VPN Tunnel IPsec V2 zu Digitalisierungsbox Smart2

[Dr.Einstein]

Zusätzliche Frage - wie kann man den LANcom-Router in "Responder" setzen? Habe da nur den Hinweis gefunden, "Haltezeit auf 0", aber dann darf kein Ping o.ä. kommen. Und das macht unser Monitoring die ganze Zeit.

Brechstangenmethode: WAN IP / DynDNS Namen der Digibox im Lancom entfernen.

Elegante Variante: Eine Firewallregel erstellen mit einem benutzerdefinierten Aktionsobjekt, welches auf "wenn Verbindung nicht besteht" + Reject / Drop steht. Dadurch wird der VPN nicht aktiv aufgebaut, weil kein Anforderungspaket durch die Firewall geht.

[GrandDixence]

Sinnvoller wäre es die Digitalisierungsbox mit "Haltezeit:=9999" zu konfigurieren (Initator). Den LANCOM-Router mit "Haltezeit:=0" zu konfigurieren (Responder). Und auf beiden VPN-Endpunkte ist die VPN-Tunnelüberwachung per DPD mit 30 Sekundenintervall zu konfigurieren. So steht der VPN-Tunnel immer betriebsbereit und bei einer störungsbedingten VPN-Tunneltrennung erfolgt der (erneute) Verbindungsaufbau rasch möglichst durch die Digitalisierungsbox (Initiator).

[Dr.Einstein]

Sinnvoller wäre es die Digitalisierungsbox mit "Haltezeit:=9999" zu konfigurieren (Initator). Den LANCOM-Router mit "Haltezeit:=0" zu konfigurieren (Responder).

Das garantiert nicht die Anforderung / Frage des Threaderstellers.

[afassl]

Haltezeiteinstellung - ist so genau gemacht, ebenso DPD.
Bzgl. der Einschaltung der Proposals - ich hatte die Hoffnung, dass er dann vielleicht endlich mir sagt, was bei Aufbau
Initiator LC - Responder Digibox genommen wird.
Der Aufbau
Initiator Digibox - Responder LC wird ja vorgenommen.
Hinweise, welche Proposals vom BSI empfohlen werden sind schön, aber leider hier nicht hilfreich. Vor allen Dingen- die andere Digibox (Bautyp und SW-Release identisch) baut ja auf, - aber halt nur als Initiator.
Und dann sieht der Trace wie folgt aus

Code: Alles auswählen

[VPN-Status] 2023/06/16 22:25:22,094
Peer DEFAULT [responder]: Received an IKE_AUTH-REQUEST of 544 bytes (encrypted)
Gateways: Lancom:500<--Digibox2:500
SPIs: 0x292E1BE8B676AB17CD441280386D1473, Message-ID 1
CHILD_SA ('', '' ) entered to SADB
Received 3 notifications: 
  +INITIAL_CONTACT (STATUS)
  +EAP_ONLY_AUTHENTICATION (STATUS)
  +MESSAGE_ID_SYNC_SUPPORTED (STATUS)
+Received-ID digibox2-fqdn:FQDN matches the Expected-ID digibox2.fqdn:FQDN
+Peer identified: DIGIBOX-ID
+Peer uses AUTH(PSK)
+Authentication successful
IKE_SA ('DIGIBOX-ID', 'ISAKMP-PEER-DIGIBOX-ID' IPSEC_IKE SPIs 0x292E1BE8B676AB17CD441280386D1473) removed from SADB
IKE_SA ('DIGIBOX-ID', 'ISAKMP-PEER-CDIGIBOX-ID' IPSEC_IKE SPIs 0x292E1BE8B676AB17CD441280386D1473) entered to SADB
TSi: (  0,     0-65535,     192.168.8.0-192.168.8.255  )
TSr: (  0,     0-65535,     192.168.0.0-192.168.0.255  )
+CHILD-SA:
  ESP-Proposal-1 Peer-SPI: 0xCFC045FE (13 transforms)
    ENCR : ENCR-AES-CCM-16 ENCR-AES-CCM-16 ENCR-AES-CCM-16 ENCR-AES-CCM-12 ENCR-AES-CCM-12 ENCR-AES-CCM-12 AES-GCM-16-128 AES-GCM-16-192 AES-GCM-16-256 AES-GCM-12 AES-GCM-12 AES-GCM-12
    ESN  : NONE
  ESP-Proposal-2 Peer-SPI: 0xCFC045FE (11 transforms)
    ENCR : AES-CBC-128 AES-CBC-192 AES-CBC-256 AES-128-CTR AES-128-CTR AES-128-CTR
    INTEG: HMAC-SHA-256 HMAC-SHA-384 HMAC-SHA-512 AES-XCBC-96
    ESN  : NONE

[VPN-Status] 2023/06/16 22:25:22,097
Peer DIGIBOX-ID: Constructing an IKE_AUTH-RESPONSE for send
+Local-ID lancom-fqdn:FQDN
+I use AUTH(PSK)

IKE_SA_INIT [responder] for peer COWOKI-DSP2-NEO initiator id digibox2-fqdn, responder id lancom-fqdn
initiator cookie: 0x292E1BE8B676AB17, responder cookie: 0xCD441280386D1473
SA ISAKMP for peer Digibox-ID

Und dass sucht sich dann die Digibox heraus.

[b] Encryption                    : AES-CBC-256
 Integrity                     : AUTH-HMAC-SHA-256
 IKE-DH-Group                  : 14
 PRF                           : PRF-HMAC-SHA-256[/b]
life time soft 06/18/2023 01:25:22 (in 97200 sec) / 0 kb
life time hard 06/18/2023 04:25:22 (in 108000 sec) / 0 kb
DPD: 31 sec
Negotiated: IKEV2_FRAGMENTATION

+TSi 0: (  0,     0-65535,     192.168.8.0-192.168.8.255  )
+TSr 0: (  0,     0-65535,     192.168.0.0-192.168.0.255  )

Wie schon gesagt, ich hatte früher schon immer Spaß mit den Bintec/Elmeg und jetzt Zyxel-Boxen (irre, wie die herumgereicht wurden).
Und da waren VPN-Tunnel immer spassig.

Aber auf jeden Fall Danke für die vielen Hinweise.

Ach ja, kann man irgendwo diesen Parameter beeinflussen?

Code: Alles auswählen

[VPN-Status] 2023/06/17 12:00:52,544
VPN: connection backoff wait timer blocks DIGIBOX2 (5 seconds remaining)

[afassl]

Ach ja, noch eine Info - so sieht es für den aufgebauten Tunnel aus:

Code: Alles auswählen

> show vpn long

VPN SPD and IKE configuration:

  # of rules = 8

  Rule #1          ikev2        0.0.0.0/0 ANY ANY <-> 0.0.0.0/0 ANY ANY
    Name:                       DIGIBOX-ID
    Unique Id:                  IPSEC-0-Digibox-ID-PR0-L0-R0
    Local  Gateway:             IPV4_ADDR(any:0, LANCOM-IP)
    Remote Gateway:             IPV4_ADDR(any:0, DIGIBOX-IP)
    IKE Proposal      :         IKE-PROPOSAL-DIGIBOX2-1
      ENCR-Transforms :         AES-GCM-16-192,AES-CBC-256,AES-CBC-128
      PRF-Transforms  :         PRF-HMAC-SHA-512,PRF-HMAC-SHA-256
      INTEG-Transforms:         HMAC-SHA-512,HMAC-SHA-256
      DH-Transforms   :         14
      Lifetime (hard) :         0 kb
      Lifetime (hard) :         108000 sec
    IKE Identities and Keys:    
      Local  Identity      :    (PRESHARED_KEY, lancom-fqdn:FQDN)
      Remote Identity      :    (PRESHARED_KEY, digibox-fqdn:FQDN)
      Local/Remote Keys    :    *
    IPSec Protocol         :    ESP
      ENCR-Transforms      :    AES-CBC-256,AES-CBC-128
      INTEG-Transforms     :    HMAC-SHA-256
      DH-Transforms        :    14
      ESN-Transforms       :    NONE
      Lifetime (hard)      :    2000000 kb
      Lifetime (hard)      :    28800 sec