1711 <-> Watchguard Rekeying Problem

wohlzudoof · Beitrag von **wohlzudoof** » 19 Sep 2008, 11:44

Liebe Experten im Forum,

ich habe eine VPN-Verbindung zwischen zwei Subnetzen (Lancom 1711 & Watchguard) eingerichtet. Auf die Watchguard habe ich keinen Zugriff, sondern lediglich die Parameter für den VPN-Zugang (Aggr. Mode, kein PFS, IKE-Gruppe 2, 3DES-CBC für IKE & IPSEC, PSK mit FQDN auf beiden Seiten, SHA1 Hash).
Der Verbindungsaufbau klappt auch tadellos. Nach ca. 45min findet aber (aus mir nicht bekannten Gründen) ein Rekeying statt. Der Tunnel bleibt bestehen (zumindest lt. Lanmonitor), es werden aber keine Daten mehr übertragen. Erst wenn ich die Verbindung manuell beende und sie sich wieder neu aufbaut, geht es weiter (wieder ~45min).
Aus dem Trace werde ich nicht schlau (sehe da nix auffälliges)

Code: Alles auswählen

#
| LANCOM 1711 VPN
| Ver. 7.56.0046 / 20.08.2008
| SN.  020980XXXXXX
| Copyright (c) LANCOM Systems

Lancom-1711, Connection No.: 002 (LAN)


root@Lancom-1711:/
> trace + vpn @ FKHH

VPN-Packet      ON  @ FKHH

VPN-Status      ON  @ FKHH

root@Lancom-1711:/
> 
[VPN-Status] 2008/09/19 10:24:36,180
VPN: connecting to FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 10:24:36,180
VPN: installing ruleset for FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 10:24:36,210
VPN: ruleset installed for FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 10:24:36,210
VPN: start IKE negotiation for FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 10:24:36,230
IKE info: Phase-1 negotiation started for peer FKHH rule isakmp-peer-FKHH using AGGRESSIVE mode


[VPN-Status] 2008/09/19 10:24:37,170
IKE info: Phase-1 remote proposal 1 for peer FKHH matched with local proposal 1


[VPN-Status] 2008/09/19 10:24:37,330
IKE info: Phase-1 [inititiator] for peer FKHH between initiator id yyyyy.dyndns.org, responder id zzzzzz.dyndns.org done
IKE info: SA ISAKMP for peer FKHH encryption 3des-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)


[VPN-Status] 2008/09/19 10:24:37,380
IKE info: Phase-2 [inititiator] done with 2 SAS for peer FKHH rule ipsec-5-FKHH-pr0-l0-r0
IKE info: rule:' ipsec 192.168.1.0/255.255.255.0 <-> 192.168.12.0/255.255.255.0 '
IKE info: SA ESP [0x21590401]  alg 3DES keylength 192 +hmac HMAC_SHA outgoing
IKE info: SA ESP [0x50a2d169]  alg 3DES keylength 192 +hmac HMAC_SHA incoming
IKE info: life soft( 69120 sec/0 kb) hard (86400 sec/0 kb)
IKE info: tunnel between src: 85.xx.xx.xx dst: 88.xx.xx.xx  


[VPN-Status] 2008/09/19 10:24:38,390
VPN: FKHH (88.xx.xx.xx) connected


root@Lancom-1711:/
> ping -c2  2 10 92.168.12.1

    56 Byte Packet from 192.168.12.1 seq.no=0 time=56.754 ms 
    56 Byte Packet from 192.168.12.1 seq.no=1 time=37.797 ms 


---------------
Nach ca. 45min:
---------------

root@Lancom-1711:/
> 
[VPN-Status] 2008/09/19 11:12:37,010
IKE info: Phase-1 negotiation started for peer FKHH rule isakmp-peer-FKHH using AGGRESSIVE mode


[VPN-Status] 2008/09/19 11:12:37,940
IKE info: Phase-1 remote proposal 1 for peer FKHH matched with local proposal 1


[VPN-Status] 2008/09/19 11:12:38,090
IKE info: Phase-1 [inititiator] for peer FKHH between initiator id yyyyy.dyndns.org, responder id zzzzzz.dyndns.org done
IKE info: SA ISAKMP for peer FKHH encryption 3des-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)



root@Lancom-1711:/
> [A  ping -c 2 192.168.12.1


 ---192.168.12.1 ping statistic---
 56 Bytes Data, 2 Packets transmitted, 0 Packets received, 100% loss 

------------------------------------------------------------------------------------------
Tunnel steht noch, es kommen aber keine Daten mehr durch, Rekeying scheitert anscheinend,
also manuell disconnecten:
------------------------------------------------------------------------------------------

root@Lancom-1711:/
> 
[VPN-Status] 2008/09/19 11:20:53,500
VPN: Disconnect info: physical-disconnected (0x4304) for FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 11:20:53,500
VPN: disconnecting FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 11:20:53,520
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-5-FKHH-pr0-l0-r0 to peer FKHH, spi [0x50a2d169]


[VPN-Status] 2008/09/19 11:20:53,520
IKE info: Phase-2 SA removed: peer FKHH rule ipsec-5-FKHH-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [21590401  ] [50a2d169  ]


[VPN-Status] 2008/09/19 11:20:53,530
IKE info: Delete Notificaton sent for Phase-1 SA to peer FKHH


[VPN-Status] 2008/09/19 11:20:53,530
IKE info: Phase-1 SA removed: peer FKHH rule FKHH removed


[VPN-Status] 2008/09/19 11:20:53,530
IKE info: Delete Notificaton sent for Phase-1 SA to peer FKHH


[VPN-Status] 2008/09/19 11:20:53,530
IKE info: Phase-1 SA removed: peer FKHH rule FKHH removed


[VPN-Status] 2008/09/19 11:20:53,600
VPN: selecting first remote gateway using strategy eFirst for FKHH
     => CurrIdx=0, IpStr=>88.xx.xx.xx<, IpAddr=88.xx.xx.xx, IpTtl=0s

[VPN-Status] 2008/09/19 11:20:53,600
VPN: installing ruleset for FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 11:20:53,600
VPN: FKHH (88.xx.xx.xx) disconnected

------------------------------------------
Tunnel neu aufbauen, und es geht wieder...
------------------------------------------

[VPN-Status] 2008/09/19 11:21:03,500
VPN: connecting to FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 11:21:03,500
VPN: installing ruleset for FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 11:21:03,530
VPN: ruleset installed for FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 11:21:03,530
VPN: start IKE negotiation for FKHH (88.xx.xx.xx)

[VPN-Status] 2008/09/19 11:21:03,560
IKE info: Phase-1 negotiation started for peer FKHH rule isakmp-peer-FKHH using AGGRESSIVE mode


[VPN-Status] 2008/09/19 11:21:04,490
IKE info: Phase-1 remote proposal 1 for peer FKHH matched with local proposal 1


[VPN-Status] 2008/09/19 11:21:04,660
IKE info: Phase-1 [inititiator] for peer FKHH between initiator id yyyyy.dyndns.org, responder id zzzzzz.dyndns.org done
IKE info: SA ISAKMP for peer FKHH encryption 3des-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)


[VPN-Status] 2008/09/19 11:21:04,720
IKE info: Phase-2 [inititiator] done with 2 SAS for peer FKHH rule ipsec-5-FKHH-pr0-l0-r0
IKE info: rule:' ipsec 192.168.1.0/255.255.255.0 <-> 192.168.12.0/255.255.255.0 '
IKE info: SA ESP [0x64980402]  alg 3DES keylength 192 +hmac HMAC_SHA outgoing
IKE info: SA ESP [0x454baba2]  alg 3DES keylength 192 +hmac HMAC_SHA incoming
IKE info: life soft( 69120 sec/0 kb) hard (86400 sec/0 kb)
IKE info: tunnel between src: 85.xx.xx.xx dst: 88.xx.xx.xx  

root@Lancom-1711:/
> 
[VPN-Status] 2008/09/19 11:21:05,720
VPN: FKHH (88.xx.xx.xx) connected


root@Lancom-1711:/
> [A  ping -c 2 192.168.12.1

    56 Byte Packet from 192.168.12.1 seq.no=0 time=37.344 ms 
    56 Byte Packet from 192.168.12.1 seq.no=1 time=37.613 ms

Habt Ihr da Erfahrung, woran das liegen kann und was ich tun kann ?

Danke, Rado

froeschi62 · Beitrag von **froeschi62** » 19 Sep 2008, 13:22

Hallöchen,

zunächst solltest Du die Lifetimes der Phasen 1/2 (IKE/IPSec) entsprechend der Watchguard angleichen. Von der Logik her sollte der größere Zeitwert in Phase1 (IKE) und der Kleinere in Phase2 (IPSec) stehen.

Gruß
Dietmar
.

tbc233 · Beitrag von **tbc233** » 10 Mai 2012, 09:01

Sorry wenn ich den alten Thread ausgrabe, aber mich würde unheimlich interessieren wei diese Sache ausgegangen ist. Wir kämpfen hier nämlich mit einem defacto identen Problem.

tbc233 · Beitrag von **tbc233** » 10 Mai 2012, 10:56

Ich hätte vielleicht noch anmerken sollen das wir die Gültigkeitsdauern beider Phasen bereits mit dem Watchguard Admin abgeklärt haben.

Würde es hier Sinn machen die Gültigkeitsdauer am Lancom bewusst etwas niedriger zu setzen um ein frühzeitiges Rekeying zu provozieren?