Fehlermeldungen trotz aktiver VPN-Verbindung

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Fehlermeldungen trotz aktiver VPN-Verbindung

Beitrag von daniel337PVS »

Hallo zusammen,

ich habe jetzt eine soweit lauffähige Always-On-VPN-Verbindung mit meinem iPhone zum LANCOM herstellen können. Sah auch erst mal gut aus, die VPN-Verbindung auf dem Smartphone wird nach dem Start des Geräts und dann auch dauerhaft sofort hergestellt.

Allerdings klappt's dann doch nicht so wirklich mit dem erfolgreichen Datentransfer. Bzw. besser gesagt: mal klappt es, dann mal wieder direkt danach leider nicht.

Auf dem LANCOM stehen dafür immer wieder folgende Meldungen:


[VPN-Status] 2019/01/14 15:33:15,054
IKE info: Delete Notification for Phase-2 SA spi [0x9b73b055] could not be sent: no phase-1 sa exists to peer xxx.xxx.xxx.xxx:0



Ich habe schon ein paar verschiedene Einstellungen durchprobiert, allerdings fehlt mir nun noch etwas die Fantasie (oder vielleicht auch das tiefere Verständnis), von welcher Stelle aus diese Fehlkonfiguration (?) kommen könnte.

Ergänzend sei noch erwähnt, dass im Apple Configurator, wo ich die Einstellungen für iOS vornehme, u.a. folgende Optionen finde:

NAT-Keepalive: ja | nein
NAT-Keepalive-Intervall: Mindestschwellwert ist 20 Sekunden

Dead Peer-Erkennungsrate: Ohne | Gering | Mittel | Hoch



Kann mir jemand sagen, wo und wie konkret ich diese Meldungen auf dem Router dauerhaft beseitigen und eine dauerhaft funktionierende VPN-Verbindung zustandebringen kann?

Gruß Daniel


EDIT:

Das Ganze passiert übrigens nur, wenn ich hier in der Firma das Smartphone im WLAN habe. Dann sind sowohl LTE als auch WLAN mit dem VPN aktiv und die o.a. Fehlermeldung purzelt munter über die LANCOM-Konsole. Schalte ich das WLAN auf dem iPhone, klappen VPN- wie externe Zugriffe vom Smartphone aus bestens und im VPN-Debug gibt es auch überhaupt keine Fehler mehr!
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Fehlermeldungen trotz aktiver VPN-Verbindung

Beitrag von GrandDixence »

Zur Fehlermeldung siehe bitte meine Kommentare unter:
fragen-zum-thema-vpn-f14/fast-kein-traf ... tml#p92853

Wahrscheinliche Ursache für die Fehlermeldungen und den teilweise funktionierenden VPN-Tunnel ist eine Fehlkonfiguration von NAT-Traversal.
fragen-zum-thema-firewall-f15/connectio ... 16551.html

Befindet sich zwischen den beiden VPN-Endpunkten (hier IPhone und LANCOM-Gerät) eine NAT-Netzwerkkomponente, wird der per IKE/IPSEC realisierte VPN-Tunnel über NAT-Traversal abgewickelt. Bei Mobilfunkverbindungen ist NAT die Regel (=> IPhone erhält im Mobilfunknetz keine öffentliche IPv4-Adresse). Siehe auch:
fragen-zum-thema-vpn-f14/lancom-hinter- ... tml#p97903

Ich empfehle den Betrieb von NAT-Keepalive mit einem Intervall < 20 Sekunden. In LCOS-Versionen älter als 10.20.0259 RU1 war das "Timeout für UDP-Verbindung in der Firewall" (UDP-Aging) standardmässig auf 20 Sekunden konfiguriert.

Code: Alles auswählen

LCOS-Menübaum > Setup > IP-Router > 1-N-NAT > UDP-Aging-Sekunden
https://www.lancom-systems.de/docs/conf ... 8_9_2.html

Ab LCOS-Version 10.20.0259 RU1 ist das "Timeout für UDP-Verbindung in der Firewall" standardmässig auf 120 Sekunden konfiguriert (wenn kein Firmware-Update von LCOS älter als 10.20.0259 RU1 durchgeführt wurde). => Siehe LCOS Release Notes.

Das NAT-Keepalive-Intervall muss immer kürzer als das kürzeste "UDP-Aging" aller NAT-Komponenten in der Verbindung zwischen den beiden VPN-Endpunkte sein, ansonsten kappt die NAT-Netzwerkkomponente den VPN-Tunnel, wenn sich der VPN-Tunnel im Leerlauf befindet (während der Zeitperiode von "UDP-Aging" keine Datenpakete durch den VPN-Tunnel versendet).

Ich empfehle die Apple Configurator-Konfiguration:

Code: Alles auswählen

NAT-Keepalive: ja
NAT-Keepalive-Intervall: Mindestschwellwert ist 15 Sekunden

Dead Peer-Erkennungsrate: Hoch
Die Dead Peer-Erkennungsrate kann in unzuverlässigen Mobilfunknetzwerken oder bei unzuverlässigen Satellitenverbindungen auf "Gering" oder "Mittel" konfiguriert werden. Jedoch sollte die Dead Peer-Erkennungsrate niemals auf "Ohne" konfiguriert werden!

Deutschland ist ja seit Jahren gemäss dem Connect-Mobilfunknetz-Test das Schlusslicht bei der Mobilfunkversorgung:
https://www.connect.de/vergleich/mobilf ... 97967.html
Deshalb könnte gerade in Deutschland die Vergrösserung der Dead Peer-Interval-Zeit beim Aufbau eines VPN-Tunnels über das Mobilfunknetz sinnvoll sein...

Die zeitgleiche Realisierung von zwei Internetanschlüssen auf einem VPN-Endpunkt macht nur Sinn, wenn beide VPN-Endpunkte MOBIKE unterstützen. LANCOM-Geräte mit aktuellen LCOS-Versionen unterstützen heute (noch) kein MOBIKE! Für mehr Informationen zu MOBIKE siehe:

https://www.heise.de/security/artikel/M ... 70948.html

fragen-zum-thema-vpn-f14/lancom-hinter- ... tml#p97903

Für VPN-Anleitungen (IKEv2/IPSec) siehe:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Fehlermeldungen trotz aktiver VPN-Verbindung

Beitrag von MariusP »

Hi,
kannst du in den Logs sehen, wann die Phase 1 abgebaut wurde? Es ist ansich möglich das eine Phase 1 abgebaut wird und wenn dann die Phase 2 ihr delete versenden möchte würde dann die Phase 1 fehlen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Antworten