datax87
Goto Top

Key-Lifetimes in Phase 1 und Phase 2 bei IPsec-Tunneln

Hallo in die Runde,

kennt sich jemand mit den Key-Lifetimes in Phase 1 und Phase 2 bei "IPsec" aus?

Mir sagte ein Kollege, dass man bei der Konfiguration von IPsec-VPNs darauf achten sollte,
dass die Key-Lifetime in Phase 2 deutlich größer sein sollte als die in Phase 1,
aber dass diese kein Vielfaches der Key-Lifetime von Phase 1 sein sollte.

Beispiel 1, das nach Meinung meines Kollegen richtig ist:
Key-Lifetime in Phase 1 = 3600 Sekunden
Key-Lifetime in Phase 2 = 7000 Sekunden

Beispiel 2, das nach Meinung meines Kollegen falsch ist:
Key-Lifetime in Phase 1 = 3600 Sekunden
Key-Lifetime in Phase 2 = 7200 Sekunden

In Beispiel 2 ist die Key-Lifetime also 2 x 3600 Sekunden = 7200 Sekunden,
also ein Vielfaches. Das würde nach Meinung meines Kollegen dazu führen,
dass es zu unerwarteten Abbrüchen des VPN-Tunnels kommen kann.

Stimmt es, dass es dann zu Abbrüchen des VPN-Tunnels aufgrund der konfigurierten
Key-Lifetimes kommen kann? Kann da jemand etwas zu sagen?

Danke vorab.

Datax

Content-ID: 53885945941

Url: https://administrator.de/contentid/53885945941

Ausgedruckt am: 23.11.2024 um 13:11 Uhr

aqui
aqui 18.08.2023 um 19:39:27 Uhr
Goto Top
Der Kollege hat Unrecht, denn die P2 benötigt die P1 als Unterbau. Es wäre also sinnfrei deren Lifetime kürzer zu machen. Die Praxis der unterschiedlichen Hersteller spricht da auch eine recht deutliche Sprache bei den verwendeten Default Werten.
Bei IKEv1 sollte man also darauf achten das die Lifetimes beider Tunnelenden identisch sind. Bei IKEv2 ist das anders, da kümmert sich jede Seite unabhängig um ihre Lifetime. RFC lesen für die Details hilft hier anstatt wirr rumzuraten.
Leider bist du bei deinem Thread sehr diesbezüglich etwas oberflächlich ob es bei deiner Frage um IKE Version 1 oder 2 geht. face-sad
Zumindestens für 1 hat der Kollege es genau falsch rum gemacht. Bei v2 behält man aber auch grundsätzlich bei das P1 länger ist als P2. Nur das eben die Lifetime Gleichheit nicht mehr zwingend erforderlich ist.
the-buccaneer
the-buccaneer 19.08.2023 um 19:46:22 Uhr
Goto Top
Hier noch ein interessantes Dokument von Netgate (PfSense) zu dem Thema:
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec-duplica ...

Dort wird empfohlen, die Lifetimes auf beiden Seiten verschieden einzustellen um duplizierte Einträge der Phase 1 oder 2 zu vermeiden, die auftreten können, wenn beide Seiten exakt gleichzeitig aushandeln.
Habe das vor einiger Zeit mal getestet, als ich Probleme mit der Renegotiation hatte und keine negativen Auswirkungen festgestellt. (Auch mit PfSense --- VPN --- Fritzbox )

Häufig liest man, dass diese Settings für Phase 1 und Phase 2 auf beiden Seiten identisch sein müssen, da sonst keine Verbindung zustandekommt. Das ist aber eine Fehlannahme und definitiv nicht der Fall.

Gruß
Buc
aqui
aqui 20.08.2023 um 19:57:53 Uhr
Goto Top
Als Beispiel einmal die üblichen Default Werte...

Cisco IOS
Phase 1 = 86400 Sec = 24 Std = 1 Tag
Phase 2 = 3600 Sec = 1 Std

pfSense, OPNsense
Phase 1 = 28800 Sec = 8 Std
Phase 2 = 3600 Sec = 1 Std

Mikrotik
Phase 1 = 86400 Sec = 24 Std= 1 Tag (1d 00:00:00)
Phase 2 = 1800 Sec = 30 Min (00:30:00)

Sophos
Phase 1 = 7800 Sec = 130 Min = 2 Std. 10 Min (02:10:00)
Phase 2 = 3600 Sec = 1 Std.

Meraki
Phase 1 = 28800 Sec = 8 Std.
Phase 2 = 28800 Sec = 8 Std.
https://documentation.meraki.com/MX/Site-to-site_VPN/IPsec_VPN_Lifetimes
aqui
aqui 11.09.2023 um 12:11:25 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!