negotiation timeout occured

froeschi62 · Beitrag von **froeschi62** » 16 Jun 2008, 11:21

Hallöchen,

obige Meldung bekam ich nach knapp 18 Stunden vom VPN Client, der eine VPN Verbindung zum Lancom aufgebaut hatte. In dieser Phase machte ich gerade Pause und es flossen keine Daten durch den Tunnel. DPD war beidseitig angeschaltet und NAT-T aktiviert und Haltezeit stand auf 0.
In dieser Zeit wäre zum dritten Mal die Lifetime der IPSEC-SA abgelaufen. Ein Rekeying hätte also stattfinden müssen. Stattdessen obige Fehlermeldung.
Ist es daher möglich, dass ein Tunnel in Ruhephase nach Ablauf der Lifetime generell abbricht? Muss der Tunnel in dieser Phase aktiv sein, damit ein ordentliches Rekeying stattfinden kann, also quasi am Leben erhalten bleiben?
DPD Pakete und NAT-T KeepAlive Pakete reichen zur Lebenserhaltung offensichtlich nicht aus.
Leider habe ich zu diesem Thema im Internet nur spärliche Informationen gefunden. Auch entsprechende Literatur hielt sich recht bedeckt.

Viele Grüße
Dietmar

froeschi62 · Beitrag von **froeschi62** » 19 Jun 2008, 11:10

Hallo,

nach genauen Recherchen betrifft es die IKE-SA. Ist deren Lifetime (8 Stunden) abgelaufen funktioniert das Rekeying nicht mehr. IPSEC-SA (Lifetime 1 Stunde) funktioniert.

Gruß
Dietmar