1
IPSec Tunnel baut nicht auf - ISP Problem?
Hallo Community,
ich bin schon lange stiller Mitleser und Know-How-Zieher. Bin immer wieder überrascht und erfreut zu lesen auf welchem Level hier einige unterwegs sind. Chapeau!
Jetzt habe ich ein Problem bei dem ich nicht weiter weiß bzw. die Antwort unseres Netzwerkpartners mich irritiert.
Folgende Situation:
Branch firewall (Fortigate 60D über WAN1&2 an je einem Speedport in der DMZ. Einwahl übernehmen die Speedports) baut über zwei verschiedene DSL-Leitungen zwei IPSec-Tunnel zu unserer Hauptfirewall (Fortigate 240) im Rechenzentrum auf. Beide Tunnel fallen irgendwann aus (zeitgleich). Branch firewall versucht weiterhin die Tunnel aufzubauen. An der Hauptfirewall kommt nichts an.
Laut Telekom sind beide Leitungen stabil, ein Neustart der Speedports und der branch firewall ist ohne Erfolg.
Im Log der Hauptfirewall steht, dass sie (Fortigate 240) versucht den Tunnel aufzubauen - das ist auch nicht korrekt, da normalerweise unsere branch firewalls den Tunnel initieren.
Ein Power off der Geräte (Firewall 60D, Speedports) für ca. 15 Minuten schafft Abhilfe - der Tunnel wird anschließend wieder aufgebaut.
Davon abgesehen, dass dies nur einmal im Quartal vorkommt und daher keine tiefergehende Analyse finanziell rechtfertigt macht mich die Erklärung unseres Netzwerkpartners stutzig:
Es entzieht sich meinem Verständnis, warum und wie (technisch gesehen) die Infrastruktur der Telekom eine IPSec Session blockt. Nach meinem Verständnis ist es technisch egal in welchem Status irgendwelche Pakete in unserem PPPoE tunnel sind.
Wahrscheinlich ist mein Verständnis nicht tief genug - aber ich komme mit der Erklärung nicht zurecht. Könnt Ihr mir weiterhelfen bzw. mir die technischen Hintergründe erläutern? Oder zumindest einen Hint geben nach was ich suchen muss?
Danke schon einmal
LG
Blubb
ich bin schon lange stiller Mitleser und Know-How-Zieher. Bin immer wieder überrascht und erfreut zu lesen auf welchem Level hier einige unterwegs sind. Chapeau!
Jetzt habe ich ein Problem bei dem ich nicht weiter weiß bzw. die Antwort unseres Netzwerkpartners mich irritiert.
Folgende Situation:
Branch firewall (Fortigate 60D über WAN1&2 an je einem Speedport in der DMZ. Einwahl übernehmen die Speedports) baut über zwei verschiedene DSL-Leitungen zwei IPSec-Tunnel zu unserer Hauptfirewall (Fortigate 240) im Rechenzentrum auf. Beide Tunnel fallen irgendwann aus (zeitgleich). Branch firewall versucht weiterhin die Tunnel aufzubauen. An der Hauptfirewall kommt nichts an.
Laut Telekom sind beide Leitungen stabil, ein Neustart der Speedports und der branch firewall ist ohne Erfolg.
Im Log der Hauptfirewall steht, dass sie (Fortigate 240) versucht den Tunnel aufzubauen - das ist auch nicht korrekt, da normalerweise unsere branch firewalls den Tunnel initieren.
Ein Power off der Geräte (Firewall 60D, Speedports) für ca. 15 Minuten schafft Abhilfe - der Tunnel wird anschließend wieder aufgebaut.
Davon abgesehen, dass dies nur einmal im Quartal vorkommt und daher keine tiefergehende Analyse finanziell rechtfertigt macht mich die Erklärung unseres Netzwerkpartners stutzig:
When the local firewall unexpected disconnected from network, the vpn session is not cleared from ISP network yet.
After it came back, the local firweall started sending requests again to build up tunnel with Central firewall frequently.
Since the session is still there, due to some reason from ISP, all the requests are blocked.
That's why we have seen the requests sending out from local Firewall but not received from Central FW. Es entzieht sich meinem Verständnis, warum und wie (technisch gesehen) die Infrastruktur der Telekom eine IPSec Session blockt. Nach meinem Verständnis ist es technisch egal in welchem Status irgendwelche Pakete in unserem PPPoE tunnel sind.
Wahrscheinlich ist mein Verständnis nicht tief genug - aber ich komme mit der Erklärung nicht zurecht. Könnt Ihr mir weiterhelfen bzw. mir die technischen Hintergründe erläutern? Oder zumindest einen Hint geben nach was ich suchen muss?
Danke schon einmal
LG
Blubb
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 664433
Url: https://administrator.de/contentid/664433
Printed on: April 16, 2024 at 19:04 o'clock
1 Comment
Moin,
ich würde den Netzwerkpartner wechseln. Wenn der meint, dass ein ISP einen VPN-Tunnel oben hält, hat er wohl nichts bzgl. VPN und diesbezügliche Funktionsweisen verstanden.
Dann hast du den Fehler ja schon gefunden und musst deine VPN-Konfigurationen anpassen.
Offensichtlich hast du aktuell auf beiden Seiten Dial-Out konfiguriert. In dem Fall versuchen beide Sites die Tunnel zu initiieren und scheitern dabei, weil es zeitgleich passiert.
Wenn die HQ-Firewall das nicht soll, musst du dort Dial-In konfigurieren, dann wartet diese Firewall auf eingehende Sessions.
Des Weiteren fehlt dir offensichtlich DPD (Dead Peer Detection). Mit der Funktion bauen Firewalls innerhalb der vorgegebenen Zeit automatisch VPN-Tunnel ab, wenn kein Traffic mehr ankommt. Evtl. ist das bei dir auch schon aktiviert, aber mit 15 Minuten zu hoch eingestellt.
VG
Davon abgesehen, dass dies nur einmal im Quartal vorkommt und daher keine tiefergehende Analyse finanziell rechtfertigt macht mich die Erklärung unseres Netzwerkpartners stutzig:
When the local firewall unexpected disconnected from network, the vpn session is not cleared from ISP network yet.
> After it came back, the local firweall started sending requests again to build up tunnel with Central firewall frequently.
> Since the session is still there, due to some reason from ISP, all the requests are blocked.
> That's why we have seen the requests sending out from local Firewall but not received from Central FW. ich würde den Netzwerkpartner wechseln. Wenn der meint, dass ein ISP einen VPN-Tunnel oben hält, hat er wohl nichts bzgl. VPN und diesbezügliche Funktionsweisen verstanden.
Im Log der Hauptfirewall steht, dass sie (Fortigate 240) versucht den Tunnel aufzubauen - das ist auch nicht korrekt, da normalerweise unsere branch firewalls den Tunnel initieren
Dann hast du den Fehler ja schon gefunden und musst deine VPN-Konfigurationen anpassen.
Offensichtlich hast du aktuell auf beiden Seiten Dial-Out konfiguriert. In dem Fall versuchen beide Sites die Tunnel zu initiieren und scheitern dabei, weil es zeitgleich passiert.
Wenn die HQ-Firewall das nicht soll, musst du dort Dial-In konfigurieren, dann wartet diese Firewall auf eingehende Sessions.
Des Weiteren fehlt dir offensichtlich DPD (Dead Peer Detection). Mit der Funktion bauen Firewalls innerhalb der vorgegebenen Zeit automatisch VPN-Tunnel ab, wenn kein Traffic mehr ankommt. Evtl. ist das bei dir auch schon aktiviert, aber mit 15 Minuten zu hoch eingestellt.
VG
