134309
Jun 28, 2018
2541
4
0
IPSec Site-to-Site Phase 2 mehrfach
Guten Tag Admins,
ich stehe aktuell vor einem etwas unerklärlichen Problem.
Wir haben mehrere Niederlassungen mit jeweils einer Digitalisierungsbox Smart. Diese wählen sich ins Rechenzentrum per IPSec auf eine pfSense ein. Dies funktioniert auch einwandfrei. Allerdings bereitet uns eine NL gerade Kopfzerbrechen.
Das gennante Problemkind baut sporadisch, ohne erkennbaren Auslöser, eine zweite Phase 2 auf. Somit ist die ganze NL lahmgelegt bis ein Admin in der pfSense die Phase 2 mit “weniger Datenverkehr” abbaut.
Gibt es hierfür einen Schalter der nur eine Phase 2 zulässt?
ich stehe aktuell vor einem etwas unerklärlichen Problem.
Wir haben mehrere Niederlassungen mit jeweils einer Digitalisierungsbox Smart. Diese wählen sich ins Rechenzentrum per IPSec auf eine pfSense ein. Dies funktioniert auch einwandfrei. Allerdings bereitet uns eine NL gerade Kopfzerbrechen.
Das gennante Problemkind baut sporadisch, ohne erkennbaren Auslöser, eine zweite Phase 2 auf. Somit ist die ganze NL lahmgelegt bis ein Admin in der pfSense die Phase 2 mit “weniger Datenverkehr” abbaut.
Gibt es hierfür einen Schalter der nur eine Phase 2 zulässt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 378507
Url: https://administrator.de/contentid/378507
Printed on: April 26, 2024 at 04:04 o'clock
4 Comments
Latest comment
Nein !
Bitte lies die Grundlagen zu IPsec dann weisst du auch warum !
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Der Fehler liegt in der IPsec VPN Konfig der DigiBox bei dieser Niederlassung !
Mit an Sicherheit grenzender Wahrscheinlichkeit sind dort noch irgendwelche "Konfig Leichen" vorhanden die diesen Tunnelaufbau triggern.
Hier solltest du die Konfig nochmal genau checken und alles was überflüssig ist entfernen. Das genau diese eine Box sich anders verhält als alle anderen spricht sehr dafür.
Möglich auch das die Box eine alte Firmware hat. Auch hier gilt die Firmware der Digibox auf den aktuellsten Stand zu bringen.
Sollte das nicht helfen dann kommst du nur mit dem pfSense IPsec Log weiter. (Und ggf. auch DigiBox Log sofern die sowas hat, was aber zu vermuten ist)
Dort steht ganz klar wer, warum und wann mit welchen Credentials versucht einen IPsec Tunnel zu etablieren. Sinn macht hier insbesondere die IPsec Tunnelinfos auf dem Dashboard der pfSense zu aktivieren zum Check.
DA muss man dann mal genau in die Daten reinsehen um den bösen Buhmann zu identifizieren.
Leider hast du das ja auch nicht gemacht
denn mit den oberflächlichen Daten und rudimentären Problembeschreibung von oben müssen wir zuviel die Glaskugel einsetzen wie dir vermutlich wohl auch selber klar ist.
Bitte lies die Grundlagen zu IPsec dann weisst du auch warum !
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Der Fehler liegt in der IPsec VPN Konfig der DigiBox bei dieser Niederlassung !
Mit an Sicherheit grenzender Wahrscheinlichkeit sind dort noch irgendwelche "Konfig Leichen" vorhanden die diesen Tunnelaufbau triggern.
Hier solltest du die Konfig nochmal genau checken und alles was überflüssig ist entfernen. Das genau diese eine Box sich anders verhält als alle anderen spricht sehr dafür.
Möglich auch das die Box eine alte Firmware hat. Auch hier gilt die Firmware der Digibox auf den aktuellsten Stand zu bringen.
Sollte das nicht helfen dann kommst du nur mit dem pfSense IPsec Log weiter. (Und ggf. auch DigiBox Log sofern die sowas hat, was aber zu vermuten ist)
Dort steht ganz klar wer, warum und wann mit welchen Credentials versucht einen IPsec Tunnel zu etablieren. Sinn macht hier insbesondere die IPsec Tunnelinfos auf dem Dashboard der pfSense zu aktivieren zum Check.
DA muss man dann mal genau in die Daten reinsehen um den bösen Buhmann zu identifizieren.
Leider hast du das ja auch nicht gemacht
denn mit den oberflächlichen Daten und rudimentären Problembeschreibung von oben müssen wir zuviel die Glaskugel einsetzen wie dir vermutlich wohl auch selber klar ist.
Hallo,
die 2. Phase 2 kann durchaus korrekt sein.
In Phase 2 werden Verbindungen zwischen SA ausgehandelt und durchgeführt - und zwar immer zwischen je einer SA auf der einen Tunnelseite und einer anderen SA auf der anderen Tunnelseite.
Wenn es mehrere SAs auf einer Tunnelseite gibt, gibt es auch mehrere Phase 2 - Verbindungen. Das ist beispielsweise der Fall, wenn mehrere Ziel-Subnetze verwendet werden.
Beispiel:
Standort 1 192.168.10.0/24 nach Standort 2 192.168.20.0/24 und 192.168.30.0/24
sobald ein Paket von Standort 1 nach 192.168.20.0/24 gesendet wird, wird die erste Phase 2 Verbindung aufgebaut. sendet man dann ein Pakte von Standort 1 nach 192.168.30.0/24 wird eine 2. Phase 2 Verbindung erzeugt.
Das wäre ganz normal. Möglicherweise liegt Dein Problem woanders:
- Routing (Rückrouten)
- Routing-Protokolle
- Standartroute auf VPN und viel Traffic?
- IPSec keep-Alive
- ...
Grüße
lcer
die 2. Phase 2 kann durchaus korrekt sein.
In Phase 2 werden Verbindungen zwischen SA ausgehandelt und durchgeführt - und zwar immer zwischen je einer SA auf der einen Tunnelseite und einer anderen SA auf der anderen Tunnelseite.
Wenn es mehrere SAs auf einer Tunnelseite gibt, gibt es auch mehrere Phase 2 - Verbindungen. Das ist beispielsweise der Fall, wenn mehrere Ziel-Subnetze verwendet werden.
Beispiel:
Standort 1 192.168.10.0/24 nach Standort 2 192.168.20.0/24 und 192.168.30.0/24
sobald ein Paket von Standort 1 nach 192.168.20.0/24 gesendet wird, wird die erste Phase 2 Verbindung aufgebaut. sendet man dann ein Pakte von Standort 1 nach 192.168.30.0/24 wird eine 2. Phase 2 Verbindung erzeugt.
Das wäre ganz normal. Möglicherweise liegt Dein Problem woanders:
- Routing (Rückrouten)
- Routing-Protokolle
- Standartroute auf VPN und viel Traffic?
- IPSec keep-Alive
- ...
Grüße
lcer
Ich hätte vielleicht dazusagen sollen das ich noch im ersten Lehrjahr bin und nur begrenz wissen über Site to Site und VPN habe.
Es ist in der Digibox tatsächlich ein Update verfügbar. Diese werde ich heute abend einspielen wenn in der NL keiner mehr arbeitet und den Tunnel neu konfigurieren
Es ist in der Digibox tatsächlich ein Update verfügbar. Diese werde ich heute abend einspielen wenn in der NL keiner mehr arbeitet und den Tunnel neu konfigurieren
Das kann man ja alles lernen und nachlesen ! Oder vom Ausbilder oder Berufsschule lernen. Sowas sind ja IT Grundlagen heutzutage.
Dann harren wir mal was das Update bringt. Die Konfig solltest du ebenfalls checken. Siehe Punkte von oben auch des Kollegen @lcer00
Dann harren wir mal was das Update bringt. Die Konfig solltest du ebenfalls checken. Siehe Punkte von oben auch des Kollegen @lcer00
