4
Key-Lifetimes in Phase 1 und Phase 2 bei IPsec-Tunneln
Hallo in die Runde,
kennt sich jemand mit den Key-Lifetimes in Phase 1 und Phase 2 bei "IPsec" aus?
Mir sagte ein Kollege, dass man bei der Konfiguration von IPsec-VPNs darauf achten sollte,
dass die Key-Lifetime in Phase 2 deutlich größer sein sollte als die in Phase 1,
aber dass diese kein Vielfaches der Key-Lifetime von Phase 1 sein sollte.
Beispiel 1, das nach Meinung meines Kollegen richtig ist:
Key-Lifetime in Phase 1 = 3600 Sekunden
Key-Lifetime in Phase 2 = 7000 Sekunden
Beispiel 2, das nach Meinung meines Kollegen falsch ist:
Key-Lifetime in Phase 1 = 3600 Sekunden
Key-Lifetime in Phase 2 = 7200 Sekunden
In Beispiel 2 ist die Key-Lifetime also 2 x 3600 Sekunden = 7200 Sekunden,
also ein Vielfaches. Das würde nach Meinung meines Kollegen dazu führen,
dass es zu unerwarteten Abbrüchen des VPN-Tunnels kommen kann.
Stimmt es, dass es dann zu Abbrüchen des VPN-Tunnels aufgrund der konfigurierten
Key-Lifetimes kommen kann? Kann da jemand etwas zu sagen?
Danke vorab.
Datax
kennt sich jemand mit den Key-Lifetimes in Phase 1 und Phase 2 bei "IPsec" aus?
Mir sagte ein Kollege, dass man bei der Konfiguration von IPsec-VPNs darauf achten sollte,
dass die Key-Lifetime in Phase 2 deutlich größer sein sollte als die in Phase 1,
aber dass diese kein Vielfaches der Key-Lifetime von Phase 1 sein sollte.
Beispiel 1, das nach Meinung meines Kollegen richtig ist:
Key-Lifetime in Phase 1 = 3600 Sekunden
Key-Lifetime in Phase 2 = 7000 Sekunden
Beispiel 2, das nach Meinung meines Kollegen falsch ist:
Key-Lifetime in Phase 1 = 3600 Sekunden
Key-Lifetime in Phase 2 = 7200 Sekunden
In Beispiel 2 ist die Key-Lifetime also 2 x 3600 Sekunden = 7200 Sekunden,
also ein Vielfaches. Das würde nach Meinung meines Kollegen dazu führen,
dass es zu unerwarteten Abbrüchen des VPN-Tunnels kommen kann.
Stimmt es, dass es dann zu Abbrüchen des VPN-Tunnels aufgrund der konfigurierten
Key-Lifetimes kommen kann? Kann da jemand etwas zu sagen?
Danke vorab.
Datax
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 53885945941
Url: https://administrator.de/contentid/53885945941
Printed on: April 28, 2024 at 07:04 o'clock
4 Comments
Latest comment
Der Kollege hat Unrecht, denn die P2 benötigt die P1 als Unterbau. Es wäre also sinnfrei deren Lifetime kürzer zu machen. Die Praxis der unterschiedlichen Hersteller spricht da auch eine recht deutliche Sprache bei den verwendeten Default Werten.
Bei IKEv1 sollte man also darauf achten das die Lifetimes beider Tunnelenden identisch sind. Bei IKEv2 ist das anders, da kümmert sich jede Seite unabhängig um ihre Lifetime. RFC lesen für die Details hilft hier anstatt wirr rumzuraten.
Leider bist du bei deinem Thread sehr diesbezüglich etwas oberflächlich ob es bei deiner Frage um IKE Version 1 oder 2 geht.
Zumindestens für 1 hat der Kollege es genau falsch rum gemacht. Bei v2 behält man aber auch grundsätzlich bei das P1 länger ist als P2. Nur das eben die Lifetime Gleichheit nicht mehr zwingend erforderlich ist.
Bei IKEv1 sollte man also darauf achten das die Lifetimes beider Tunnelenden identisch sind. Bei IKEv2 ist das anders, da kümmert sich jede Seite unabhängig um ihre Lifetime. RFC lesen für die Details hilft hier anstatt wirr rumzuraten.
Leider bist du bei deinem Thread sehr diesbezüglich etwas oberflächlich ob es bei deiner Frage um IKE Version 1 oder 2 geht.
Zumindestens für 1 hat der Kollege es genau falsch rum gemacht. Bei v2 behält man aber auch grundsätzlich bei das P1 länger ist als P2. Nur das eben die Lifetime Gleichheit nicht mehr zwingend erforderlich ist.
1
Hier noch ein interessantes Dokument von Netgate (PfSense) zu dem Thema:
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec-duplica ...
Dort wird empfohlen, die Lifetimes auf beiden Seiten verschieden einzustellen um duplizierte Einträge der Phase 1 oder 2 zu vermeiden, die auftreten können, wenn beide Seiten exakt gleichzeitig aushandeln.
Habe das vor einiger Zeit mal getestet, als ich Probleme mit der Renegotiation hatte und keine negativen Auswirkungen festgestellt. (Auch mit PfSense --- VPN --- Fritzbox )
Häufig liest man, dass diese Settings für Phase 1 und Phase 2 auf beiden Seiten identisch sein müssen, da sonst keine Verbindung zustandekommt. Das ist aber eine Fehlannahme und definitiv nicht der Fall.
Gruß
Buc
https://docs.netgate.com/pfsense/en/latest/troubleshooting/ipsec-duplica ...
Dort wird empfohlen, die Lifetimes auf beiden Seiten verschieden einzustellen um duplizierte Einträge der Phase 1 oder 2 zu vermeiden, die auftreten können, wenn beide Seiten exakt gleichzeitig aushandeln.
Habe das vor einiger Zeit mal getestet, als ich Probleme mit der Renegotiation hatte und keine negativen Auswirkungen festgestellt. (Auch mit PfSense --- VPN --- Fritzbox )
Häufig liest man, dass diese Settings für Phase 1 und Phase 2 auf beiden Seiten identisch sein müssen, da sonst keine Verbindung zustandekommt. Das ist aber eine Fehlannahme und definitiv nicht der Fall.
Gruß
Buc
Als Beispiel einmal die üblichen Default Werte...
Cisco IOS
Phase 1 = 86400 Sec = 24 Std = 1 Tag
Phase 2 = 3600 Sec = 1 Std
pfSense, OPNsense
Phase 1 = 28800 Sec = 8 Std
Phase 2 = 3600 Sec = 1 Std
Mikrotik
Phase 1 = 86400 Sec = 24 Std= 1 Tag (1d 00:00:00)
Phase 2 = 1800 Sec = 30 Min (00:30:00)
Sophos
Phase 1 = 7800 Sec = 130 Min = 2 Std. 10 Min (02:10:00)
Phase 2 = 3600 Sec = 1 Std.
Meraki
Phase 1 = 28800 Sec = 8 Std.
Phase 2 = 28800 Sec = 8 Std.
https://documentation.meraki.com/MX/Site-to-site_VPN/IPsec_VPN_Lifetimes
Cisco IOS
Phase 1 = 86400 Sec = 24 Std = 1 Tag
Phase 2 = 3600 Sec = 1 Std
pfSense, OPNsense
Phase 1 = 28800 Sec = 8 Std
Phase 2 = 3600 Sec = 1 Std
Mikrotik
Phase 1 = 86400 Sec = 24 Std= 1 Tag (1d 00:00:00)
Phase 2 = 1800 Sec = 30 Min (00:30:00)
Sophos
Phase 1 = 7800 Sec = 130 Min = 2 Std. 10 Min (02:10:00)
Phase 2 = 3600 Sec = 1 Std.
Meraki
Phase 1 = 28800 Sec = 8 Std.
Phase 2 = 28800 Sec = 8 Std.
https://documentation.meraki.com/MX/Site-to-site_VPN/IPsec_VPN_Lifetimes
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
