PfSense - IPSec-VPN Connection Fail nach ISP-Zwangstrennung

Hallo zusammen,

nach dem Update auf 2.5.2 habe ich das Problem, dass die PfSense immer nach der mitternächtlichen Zwangstrennung des ISP die entsprechenden IPSEC-P1-Tunnel nicht mehr aufbaut. Der Status steht dann hier auf "Connecting...".

Das LOG sagt nur:

Wenn ich über das Webinterface den IPSEC-Service stoppe und wieder starte (ein restart geht nicht!) verbindet sich die VPN wieder ohne Probleme-

Systemaufbau:

PfSense (im RZ; 2.5.2) mit fester IP

--> IPSEC (v2) zu Standort 1 (pfsense 2.5.2)
--> IPSEC (v2) zu Standort 2 (pfsense 2.5.2)

Das Problem besteht bei beiden VPNs zu beiden Standorten.


Danke im Vorraus

Content-Key: 1536016153

Url: https://administrator.de/contentid/1536016153

Ausgedruckt am: 27.11.2021 um 00:11 Uhr

Mitglied: chgorges
chgorges 21.11.2021 um 11:54:52 Uhr
Goto Top
Moin, ich kenne das von OpenVPN Site2Site Tunneln, wenn man auf der jeweiligen Seite als localhost-Adresse die statische IP des Providers setzt.
Dann versucht der VPN-Dienst während der Zwangstrennung die Tunnel zu initiieren, kann die IP aber nicht verschwinden und endet dann im Nirvana-Zustand.

Wie sehen deine Configs denn aus?

VG
Mitglied: bmitsol
bmitsol 21.11.2021 um 12:09:19 Uhr
Goto Top
Moin :) face-smile

ich habe lediglich die Auswahl des Interfaces und des Remote Gateways:

https://administrator.de/images/c/2021/11/21/bb78afb7b7301260c4d7c824029 ...
screenshot 2021-11-21 120854
Mitglied: ChriBo
ChriBo 21.11.2021 um 12:29:05 Uhr
Goto Top
Hi,
IPsec Probleme, besser Reconnect Probleme nach einem Update auf 2.5.2 hatte ich auch auf einer Installation.
In diesem Forum wurde auch schon mal vor ein oder zwei Monaten das Problem angesprochen.
Wahrscheinlich ist der Updateprozess fehlehaft bzw. es werden Reste der alten Installation nicht entfernt oder übernommen.
Bei mir hat erst eine Neuinstallation von 2.5.2 das Problem behoben.

Gruß
CH
Mitglied: bmitsol
bmitsol 21.11.2021 um 12:38:35 Uhr
Goto Top
Zitat von @ChriBo:
Bei mir hat erst eine Neuinstallation von 2.5.2 das Problem behoben.


Na großartig... Wenn niemand sonst eine Idee hat hätte ich das wohl ohnehin versucht. Danke
Mitglied: aqui
aqui 21.11.2021 aktualisiert um 13:39:44 Uhr
Goto Top
Kann das sein das du DPD (Dead Peer Detection) deaktiviert hast ?!
Wenn DPD beidseitig aktiv ist sollte der Tunnel sofort wieder neu aufgebaut werden. Wie der Name der Funktion es ja schon sagt... ;-) face-wink
dpd
Alternativ kannst du auch einen Keepalive Ping setzen der den Tunnel immer wieder neu triggert nach Ausfall.
ich habe lediglich die Auswahl des Interfaces und des Remote Gateways:
Das ist falsch, denn im Phase 2 Setup des Tunnels gibt es weitere Optionen !
Mitglied: bmitsol
bmitsol 21.11.2021 um 14:17:33 Uhr
Goto Top
Hi aqui,

danke für deine Antwort (habe fast darauf gewartet ;)).

DPD: Ist aktiv, an allen drei pfSensen

Keepaliveping & Optionen in P2:
Nützt mir das etwas wenn der P1-Tunnel schon garnicht zustande kommt?


VG
Mitglied: aqui
aqui 21.11.2021 aktualisiert um 15:03:23 Uhr
Goto Top
Mmmhhh komisch... rennt hier auf diversen 2.5.2ern ohne jegliche Probleme.
Wenn P1 schon gar nicht zustande kommt, dann hast du aber schon ganz andere Probleme als DPD. Da stimmt dann grundsätzlich an deinem Setup etwas nicht.
Mitglied: bmitsol
bmitsol 21.11.2021 um 21:06:33 Uhr
Goto Top
Bei allen anderen ist das auch kein Problem... Nur bei diesem einen Netzwerk.

Die Verbindung kommt auch nicht zustande, wenn ich manuell auf "Verbinden" drücke, dann steht da nur "Connecting".

Vor dem Update hat alles durchgehend funktioniert.

Ebenfalls interessant ist, dass wenn ich einen "restart" des VPN-Services mache es weiterhin nicht funktioniert... Erst das stoppen und wieder starten behebt den Fehler. Bis zur nächsten Zwangstrennung...
Mitglied: aqui
aqui 22.11.2021 um 10:47:30 Uhr
Goto Top
dass wenn ich einen "restart" des VPN-Services mache es weiterhin nicht funktioniert...
Mmmhhh...das lässt aber den Verdacht aufkommen das es nichts mit dem VPN selber zu tun hat sondern eher mit dem PPPoE bzw. etwas was die Internet Anbindung per se betrifft. Das ggf. der PPPoE Tunnel gar nicht erst zum Laufen kommt und deshalb auch das VPN scheitert.
Dadurch das es nur bei einem passiert spricht das für ein spezifisches Provider Problem.
Im Zeofel musst du mit einem Script ein Keepalive Check machen und wenn der 3mal fehlschägt den Prozess neu starten. Ist zwar nicht so toll aber ein Workaround wenn es anders nicht zu fixen ist.
Mitglied: bmitsol
bmitsol 22.11.2021 aktualisiert um 14:35:54 Uhr
Goto Top
Dagegen würde sprechen, dass die Internetverbindung ja funktioniert. Das Webinterface ist über WAN erreichbar, den Restart des VPN-Services (bzw. stop und start) mache ich also quasi über die PPPoE-Leitung.


Hier ein Screenshot wie das dann aussieht:

https://administrator.de/images/c/2021/11/22/20ccc2ab5bb917f9393675b931f ...

post scriptum:
Mit "Stoppen und Starten" meinte ich tatsächlich den VPN-Service, nicht die PfSense
https://administrator.de/images/c/2021/11/22/3cae4d630835839adb890e8fe6e ...
admin
admin2
Mitglied: aqui
aqui 22.11.2021 um 14:36:00 Uhr
Goto Top
Mmmhhh diverse Provider übergreifende IKEv2 Tunnel zeigen hier die Problematik mit 2.5.2 nicht. Mehrfach den WAN Port gezogen oder mal, um keinen Link down zu provozieren, nur den Router ausgeschaltet bzw. rebootet brachte den Link immer wieder auf die Füße.
  • Hängen die FWs direkt am Internet (PPPoE) oder gehst du über eine Kaskade mit einem NAT Router davor ?
  • Stimmen die FW Regeln die IPsec (UDP 500, 4500 und ESP) durchlassen ?
  • Hast du testweise eine Site mal nur als reinen Responder und den anderen als Initiator laufen lassen um ggf. dediziert mal einen Tiebreak zu verhinden ?

Mitglied: bmitsol
bmitsol 23.11.2021 um 03:29:51 Uhr
Goto Top
Mmmhhh diverse Provider übergreifende IKEv2 Tunnel zeigen hier die Problematik mit 2.5.2 nicht. Mehrfach den WAN Port gezogen oder mal, um keinen Link down zu provozieren, nur den Router ausgeschaltet bzw. rebootet brachte den Link immer wieder auf die Füße.
So auch hier - ein Reboot des ganzen Routers bringt die VPN auch wieder auf die Beine... Aber eine Zeitschaltuhr, welche den Router täglich um 3 Uhr für 5 Min vom Strom nimmt finde ich wenig elegant.

* Hängen die FWs direkt am Internet (PPPoE) oder gehst du über eine Kaskade mit einem NAT Router davor ?
Die PfSense macht das VLAN(7) Tagging & PoE Einwahl. Davor hängt ein Allnet BM-200 bzw. ZTE H186 Modem als "Medienkonverter".

* Stimmen die FW Regeln die IPsec (UDP 500, 4500 und ESP) durchlassen ?
Si

* Hast du testweise eine Site mal nur als reinen Responder und den anderen als Initiator laufen lassen um ggf. dediziert mal einen Tiebreak zu verhinden ?
Nein, konfiguriere ich aber gerne gleich mal. Ich nehme jetzt die PfSense in der Site als Initiator und im RZ als Responder. Melde mich morgen um die Zeit mit dem Ergebnis.
Mitglied: aqui
aqui 23.11.2021 aktualisiert um 15:44:56 Uhr
Goto Top
So auch hier - ein Reboot des ganzen Routers
Das hast du missverstanden. Mit Router war ein davorliegenr Router in eine NAT Kaskade gemeint. Die pfSense wurde defacto NICHT rebootet und trotzdem kam der Tunnel wieder auf die Füße !
Tip:
Teste doch rein spaßeshalber ggf. mal IKEv1 ob das Verhalten da identisch oder ggf. anders ist ?!
Mitglied: bmitsol
bmitsol 23.11.2021 um 16:04:12 Uhr
Goto Top
Moin,

stimmt, jetzt ergibt es aber Sinn.

Ich warte heute Nacht mal das Ergebnis von "Responder only" ab - wenn der Fehler weiter besteht versuche ich IKEv1... Wenn dir (oder jemandem anderen) dann nichts mehr einfällt werde ich das Ding mal formatieren und frisch installieren - vlt. ja doch was mit dem Update.
Mitglied: bmitsol
bmitsol 24.11.2021 um 03:46:01 Uhr
Goto Top
@aqui

Vielen Dank - Der Tipp mit dem Responder only war die Lösung - zumindest scheint es so, heute Nacht hat er wieder aufgebaut.

Der zweite Tunnel zu einem anderen Standort hatte ich zum testen nicht umkonfiguriert, dieser hat den Fehler weiterhin.


Für alle die also die Lösung zum Anfangsthread suchen: Bei mit hat es geholfen die PfSense am Standort mit der wechselnden IP als Initiator und die pfSense im RZ als Repsonder Only zu konfigurieren.
Mitglied: aqui
aqui 24.11.2021 um 10:12:10 Uhr
Goto Top
Der Tipp mit dem Responder only war die Lösung
👍
Mitglied: bmitsol
bmitsol 25.11.2021 um 17:50:51 Uhr
Goto Top
Kommando zurück - nachdem es jetzt zwei Tage ging haben wir den selben Fehler wieder.


Was mir außerdem aufgefallen ist: Wenn ich eine Änderung am WAN-Interface vornehme, habe ich das selbe Problem wie bei der Zwangstrennung... Auch dann muss ich den Service Stoppen und wieder starten.
Mitglied: aqui
aqui 25.11.2021 aktualisiert um 18:00:53 Uhr
Goto Top
Was für ein WAN Design nutzt du ? Direkt DHCP oder PPPoE von der FW mit nur Modem oder Kaskade mit NAT Router ?
Mitglied: bmitsol
bmitsol 25.11.2021 um 20:39:38 Uhr
Goto Top
DSL (VDSL) --> Allnet BM200 --> PfSense --> VLAN7 --> PPPoE

Die PfSense übernimmt also die PPPoE Einwahl inkl. VLAN-(7)-Tagging
Mitglied: bmitsol
bmitsol 26.11.2021 um 00:03:09 Uhr
Goto Top
Update: Ich habe die Zwangstrennung mal in der PfSense auf 21 * * * * gelegt. Diese wurde dann um 23.00 durchgeführt (ich nehme mal an das 21 ist UTC). Und außerdem das VPN komplett gelöscht und neu angelegt.

Die VPNs haben sich richtig verbunden.

Dann habe ich im Adapter etwas geändert und die Settings "Applied".

-> VPN ist immernoch verbunden mit der alten Lease (PPPoE-Session ist 1.30min alt; VPN ist connected seit 4.45min) "steht", d.h. im Status läuft die "Verbundenzeit" nicht weiter. Nochmal eine Minute später trennt er die Verbindung (denke DPD) und ist jetzt wieder soweit, dass er sich nicht verbindet (Altes Problem).

Wenn ich das LOG (siehe unten) richtig lese, lehnt er Verbindungen ab weil er selbst noch versucht eine Verbindung aufzubauen... Ich werde also mal Responder Only auf die andere Seite bauen... Interessant ist aber, dass die ursprüngliche Fehlermeldung garnicht auftaucht...

Simuliere ich eine Zwangstrennung über eine Änderung im WAN-Interface und "Apply Changes" dann baut er wieder keine Verbindung auf... Selber Fehler wie vorher. Er versucht auch weiter zu verbinden, obwohl ich "Child SA Start Action" entsprechend auf Responder Only gestellt habe... Wie der Name aber schon sagt, gilt das für P2, für P1 finde ich keine Einstellung...

Alles in allem echt komisch.

Hier das LOG:

Heiß diskutierte Beiträge
question
Installationsproblem Office 2021 - alle Links öffnen Edge! gelöst SarekHLVor 1 TagFrageMicrosoft Office14 Kommentare

Hallo zusammen, ich habe gerade Office 2021 auf einem Notebook installiert und habe ein seltsames Phänomen! Die Verknüpfungen zu den Office-Programmen führen allesamt zu Edge! ...

question
Umzug von Hyper-V zu VMware und erneute Aktivierung von Windowspianoman82Vor 1 TagFrageWindows Server11 Kommentare

Hallo! Ich habe eine Frage im Hinblick auf Windows-Aktivierung da mir hier aktuell der Ansatz fehlt. Es geht um die Migration von diversen Windows Server ...

question
VPN Tunnel inkonsistent? gelöst NespressoVor 1 TagFrageNetzwerkprotokolle4 Kommentare

Hallo zusammen, das Thema VPN ist bei mir recht neu, doch habe ich es hinbekommen den Windows Server 2016 eigenen VPN dienst zu konfigurieren und ...

question
WSUS Problem mit Office + ExplorerfrenchfriesguyVor 1 TagFrageWindows Update7 Kommentare

Hallo zusammen ich/wir haben folgendes Problem mit einem Teil unseres Windows-Clients (W10E, 20H2) in Verbindung mit den Windows Updates. Die Updates werden über einen WSUS-Server ...

question
Eigener Server für Groupware und Nextcloudjonny-flashVor 1 TagFrageE-Mail5 Kommentare

Hallo zusammen, ich darf für ein kleines Startup temporär die Administration übernehmen, und habe bevor es los geht ein paar Fragen, die ich hier gern ...

question
VPN- 2 Sicherheitsfunktionen gelöst TekamolosVor 1 TagFrageVerschlüsselung & Zertifikate3 Kommentare

Hallo Jungs, beim Lernen habe ich diese Frage bekommen, da es im Internet sehr viel über VPN und viel Text und Protokolle gibt, war ich ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 22 StundenFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 16 StundenFrageNetzwerkmanagement6 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...