähnliches bemerkt?

Gruß

Franz

kennethj
Beiträge: 313
Registriert: Di 25.04.2017, 10:17

Beitrag von kennethj »

Hallo,

welche Seite initiert die Verbindung? Bei IKEv2 habe ich immernur eine Seite initieren lassen und habe damit sehr gute Erfahrungen gemacht.

Gruß

Franz
Beiträge: 280
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Kenneth,
 
ja, wenn nur eine Seite initiiert, dann tritt der Effekt nicht auf!
 
Aber wenn ich dann den IPSec-Dienst beim Responder mal neu starten muss, bekommt der Initiator das mitgeteilt, er sieht dann die Verbindung als beendet an und baut sie anschließend nicht selbständig neu auf.
Man muss dann erst beim Initiator den Verbindungsaufbau manuell auslösen, oder dort den IPSec-Dienst bzw. die ganze UTM neu starten.
 
Gruß
 
Franz

Franz
Beiträge: 280
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ergänzung:
Nach einem Neustart der Responder-UTM (z.B. wegen Firmwareupdate etc.) baut der Initiator die Verbindung nicht neu auf (vermutlich, weil ihm ja mitgeteilt wurde, dass die Verbindung zu beenden ist).
Auch hier hilft nur manuelles Initiieren oder IPSec-Dienst-Neustart beim Initiator.
 
Bei IKE v1 hatte ich deswegen in den Fällen damit beholfen, beide Seiten auf „Outgoing“ (Initiator) zu stellt. Bei IKE v2 führt das jedoch anscheinend zu dem genannten Problem.

Franz
Beiträge: 280
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ergänzung 2:
Wenn die UTM Responder (Incoming) für mehrere dieser IPSec-Verbindungen mit IKE v2 ist, kommt es auch wieder zum ständigen Neuaufbau der Verbindungen.

Benutzeravatar
Mario
Securepoint
Beiträge: 242
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Sind denn die IPSEC-Secrets auf beiden Seiten korrekt hinterlegt?

Oder gibt es mehrere IPSEC-Tunnel, die theoretisch alles annehmen koennen? Beobachten Sie bitte das Log. Welche Gegenstelle landet an welchem Tunnel?
Rise from your grave!

Franz
Beiträge: 280
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Mario,
 
die Authentifizierung erfolgt über Zertifikate!
 
Nein, im vorliegenden Fall gibt es nur einen Tunnel, der alles annehmen könnte.
Die Gegenstellen landen im richtigen Tunnel.
 
Außerdem habe ich bemerkt, dass Verbindungsabbrüche anscheinend nicht oder nicht zuverlässig erkannt werden. Wenn ich beispielsweise den Internetzugang der UTM durch abziehen des Netzwerksteckers unterbreche, wird die VPN-Verbindung auf beiden weiterhin (auch noch nach einigen Minuten) als verbunden angezeigt.

Gruß

Franz

Benutzeravatar
Mario
Securepoint
Beiträge: 242
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Doppeltes NAT?
Rise from your grave!

Franz
Beiträge: 280
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Mario,

das ist momentan noch ein Versuchsaufbau mit 3 UTM ohne NAT!
Die WAN-Anschlüsse der 3 UTM sind an einem Switch angeschlossen.

Beim Kunden möchte ich das erst in Betrieb nehmen, wenn ich sicher bin, dass es ordnungsgemäß funktioniert.

Mit freundlichem Gruß

Franz Grimm

Benutzeravatar
Mario
Securepoint
Beiträge: 242
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Spricht etwas dagegen, IKEv1 zu probieren? Sonst schlage ich vor, ein Supportticket bei uns zu eroeffnen. Dann koennen wir uns das einmal anschauen.
Rise from your grave!

Franz
Beiträge: 280
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

IKE v2 ist Stand der Technik. Inzwischen kommen vermehrt Anwendungsfälle auf uns zu, in denen IKE v2 gewünscht wird.
 
Am 23.03.2018 hatte ich schon einmal ein Ticket zu diesem Thema eröffnet.
Das Ticket wurde am 18.12.2018 geschlossen, ohne dass eine Lösung mitgeteilt wurde.
 
Am 11.01.2020 habe ich nun nochmal ein neues Ticket eröffnet. ;)

Franz
Beiträge: 280
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Aktuelle Erkenntnisse:
  1. Auf der Seite des Responders in Phase 2 „Neustart nach Abbruch“ auf „Nein“ stellen. Wenn beide Seiten die Verbindung initiieren können, muss hier auf beiden Seiten „Nein“ eingestellt werden. Dann kommt es nicht mehr zu den ständigen Neustarts der Verbindung.
  2. Wenn der Responder neu gestartet oder die WAN-Verbindung (mit anschließendem IP-Wechsel) getrennt wird, wird die Verbindung nicht wiederaufgebaut. In der Weboberfläche auf der Initiator-Seite wird die Verbindung dann als aufgebaut und auf der Responder-Seite als getrennt angezeigt. Im Unterschied dazu wird bei IKEv1 die Verbindung in diesen Fällen als getrennt angezeigt.

Antworten