Probleme mit IPSec Tunnels über Lancom Router

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
sw2090
Beiträge: 28
Registriert: 15 Jun 2018, 16:50

Probleme mit IPSec Tunnels über Lancom Router

Beitrag von sw2090 »

Hallo,

ich habe hier folgenden Aufbau:

Standort: DSL-Modem<=>FortiGate Firewall<=>Subnetze
IPSEC: Fortigate am Standort <=> FortiGate in der Zentrale
Firewall macht die PPPOE Einwahl über das Modem und baut die IPSec Tunnels auf.

funktionierte ohne Probleme.

Jetzt wurde das aufgrund von Umstellungen an den INternetleitungen wie folgt geändert:

Standort: Lancom R884VA<=>FortiGate Firewall<=>Subnetze
IPSEC: Fortigate am Standort <=> FortiGate in der Zentrale
Lancom macht die PPPOE Einwahl. IPSec wird weiterhin von der FortiGate aufgebaut.

Seitdem habe ich das Problem, daß durch meine IPSec Tunnels sporadisch immer wieder nichts mehr durchgeht. DPD springt scheinbar auch nicht an. Meine FortiGates sagen mir der Tunnel steht noch aber ich krieg dann nichts mehr durch. Wenn ich auf einer der beiden FortiGates den Tunnel dann manuell herunterfahre und wieder neu aufbauen lasse funktioniert erstmal alles wieder....
Da auf den FortiGates nichts geändert wurde (außer der Konfig der WAN Interfaces weil jetzt kein PPPOE mehr halt) denke ich das das an irgendeiner Einstellung des Lancoms liegt.
Ich habe bereits NAT Timouts für UDP und IPSec auf dem Lancom erhöht, das brachte aber nichts.
Hat vielleicht schon jemand ähnliche Erfahrungen gemacht und könnte mir einen Tipp geben?

lg
Sebastian
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: Probleme mit IPSec Tunnels über Lancom Router

Beitrag von hyperjojo »

Hallo,

ist der Voice-Call-Manager aktiv? Wenn ja, dort unter Erweitert mal die Fragmentierung und Reduzierung der PMTU abschalten.
Dies verursacht regelmäßig solche Probleme.

Gruß hyperjojo
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Probleme mit IPSec Tunnels über Lancom Router

Beitrag von GrandDixence »

Mit "Packet Capturing" herausfinden, was am LAN-Port rein kommt, aber am WAN-Port des LANCOM-Geräts nicht raus geht oder in umgekehrter Richtung:
viewtopic.php?f=41&t=17414&p=98835&hili ... ing#p98835

Ein Netzwerktechniker sollte sein wichtigstes Fehlersuchwerkzeug kennen (=> "Packet Capturing"). Das ist wie ein Mechaniker, der nicht weiss, wie mit einem Drehmomentschlüssel umzugehen...

Mögliche Fehlerquellen sind (genauer Fehler sollte mit Packet Capturing innerhalb Minuten eingrenzbar sein):

- UDP-Aging; fehlendes NAT-Keepalive oder zu hohes NAT-Keepalive-Intervall
viewtopic.php?f=14&t=17281&p=98088&hili ... ing#p98088

- Fehlende Unterstützung von "Fragmentierung" und somit Probleme mit einer MTU < 1500 Byte.
aktuelle-lancom-router-serie-f41/bandbr ... 17271.html => Beiträge ab 08 Jan 2019, 22:11

aktuelle-lancom-router-serie-f41/1781va ... tml#p90462
IKEv2-Fragmentierung wird erst ab LCOS v10.30 unterstützt:
https://www.lancom-systems.de//download ... f&_tid=706 => Seite 11
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: Probleme mit IPSec Tunnels über Lancom Router

Beitrag von cpuprofi »

Hallo GrandDixence,
GrandDixence hat geschrieben: 21 Mai 2019, 20:21 IKEv2-Fragmentierung wird erst ab LCOS v10.30 unterstützt:
https://www.lancom-systems.de//download ... f&_tid=706 => Seite 11
Das gilt aber nur wenn der Lancom die IPsec Verbindung herstellt, nicht wenn die FortiGate Firewall das macht.

Grüße
Cpuprofi
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Probleme mit IPSec Tunnels über Lancom Router

Beitrag von GrandDixence »

Ja einverstanden. Aber ehrlich gesagt, verstehe ich nicht, wieso dieses FortiGate-Geräte der VPN-Endpunkt ist. Kann dieser Lancom R884VA nicht als VPN-Endpunkt agieren?

Grundsätzlich sollte doch immer das Netzwerkgerät mit der öffentlichen IPv4-Adresse am WAN-Port der VPN-Endpunkt sein. Dieser VPN-Tunnel mit den FortiGate-Geräten ist sicher ein veralteter, unsicher konfigurierter IKEv1/IPSec-VPN-Tunnel und kein moderner IKEv2/IPSec-VPN-Tunnel mit moderner und sicherer Kryptografie, wie es aktuelle LANCOM-Netzwerkgeräte mit dem LCOS-Betriebssystem ermögliche würden.
sw2090
Beiträge: 28
Registriert: 15 Jun 2018, 16:50

Re: Probleme mit IPSec Tunnels über Lancom Router

Beitrag von sw2090 »

Die Fortigate ist der Endpunkt weil hinter der FortiGate das gesamte Standortrouting hängt. Samt Policies usw. Außerde werden die UTM Features der Fortigates genutzt.
Der Lancom macht nur das Internet. Port 4500 (NAT-T) und 500 (IPSec) sind auf dem Lancom geforwarded zur Fortigate.
Wie gesagt der Tunnel baut sich ja auch auf und funktioniert auch ganz normal. Das Problem scheint nur dann aufzutreten wenn der Tunnel längere Zeit idelt.
Daher vermute ich irgendein Timing bzw Aging Problem. UDP bzw IPSec Aging am Lancom auf Maximum zu stellen hat aber nicht geholfen.

Voice Call Manager ist jetzt auf dem Lancom ausgeschaltet. Mal sehen...
Antworten