Connection refused

Alles was zum Thema Firewall gehört

Moderator: Lancom-Systems Moderatoren

Antworten
rfreund
Beiträge: 5
Registriert: 26 Jan 2018, 12:31

Connection refused

Beitrag von rfreund » 26 Jan 2018, 12:48

LANCOM R884VA (over ISDN)
Hardware-Release: A 2017-10-04 MOD A0
Firmware: 10.12.0147 / 16.11.2017

Wir haben das Problem, das durch einen Router im LOCALNET aufgebaute VPN-Verbindungen erratisch zusammenbrechen. Zusätzlich und nicht immer zeitlich zum VPN-Abbruch sind im Syslog folgende Meldungen zu sehen:

45 2018-01-26 04:40:18 LOCAL3 Alarm Dst: XXX.XXX.XXX.XXX:500, Src: 192.168.2.235:500 {ROUTERNAME} (UDP): connection refused

XXX.XXX.XXX.XXX = IP VPN-Server extern.

Die Firewall erlaubt IPSEC von LOCALNET auf ANY. IPSEC ist "TCP UDP %S500,4500".

* Bedeutet "connection refused", das der LANCOM die Verbindung abgelehnt hat, obwohl die DST ein externes Netz ist?

Zusatzinformation:
* Der Router im LOCALNET baut 4 Tunnel auf. Die Störung betrifft alle Tunnel. Bei jedem Tunnel tritt erratisch das "connection refused" auf. Es tritt nicht für alle 4 Tunnel gleichzeitig auf.
* Die Tunnel brechen nicht zwangsläufig zusammen bei "connection refused". Aber es gibt Überschneidungen.
* Es gibt eine Portweiterleitung für TCP/UDP 500,4500 vom externen Interface auf den Router im LOCALNET. Hier gibt es keinerlei Meldungen dazu. Auch nciht von den einwählenden VPN-Gegenstellen.
* Über den LANmonitor sind keine DDOS/IDS Meldungen für den Router im LOCALNET verzeichnet.
* Der LANCOM hat keinen konfigurierten VPN-Server/keine konfigurierten VPN-Verbindungen.

Grüße

René

GrandDixence
Beiträge: 352
Registriert: 19 Aug 2014, 22:41

Re: Connection refused

Beitrag von GrandDixence » 26 Jan 2018, 20:28

UDP-Verbindungen müssen mit dem Mechanismus NAT-Traversal offen gehalten werden. NAT-Traversal muss alle 15 Sekunden ein "Keep Alive"-Datenpaket versenden.

Fehlt dieser NAT-Traversal-Mechanismus kappt ein oder mehrere Netzwerkkomponenten (zum Beispiel: Firewall) die UDP-Verbindung bei Leerlauf nach Ablauf einer Timeout-Zeit (LANCOM: standardmässig 20 Sekunden bei UDP; 5 Minuten bei TCP). Das Trennen der UDP-Verbindung führt dazu, dass keine UDP-Datenpakete von Server nach Client versendet werden können. Versucht der Server dem Client nach Ablauf der UDP-Timeout-Zeit ein UDP-Datenpaket über eine getrennte UDP-Verbindung zu versenden, führt dies zur oben aufgelisteten Meldung im LANCOM-Gerät.

Für mehr Informationen zum Thema NAT-Traversal bei VPN-Tunneln mit IKE(v2)/IPSec siehe bitte:
https://wiki.strongswan.org/issues/2365

Der Mechanismus "Dead Peer Detection" (DPD) ist nicht geeignet für das Aufrechterhalten einer UDP-Verbindung (IKE/IPSec über UDP Port 4500 beim Einsatz von mindestens einem NAT-Gerät zwischen den beiden VPN-Endpunkte). "Dead Peer Detection" (DPD) kann im LCOS-Betriebsystem der LANCOM-Geräte auf eine minimale Überwachungszykluszeit von 30 Sekunden konfiguriert werden. Zum Aufrechterhalten von UDP-Verbindungen wäre eine DPD-Überwachungszykluszeit von 15 Sekunden erforderlich.

rfreund
Beiträge: 5
Registriert: 26 Jan 2018, 12:31

Re: Connection refused

Beitrag von rfreund » 06 Feb 2018, 17:47

Danke GrandDixence. Ich konnte mit den entsprechenden Anpassungen das Problem abschalten. Die Meldungentreten noch vereinzelt auf, aber dies scheint an einem spezifischen Tunnel zu liegen und hat nichts mit dem LANCOM zu tun.

Grüße

Antworten

Zurück zu „Fragen zum Thema Firewall“