IPSec VPN Abbruch bei IKE Rekeying (Funkwerk R1200 und NCP Client)
Hallo,
ich habe folgendes Problem:
Ein dynamischer IPSec-Client (Funkwerk/NCP-Client) baut einen IPSec-Tunnel zu einem Funkwerk R1200 auf.
Verbindungsaufbau, Datentransfer perfekt.
Das einzige Problem, was ich habe ist, dass die Verbindung nach einer bestimmten Zeit abbricht.
Anhand der Zeit und den Logs konnte ich feststellen, dass das Problem im IKE Rekeying besteht.
IPSec-Rekeying funktioniert perfekt.
Doch nach Ablauf der IKE-Lifetime sendet einer der Gegenstellen einen Delete Payload für die IKE SA.
Ich komme nicht dahinter, warum kein sauberes Rekeying stattfindet. Es lässt sich auch in der Log kein Fehler finden, der mir besagt, dass das Rekeying fehlgeschlagen ist.
Ich habe das Problem jetzt temporär umgangen, indem ich die IKE-Lifetime auf einen Tag hochgesetzt habe, aber das ist ja auch nicht die saubere Lösung.
Hier die IKE-Parameter:
Proposal: Blowfish/MD5
Lifetime: Test mit 15 min (Nun temporär 1 Tag)
Auth: PSK
Alive-Check: DPD
DH-Gruppe: 2 (1024)
Mode: aggressive (DynDNS beide Seiten)
NAT-T ist an
Ich bin für jede Hilfe dankbar.
ich habe folgendes Problem:
Ein dynamischer IPSec-Client (Funkwerk/NCP-Client) baut einen IPSec-Tunnel zu einem Funkwerk R1200 auf.
Verbindungsaufbau, Datentransfer perfekt.
Das einzige Problem, was ich habe ist, dass die Verbindung nach einer bestimmten Zeit abbricht.
Anhand der Zeit und den Logs konnte ich feststellen, dass das Problem im IKE Rekeying besteht.
IPSec-Rekeying funktioniert perfekt.
Doch nach Ablauf der IKE-Lifetime sendet einer der Gegenstellen einen Delete Payload für die IKE SA.
Ich komme nicht dahinter, warum kein sauberes Rekeying stattfindet. Es lässt sich auch in der Log kein Fehler finden, der mir besagt, dass das Rekeying fehlgeschlagen ist.
Ich habe das Problem jetzt temporär umgangen, indem ich die IKE-Lifetime auf einen Tag hochgesetzt habe, aber das ist ja auch nicht die saubere Lösung.
Hier die IKE-Parameter:
Proposal: Blowfish/MD5
Lifetime: Test mit 15 min (Nun temporär 1 Tag)
Auth: PSK
Alive-Check: DPD
DH-Gruppe: 2 (1024)
Mode: aggressive (DynDNS beide Seiten)
NAT-T ist an
Ich bin für jede Hilfe dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 105377
Url: https://administrator.de/contentid/105377
Ausgedruckt am: 14.11.2024 um 09:11 Uhr
1 Kommentar
Hallo moqui,
deaktiviere mal DPD, zumindest darf der Router kein DPD verlangen.
Grüße, Steffen
deaktiviere mal DPD, zumindest darf der Router kein DPD verlangen.
Grüße, Steffen