vincor
Goto Top

Site-to-Site VPN hinter Routern - Verbindungsabbrüche

Hallo,

folgendes Setup bereitet mir aktuell Probleme:

Wir haben 2 Standorte HQ und Branch. Im HQ haben wir eine Sophos UTM 9 und eine InternetLeitung mit fester IP. Im Branch eine Sophos XG 105. Die Büroräume im Branch sind gemietet und es gibt dort keine eigene Internetleitung weswegen wir hinter 1-2 Cisco hängen und ein /27 Subnetz an IP's haben, aber keine externe IP.
Zwischen beiden Firewalls ist eine Site-to-Site VPN IPSec Verbindung eingerichtet mit folgenden Parametern:

Compression off, not using strict policy.
IKE Settings: AES 128 / MD5 / Group 2: MODP 1024 Lifetime: 28800 seconds
IPsec Settings: AES 128 / MD5 / Group 2: MODP 1024 Lifetime: 3600 seconds

Die Branch muss die Verbindung aufbauen und die Firewall im HQ steht auf "respond only".

Sobald man die Firewall im Branch startet wird auch direkt eine Verbindung aufgebaut, nur bricht diese irgendwann ab und es wird keine neue Verbindung aufgebaut. Die Mitarbeiter vor Ort müssen dann die Firewall neustarten und dann läuft es wieder.

Hier noch ein wenig log.

2017:05:15-08:34:54 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187369: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
2017:05:15-08:34:54 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187369: starting keying attempt 2926 of an unlimited number
2017:05:15-08:34:54 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: initiating Main Mode to replace #187369
2017:05:15-08:34:54 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: received Vendor ID payload [Dead Peer Detection]
2017:05:15-08:34:54 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: received Vendor ID payload [RFC 3947]
2017:05:15-08:34:54 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: ignoring Vendor ID payload [Cisco-Unity]
2017:05:15-08:34:54 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: enabling possible NAT-traversal with method 3
2017:05:15-08:34:54 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: NAT-Traversal: Result using RFC 3947: peer is NATed
2017:05:15-08:34:54 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: Informational Exchange message must be encrypted
2017:05:15-08:35:04 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: Informational Exchange message must be encrypted
2017:05:15-08:35:04 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: discarding duplicate packet; already STATE_MAIN_I3
2017:05:15-08:35:24 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: Informational Exchange message must be encrypted
2017:05:15-08:35:24 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187377: discarding duplicate packet; already STATE_MAIN_I3

2017:05:15-08:45:18 firewall pluto[6826]: "S_REF_IpsSitBranch_1"[175] 612.872.128.506:4500 #187271: IPsec SA expired (LATEST!)
2017:05:15-08:45:18 firewall pluto[6826]: id="2204" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN down" variant="ipsec" connection="REF_IpsSitXaxberlin" address="213.168.210.66" local_net="10.242.2.0/24" remote_net="10.0.4.0/24"
2017:05:15-08:45:20 firewall pluto[6826]: "S_REF_IpsSitBranch_0"[32] 612.872.128.506:4500 #187270: received Delete SA(0x9380b9fe) payload: deleting IPSEC State #187272
2017:05:15-08:45:20 firewall pluto[6826]: id="2204" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN down" variant="ipsec" connection="REF_IpsSitBranch" address="613.768.210.566" local_net="10.0.0.0/24" remote_net="10.0.4.0/24"

Content-ID: 337860

Url: https://administrator.de/contentid/337860

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

iAmbricksta
iAmbricksta 15.05.2017 um 10:23:32 Uhr
Goto Top
Moin,

haben keine Sophos aber wir hatten so ein Problem mal mit anderen Netzwerkkomponenten, da musste ich auf der CLI die Max Requests erhöhen. Gehe hierbei auf deine erste Zeile des Protokolls ein welches von "max number of retransmissions" redet. Das würde ich mal zuerst checken, ob es da irgendwo eine Einstellung gibt, wäre jetzt das banalste.

Vielleicht meldet sich bis dahin ein Sophoskenner hier.

Greets Brick
aqui
aqui 15.05.2017 aktualisiert um 10:32:25 Uhr
Goto Top
Das ist zu 98% ein Problem der Lifetimes, die sind auf beiden Seiten unterschiedlich konfiguriert und deshalb geht das schief.
Außerdem solltest du besser NICHT den IPsec Main Mode im Setup verwenden sondern immer den Agressive Mode.
Grundlagen dazu auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Vincor
Vincor 16.05.2017 um 09:49:55 Uhr
Goto Top
Wenn ich auf Aggressive Mode schalte verweigert die Sophos UTM 9 die Verbindung. Man kann dann im Log lesen das der Aggr Mode nicht unterstützt wird.
Vincor
Vincor 16.05.2017 um 09:55:24 Uhr
Goto Top
Auf der Seite wo die Meldungen auftreten konnte ich die Anzahl nicht verändern. Auf der anderen steht das ganze auf 5.
Vincor
Vincor 16.05.2017 um 09:56:18 Uhr
Goto Top
Was mich wundert. Die LOGS sind auf seite des HQ, nicht auf Seite der Branch die die Verbindung initiiert.