Verbindungsabbruch mit INVALID_COOKIE

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
micha555
Beiträge: 1
Registriert: 17 Apr 2020, 09:56

Verbindungsabbruch mit INVALID_COOKIE

Beitrag von micha555 »

Hallo zusammen,

ich habe für einige Mitarbeiter einen Home-Office Zugang für die Corona-Zeit eingerichtet. Verbindung zum Server läuft über VPN. Router im Büro ist eine 1790VA. VPN Protokoll ist IKEv1.
Auf Client-Seite ist der Shrewsoft VPN Client installiert.

Grundsätzlich läuft alles. Ab und zu kommt es zu Verbindungsabbrüchen und die Mitarbeiter können sich nicht wieder einwählen. Im SysLog steht folgendes (dutzende Male):
dropped message from xx.xx.xx.xxport 500 due to notification type INVALID_COOKIE
message_drop_invalid_cookies: invalid cookie(s) cebfe3fb386f9366 a914dd1c7d9f5f00

Ich bin inzwischen darauf gekommen, dass das passiert, wenn große Dateien über den VPN-Tunnel heruntergeladen werden.
In dem u.g. Forumbeitrag steht, dass das Schlüsselmaterial regelmäßig erneuert wird. Nach Ablauf einer gewissen Zeit oder einer gewissen übertragenen Datenmenge. Ich verstehe das so, dass wenn dieses Maß aber voll ist, der aktuelle Schlüssel nicht mehr genutzt werden kann, um einen neuen Schlüssel festzulegen und deshalb gar nichts mehr geht. Eine Art Selbstblockade.

Was ich nicht verstehe, was muss ich ändern, damit der Schlüssel erneuert wird, BEVOR nichts mehr geht?

Vielen Dank im Voraus.

VG Micha

P.S. Hier der angesprochene Thread.
fragen-zum-thema-vpn-f14/vpn-fehler-t16880.html
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: Verbindungsabbruch mit INVALID_COOKIE

Beitrag von b.junghans »

würde als erste empfehlen auf ikev2 umzustellen, ist wesentlich "pflegeleichter" und auch besser was vebindungsabbrüche/unterbechungen und wiederverbinden angeht.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Verbindungsabbruch mit INVALID_COOKIE

Beitrag von GrandDixence »

VPN-Anleitungen für IKEv2/IPSec findet man unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
micha555 hat geschrieben: 17 Apr 2020, 10:10Was ich nicht verstehe, was muss ich ändern, damit der Schlüssel erneuert wird, BEVOR nichts mehr geht?
Die beiden VPN-Endpunkte müssen sich auf die gleichen Parametern der Kryptographie einigen. Zum Beispiel: Verwendete Verschlüsselungsmethode, Schlüssellänge etc. Sind die beiden VPN-Endpunkte betreffend dieser Parameter unterschiedlich konfiguriert, kann das Schlüsselmaterial nicht erfolgreich ausgehandelt werden und der VPN-Tunnel wird getrennt.

Kann das Schlüsselmaterial des Steuerkanals (IKE) nicht erneuert werden, wird der Steuerkanal getrennt. Danach fliessen die IP-Pakete weiterhin durch den Datenkanal (ESP/IPSEC). Bis das Schlüsselmaterial des Datenkanals (ESP/IPSEC) erneuert werden muss. Das Erneuern des Schlüsselmaterials des Datenkanals ist aber nicht möglich, da die Schlüsselmaterialverhandlung immer über den Steuerkanal (IKE) erfolgt! => "Selbstblockade"
Antworten