9
Site2Site-Verbindung bricht ab nach Umstellung auf VDSL
Hallo Zusammen,
ich habe derzeit mal wieder ein Problem was mich zur Verzweiflung treibt. Unsere zwei Standorte sind per Site2Site-IPSec verbunden, was die letzten zwei Monate seit der Einrichtung auch anstandslos funktionierte. Jetzt wurde der Standort 1 mit der Astaro-Firewall von Standleitung auf VDSL mit fester IP umgestellt.
Die PPOE-Einwahl, Mail Versand/-empfang und VPN-SSL funktionieren anstandslos....selbst nach einer kurzen Unterbrechung der Leitung.
Allerdings sobald die Leitung einen kurzen Aussetzer hat und die PPPOE-Einwahl erneut stattfindet, wird die Site2Site-Verbindung nicht mehr automatisch aufgebaut. Selbst das Deaktivieren/aktivieren der Verbindung führt nicht zum gewünschten Erfolg. Erst nachdem die Firewall durchgestartet wurde wird die Site2Site-Verbindung wieder aufgebaut.
Gegen eine erneute Einwahl werde ich nichts unternehmen können (außer natürlich der Haken bzgl der Zangstrennung), jetzt ist meine Frage ob ich an der IPSec-Verbindung eine Änderung vornehmen kann um dieses Problem zu umgehen? Kann ich irgendwo beeinflussen wer bzw. wann die Einwahl stattfindet?
Hier die Konfig
Standort 1:
VDSL mit fester IP
Astaro ASG220
Standort 2:
Direct Access
Watchguard XTM 5
IPSec-Verbindung: 3DES, MD5, Lifetime 3600, Group 1 MODP 768
Wäre über jeden Tipp dankbar.
VG Michl
ich habe derzeit mal wieder ein Problem was mich zur Verzweiflung treibt. Unsere zwei Standorte sind per Site2Site-IPSec verbunden, was die letzten zwei Monate seit der Einrichtung auch anstandslos funktionierte. Jetzt wurde der Standort 1 mit der Astaro-Firewall von Standleitung auf VDSL mit fester IP umgestellt.
Die PPOE-Einwahl, Mail Versand/-empfang und VPN-SSL funktionieren anstandslos....selbst nach einer kurzen Unterbrechung der Leitung.
Allerdings sobald die Leitung einen kurzen Aussetzer hat und die PPPOE-Einwahl erneut stattfindet, wird die Site2Site-Verbindung nicht mehr automatisch aufgebaut. Selbst das Deaktivieren/aktivieren der Verbindung führt nicht zum gewünschten Erfolg. Erst nachdem die Firewall durchgestartet wurde wird die Site2Site-Verbindung wieder aufgebaut.
Gegen eine erneute Einwahl werde ich nichts unternehmen können (außer natürlich der Haken bzgl der Zangstrennung), jetzt ist meine Frage ob ich an der IPSec-Verbindung eine Änderung vornehmen kann um dieses Problem zu umgehen? Kann ich irgendwo beeinflussen wer bzw. wann die Einwahl stattfindet?
Hier die Konfig
Standort 1:
VDSL mit fester IP
Astaro ASG220
Standort 2:
Direct Access
Watchguard XTM 5
IPSec-Verbindung: 3DES, MD5, Lifetime 3600, Group 1 MODP 768
Wäre über jeden Tipp dankbar.
VG Michl
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 193874
Url: https://administrator.de/forum/site2site-verbindung-bricht-ab-nach-umstellung-auf-vdsl-193874.html
Ausgedruckt am: 22.04.2025 um 15:04 Uhr
9 Kommentare
Neuester Kommentar
Hi VaderDarth,
ob es tatsächlich eine Zwangstrennung gibt?
Ihr solltet doch einen VDSL-Business-Anschluss haben (wegen fester IP)?
Bei meinen ADSL Business-Anschlüssen erfolgt keine Zwangstrennung.
Getrennt wird nur, wenn eine Leitung kurz weg war oder der Router.
Warum sich jedoch die VPN-Verbindung nicht automatisch erneut aufbaut, kann ich dir nicht sagen. Hier solltest du die Logs deiner Geräte überprüfen, ob dort etwas aussagekräftiges steht.
ob es tatsächlich eine Zwangstrennung gibt?
Ihr solltet doch einen VDSL-Business-Anschluss haben (wegen fester IP)?
Bei meinen ADSL Business-Anschlüssen erfolgt keine Zwangstrennung.
Getrennt wird nur, wenn eine Leitung kurz weg war oder der Router.
Warum sich jedoch die VPN-Verbindung nicht automatisch erneut aufbaut, kann ich dir nicht sagen. Hier solltest du die Logs deiner Geräte überprüfen, ob dort etwas aussagekräftiges steht.
Vermutlich ein Bug in einer der beiden Firmwares der FW Systeme ?!
Hast du die auf den aktuellsten Stand geflasht ??
Hast du die auf den aktuellsten Stand geflasht ??
Danke mal für die Tipps. Ich hab bis jetzt noch kein Logging laufen. Werd das mal die nächsten Tage mitlaufen lassen.
Auf der Astaro bin ich derzeit nicht auf aktuellem Stand, werd ich aber in dem Fall mal nachziehen. Falls ich was genaueres weiß poste ich es hier wieder.
Danke schon mal.
VG Michl
Auf der Astaro bin ich derzeit nicht auf aktuellem Stand, werd ich aber in dem Fall mal nachziehen. Falls ich was genaueres weiß poste ich es hier wieder.
Danke schon mal.
VG Michl
Und heute wieder pünktlich um 9:30 war die Verbindung wieder weg.
Im Log der Astaro habe ich nur folgenden Hinweis auf eine Unregelmäßigkeit gefunden, nämlich diese
2012:11:08-10:41:21 exefw-2 ipsec_starter[28047]: no default route - cannot cope with %defaultroute!!!
Hat das damit was zu tun? Ich werd heute Abend auf jeden Fall ein Firmware-Update durchführen, wird seitens Astaro auf jeden Fall empfohlen.
VG Michl
Im Log der Astaro habe ich nur folgenden Hinweis auf eine Unregelmäßigkeit gefunden, nämlich diese
2012:11:08-10:41:21 exefw-2 ipsec_starter[28047]: no default route - cannot cope with %defaultroute!!!
Hat das damit was zu tun? Ich werd heute Abend auf jeden Fall ein Firmware-Update durchführen, wird seitens Astaro auf jeden Fall empfohlen.
VG Michl
Hallo Zusammen,
also die Verbindung bricht nach wie vor ab. Ziemlich genau nach 24 Std. Watchguard ist auf aktuellem Firmwarestand, die Astaro habe ich auf aktuellen Stand gebracht. Problem besteht nach wie vor. Die User können nach wie vor aufs Internet zugreifen, VPN über SSL ist möglich, auch der OWA-Server ist erreichbar. Nur die IPSec-Standort-Verbindung wird nicht mehr aufgebaut. Im Log kann ich nur sehen, dass er nur 1 Versuch startet die Verbindung herzustellen.
2012:11:11-19:35:12 firewallx pluto[12558]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:11:11-19:35:12 firewallx pluto[12558]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:11:11-19:35:12 firewallx pluto[12558]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:11:11-19:35:12 firewallx pluto[12558]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:11:11-19:35:12 firewallx pluto[12558]: Changing to directory '/etc/ipsec.d/crls'
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)" #1: deleting state (STATE_MAIN_I1)
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:49 firewallx pluto[12558]: listening for IKE messages
2012:11:11-19:35:49 firewallx pluto[12558]: forgetting secrets
2012:11:11-19:35:49 firewallx pluto[12558]: loading secrets from "/etc/ipsec.secrets"
2012:11:11-19:35:49 firewallx pluto[12558]: loaded PSK secret for 80.xxx.xxx.xxx xx.xxx.xxx.xxx
2012:11:11-19:35:49 firewallx pluto[12558]: loaded private key from 'L2TPIPSEC.pem'
2012:11:11-19:35:49 firewallx ipsec_starter[12557]: no default route - cannot cope with %defaultroute!!!
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)" #2: initiating Main Mode
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: forgetting secrets
2012:11:11-19:35:49 firewallx pluto[12558]: loading secrets from "/etc/ipsec.secrets"
2012:11:11-19:35:49 firewallx pluto[12558]: loaded PSK secret for 80.xxx.xxx.xxx 93.xxx.xxx.xxx
2012:11:11-19:35:49 firewallx pluto[12558]: loaded private key from 'L2TPIPSEC.pem'
2012:11:11-19:35:49 firewallx pluto[12558]: loading ca certificates from '/etc/ipsec.d/cacerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:11:11-19:35:49 firewallx pluto[12558]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:11:11-19:35:49 firewallx pluto[12558]: Changing to directory '/etc/ipsec.d/crls'
Könnt Ihr da was sehen?
Danke schon mal für Eure Hilfe
VG Michl
also die Verbindung bricht nach wie vor ab. Ziemlich genau nach 24 Std. Watchguard ist auf aktuellem Firmwarestand, die Astaro habe ich auf aktuellen Stand gebracht. Problem besteht nach wie vor. Die User können nach wie vor aufs Internet zugreifen, VPN über SSL ist möglich, auch der OWA-Server ist erreichbar. Nur die IPSec-Standort-Verbindung wird nicht mehr aufgebaut. Im Log kann ich nur sehen, dass er nur 1 Versuch startet die Verbindung herzustellen.
2012:11:11-19:35:12 firewallx pluto[12558]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:11:11-19:35:12 firewallx pluto[12558]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:11:11-19:35:12 firewallx pluto[12558]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:11:11-19:35:12 firewallx pluto[12558]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:11:11-19:35:12 firewallx pluto[12558]: Changing to directory '/etc/ipsec.d/crls'
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)" #1: deleting state (STATE_MAIN_I1)
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:49 firewallx pluto[12558]: listening for IKE messages
2012:11:11-19:35:49 firewallx pluto[12558]: forgetting secrets
2012:11:11-19:35:49 firewallx pluto[12558]: loading secrets from "/etc/ipsec.secrets"
2012:11:11-19:35:49 firewallx pluto[12558]: loaded PSK secret for 80.xxx.xxx.xxx xx.xxx.xxx.xxx
2012:11:11-19:35:49 firewallx pluto[12558]: loaded private key from 'L2TPIPSEC.pem'
2012:11:11-19:35:49 firewallx ipsec_starter[12557]: no default route - cannot cope with %defaultroute!!!
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)" #2: initiating Main Mode
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: forgetting secrets
2012:11:11-19:35:49 firewallx pluto[12558]: loading secrets from "/etc/ipsec.secrets"
2012:11:11-19:35:49 firewallx pluto[12558]: loaded PSK secret for 80.xxx.xxx.xxx 93.xxx.xxx.xxx
2012:11:11-19:35:49 firewallx pluto[12558]: loaded private key from 'L2TPIPSEC.pem'
2012:11:11-19:35:49 firewallx pluto[12558]: loading ca certificates from '/etc/ipsec.d/cacerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:11:11-19:35:49 firewallx pluto[12558]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:11:11-19:35:49 firewallx pluto[12558]: Changing to directory '/etc/ipsec.d/crls'
Könnt Ihr da was sehen?
Danke schon mal für Eure Hilfe
VG Michl
Aus Sicht des VPNs ist das absolut sauber. Bei IKE Phasen laufen sauber durch.
Allerdings "[12557]: no default route - cannot cope with %defaultroute!!! " ist nicht normal !
Da ist etwas faul mit dem Routing im VPN Tunnel.
Allerdings ist die Meldung so oberflächlich das man nicht wirklich was damit anfangen kann
Was sagt denn die Astaro Hotline zu dieser Fehlermeldung und ihrer genauen Ursache ??
Allerdings "[12557]: no default route - cannot cope with %defaultroute!!! " ist nicht normal !
Da ist etwas faul mit dem Routing im VPN Tunnel.
Allerdings ist die Meldung so oberflächlich das man nicht wirklich was damit anfangen kann
Was sagt denn die Astaro Hotline zu dieser Fehlermeldung und ihrer genauen Ursache ??
Astaro werd ich mal als nächstes befragen, im Astaro-Forum bin ich auch nicht fündig geworden. Zuerst aber werde ich das ADSL-Modem noch austauschen. Da ist derzeit so ein Zyxel-Router verbaut der nur als Bridge konfiguriert ist. Den will ich mal als Fehlerquelle ausgeschlossen wissen.
So, und weiter bin ich immer noch nicht. Also eine Möglichkeit zum Tausch des V-DSL-Modems hat sich noch nicht ergeben. Ich habe mir die Einstellungen des aktuell verbauten V-DSL-Routers angesehen der als Bridge konfiguriert ist. Hier ist nichts bzgl. Zwangstrennung etc. zu sehen. Ich habe auch sämtliche nicht verwendeten Protokolle/Funktionen deaktiviert und ein Firmware-Update durchgeführt. Sobald ich diesen Zyxel-Router durchstarte bricht die IPSec-Verbindung ab und kommt auch nicht wieder hoch bis zum Neustart der Astaro.
Im Astaro-Forum bin ich auf folgenden Beitrag gestoßen http://www.astaro.org/local-language-forums/german-forum/21860-howto-vd ... und hab das soweit konfiguriert, allerdings konnte ich die Änderung in der Datei in /var/chroot-pppoe/bin/DSL.sh nicht vornehmen, da diese ganz anders aussieht als im Beispiel.
Ich werd heute auf jeden Fall noch einen Eintrag im Astaro-Forum posten und mal mit der Telekom sprechen, wobei ich Vermute dass zweitere mir nicht wirklich helfen können.
Hat noch jemand eine Idee für mich?
VG Michl
Im Astaro-Forum bin ich auf folgenden Beitrag gestoßen http://www.astaro.org/local-language-forums/german-forum/21860-howto-vd ... und hab das soweit konfiguriert, allerdings konnte ich die Änderung in der Datei in /var/chroot-pppoe/bin/DSL.sh nicht vornehmen, da diese ganz anders aussieht als im Beispiel.
Ich werd heute auf jeden Fall noch einen Eintrag im Astaro-Forum posten und mal mit der Telekom sprechen, wobei ich Vermute dass zweitere mir nicht wirklich helfen können.
Hat noch jemand eine Idee für mich?
VG Michl
Nein, das wird vermutlich nicht helfen, denn es sieht eher nach einem Firmware Bug einer der beiden VPN Beteiligten aus.
Ein reines VDSL Modem ist simple Hardware und ein medienwandler der mit alledem nix zu tun hat.
Dein Reboot Test mit dem Zyxel belegt das ja eindeutig !
Ein reines VDSL Modem ist simple Hardware und ein medienwandler der mit alledem nix zu tun hat.
Dein Reboot Test mit dem Zyxel belegt das ja eindeutig !
