Problem Azure <> S2S mit LANCOM nach FW-Neustart & 6h Stunden bis Wiederverbindung

[rrny7]

LANCOM 1790VA-4G
S2S zw. Azure und LANCOM Router:

Hi zusammen,

Ich habe ein komisches Problem.

Aufbau: FritzBox > Wtl. an fli4l Firewall -> LANCOM Router.

Die VPN Verbindung ist korrekt konfiguriert und wenn sie steht steht der S2S Tunnel über Tage.

Wird jedoch die FW / Router (fli4l) neu gestartet, wird der VPN Tunnel nicht neu aufgebaut.
Es kommt folgender Fehler jede paar Minuten, stundelang:
2 2021-08-01 04:24:21 LOCAL0 Fehler VPN: Error for peer AZURE: IKE-R-DPD-Timeout
und
1 2021-08-01 04:24:21 AUTH Info User A_AZURE logged out: 034 013

Nach ca. 5-6 Stunden wird der Tunnel plötzlich wieder aufgebaut, ohne Grund, und ich kann mir nicht erklären was los ist, weil die Verbindung sonst super stabil ist, außer man startet die Firewall neu.
DPD ist in Azure auf 45s konfiguriert, auf der LANCOM auf 60s.

Hat jemand ne Idee, warum die VPN Verbindung nicht aufgebaut wird / dieser Fehler kommt?

Danke!
R

[GrandDixence]

Das "R" in "IKE-R-DPD-Timeout" steht für Responder (engl. Antwortgeber). Somit wurde der VPN-Tunnel nicht vom LANCOM-Router (Responder) aufgebaut, sondern von der anderen VPN-Gegenstelle (I => Initiator). Offenbar funktioniert beim Initiator das DPD (Dead Peer Detection) nicht. Das DPD im Responder dient der "Buchhaltung" der aktiven VPN-Tunneln. Die DPD-Telegramme im Steuerkanal (IKE) können mit dem entsprechenden VPN-Trace beobachtet werden ("VPN-IKE" oder ähnlich). Siehe auch:
fragen-zum-thema-vpn-f14/fast-kein-traf ... 16434.html

Nach 5-6 Stunden ist die Lebenszeit (life time) des IKE- oder IPSEC (ESP)-Schlüsselmaterials abgelaufen. Dann muss das Schlüsselmaterial zwischen Initiator und Responder neu ausgehandelt werden.

[rrny7]

Hallo GrandDixence,

Vielen Dank für deine Rückmeldung.

Wir haben Azure und LANCOM schon ca. in 10 verschiedenen Szenarios zusammengebaut und es funktioniert super stabil.

Nur bei dieser Verbindung haben wir diese Probleme..

Gibt es auf seiten Azure oder LANCOM irgendeine Möglichkeit, das Problem zu umgehen, indem bspw. das ReKeying viel früher ausgelöst wird, DPD aus ist, oder auf einer der beiden Seiten das DPD Timeout verkürzt oder verlängert wird?

Wir haben bei allen Tunnel, inkl. diesem, folgende Anleitung genutzt:

https://support.lancom-systems.com/know ... dows+AZURE

Danke für einen Tipp!

LG
Ron

[5624]

DPD ist in Azure auf 45s konfiguriert, auf der LANCOM auf 60s.

Zum einen hast du da eine Abweichung, es sollte schon auf beiden identisch konfiguriert sein, sonst kann es lustige Probleme geben.

Das was du suchst, ist das Polling. Einfach auf die VPN-Verbindung ein Polling legen und auf der Azure-Seite mehrere IP-Adressen, soweit möglich, anpingen. Wenn ALLE Adressen nicht erreichbar sind, wird die Verbindung ab- und, wenn die Haltezeit oder möglicher Traffic es erfordert, wieder aufgebaut.

[rrny7]

Hallo 5624,

Vielen Dank für deine Antwort.

Leider kann ich auf der Azure Seite nicht viel machen, eine Möglichkeit, verschiedene Ping-IPS anzulegen, gibt es nicht.

Anbei im Screenshot die einzigen Konfig.-Möglichkeiten in Azure (neben der FQDN/IP und dem Remote Netzwerk).

Bin über jeden weiteren Tipp weiter, vielleicht weiß ich auch etwas nicht, was in Azur everfügbar ist.

Azure war davor testweise als Responder eingestellt, habe es auf Initiator umgestellt. Die DPD Zeiten habe ich angeglichen, trotzdem habe ich das gleiche Problem nach dem Neustart des fli4l - Firewall/Router.
Auch nach dem Umstellen von Azure von Responder auf Initiator die gleichen Fehlermeldung:

6 2021-08-01 22:23:04 AUTH Info User X_AZURE logged out: 034 013
7 2021-08-01 22:23:04 LOCAL0 Fehler VPN: Error for peer X_AZURE: IKE-R-DPD-Timeout