Connection refused

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
rfreund
Beiträge: 5
Registriert: 26 Jan 2018, 11:31

Connection refused

Beitrag von rfreund »

LANCOM R884VA (over ISDN)
Hardware-Release: A 2017-10-04 MOD A0
Firmware: 10.12.0147 / 16.11.2017

Wir haben das Problem, das durch einen Router im LOCALNET aufgebaute VPN-Verbindungen erratisch zusammenbrechen. Zusätzlich und nicht immer zeitlich zum VPN-Abbruch sind im Syslog folgende Meldungen zu sehen:

45 2018-01-26 04:40:18 LOCAL3 Alarm Dst: XXX.XXX.XXX.XXX:500, Src: 192.168.2.235:500 {ROUTERNAME} (UDP): connection refused

XXX.XXX.XXX.XXX = IP VPN-Server extern.

Die Firewall erlaubt IPSEC von LOCALNET auf ANY. IPSEC ist "TCP UDP %S500,4500".

* Bedeutet "connection refused", das der LANCOM die Verbindung abgelehnt hat, obwohl die DST ein externes Netz ist?

Zusatzinformation:
* Der Router im LOCALNET baut 4 Tunnel auf. Die Störung betrifft alle Tunnel. Bei jedem Tunnel tritt erratisch das "connection refused" auf. Es tritt nicht für alle 4 Tunnel gleichzeitig auf.
* Die Tunnel brechen nicht zwangsläufig zusammen bei "connection refused". Aber es gibt Überschneidungen.
* Es gibt eine Portweiterleitung für TCP/UDP 500,4500 vom externen Interface auf den Router im LOCALNET. Hier gibt es keinerlei Meldungen dazu. Auch nciht von den einwählenden VPN-Gegenstellen.
* Über den LANmonitor sind keine DDOS/IDS Meldungen für den Router im LOCALNET verzeichnet.
* Der LANCOM hat keinen konfigurierten VPN-Server/keine konfigurierten VPN-Verbindungen.

Grüße

René
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Connection refused

Beitrag von GrandDixence »

UDP-Verbindungen müssen mit dem Mechanismus NAT-Traversal offen gehalten werden. NAT-Traversal muss alle 15 Sekunden ein "Keep Alive"-Datenpaket versenden.

Fehlt dieser NAT-Traversal-Mechanismus kappt ein oder mehrere Netzwerkkomponenten (zum Beispiel: Firewall) die UDP-Verbindung bei Leerlauf nach Ablauf einer Timeout-Zeit (LANCOM: standardmässig 20 Sekunden bei UDP; 5 Minuten bei TCP). Das Trennen der UDP-Verbindung führt dazu, dass keine UDP-Datenpakete von Server nach Client versendet werden können. Versucht der Server dem Client nach Ablauf der UDP-Timeout-Zeit ein UDP-Datenpaket über eine getrennte UDP-Verbindung zu versenden, führt dies zur oben aufgelisteten Meldung im LANCOM-Gerät.

Für mehr Informationen zum Thema NAT-Traversal bei VPN-Tunneln mit IKE(v2)/IPSec siehe bitte:
https://wiki.strongswan.org/issues/2365

Der Mechanismus "Dead Peer Detection" (DPD) ist nicht geeignet für das Aufrechterhalten einer UDP-Verbindung (IKE/IPSec über UDP Port 4500 beim Einsatz von mindestens einem NAT-Gerät zwischen den beiden VPN-Endpunkte). "Dead Peer Detection" (DPD) kann im LCOS-Betriebsystem der LANCOM-Geräte auf eine minimale Überwachungszykluszeit von 30 Sekunden konfiguriert werden. Zum Aufrechterhalten von UDP-Verbindungen wäre eine DPD-Überwachungszykluszeit von 15 Sekunden erforderlich.
rfreund
Beiträge: 5
Registriert: 26 Jan 2018, 11:31

Re: Connection refused

Beitrag von rfreund »

Danke GrandDixence. Ich konnte mit den entsprechenden Anpassungen das Problem abschalten. Die Meldungentreten noch vereinzelt auf, aber dies scheint an einem spezifischen Tunnel zu liegen und hat nichts mit dem LANCOM zu tun.

Grüße
mrpresident
Beiträge: 8
Registriert: 17 Feb 2022, 15:16

Re: Connection refused

Beitrag von mrpresident »

Hallo,

ich habe 3 Lancom 1790EF welche unser VPN abbilden.

Leider habe auch ich auf unseren Geräten die hier aufgeführte Problematik feststellen müssen, der Benutzer wird einfach abgemeldet, wählt sich wieder ein, wird abgemeldet, dauert alles nicht lange.

Die Option "NAT-Traversal" ist aktiviert.
Unter IKE / IKEv2 finde ich einige Einträge in den Verbindungs- bzw. Authentifizierungslisten.

Dieser Fehler tritt übrigens alle paar Sekunden seitens der Quelle "local3" auf, siehe Anhang.
Natürlich betrifft dies insbesondere die Benutzer.


Gruß Kai Busch
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Connection refused

Beitrag von GrandDixence »

Unter LCOS-Menübaum/Status/VPN kontrollieren, ob nicht alle VPN-Lizenzen aufgebraucht wurden.
Antworten