Lancom Router Site to Site Problem mit Außenstellen

Mitglied: mossox

mossox (Level 1) - Jetzt verbinden

02.12.2020 um 16:06 Uhr, 574 Aufrufe, 27 Kommentare, 2 Danke

Guten Tag zusammen,

in der Hauptgeschäftsstelle nutzen wir einen Lancom 1781VA Router und haben i.d.R. zwei gleichzeitige IPSec Site to Site Verbindungen mit den Außenstellen.
In Büro 1 kommt ein Omnia Turris Router hinter einer Fritzbox zum Einsatz. Der Router baut den Tunnel auf und wurde nicht ge-NATed sondern als Exposed Host in der Firtzbox gemapped.
Im Büro 2 steht ein Mikrotik Routerboard, ebenfalls hinter einer Fritzbox. Auch hier baut der Router (Mikrotik ) den Tunnelk auf. Er ist hier allerdings ge-NATed (500, 4500 und ESP) hinter der Fritzbox.

Folgendes Phänomen:

Site to Site Verbindung 1 mit entferntem Büro 1 ist aufgebaut (IKEv1).
Nun baut Büro 2 ebenfalls eine Site to Site Verbindung auf (allerdings über IKEv2).
In diesem Moment wird die erste Site to Site Verbindung scheinbar automatisch beendet.
Wir haben die Standard-VPN Option (5 gleichzeitige Tunnel), wobei gleichzeitig höchstens die beiden vorgenannten aufgebaut sind.

Log:

31 2020-12-02 07:19:03 AUTH Info User S2S-Buero1 logged out
32 2020-12-02 07:19:03 AUTH Hinweis User S2s_Buero2 successfully logged in

Mehr steht nicht drin...
Liegt es vllt. daran, dass beide Standorte unterschiedliche IKE verwenden?

Danke für weiterbringende Überlegungen.
Mitglied: tikayevent
02.12.2020, aktualisiert um 16:40 Uhr
Vorweg: Auch der erste Router läuft über NAT. NAT ist es erst dann nicht, wenn der Router selbst die öffentliche IP am eigenen WAN-Interface hat, was in deinem Fall nicht sein kann. Exposed Host ist nur eine Kombination aus statischem NAT und einer öffenen Firewall.

Hast du eventuell in der Backuptabelle einen Eintrag, der einen oder beide VPN-Gegenstellen beinhaltet?
Gibt es Überschneidungen bei Einträgen in der Routingtabelle?

Nein, an den unterschiedlichen IKE-Versionen liegt es nicht, ich hab hier Router, da sind mehrere Dutzend Gegenstellen gleichzeitig aktiv, im IKEv1- und IKEv2-Mischbetrieb.

Für weitere Logs musst du mal einen vpn-status-Trace anwerfen.
Bitte warten ..
Mitglied: mossox
02.12.2020 um 17:08 Uhr
trace + vpn-status wirft mir alles mit OFF aus:

Ausgaben des Befehls

BGP
BGP-Network OFF
BGP-Connection OFF
BGP-Control OFF
BGP-Adj-RIB-Out OFF
BGP-Adj-RIB-In OFF
BGP-Policy OFF

(...)
Bitte warten ..
Mitglied: tikayevent
02.12.2020 um 19:25 Uhr
tr # vpn-status
Bitte warten ..
Mitglied: itf009
02.12.2020 um 19:35 Uhr
Moin,

Was sagt denn der Lanmonitor ?

Versuch mal das Tracen mit dem Trace-Modul, welches im Lanconfig eingebaut ist.


In der CLI kannst du mit

"trace # vpn-status" zwischen Off und On wechseln, in dem du Enter drückst. Wenn der Router dir Tracedaten in der CLI ausgeben soll, muss ON aktiv sein.

Bsp:

Bitte warten ..
Mitglied: aqui
LÖSUNG 02.12.2020, aktualisiert um 19:40 Uhr
Wenn du auch auf dem Mikrotik mehrere Tunnel aktiv hast geht das nicht mit den Default Settings des Level Parameters in der Policy.
Hier musst du zwingend den Level auf unique setzen sonst bricht der MT immer den Primätunnel ab wenn eine 2te SA aktiv wird. Ggf. ist das die Ursache ?!
mtvpn - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: mossox
02.12.2020, aktualisiert um 21:05 Uhr
aqui:

Danke, ich habe die Einstellung auf "unique" geändert.
Ich habe zwar keine zwei Tunnel, aber 2 installed SA.

Versucht und beide Tunnel bleiben nun bestehen.
unbenannt - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: mossox
03.12.2020, aktualisiert um 10:08 Uhr
Ich habe mal Logs aus der CLI gezogen.

Szenario:

Buero2 trennt die Verbindung zur Hauptstelle, woraufhin sich Buero zugleich wieder verbindet.
In diesem Moment wird der Tunnel des Bueros1 immer sofort gretennt...

Wir haben den Lancom so eingestellt, dass er als Responder fungieren soll und die Tunnel jeweils durch die Außenstellen aufgebaut werden.

Hier das Log:

Bitte warten ..
Mitglied: mossox
03.12.2020, aktualisiert um 10:36 Uhr
Ich traue mich mal ein zweites Mal zu melden, dass das Problem erledigt zu sein scheint.

Für Buero1 war das Remote-Gateway mit 0.0.0.0 im Lancom eingetragen.
Das vertrug sich scheinbar nicht; wir haben hierfür jetzt einen dyn. DNS-Namen gesetzt.
Bitte warten ..
Mitglied: tikayevent
03.12.2020, aktualisiert um 10:54 Uhr
Für Buero1 war das Remote-Gateway mit 0.0.0.0 im Lancom eingetragen.
Das ist kein Problem sondern ganz normal, wenn die Gegenseite die Verbindung aufbauen soll.

Du hast aber eine Fehlkonfiguration drin. Laut dem Trace ist die Verbindung zum Büro1 eine Main-Mode-Verbindung, wird aber mit 0.0.0.0 angegeben. Bei Main-Mode-Verbindungen müssen beide Seiten die IP-Adresse der Gegenseite kennen (es muss die IP sein) oder du musst mit Zertifikaten arbeiten. Ansonsten muss es eine Aggressive Mode-Verbindung oder über IKEv2 realisiert werden (IKEv2 hat den Unterschied Main/Aggressive Mode nicht mehr).
Bitte warten ..
Mitglied: mossox
03.12.2020 um 11:07 Uhr
Wir haben jetzt die Vermutung, dass der Lancom die Routen auf 0.0.0.0 ändert sobald sich Buero2 verbindet.
Kann das sein?

Buero1 kann ggf. am Wochenende auf IKEv2 umgestellt werden.
Bitte warten ..
Mitglied: tikayevent
03.12.2020 um 11:13 Uhr
Entweder ist das ne kräftige Fehlkonfiguration oder dem ist nicht so.

Ich seh oben auch ein physical disconnect. Also die WAN-Verbindung geht verloren. Liegt in der Routingtabelle evtl. eine Default-Route auf dem einen Tunnel?
Bitte warten ..
Mitglied: mossox
03.12.2020 um 11:20 Uhr
Nein, also der physical disconnect kommt daher, dass ich die Verbindung zu Buero2 getrennt habe.
Dies, um einen Reconnect herbei zu führen und zu schauen, ob dabei dann die Verbindung zu Buero1 wieder gekickt wird.
Bitte warten ..
Mitglied: aqui
03.12.2020, aktualisiert um 12:27 Uhr
Ich habe zwar keine zwei Tunnel, aber 2 installed SA.
Das war auch damit gemeint. Sorry wenn das verwirrend rüberkam...
Mit 2 oder mehreren Phase 2 SAs ist der "Level" Parameter unique dann immer zwingend auf dem MT.
Bitte warten ..
Mitglied: tikayevent
03.12.2020 um 13:45 Uhr
Zwei SA sind richtig. Du brauchst eine für den Hinweg und eine für den Rückweg. Man hat doppelt so viele SA wie Netzbeziehungen.
Bitte warten ..
Mitglied: aqui
03.12.2020, aktualisiert um 14:17 Uhr
Das meinst du aber jetzt auf beide Router in Summe bezogen, oder ?? Die P2 SA definiert man ja nur einmal pro Router.
Oben war es aber so gemeint (wenn man den TO richtig versteht) das der TO 2 Netzwerke tunneln will die sich nicht in eine gemeinsame CIDR Maske bringen lassen. Dann braucht er 2 SAs pro Richtung.
Nach deiner Rechnung sind es dann 4 SAs... Dann stimmt es wieder logisch. ;-) face-wink
Bitte warten ..
Mitglied: mossox
03.12.2020 um 14:34 Uhr
Wir wollen Buero1 nun mal auf IKEv2 umstellen, um das ggf. bestehende Problem des Mainmode ausschließen zu können.

Ich bin gerade moch über die Regelerzeugung gestolpert.
Hier ist "automatisch" eingestellt, sowohl beim IKEv1 Peer (buero1) als auch beim IKEv2 Peer (buero2).

Könnte das der Fehler sein?
Also dass da tatsächlich die Route auf 0.0.0.0 gesetzt wird?

Anbei die Routing-Tabelle.
192.168.2.0 ist das lokale Netz von Buero1
192.168.10.0 ist das lokale Netz von Buero2
buero1 - Klicke auf das Bild, um es zu vergrößernbuero2 - Klicke auf das Bild, um es zu vergrößernipv4_routing - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
03.12.2020, aktualisiert um 14:45 Uhr
Könnte das der Fehler sein?
Nein, könnte es nicht !
Eine Firewall Regel und eine IP Route sind bekanntlich zwei gänzlich verschiedene Dinge und haben soviel miteinander zu tun wie ein Fisch mit einem Fahrrad. "Regelerzeugung" spricht ja nun deutlich für eine Firewall "Regel" die die IPsec Protokollkomponenten UDP 500 (IKE) und UDP 4500 (NAT-T) bzw. ESP passieren lässt und eben nicht für eine IP Route. Obwohl diese auch dynamisch erzeugt wird bei IPsec.
Bei IPsec VPN Tunnel sind keine Routen erforderlich ! Die Forwarding Information wird über die Phase 2 SAs automatisch in die Routing Tabelle übertragen.
Kann man auch immer selber sehen wenn man sich bei aktivem Tunnel einfach mal die Routing Tabelle des Systems ansieht. Dadrüber dann sinnfrei konfigurierte statische IP Routen können also nur Probleme bereiten und sind unsinnig.
Bitte warten ..
Mitglied: mossox
03.12.2020 um 15:30 Uhr
Verstehe. Danke für die Aufklärung.
Also können die Routen in der Tabelle gelöscht werden?

bzgl. Firewall - meinst du die srcnat zwischen beiden Netzen?
Im Mikrotik (buero2) ist die mit "accept" konfiguriert.
Ohne konnte kein Ping/ICMP zwischen Außenstelle und Hauptstelle verschickt werden.
Bitte warten ..
Mitglied: aqui
03.12.2020, aktualisiert um 17:03 Uhr
Also können die Routen in der Tabelle gelöscht werden?
Wenn es die Routen zu den VPN Netzen via Tunnel Interface sind ja, denn die sind überflüssig. Da mit statischen Routen "rumzubiegen" macht alles nur noch schlimmer.
Im Mikrotik (buero2) ist die mit "accept" konfiguriert.
Das ist richtig. Die legt MT automatisch an weil es natürlich Unsinn ist im Tunnel selber NAT (Masquerading) zu machen. Dort macht man logischerweise niemals NAT ansonsten wäre das Routing durch die dann aktive NAT Firewall immer eine Einbahnstrasse.
Siehe dazu auch hier:
https://administrator.de/tutorial/ipsec-vpns-einrichten-cisco-mikrotik-p ...
Bitte warten ..
Mitglied: tikayevent
03.12.2020, aktualisiert um 17:14 Uhr
Die dritte, vierte und fünfte Route aus dem Bild sind sogenannte Sperrrouten. Die verhindern, dass beim Zugriff auf eine RFC1918-IP, die es im eigenen Netz nicht gibt, keine Kommunikation über die Defaultroute läuft. Steht aber auch in der Beschreibung dahinter, die abgeschnitten wurde.
Die erste und zweite Route müsste zu VPN-Verbindungen gehören und die letzte ist die Defaultroute.
Bitte warten ..
Mitglied: mossox
03.12.2020 um 17:30 Uhr
Nach Löschen der statischen Routen, konnten keine Verbindungen mehr aufgebaut werden.
Habe ich wieder rückgängig gemacht.

Ich glaube (mal wieder) nun den Fehler gefunden zu haben: die IPv4 Regeln

WIZ-TO-WIZ-ANY wurde beim Anlegen des VPN-Zugangs für Buero2 durch den Assistenten angelegt.
Hier stand bis gerade eben noch 0.0.0.0/0 bei lokale Netzwerke.
Diesen Eintrag habe ich auf 192.168.131.0/255.255.255.0 geändert.
Diese Einstellung hat der VPN-Zugang für Buero1 auch.

Im Trace stand ja irgendwas von wegen, dass die Route auf 0.0.0.0 gesetzt wird.
Vllt. ist es das... erfahre ich aber erst wenn Buero1 später den Tunnel wieder aufbaut und Buero2 dann neu connected.
ipv4_regeln - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
LÖSUNG 03.12.2020 um 18:13 Uhr
"Entferne Netzwerke" hat jetzt aber eine /32 Bit Hostmaske ?! Etwas komisch....
Was meinst du mit "...konnten keine Verbindungen mehr aufgebaut werden." Heisst das es kann kein Tunnel aufgebaut werden ? Der Tunnelaufbau hat mit einer Route nichts zu tun.
Oder meinst du damit lediglich das du remote Endgeräte via VPN dann nicht pingen kannst. Das man zusätzlich zur Phase 2 SA Negotiation noch statische Routen für die VPN Netze eintragen muss gibts bei keinem Hersteller. Es ist ungewöhnlich das Lancom sowas erzwingt...aber nungut. Dann sind die eben anders als der Rest der Welt. ;-) face-wink
Leider ist ja das Bild der v4 Routing Tabelle bei aktivem Tunnel unvollständig da man das Wichtigste, sprich das Gateway, nicht erkennen kann. :-( face-sad
Bitte warten ..
Mitglied: mossox
03.12.2020 um 18:48 Uhr
Ich meinte, dass nach Löschen der statischen Routen keine Tunnel mehr aufgebaut wurden, weder von Buero1 noch von Buero2.

Gateways stehen dort nicht, meinst du statt dessen die Spalte "Router"?
Also bei 192.168.2.0 steht dort der Peer Buero1 und bei bei 192.168.10.0 steht dort der Peer Buero2

Wir wären froh, nicht mehr mit dem Lancom hantieren zu müssen.
Was wir mit diesem Ding schon Ärger hatten...
Bitte warten ..
Mitglied: tikayevent
LÖSUNG 03.12.2020, aktualisiert um 20:14 Uhr
Die Netzwerkregeln muss man nicht beachten, weil die bei "Automatisch" gar nicht beachtet werden. Es ist egal, ob was im Feld eingetragen ist oder nicht. Kannst zur Sicherheit den Eintrag löschen.

Bei der automatischen Regelerzeugung werden die Netzbeziehungen automatisch aus der Routingtabelle (alle Einträge für die jeweilige VPN-Gegenstelle) und den IP-Subnetzen, die das passende ARF-Tag tragen, erzeugt.

Die manuelle Regelerzeugung benötigt man erst, wenn man von einer VPN-Gegenstelle durch die Zentrale zu einer weiteren VPN-Gegenstelle durchgreifen möchte oder ein Netzwerk erreichen muss, das der Router in der Zentrale nicht als Interface hat.
Bitte warten ..
Mitglied: aqui
04.12.2020, aktualisiert um 10:16 Uhr
Wir wären froh, nicht mehr mit dem Lancom hantieren zu müssen.
Kann man bei der megakryptischen Konfig Syntax und dem wirren IPsec Verhalten auch sehr gut nachvollziehen...
Aber du hast ja die freie Wahl, die Welt ist voller VPN Router und Firewalls. ;-) face-wink
Bitte warten ..
Mitglied: mossox
04.12.2020 um 11:19 Uhr
Naja, das Ding war mal vergleichsweise teuer (m.W. 700 € im Jahr 2016).
Ich denke halt immer, solange er noch seinen Dienst tut.
Und ich scheue den Aufwand, alle über die Jahre gewachsenen Einstellungen 1:1 zu portieren.
Das kann wenn nur am Wochenende stattfinden, wo dann hoffentlich nicht gearbeitet wird.

Auf der anderen Seite liest man halt immer, dass Lancom zertifizierten Krempel verkauft und der Support 1A sei.
Mikrotik hatte ja mal schwere Sicherheitslücken wegen eines unverschlüsselten Hashes wenn ich mich nicht täusche.

Nen Mikrotik bekommt man hingegen für 100 € und würde uns absolut genügen.
Von neuen Sicherheitslücken habe ich seit damals nichts mehr gelesen.

Dazu kommt, dass ich in den wenigen Wochen, in denen ich jetzt einen Mikrotik mein Eigen nenne, schon mehr verstanden habe als nach 5 Jahren Lancom.
Bitte warten ..
Mitglied: tikayevent
04.12.2020 um 20:21 Uhr
Ja, LANCOM ist anders, aber man kann sehr gut damit klar kommen. Jeder Hersteller hat seine Schwachen und Stärken.

VPN LANCOM zu LANCOM ist dagegen ne supereinfache Sache.

Im Gegensatz zu LANCOM hat Mikrotik keine All-in-One-Lösung. Modem und VoIP ist immer extern und mit Mehraufwand verbunden.

Zur Syntax: Da tun sich LANCOM und Mikrotik nichts, nur weils anders ist, ist es nicht unbedingt kryptisch.
Bitte warten ..
Heiß diskutierte Inhalte
Internet
Kein Internet nach Windows 2019 Server Installation
gelöst ZygmundVor 1 TagFrageInternet25 Kommentare

Computer : HP ProLiant DL580 Gen7 , 4x CPU , 16 GB ECC Ram, 1 TB SAS Installation von - Windows 8 Server - ...

Windows Server
GPO verschieben von Benutzern
gelöst AnGi1964Vor 1 TagFrageWindows Server10 Kommentare

Hallo in die Runde! Ich habe als Neuling hier gleich 2 Fragen und hoffe, das mir geholfen werden kann. 1. Ich habe bei einem ...

Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 14 StundenFrageNetzwerke13 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

Firewall
Kennt jemand Forcepoint Firewalls oder setzt diese sogar ein?
ZeroTrustVor 1 TagFrageFirewall2 Kommentare

Ich wäre interessiert an User Meinungen über diese Firewall Lösungen. Kenne ich absolut nicht und habe auch noch nie davon gehört, geschweige jemals damit ...

Outlook & Mail
Outlook 2019 stürzt bei Erhalt von Besprechungsanfrage ab
gelöst PhiltaerVor 1 TagFrageOutlook & Mail17 Kommentare

Hallo, ich habe ein ganz merkwürdiges Problem. Outlook 2019 stürzt beim Erhalt von Emails die Besprechungsanfragen enthält ab. Das Programm friert ein mit "Reagiert ...

Windows Server
Server 2019 - VM (DC) hängt sporadisch
zer0g2224Vor 1 TagFrageWindows Server13 Kommentare

Hallo liebe Kolleginnen und Kollegen, ich habe mal wieder eine Frage zu einem Problem: Eine VM (DC) bleibt im Betrieb sporadisch "hängen". Das äußert ...

Festplatten, SSD, Raid
WD RED PRO Festplatte als "Recertified" und "white" gelabelt
gelöst Torsten2010Vor 17 StundenFrageFestplatten, SSD, Raid5 Kommentare

Hallo, ich wollte heute die Firmen QNAP Nas mit neuen Festplatten bestücken. Beim Auspacken fiel mir sofort auf, das die Festplatten weiß gelabelt sind ...

Windows 10
Inaccessible boot device bei Windows 10
jensgebkenVor 22 StundenFrageWindows 1013 Kommentare

Hallo Gemeinschaft, habe Probleme bei einem Windows 10 Pro PC beim Start - blue screen mit inaccessible boot device habe folgendes probiert - automatische ...