Abbau IKEv2-VPN-Tunnel bei Zwangstrennung eines DSL-Kanals

[LANCOM-FAN]

Hallo Forum!

Seit LCOS 10.12 beobachte ich folgendes Verhalten:

Ein 1781VAW baut über eine Kabeldeutschland-Verbindung einen IKEv2-VPN-Tunnel zur Zentrale auf.
Wird nun ein angeschlossener T-COM-DSL-Kanal aufgrund Zwangstrennung kurz unterbrochen, führt dies auch zu einer Unterbrechnung des VPN-Tunnels.

Viele Grüße!

[GrandDixence]

Korrektes Verhalten in LCOS v10.12 gemäss RFC 3706 Kapitel 5.4:

A peer MUST keep track of the state of a given DPD exchange. That
is, once it has sent an R-U-THERE query, it expects an ACK in
response within some implementation-defined period of time. An
implementation SHOULD retransmit R-U-THERE queries when it fails to
receive an ACK. After some number of retransmitted messages, an
implementation SHOULD assume its peer to be unreachable and delete
IPSec and IKE SAs to the peer.

Wenn die Dead Peer Detection (DPD gemäss RFC 3706) erkennt, dass der Steuer-Kanal (IKEv2) unterbrochen ist, wird der VPN-Tunnel getrennt/abgebaut. Siehe entsprechendes Kapitel im LCOS-Referenzhandbuch und RFC 3706:

https://tools.ietf.org/html/rfc3706

Die Dead Peer Detection (DPD) wird in LCOS unter:

Code: Alles auswählen

ls /Setup/VPN/IKEv2/Allgemeines/DPD-Inakt-Timeout

konfiguriert. Bis LCOS v10.12 hat DPD (gemäss RFC 3706) nie korrekt funktioniert. Man darf nur hoffen, dass DPD mit LCOS v10.12 (endlich) korrekt funktioniert...

=> Ich habe zur mangelhaften DPD-Realisierung in LCOS v10.00 RU3 noch ein LANCOM Hotline-Ticket offen, bei welchem mir die LANCOM-Hotline seit Monaten eine Antwort bzw. eine Lösung schuldet...

Wenn der VPN-Tunnel mit IKEv2/IPSec eine Zwangstrennung des Internetanschlusses überleben sollte, muss MobIKE (RFC 4555) eingesetzt werden:

https://www.heise.de/security/artikel/M ... 70948.html

https://tools.ietf.org/html/rfc4555

Leider unterstützt LCOS v10.12 kein MobIKE (RFC 4555)!

[n.fischer@goedia.de]

Hallo,

hier habe ich mich sicher ungenau ausgedrückt.

Am Router liegen zwei Internetanschlüsse an.

Am internen Modem ist ein T-COM-ADSL mit Zwangstrennung angeschlossen, am LAN1 ist über ein Kabelmodem ein Kabeldeutschland-Anschluss realisiert, über den auch die VPN-Verbindung zur Zentrale läuft.

Der T-COM-Anschluss hat somit nichts mit der VPN-Verbindung zu tun.

Dennoch wird bei dessen Zwangstrennung auch der VPN-Tunnel auf dem Kabeldeutschland-Anschluss kurz getrennt.

Desweiteren fällt auf, dass seit der 10.12 beim Rückschreiben einer Konfigurationsänderung ein laufender Internetstream unterbrochen wird.


Viele Grüße!

[MariusP]

Hi,
du hast nicht zufällig einen Eintrag in der Aktionstabelle?

Kannst du bitte den VPN-Status trace vom einem solchen Abbau posten.
Und schau bitte im VPN-packet trace nach über welche Schnittstelle die Pakete wirklich rausgehen.
Gruß