Sip über IPSec/IKEv2 Verbindungsabrüche

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Sip über IPSec/IKEv2 Verbindungsabrüche

Beitrag von tiptel170 »

Hallo Gemeinde,
ich verzweifle fast schon. Habe ein grosses Problem mit der Firewall und dem Sip.
Zwei Lancom Router im Einsatz, die sind über UMTS / LTE verbunden. An beiden ist ein VPN-Tunnel aufgebaut und über diesen geht auch die Telefonie. Nun meldet sich die ES522 TK-Anlage die an dem 1781EW+ Router angeschlossen ist, an die AS45 mit dem Lanmodul an. Die AS45 hängt an dem 1781VA4G.

Zum Problem: Die Anmeldung klappt auch, Telefonieren geht auch. Nach einer gewissen Zeit wird die Verbindung getrennt und nicht mehr wieder aufgebaut ( hier z.B. der UDP-Port 5072 ). Erst wenn ich, z.B. was ändere an der Firewall und diese danach wieder neu gestartet wird, dann läuft es wieder. Und das geht die ganze Zeit schon so.

Hier ein Auszug vom Trace, da wird mir ein Daten-Paket verworfen und damit beginnt das ganz Spiel!

Code: Alles auswählen

[IP-Router] 2018/09/18 16:33:44,681  Devicetime: 2018/09/18 16:33:45,754
IP-Router Rx (VPN-TKAS45, RtgTag: 0): 
DstIP: 192.168.3.25, SrcIP: 192.168.13.24, Len: 612, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: UDP (17), DstPort: 5062, SrcPort: 5072
Fragmentation needed, but DF bit set => Discard
Dieses Trace bezieht sich auf den 1781VA4G, denn der verwirft mir die Datenpakete.
Und die UMTS-Verbindung ist HDPSA und die andere Verbindung ist LTE mit 50/50 tausend. Woran kann es denn noch liegen?

Hab schon alles Probiert sogar die QOS-Regel gelöscht. Ich verstehe es einfach nicht. Ich kann doch nicht andauernd die Firewall neu laden.

Gruß tiptel170
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Sip über IPSec/IKEv2 Verbindungsabrüche

Beitrag von Dr.Einstein »

Hi tiptel170,

im LanConfig unter Voice Call Manager -> Erweitert -> die PMTU Reduzierung bei ankommenden/abgehenden Gesprächen entfernen. Zusätzlich darf keine QoS-Firewallregel existieren, die die (P) MTU reduziert.

Gruß Dr.Einstein
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: Sip über IPSec/IKEv2 Verbindungsabrüche

Beitrag von tiptel170 »

hallo Dr.Einstein,
danke für den Hinweis mit Voice Call Manager. Aber diesen Punkt gibt es bei mir nicht in der Konfiguration.
Wie ich schon geschrieben habe, habe ich die QOS-Regeln herausgenommen. Was ich jetzt gemacht habe ist:

Bei den eingehenden Paketen 192.168.13.24 auf 192.168.3.25 habe ich die Quell und die Zielports gleich gesetzt und so wie bei der ausgehenden Verbindung von 192.168.3.25 auf 192.168.13.24. Und das ganze auf dem 1781VA4G Router eingestellt.

Jetzt scheint es zu laufen.

Gruß tiptel170
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: Sip über IPSec/IKEv2 Verbindungsabrüche

Beitrag von tiptel170 »

Hi,
was mir auffällt ist: Alles was in der Zeile mit Len: 612 drinsteht wird automatisch verworfen. Alles was unter diesem Wert steht wird durchgelassen. Ist sehr merkwürdig.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Sip über IPSec/IKEv2 Verbindungsabrüche

Beitrag von Dr.Einstein »

Naja, wie die Meldung ja sagt, liegt es an der MTU.

du könntest über die CLI mal schauen, was unter l /Setup/WAN/MTU-List/ bzw unter l /Status/WAN/MTU/ steht. Da erkennst du zumindest, ob wer eine dauerhafte MTU < 1492 Byte eingerichtet hat.

Ich glaube ja immer noch Richtung QoS o.ä. Schau mal während eines Gespräches unter l /Status/IP-Router/QoS/ nach, speziell die Spalten Fragment-size und PMTU-size.

Gruß Dr.Einstein
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: Sip über IPSec/IKEv2 Verbindungsabrüche

Beitrag von tiptel170 »

Code: Alles auswählen

root@1781VA4G_Router:/
> l /Setup/WAN/MTU-List/

Peer                MTU            
====================---------------

root@1781VA4G_Router:/
> l /Status/WAN/MTU/

Peer                MTU            
====================---------------
MDEX                1500           
TM-BACKUP           1500           
VPN-LAGER           1400           
VPN-MALLE           1400           
VPN-TKAS45          1400           

root@1781VA4G_Router:/
> l /Status/IP-Router/QoS/

Ifc        Peer               Upstream-Rate      Downstream-Rate    Rx-reserved        Rx-requested       Rx-blocks-pending   Tx-reserved        Tx-requested       Tx-favoured        Tx-blocks-pending   Fragment-size      PMTU-size        
===========------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
VDSL-1                        0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
VDSL-2                        0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
VDSL-3                        0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
VDSL-4                        0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
VDSL-5                        0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
VDSL-6                        0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
VDSL-7                        0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
VDSL-8                        0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
CH01                          0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
CH02                          0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
DSL-CH-1   MDEX               10000              10000              0                  0                  0                   0                  0                  0                  0                   0                  0                
DSL-CH-2                      0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
DSL-CH-3                      0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
DSL-CH-4                      0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
DSL-CH-5                      0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
DSL-CH-6                      0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
DSL-CH-7                      0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
DSL-CH-8                      0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
EXT-1      TM-BACKUP          50000              50000              0                  0                  0                   110                0                  0                  0                   576                576              
EXT-2                         0                  0                  0                  0                  0                   0                  0                  0                  0                   0                  0                
tiptel170
Beiträge: 51
Registriert: 06 Nov 2013, 20:27
Wohnort: Cas Concos

Re: Sip über IPSec/IKEv2 Verbindungsabrüche

Beitrag von tiptel170 »

Der Wert 576 der in der Tabelle unten stand kam mir bekannt vor. Darauf hin habe ich im Lanconfig danach gesucht. Und bin fündig geworden. Eine vergessene Firewall-Regel, diese hatten den Wert noch drin und war auch noch dummerweise auf alle Protokolle und Schnittstellen in beiden Richtungen eingestellt.

Jetzt habe ich mal die Regel ausgeschaltet und werde das mal weiterhin im Auge behalten. Danke für den Hinweis, Dr.Einstein.

Gruß tiptel170
Antworten