IPSec zwischen SLES und Windows Server 2012 R2- Wie IDLE-Timeout erhöhen?
Hallo werte Kollegen,
derzeit bin ich dabei eine vernünftige IPSec-Kommunikation zwischen SLES12 (mit Strongswan) und Server2012 R2 zu konfigurieren.
Das funktioniert prinzipiell auch ganz gut bis auf eine Ausnahme!
Nach exakt 5 Min / 300 Sekunden wird die Child-SA , wenn kein Netzwerkverkehr in der Zeit kam, laut TCPDump, von der Linux-Seite verworfen.
In Windows ist dieses Timeout aber auch auf 300 Sekunden eingestellt.
Man kann dies mit dem Powershell-Befehl "get-NetIpsecQuickModeSA" und der Eigenschaft "IdleDurationSeconds" mit dem Wert "300 Sekunden" entsprechend nachvollziehen.
Bei Strongswan kann man diesen Timeout nach belieben und ohne Probleme einstellen.
Meine Frage: Wie kann ich in Windows diesen Time erhöhen? Oder gar besser: Wie kann ich dafür sorgen dass die Child-SA´s erneut ausgehandelt werden?
Danke und Gruß
derzeit bin ich dabei eine vernünftige IPSec-Kommunikation zwischen SLES12 (mit Strongswan) und Server2012 R2 zu konfigurieren.
Das funktioniert prinzipiell auch ganz gut bis auf eine Ausnahme!
Nach exakt 5 Min / 300 Sekunden wird die Child-SA , wenn kein Netzwerkverkehr in der Zeit kam, laut TCPDump, von der Linux-Seite verworfen.
In Windows ist dieses Timeout aber auch auf 300 Sekunden eingestellt.
Man kann dies mit dem Powershell-Befehl "get-NetIpsecQuickModeSA" und der Eigenschaft "IdleDurationSeconds" mit dem Wert "300 Sekunden" entsprechend nachvollziehen.
Bei Strongswan kann man diesen Timeout nach belieben und ohne Probleme einstellen.
Meine Frage: Wie kann ich in Windows diesen Time erhöhen? Oder gar besser: Wie kann ich dafür sorgen dass die Child-SA´s erneut ausgehandelt werden?
Danke und Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 330643
Url: https://administrator.de/forum/ipsec-zwischen-sles-und-windows-server-2012-r2-wie-idle-timeout-erhoehen-330643.html
Ausgedruckt am: 23.12.2024 um 14:12 Uhr
14 Kommentare
Neuester Kommentar
Was mal spannend wäre wie Windows eine native IPsec Konfig behandelt. Normal kann Windows das nicht, da sie nur L2TP supporten. Obwohl hier schon mehrfach behauptet wurde das mit aktuellen Versionen nun auch native IPsec klappen soll.
Wäre mal interessant wenn du dazu Infos hast.
Deine Timeout Problematik ist in der Tat eine keepalive Problematik oder sehr wahrscheinlich die des Schlüsselprotokolls, das die nicht gleich ist auf beiden Seiten. Ist das der Fall kommt es zu genau diesen Abbrüchen.
Das sind wie du schon vermutest nicht identische Timer Settings.
Wäre mal interessant wenn du dazu Infos hast.
Deine Timeout Problematik ist in der Tat eine keepalive Problematik oder sehr wahrscheinlich die des Schlüsselprotokolls, das die nicht gleich ist auf beiden Seiten. Ist das der Fall kommt es zu genau diesen Abbrüchen.
Das sind wie du schon vermutest nicht identische Timer Settings.
Cool ! Das ist doch mal eine sehr gute Information.
Interessant wäre mal wie du genau den native IPsec Zugriff aus Windows geregelt hast. Ist das rein auf Powershell / Netsh Basis gemacht oder kommt man da auch über das Windows GUI zum Ziel ??
Das wäre mal sehr spannend zu wissen, denn die Anforderung eine native IPsec Verbindung auf VPN Firewalls oder Router zu etablieren kommt hier gefühlte 3mal am Tag und bis dato war ja immer Fakt das MS nur PPTP, SSTP und L2TP kann aber kein native IPsec
Interessant wäre mal wie du genau den native IPsec Zugriff aus Windows geregelt hast. Ist das rein auf Powershell / Netsh Basis gemacht oder kommt man da auch über das Windows GUI zum Ziel ??
Das wäre mal sehr spannend zu wissen, denn die Anforderung eine native IPsec Verbindung auf VPN Firewalls oder Router zu etablieren kommt hier gefühlte 3mal am Tag und bis dato war ja immer Fakt das MS nur PPTP, SSTP und L2TP kann aber kein native IPsec
Sorry für die vermutlich dumme Frage eines Nicht Windows Profis aber ist das gesamte IPsec Handling dann innerhalb des Advanced Firewall Settings zu machen über die neue Connection Security Rule oder spielt da noch ein separater Prozess oder Anwendung rein ?
Sprich macht die Firewall das gesamte VPN Handling ?
Sprich macht die Firewall das gesamte VPN Handling ?