IPsec Tunnel plötzlich ohne Traffic
Moin zusammen ...
... einer unserer seit einiger Zeit laufenden Tunnel zwischen einer pfSense und einer USG-PRO4 stellte heute im Laufe des Vormittags plötzlich seine Funktion ein.
Aber auch nur der eine von rund einem Dutzend.
Auf der pfSense war der Tunnel noch als established zu sehen.
In den Logs war davon allerdings nicht erkennbar.
Dort steht nur im 10-sekündigen Rhythmus:
In der Phase 2 sehe ich auf der pfSense das nix an Daten ankommt. (Bytes-In: 0)
Auf der pfSense-Seite brachte ein Neustart des Tunnels keine Änderung. Ebenso nicht ein Neustart des IPsec-Dienstes.
Habe dann beide Maschinen mal rebootet. Keine Änderung.
Alle Tunnel auf der pfSense stehen sofort wieder und sind funktionell.
Nur dieser eine nicht, obwohl als "established" angezeigt.
Mir fehlt allerdings gerade der Hintergrund, wo man auf der pfSense und/oder der USG noch weiter forschen kann.
Vielleicht hat ja jmd. eine rettende Idee, bevor ich hier im Haus die USG heute Abend mal testweise gegen eine pfSense austauschen kann.
greetz
Der Rico
... einer unserer seit einiger Zeit laufenden Tunnel zwischen einer pfSense und einer USG-PRO4 stellte heute im Laufe des Vormittags plötzlich seine Funktion ein.
Aber auch nur der eine von rund einem Dutzend.
Auf der pfSense war der Tunnel noch als established zu sehen.
In den Logs war davon allerdings nicht erkennbar.
Dort steht nur im 10-sekündigen Rhythmus:
ul 12 15:10:07 charon 09[NET] <con15|43> sending packet: from 144.76.123.123[500] to 90.187.234.234[500] (76 bytes)
Jul 12 15:10:07 charon 09[NET] <con15|43> received packet: from 90.187.234.234[500] to 144.76.123.123[500] (76 bytes)
In der Phase 2 sehe ich auf der pfSense das nix an Daten ankommt. (Bytes-In: 0)
Auf der pfSense-Seite brachte ein Neustart des Tunnels keine Änderung. Ebenso nicht ein Neustart des IPsec-Dienstes.
Habe dann beide Maschinen mal rebootet. Keine Änderung.
Alle Tunnel auf der pfSense stehen sofort wieder und sind funktionell.
Nur dieser eine nicht, obwohl als "established" angezeigt.
Mir fehlt allerdings gerade der Hintergrund, wo man auf der pfSense und/oder der USG noch weiter forschen kann.
Vielleicht hat ja jmd. eine rettende Idee, bevor ich hier im Haus die USG heute Abend mal testweise gegen eine pfSense austauschen kann.
greetz
Der Rico
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3321484351
Url: https://administrator.de/contentid/3321484351
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
4 Kommentare
Neuester Kommentar
Hi.
Kann leider nichts zur Lösung beitragen.
Habe aber eine ähnliche Geschichte. Zwei IPSec Tunnel zu Sonicwalls laufen sofort an. Ein Tunnel zu einer anderen, frisch installierten PFSense 2.6.0 will einfach nicht hochkommen.
Das ist bei mir so seit der Version 2.5.0. Bei der 2.4.5 gab es das so nicht.
Wireguard läuft sofort bei der selben PFsense und ohne Mucken an der Stelle.
Da ist die USG aber noch nicht so weit, oder?
Gruß
Marc
Kann leider nichts zur Lösung beitragen.
Habe aber eine ähnliche Geschichte. Zwei IPSec Tunnel zu Sonicwalls laufen sofort an. Ein Tunnel zu einer anderen, frisch installierten PFSense 2.6.0 will einfach nicht hochkommen.
Das ist bei mir so seit der Version 2.5.0. Bei der 2.4.5 gab es das so nicht.
Wireguard läuft sofort bei der selben PFsense und ohne Mucken an der Stelle.
Da ist die USG aber noch nicht so weit, oder?
Gruß
Marc
Vielleicht hat ja jmd. eine rettende Idee, bevor ich hier im Haus die USG heute Abend mal testweise gegen
eine pfSense austauschen kann.
Leider nicht aber schau mal nach was die beide können und haben.eine pfSense austauschen kann.
Wenn beide AES-NI haben dann würde ich via GCM gehen
Wenn beide Intel QAT haben würde das benutzen wollen, das soll der Durchsatz um einiges höher sein.
Dobby
Die 10 sekündigen UDP 500 Frames (ISAKMP) sind sehr wahscheinlch die Peer Keepalives sofern du sie im VPN Setup aktiviert hast was wir leider raten müssen....
Established besagt ja das der Tunnel selber soweit OK ist. Du solltest dir die Firewall Regeln an den LAN und besonders dem virtuellen Tunnel Interfaces ansehen. Dort wird vermutlich irgendetwas geblockt. Blick ins Firewall Blocking Log hilft da auch.
Established besagt ja das der Tunnel selber soweit OK ist. Du solltest dir die Firewall Regeln an den LAN und besonders dem virtuellen Tunnel Interfaces ansehen. Dort wird vermutlich irgendetwas geblockt. Blick ins Firewall Blocking Log hilft da auch.
Wireguard läuft sofort bei der selben PFsense und ohne Mucken an der Stelle.
Kann man ja auch mal mit der USG und der pfSense zusammen versuchen.UBNT Forum
Dobby