touro411
15.12.2016
view5109
view5
0
Goto Top

IpSec Vpn Verbindungsabbrüche im 10 Minuten Takt

FrageSicherheitFirewall
Hallo zusammen,

seit ca. 3 Wochen habe ich ein ipsec vpn von einer sophos utm Standort 1 zu einer ipfire Standort 2 stehen. Läuft stabil ohne verbindungsabbrüche. Des Weiteren habe ich von Standort 1 ein ipsec vpn zu Standort 3 ipfire stehen. Hier sind ab und zu verbindungsabbrüche zu verzeichnen. Am Sonntag Abend habe ich die ipfire von Standort 3 neugestartet. Danach lief das Vpn weitgehend stabil, nachts 3-4 Abrüche, tagsüber keine. Heute Mittag ab 12 Uhr fingen die Abbrüche im 10 minuten Takt an.

Alle 3 firewalls haengen je hinter einer Fritzbox.

standort 1 und 3 dynamische ip
standort 2 feste ip

zur ipfire Hardware:
Standort 2, Pentium 3, 768 mb Ram
Standort 3 Alix 2d13 cpu 500 mhz, 256 mb Ram

standort 1,2 Vdsl 50
standort 3 Vdsl 25

Wäre es denkbar, dass die schwache hardware an Standort 3 für die Verbindungsabbrüche verantwortlich ist?

Grüße
touro411
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 323917

Url: https://administrator.de/contentid/323917

Ausgedruckt am: 25.11.2024 um 04:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 15.12.2016 aktualisiert um 17:40:56 Uhr
Goto Top
Abbrüche deuten meistens auf inkonsitente Keepalives und Schlüssel Timeout und Rekeying Timern hin !
Da du ein heterogenes IPsec Umfeld hast, hast du das akribisch gebrüft auf beiden Systemen das die überall identisch sind ?
Auch können solche Abbrüche natürlich auch auf VDSL PPPoE Sessionabbrüche direkt im Providerlink basieren. In so fern wäre hier auch das Routerlog sehr wichtig um die Ursache aufzuspüren.

Da du hier aber keinerlei Logauszüge der Firewalls oder Router, geschweige denn irgendwelches Debugging gepostet hast bleibt uns auch nur raten. Eine zielführende Hilfe ist ohne entsprechende Daten (wenigstens dem Log) mehr oder minder freie Raterei face-sad
Ein paar Grundlagen dazu findest du hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
108012
108012 15.12.2016 um 17:49:09 Uhr
Goto Top
Hallo,

Alle 3 firewalls haengen je hinter einer Fritzbox.
Und die ist im Bridge Modus oder macht die auch NAT?

standort 1 und 3 dynamische ip
Und die sind über DynDNS oder was genau konfiguriert?

standort 2 feste ip
Ok

> zur ipfire Hardware:
> Standort 2, Pentium 3, 768 mb Ram
> Standort 3 Alix 2d13 cpu 500 mhz, 256 mb Ram
Naja also ich würde schon versuchen alles auf pfSense zu packen und dann Hardware zu bekommen die
AES-NI Unterstützung bietet, das puscht zwar nicht so wie angepriesen also bis zu dem 5x aber das 3x ist
locker drin rauszuholen.

standort 1,2 Vdsl 50
standort 3 Vdsl 25
Werden die denn irgend wann gedrosselt?
Sind ja keine Businessleitungen oder?

Wäre es denkbar, dass die schwache hardware an Standort 3 für die Verbindungsabbrüche verantwortlich ist?
Denkbar ist da ja alles aber wenn es denn vorher auch immer funktionierte ist das eher Makulatur oder hast Du
gerade Updates oder Upgrades eingespielt.

Gruß
Dobby
touro411
touro411 15.12.2016 um 18:05:16 Uhr
Goto Top
Zitat von @aqui:
Da du ein heterogenes IPsec Umfeld hast, hast du das akribisch gebrüft auf beiden Systemen das die überall identisch sind ?
Ja, haargenau gleich
Auch können solche Abbrüche natürlich auch auf VDSL PPPoE Sessionabbrüche direkt im Providerlink basieren. In so fern wäre hier auch das Routerlog sehr wichtig um die Ursache aufzuspüren.
Das Log von der FB?
Da du hier aber keinerlei Logauszüge der Firewalls oder Router, geschweige denn irgendwelches Debugging gepostet hast bleibt uns auch nur raten. Eine zielführende Hilfe ist ohne entsprechende Daten (wenigstens dem Log) mehr oder minder freie Raterei face-sad

Die IPSec Logs von der IPfire Standort 3 zum Zeitpunkt eines Abbruchs (heute 15:34 Uhr)

15:44:01 charon:  12[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:43:41 charon:  09[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:43:21 charon:  10[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:43:01 charon:  14[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:42:25 charon:  05[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:41:57 charon:  16[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:41:37 charon:  08[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:41:17 charon:  10[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:40:57 charon:  13[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:40:33 charon:  06[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:40:13 charon:  13[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:39:53 charon:  09[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:39:33 charon:  10[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:39:07 charon:  12[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:38:47 charon:  05[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:38:20 charon:  16[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:38:00 charon:  09[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:37:40 charon:  11[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:37:14 charon:  15[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:36:38 charon:  16[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][4500] to [Ext IP Standort1][4500] (92 bytes) 
15:36:38 charon:  16[ENC] generating INFORMATIONAL_V1 request 2844937417 [ HASH N(DPD_ACK) ] 
15:36:38 charon:  16[ENC] parsed INFORMATIONAL_V1 request 2446984692 [ HASH N(DPD) ] 
15:36:38 charon:  16[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (92 bytes) 
15:36:29 charon:  08[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:36:08 charon:  12[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][4500] to [Ext IP Standort1][4500] (92 bytes) 
15:36:08 charon:  12[ENC] generating INFORMATIONAL_V1 request 3898361723 [ HASH N(DPD_ACK) ] 
15:36:08 charon:  12[ENC] parsed INFORMATIONAL_V1 request 3146574097 [ HASH N(DPD) ] 
15:36:08 charon:  12[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (92 bytes) 
15:35:59 charon:  08[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:35:39 charon:  14[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][4500] to [Ext IP Standort1][4500] (92 bytes) 
15:35:39 charon:  14[ENC] generating INFORMATIONAL_V1 request 3114950992 [ HASH N(DPD_ACK) ] 
15:35:39 charon:  14[ENC] parsed INFORMATIONAL_V1 request 2392426527 [ HASH N(DPD) ] 
15:35:39 charon:  14[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (92 bytes) 
15:35:29 charon:  05[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:35:08 charon:  13[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][4500] to [Ext IP Standort1][4500] (92 bytes) 
15:35:08 charon:  13[ENC] generating INFORMATIONAL_V1 request 1488161183 [ HASH N(DPD_ACK) ] 
15:35:08 charon:  13[ENC] parsed INFORMATIONAL_V1 request 905448826 [ HASH N(DPD) ] 
15:35:08 charon:  13[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (92 bytes) 
15:34:59 charon:  15[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:34:38 charon:  07[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][4500] to [Ext IP Standort1][4500] (92 bytes) 
15:34:38 charon:  07[ENC] generating INFORMATIONAL_V1 request 178647926 [ HASH N(DPD_ACK) ] 
15:34:38 charon:  07[ENC] parsed INFORMATIONAL_V1 request 1708287799 [ HASH N(DPD) ] 
15:34:38 charon:  07[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (92 bytes) 
15:34:29 charon:  08[IKE] sending keep alive to [Ext IP Standort1][4500] 
15:34:08 charon:  11[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][4500] to [Ext IP Standort1][4500] (92 bytes) 
15:34:08 charon:  11[ENC] generating INFORMATIONAL_V1 request 1240055267 [ HASH N(DPD_ACK) ] 
15:34:08 charon:  11[ENC] parsed INFORMATIONAL_V1 request 244204555 [ HASH N(DPD) ] 
15:34:08 charon:  11[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (92 bytes) 
15:33:51 charon:  10[IKE] CHILD_SA [VPN Name1]{268} established with SPIs c38f0f29_i 8dfbf165_o and TS [Lokales Netz (grünes Netz) Standort 3]/24 === [Lokales Remotenetz (Internal) Standort 1]/24 
15:33:51 charon:  10[IKE] CHILD_SA [VPN Name1]{268} established with SPIs c38f0f29_i 8dfbf165_o and TS [Lokales Netz (grünes Netz) Standort 3]/24 === [Lokales Remotenetz (Internal) Standort 1]/24 
15:33:51 charon:  10[ENC] parsed QUICK_MODE request 1387524555 [ HASH ] 
15:33:51 charon:  10[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (60 bytes) 
15:33:51 charon:  13[IKE] CHILD_SA [VPN Name2]{267} established with SPIs ca16e877_i 633ad8bd_o and TS [Fritzbox IP (Internal) Standort 3]/32 === [Lokales Remotenetz (Internal) Standort 1]/24 
15:33:51 charon:  13[IKE] CHILD_SA [VPN Name2]{267} established with SPIs ca16e877_i 633ad8bd_o and TS [Fritzbox IP (Internal) Standort 3]/32 === [Lokales Remotenetz (Internal) Standort 1]/24 
15:33:51 charon:  13[ENC] parsed QUICK_MODE request 288788029 [ HASH ] 
15:33:51 charon:  13[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (60 bytes) 
15:33:51 charon:  15[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][4500] to [Ext IP Standort1][4500] (172 bytes) 
15:33:51 charon:  15[ENC] generating QUICK_MODE response 1387524555 [ HASH SA No ID ID ] 
15:33:51 charon:  15[ENC] parsed QUICK_MODE request 1387524555 [ HASH SA No ID ID ] 
15:33:51 charon:  15[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (156 bytes) 
15:33:51 charon:  12[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][4500] to [Ext IP Standort1][4500] (172 bytes) 
15:33:51 charon:  12[ENC] generating QUICK_MODE response 288788029 [ HASH SA No ID ID ] 
15:33:51 charon:  12[ENC] parsed QUICK_MODE request 288788029 [ HASH SA No ID ID ] 
15:33:51 charon:  12[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (156 bytes) 
15:33:51 charon:  05[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][4500] to [Ext IP Standort1][4500] (76 bytes) 
15:33:51 charon:  05[ENC] generating ID_PROT response 0 [ ID HASH ] 
15:33:51 charon:  05[IKE] maximum IKE_SA lifetime 7016s 
15:33:51 charon:  05[IKE] scheduling reauthentication in 6476s 
15:33:51 charon:  05[IKE] IKE_SA [VPN Name1][110] established between [WAN IP (priv. ip) Ipfire Standort 3][[dyndns.standort1.tld]]...[Ext IP Standort1][[Sophos UTM External IP (priv. IP)]] 
15:33:51 charon:  05[IKE] IKE_SA [VPN Name1][110] established between [WAN IP (priv. ip) Ipfire Standort 3][[dyndns.standort1.tld]]...[Ext IP Standort1][[Sophos UTM External IP (priv. IP)]] 
15:33:51 charon:  05[CFG] selected peer config "[VPN Name1]"   
15:33:51 charon:  05[CFG] looking for pre-shared key peer configs matching [WAN IP (priv. ip) Ipfire Standort 3]...[Ext IP Standort1][[Sophos UTM External IP (priv. IP)]] 
15:33:51 charon:  05[ENC] parsed ID_PROT request 0 [ ID HASH ] 
15:33:51 charon:  05[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (60 bytes) 
15:33:51 charon:  15[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][500] to [Ext IP Standort1][500] (300 bytes) 
15:33:51 charon:  15[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ] 
15:33:51 charon:  15[IKE] remote host is behind NAT 
15:33:51 charon:  15[IKE] local host is behind NAT, sending keep alives 
15:33:50 charon:  15[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ] 
15:33:50 charon:  15[NET] received packet: from [Ext IP Standort1][500] to [WAN IP (priv. ip) Ipfire Standort 3][500] (284 bytes) 
15:33:50 charon:  10[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][500] to [Ext IP Standort1][500] (156 bytes) 
15:33:50 charon:  10[ENC] generating ID_PROT response 0 [ SA V V V V ] 
15:33:50 charon:  10[IKE] [Ext IP Standort1] is initiating a Main Mode IKE_SA 
15:33:50 charon:  10[IKE] [Ext IP Standort1] is initiating a Main Mode IKE_SA 
15:33:50 charon:  10[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
15:33:50 charon:  10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
15:33:50 charon:  10[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
15:33:50 charon:  10[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID 
15:33:50 charon:  10[IKE] received NAT-T (RFC 3947) vendor ID 
15:33:50 charon:  10[IKE] received DPD vendor ID 
15:33:50 charon:  10[IKE] received XAuth vendor ID 
15:33:50 charon:  10[IKE] received Cisco Unity vendor ID 
15:33:50 charon:  10[IKE] received strongSwan vendor ID 
15:33:50 charon:  10[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V ] 
15:33:50 charon:  10[NET] received packet: from [Ext IP Standort1][500] to [WAN IP (priv. ip) Ipfire Standort 3][500] (256 bytes) 
15:33:33 charon:  05[IKE] deleting IKE_SA [VPN Name1][109] between [WAN IP (priv. ip) Ipfire Standort 3][[dyndns.standort1.tld]]...[Ext IP Standort1][[Sophos UTM External IP (priv. IP)]] 
15:33:33 charon:  05[IKE] deleting IKE_SA [VPN Name1][109] between [WAN IP (priv. ip) Ipfire Standort 3][[dyndns.standort1.tld]]...[Ext IP Standort1][[Sophos UTM External IP (priv. IP)]] 
15:33:33 charon:  05[IKE] received DELETE for IKE_SA [VPN Name1][109] 
15:33:33 charon:  05[ENC] parsed INFORMATIONAL_V1 request 2957460078 [ HASH D ] 
15:33:33 charon:  05[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (76 bytes) 
15:33:32 charon:  09[IKE] closing CHILD_SA [VPN Name2]{266} with SPIs c45fe150_i (0 bytes) 0045ef28_o (0 bytes) and TS [Fritzbox IP (Internal) Standort 3]/32 === [Lokales Remotenetz (Internal) Standort 1]/24 
15:33:32 charon:  09[IKE] closing CHILD_SA [VPN Name2]{266} with SPIs c45fe150_i (0 bytes) 0045ef28_o (0 bytes) and TS [Fritzbox IP (Internal) Standort 3]/32 === [Lokales Remotenetz (Internal) Standort 1]/24 
15:33:32 charon:  09[IKE] received DELETE for ESP CHILD_SA with SPI 0045ef28 
15:33:32 charon:  09[ENC] parsed INFORMATIONAL_V1 request 1890373046 [ HASH D ] 
15:33:32 charon:  09[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (76 bytes) 
15:33:29 charon:  16[ENC] parsed INFORMATIONAL_V1 request 1736105192 [ HASH N(DPD_ACK) ] 
15:33:29 charon:  16[NET] received packet: from [Ext IP Standort1][4500] to [WAN IP (priv. ip) Ipfire Standort 3][4500] (92 bytes) 
15:33:29 charon:  07[NET] sending packet: from [WAN IP (priv. ip) Ipfire Standort 3][4500] to [Ext IP Standort1][4500] (92 bytes) 
15:33:29 charon:  07[ENC] generating INFORMATIONAL_V1 request 2138384441 [ HASH N(DPD) ] 
15:33:29 charon:  07[IKE] sending DPD request 
15:33:19 charon:  14[IKE] sending keep alive to [Ext IP Standort1][4500]
touro411
touro411 15.12.2016 um 18:10:34 Uhr
Goto Top
Und die ist im Bridge Modus oder macht die auch NAT?
die machen alle auch NAT

Und die sind über DynDNS oder was genau konfiguriert?
Ja, genau

Die Hardware an Standort 2 soll demnächst erneuert werden, ist ja schon fast museumsreif... face-smile

hast Du gerade Updates oder Upgrades eingespielt.

FB und Ipfire seit inbetriebnahme nicht geändert/aktualisiert...
Vision2015
Vision2015 15.12.2016 um 18:23:38 Uhr
Goto Top
Zitat von @108012:

standort 1,2 Vdsl 50
standort 3 Vdsl 25
Werden die denn irgend wann gedrosselt?
Sind ja keine Businessleitungen oder?

seit wann werden VDSLér gedroselt ?

Gruß
Dobby
Frank
FrageSicherheitFirewall
Mehr von touro411touro411DynDNS Tp-Link Archer VR2100v, All-Inkltouro411 - 1 Kommentartouro411Windows Anmeldemaske verzögern, Anmeldung verzögerntouro411 - 10 Kommentaretouro411Partnerbeziehungen in Microsoft 365, Zugriffsrechte des Handelspartnerstouro411 - 2 Kommentaretouro411Terminalserver, bestimmte Tastenkombinationen auf Host umleitentouro411
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 15 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 Kommentare