jurgenpomberger
Goto Top

Pfsense IPsec VPN - Windows 11 Verbindungsabbruch

Habe die Anleitung von aqui genutzt (IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten), um externe Kollegen via Windows onboard IPsec > Internet > PFsese mit dem Netzwerk zu verbinden.

Alles klappt auch wunderbar. Aber nach ein paar Stunden funktioniert dann plötzlich ohne Fehlermeldung der VPN nicht mehr und die Kommunikation durch das VPN ist dann nicht mehr möglich. Ich leite den gesamten Netzwerkverkehr über den VPN um. Daher fällt es sofort auf, wenn plötzlich zb. Zoom abbricht.

Nach dem Trennen und Neuverbinden des VPN geht es wieder?
Habe da gleiche Verhalten auch bei einem anderen Windows 10 Gerät?

Haben Sie eine Idee, wo hier der Fehler sein könnte?

PfSense 2.5.2 (AMD64)

Kann es an den Lifetime Einstellungen liegen?:
- IPsec Tunnel Phase 1: (siehe Bild Phase1)
- Phase 2: (siehe Bild Phase 2
- DPD ist auch aktiviert

Lieben Dank für die Hilfe
phase2
dpd
phase1

Content-Key: 1544195630

Url: https://administrator.de/contentid/1544195630

Printed on: April 25, 2024 at 08:04 o'clock

Member: jurgenpomberger
jurgenpomberger Nov 24, 2021 at 08:27:47 (UTC)
Goto Top
@aqui: Hi, hab es jetzt getestet. Es bricht bereits nach 37min teilweise ab. Manchmal geht es eine Stunde. Aber es ist immer unterschiedlich. Hast eine Idee was ich noch Probieren könnte.

Danke
Member: jurgenpomberger
jurgenpomberger Nov 24, 2021 updated at 09:45:01 (UTC)
Goto Top
Heute brach die Verbindung ab:

1. nach 37min
2. nach 53min
3. nach 46min

Soll ich das ipsec Log hochladen oder per PM senden?

Ganz lieben Dank für die Hilfe
Member: aqui
aqui Nov 24, 2021 updated at 09:49:46 (UTC)
Goto Top
Wichtig wäre noch das Log des Windows Clients (Ereignisanzeige).
Das VPN Log der FW aber auch. Bitte checken und nur IPsec relevante Events um den Abbruch posten und nicht Megabyteweise das Gesamtlog face-wink
Versuche auch das nachzustellen.
Member: jurgenpomberger
jurgenpomberger Nov 24, 2021 at 09:53:49 (UTC)
Goto Top
Kann es damit zusammenhängen?

Beim IPsec Overview ist bei Timers "Reauth:" auf Disabled?
reauth
Member: jurgenpomberger
jurgenpomberger Nov 24, 2021 at 13:42:29 (UTC)
Goto Top
Hi!

Also. Hab jetzt bei meinem Laptop mit W11 nach 60min. den Fehler gehabt.
Wobei man sagen muss, dass die VPN-Verbindung aktiv läuft, nur das Routing geht nicht mehr. Also Inet geht dann nicht mehr und auch sonst kommt kein Traffic mehr durch den Tunnel.

Der Traffic wurde um 14:14 Uhr unterbrochen. Danach half nur noch eine manuelle Trennung des VPN und wieder reconnecten am Windows 11 Client.

Die Logs von der Firewall und des PC sind hier zu finden:
https://images.pomberger.com/JP/administratorde/

Lieben Dank
Member: aqui
aqui Nov 24, 2021 updated at 15:29:36 (UTC)
Goto Top
nur das Routing geht nicht mehr.
Wie hast du das gesehen ?? route print ??
Also Inet geht dann nicht mehr
Mmmhhh kann nicht sein wenn du mit Split Tunneling arbeitest ! Internet wird dann lokal geroutet und nur relevanter Traffic geht in den VPN Tunnel.
Oder arbeitest du mit einem Gateway Redirect Setup also alles in den Tunnel. Leider fehlen diese Infos oben. face-sad
Die evtx Dateien kann man nicht lesen..
Member: jurgenpomberger
jurgenpomberger Nov 24, 2021 at 16:11:41 (UTC)
Goto Top
Hi!

Hab einfach einen Ping -t laufen lassen. Sobald der fehler auftritt, bekomme ich beim Ping ein Timeout.

Habe zuerst das Split Tunneling versucht. Das hat auch gut funktioniert. Nur das dann der Client keine Verbindung mehr zum Internet (lokalen) hatte. Daher habe ich dann die Varianten mit dem "0.0.0.0" alles in den Tunnel lt. deiner Anleitung. Damit hat es dann funktioniert, aber eben die Verbindungstimeouts nach gewisser Zeit.

Grundsätzlich wäre mir der Split eh lieber, aber da hat, wie gesagt, der Internettraffic dann nicht mehr funktioniert.

???
Member: aqui
aqui Nov 25, 2021 updated at 10:53:02 (UTC)
Goto Top
Nur das dann der Client keine Verbindung mehr zum Internet (lokalen) hatte.
Dann machst du auch kein Split Tunneling !!
Logisch, denn dann geht nur der Traffic der relevant ist (remote Netze) in den Tunnel nicht aber der lokale Internet Traffic.
Vermutlich hast du da dann einen VPN Konfig Fehler gemacht. Der tiefere Sinn von Split Tunneling ist ja gerade das man effizient lokalen Internet Traffic lokal abfackelt und nur das in den Tunnel schickt was man auf VPN Seite erreichen will.
Wie gesagt zu 98% Konfig Fehler...vermutlich DNS hast du das mal geprüft ??
Wenn du nackte Internet IPs wie z.B. 8.8.8.8 bei Split Tunneling pingen kannst rennt das aber dein DNS ist dann falsch konfiguriert wenn ein Ping an Hostnamen scheitert.
route print und nslookup sind hier dann deine besten Freunde.
Member: jurgenpomberger
jurgenpomberger Nov 30, 2021 at 20:08:36 (UTC)
Goto Top
Hi!

Hatte jetzt wieder Zeit weiterzuprobieren. Habe, wie erwähnt, momentan die Split Config nicht eingestellt, da die bei mir nicht funktionierte.

Hab anbei die "route print" während das VPN an war und auch funktionierte. Als Test habe ich einfach einen ping -t in Internet laufen lassen und überprüft, über welches Gateway der Ping in Inet geht. Es wird alles über das VPN geroutet.

Nach ca. 40min geht dann plötzlich kein ping mehr ins Inet. der Ping in das LAN über das VPN geht aber noch ganz normal. Auch sieht das "route print" genau gleich aus. Verstehe einfach nicht, warum das nicht mehr geht.

Grundsätzlich möchte ich eigentlich die Config wie von dir beschrieben "split". Habe es gerade wieder exakt lt. deinen Angaben eingestellt. Das VPN geht und ich komm auch ins LAN der gegenseite. Aber dann geht das Inet nicht mehr. Kannst du mir da helfen woran das liegen kann?

Lieben Dank
route-print-working
Member: aqui
aqui Dec 01, 2021 at 11:06:08 (UTC)
Goto Top
Uuuhhh ein Nord VPN Opfer.. face-sad
Da sollte man sehr vorsichtig sein. Besonders wenn man deren Clients nutzt. Sie auch hier.
Selbst die ct' rät in ihrem letzten Test von öffentlichen VPN Anbietern ab. Aus guten Gründen...

Ein Test mit Win 10 (21H1) in einer Standard Installation ohne fremde, exteren VPN Clients verlief hier mit einem nächtlichen Dauerping (ca. 9 Stunden) völlig fehlerlos sowohl in einer Gateway Redirect Konfig als auch in einer Split Tunneling Konfig.
Und das sowohl auf einer pfSense 2.5.2 als auch auf einer latest OPNsense mit identischer VPN Konfig.
Parallel Quercheck mit einem MacBook Pro (Big Sur) Und Raspberry Pi (Strongswan) zeigte in der Zeit auch keinen Ping Ausfall.
Mit anderen Worten: Dein Verhalten lässt sich zumindestens mit der o.a. Windows Version nicht reproduzieren. Möglich das das also duch irgendwie eine Wechselwirkung mit anderer SW ist.
Hast du ggf. einen zweiten Rechner oder Smartphone usw. mit dem du das checken kannst ?
Member: jurgenpomberger
jurgenpomberger Dec 04, 2021 at 22:51:32 (UTC)
Goto Top
Hallo!

Hab jetzt NordVPN deinstalliert, um einen Sauberen Test machen zu können.
Wenn das VPN laut deiner Anleitung installiere, dann habe ich nach wie vor das Problem, dass das Inet nach der Verbindung nicht mehr geht. Habe es mit route print überprüft. Wie du im angehängten Bild sehen kannst macht er mir nach dem Verbinden einen 0.0.0.0 Route auf die VPN-Verbindung. Da ich aber das VPN lt. Anleitung eingestellt habe, lässt er natürlich 0.0.0.0 nicht durch, sondern nur das LAN welches eingestellt ist.
Wenn ich die VPN-Verbindung auf der PFsense so einstelle, dass der gesamte Traffic durchgeht, dann geht alles, aber nach 30min geht kein Traffic mehr durch?

Weiß schon langsam nicht mehr, was ich noch versuchen soll.

Danke für deine Hilfe.
screenshot_2
Member: aqui
aqui Dec 05, 2021 at 12:59:07 (UTC)
Goto Top
Weiß schon langsam nicht mehr, was ich noch versuchen soll.
Kannst du das mal mit anderem OS wie Ubuntu Live System oder Smartphones iPhone oder Android testen ?
Nur um sicherzugehen obs an deiner spezifischen Windows Installation liegt oder nicht.
Wie gesagt hier auf einem 10er (21H1), Mac und iPhone nicht zu reproduzieren.
Member: jurgenpomberger
jurgenpomberger Dec 05, 2021 at 21:05:01 (UTC)
Goto Top
Danke für deine Nachricht!

Hab das ganze jetzt auf 3 verschiedenen Windows 11 Laptops probiert. Überall habe ich das oben beschriebene Verhalten.

Habe nun gerade auf meinem Hetzner Server einen neue Windows 10 VM erstellt und dort ebenfalls das VPN installiert. Leider mit genau demselben Verhalten.

Mac oder iPhone hab ich leider nicht. Bin eher der Microsofter ;).

Darf ich dir Screenshots aller IPSec Einstellungen auf der PFsense per PM senden? Eventuell siehst du den Fehler.

Danke und GLG
Member: jurgenpomberger
jurgenpomberger Dec 05, 2021 at 22:19:08 (UTC)
Goto Top
Hi!

Habe, gerade versucht, eine VPN Verbindung auf meine Synology NAS zu erstellen. Das hat auf an hieb funktioniert. Dort muss ich dann nur einen statische Windows Route eintragen und kann auf das entfernte Netzwerk zugreifen.

Provisorisch ist das eine Lösung. Aber ordentlich ist es über meine Pfsense (da diese auch im HA modus laufen).

Das Problem ist, denke ich bei der PFsense Verbindung, dass eine Route in Windows eingetragen wird welche den gesamten Traffic über das VPN Routen, obwohl es das nicht soll (0.0.0.0/0 > VPN Gateway und Adapter).

Das macht er beim VPN auf die Synology nicht.
Member: aqui
aqui Dec 06, 2021 updated at 12:08:20 (UTC)
Goto Top
Dort muss ich dann nur einen statische Windows Route eintragen
Nein, das ist Unsinn und sollte man auch nie machen. Die Route sollte IMMER besser auf den Router, denn routen sollen Router und keine Endgeräte !
Guckst du auch hier:
Merkzettel: VPN Installation mit OpenVPN
Das erklärt dir auch die großen Sicherheitsprobleme bei internen VPN Servern. VPNs gehören bekanntlich immer aus guten Gründen in die Peripherie !
Vermutlich vergleichst du nun auch Äpfel mit Birnen, denn die Synology wird mit an Sicherheit grenzender Wahrscheinlichkeit keine native IPsec VPNs mit IKEv2 supporten.
Sehr wahrscheinlich ist das ein VPN auf Basis von L2TP, richtig ?! Also Äpfel mit Birnen...

Aber L2TP bekommst du auch problemlos und erheblich sicherer mit der pfSense hin. Guckst du hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Auch da:
KEIN Timeout bei einer L2TP Client Session ! face-wink
Member: jurgenpomberger
jurgenpomberger Dec 06, 2021 at 12:39:46 (UTC)
Goto Top
Das ist mir schon klar, dass es nichts Sauberes ist, die Routen am Client einzutragen. Daher nenne ich es ja ein Provisorium.
Mein Problem ist, dass ich zwei Leute haben, die richtig genervt sind, alle 30-50min das VPN neu zu starten. Daher bin ich auf der Suche wie ich das lösen kann. Das mit Synology war für mich ein schneller Test und zu sehen, ob es mit der Synology VPN Server Variante ebenfalls zu dem Problem kommt, dass am Client eine Route mit 0.0.0.0/.0 auf das VPN gelegt wird und dann das Lokale Gateway nicht mehr genutzt wird. Das Problem habe ich ja bei der PFsense Split Konfiguration.
Bei der Synology VPN Variante geht das mit der Split Variante und das Gateway (Inet) des lokalen Netz funktioniert weiterhin.

PS: Synology macht L2TP/IPSec, richtig.

Ich werde jetzt anhand deiner Anleitung an der PFSense das VPN mittels L2TP/IPSec einrichten uns melde mich dann wie es da aussieht. Danke einstweilen.
Member: aqui
aqui Dec 06, 2021 at 12:52:09 (UTC)
Goto Top
uns melde mich dann wie es da aussieht.
Wir sind gespannt...! face-wink
Member: jurgenpomberger
jurgenpomberger Dec 06, 2021 at 14:22:55 (UTC)
Goto Top
Hi! Nun melden wir UNS wieder. face-wink face-wink

Ja ja wir in Österreich haben ja noch den Kaiser. Da reden wir immer in der dritten Person. face-wink face-wink

Danke für die Anleitung. Mit L2TP/IPSec auf der Pfsense lt. deiner Anleitung geht der Tunnel super. Split geht natürlich nicht, aber das ist jetzt mal sekundär. Teste jetzt noch, ob der Tunnel stabil bleibt, oder ob er wie beim IPSec Tunnel nach 30-40min nichts mehr durch routet.

Sag dann Bescheid. Danke.