Site2Site VPNs, nach Jahren vermehrte Probleme

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Site2Site VPNs, nach Jahren vermehrte Probleme

Beitrag von tbc233 »

Ich habe neuerdings öfter Probleme mit VPN Tunneln quer durch die DACH Region, die vorher jahrelang problemlos liefen. Es handelt sich hier um 1900EF sowie 1781+ Geräte. Die Versionsstände sind leicht untesrschiedlich, aber alle so um 10.50 herum.

Beispiel 1
VPN (IKEv1) Verbindung zwischen zwei Standorten funktioniert nach Jahren eines Morgens nicht mehr. Vor Ort Personal startet als erste Maßnahme mal die Lancoms neu, hilft nichts.
Als ich drauf schaue, sehe ich dass auf beiden Standorten die VPN Verbindung perfekt im Lanmonitor als Verbunden angezeigt werden. Aber es gehen keine Pakete durch. Manuelles abbauen/aufbauen der Verbindung (Lanmonitor, verbindung trennen) hilft nicht, Verbindung wird wieder als verbunden angezeigt, kein Traffic geht durch.
Als erste Maßnahme wird die Verbindung auf beiden Geräten gelöscht und neu eingerichtet. Bei der Gelegenheit gleich mit IKEv2. Selbes Fehlerbild. Dann testweise wieder mit IKEv1, keine Änderung. Dann testweise mit IKEv2 und SSL Kapselung. Selbes Fehlerbild. Schlussendlich nochmal Neueinrichtung mit IKEv1 und SSL - funktioniert. Später dann aus Neugier nochmal neu konfiguriert mit IKEv2 und UDP Kapselung - funktioniert ebenfalls.
Ich kann mir hier nur vorstellen, dass zum Beispiel der ISP irgendwelche Updates auf seinen Endgeräten oder Routern eingespielt hat über Nacht, sodass die IKE Pakete die vorher jahrelang geflutscht sind, nicht mehr durch gingen....

Beispiel 2
VPN (IKEv1) Verbindung zwischen zwei völlig anderen Standorten funktioniert ebenfalls nach Jahren nicht mehr. Selbes Fehlerbild wie oben, Verbindung laut Lanmonitor fein, keine Pakete gehen durch. Hier gestaltet sich die Fehlerbehebung etwas einfacher, es genügt die Verbindung via Lanmonitor zu trennen, nach dem Neuaufbau klappt wieder alles. Dennoch passiert das ganze nach ein paar Tagen wieder und daher entschließt man sich die Verbindung mal neu einzurichten, wiederum bei der Gelegenheit als IKEv2 (ohne explizit eine bestimmte Kapselung auszuwählen). Funktioniert.
Trotzdem nach ein paar Tagen wieder gleiches Fehlerbild.... Also nächstes kommen wohl wieder die Versuche mit verschiedenen Kapselungen.

Ich bin unsicher wie man sowas gut debuggen kann, wenn das Problem besteht. Würde mich auch freuen wenn andere, die solche Phänomene erlebt haben, berichten könnten.
Liebe Grüße,
michael
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Site2Site VPNs, nach Jahren vermehrte Probleme

Beitrag von tstimper »

Hi Michael,

sehr merkwürdig ...

nutzt Du Preshared Key oder Zertifikate für VPN?
Wenn Zertifikate, sind die ggf abgelaufen?
Stimmt die Zeit auf den Routern?
Kannst Du ggf IPSEC-over-HTTPS mal testen? Das würde bei geblockten VPN Ports helfen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Re: Site2Site VPNs, nach Jahren vermehrte Probleme

Beitrag von tbc233 »

Die VPNs sind alle mit PSK eingerichtet. Systemzeit der Geräte ist in Ordnung.
Bei meinem Beispiel 2 konnten die betroffenen Router durchaus andere VPN Tunnel weiter bedienen. Beim Beispiel 1 ging auf einer Seite gar kein Tunnel mehr.
Wie besprochen hat sich bei Beispiel 2 durch aktivieren der SSL Kapselung (das ist ja letztendlich das was Du mit ipsec-over-https meinst, oder?) das Problem gelöst. Mal sehen, wie lange.
Liebe Grüße,
michael
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Site2Site VPNs, nach Jahren vermehrte Probleme

Beitrag von tstimper »

tbc233 hat geschrieben: 10 Mär 2023, 10:15 Die VPNs sind alle mit PSK eingerichtet. Systemzeit der Geräte ist in Ordnung.
Bei meinem Beispiel 2 konnten die betroffenen Router durchaus andere VPN Tunnel weiter bedienen. Beim Beispiel 1 ging auf einer Seite gar kein Tunnel mehr.
Wie besprochen hat sich bei Beispiel 2 durch aktivieren der SSL Kapselung (das ist ja letztendlich das was Du mit ipsec-over-https meinst, oder?) das Problem gelöst. Mal sehen, wie lange.
Also sieht das so aus, als würden Port 500 / 4500 zumindest sporadisch von den Providern geblockt oder gedrosselt..
Und HTTPS drosseln die nicht.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Re: Site2Site VPNs, nach Jahren vermehrte Probleme

Beitrag von tbc233 »

Es sind eigentlich alles hochpreisige Business Internet Zugänge, bewusst sollte hier nichts gedrosselt werden..

Ich frag mich auch wie es zu diesem Zustand kommen kann, dass der Lanmonitor der Meinung ist, dass bei dem Tunnel alles in Butter ist, obwohl kein Traffic fließen kann.

Vielleicht irgendeine MTU Geschichte, die bei Verwendung von SSL Kapselung umgangen wird..?
Liebe Grüße,
michael
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Site2Site VPNs, nach Jahren vermehrte Probleme

Beitrag von tstimper »

tbc233 hat geschrieben: 10 Mär 2023, 10:44 Es sind eigentlich alles hochpreisige Business Internet Zugänge, bewusst sollte hier nichts gedrosselt werden..

Ich frag mich auch wie es zu diesem Zustand kommen kann, dass der Lanmonitor der Meinung ist, dass bei dem Tunnel alles in Butter ist, obwohl kein Traffic fließen kann.

Vielleicht irgendeine MTU Geschichte, die bei Verwendung von SSL Kapselung umgangen wird..?
Du sagts es, MTU bei Reseller DSL Anschlüssen............
Stell die Path-MTU für die VPN Verbindung mal auf 1250
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Site2Site VPNs, nach Jahren vermehrte Probleme

Beitrag von Dr.Einstein »

tbc233 hat geschrieben: 10 Mär 2023, 10:44 Ich frag mich auch wie es zu diesem Zustand kommen kann, dass der Lanmonitor der Meinung ist, dass bei dem Tunnel alles in Butter ist, obwohl kein Traffic fließen kann.
Solang DPD läuft, bleibt der Tunnel bestehen. Solltest du im IKE-Trace / Statustrace sehen können. Wenn du den Inhalt mit monitoren willst, so müsstest du ein ICMP Polling über den IPSec einrichten. Nur dann trennt der Lancom aktiv den Tunnel, wenn keine Nutzdaten (sprich der Ping) übertragen werden können.
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Re: Site2Site VPNs, nach Jahren vermehrte Probleme

Beitrag von tbc233 »

Das heißt, ein Polling Eintrag auf die Gegenstelle der VPN Verbindung und eine interne IP auf der Gegenseite, würde ausreichen das in so einer Situation zumindest der Tunnel frisch aufgebaut wird?
Liebe Grüße,
michael
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Site2Site VPNs, nach Jahren vermehrte Probleme

Beitrag von Dr.Einstein »

Deinen Aussagen nach nicht. Weil das manuelle Trennen hat dir ja nichts gebracht... Es würde dafür sorgen, dass der Tunnel sich im Kreis dreht und laufend versucht, sich aufzubauen. Was ja völlig korrekt wäre, da der Tunnel nicht nutzbar ist.

Ursache unbekannt.
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Re: Site2Site VPNs, nach Jahren vermehrte Probleme

Beitrag von tbc233 »

Das ist richtig, bei meinem ersten Beispiel würde es nichts nutzen. Aber bei meinem zweiten Beispiel, wo das manuelle Trennen über den Lanmonitor im Fehlerfall geholfen hat, ist es mal fürs erste eine gute Maßnahme.
Liebe Grüße,
michael
Antworten