IKEv2-VPN hängt teilweise, 10.12.0637

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

IKEv2-VPN hängt teilweise, 10.12.0637

Beitrag von Jirka »

Hallo zusammen,

Zentrale: 7100+, 10.12.0630
An der Zentrale hängen per VPN mehrere Filialen und mein Router.

Mein Router: 1781EF+, mit Update von 10.12.0630 auf 10.12.0637
VPN in die Zentrale mit SAs für die Filialen.

Problem: Eine Filiale antwortet nicht mehr. Ursache: Pakete werden in meinem Router nicht richtig entschlüsselt.

Normal sieht ein über VPN empfangenes Paket im VPN-Paket-Trace z. B. so aus:

Code: Alles auswählen

[VPN-Packet] 2019/03/07 23:17:58,124
received: Quell-WAN-IP->Ziel-WAN-IP  220  ESP SPI[6c2f1f6a]
...

[VPN-Packet] 2019/03/07 23:17:58,124
decrypted: Quell-WAN-IP->Ziel-WAN-IP  170  IP-ENCAP
...

[VPN-Packet] 2019/03/07 23:17:58,124
esp_decrypted: decap: Quell-LAN-IP->Ziel-LAN-IP  150  UDP port 161->50966
...
Im Fehlerfall fehlt der dritte "esp_decrypted"-Teil im Trace.

Was kann das sein? Was wäre zu analysieren?

VPN-Verbindung neu aufgebaut und schon funktioniert wieder alles.

Vielen Dank und viele Grüße,
Jirka
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IKEv2-VPN hängt teilweise, 10.12.0637

Beitrag von GrandDixence »

Beim Vergleich mit dem Aufbau eines ESP-Datenpakets im Tunnelmodus machen die VPN-Paket-Trace-Meldungen Sinn:

https://www.elektronik-kompendium.de/si ... 410261.htm

received: Datenpaket von "neuer IP-Header" bis und mit "ESP-Auth." wurde empfangen.

decrypted: Die Integrität des Datenpaket von "ESP-Header" bis und mit "ESP-Trailer" wurde erfolgreich mit dem Hash in "ESP-Auth." festgestellt. => keine Datenmanipulation vorhanden. ESP-Datenpaket unversehrt.
https://de.wikipedia.org/wiki/Integrit% ... icherheit)

esp_decrypted: Der verschlüsselte Teil des Datenpakets von "IP-Header" bis und mit "ESP-Trailer" konnte erfolgreich entschlüsselt werden.

Aus irgendeinem Grund kann der VPN-Endpunkt das ESP-Datenpaket nicht entschlüsseln. Obwohl das ESP-Datenpaket in einem einwandfreien Zustand (Integritätsprüfung erfüllt) vorliegt. Wird unter:

/Status/VPN/ESP

die entsprechende Phase 2, Child-SA, IPSEC-SA aufgeführt? Was meldet der VPN-Debug-Trace?
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: IKEv2-VPN hängt teilweise, 10.12.0637

Beitrag von MariusP »

Hi,
Welche Verfahren sind in der Child SA verwendet worden?
"show vpn sadb" würde helfen, das Problem besser einschätzen zu können.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Antworten