VPN Abbrüche 1781VA <> Juniper SG140

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von andreas »

Hallo zusammen,

seit kurzem habe ich ein VPN-Problem zwischen o.g. Endgeräten. Das VPN bricht seit ein paar Tagen unregelmäßig ab. Da der Zeitraum eher zufällig ist (zwischen 3-7 Stunden), tue ich mich im Moment mit dem Debugging schwer. Ich habe aktuell nur Syslog-Einträge.

Code: Alles auswählen

Kernel.Notice	2.1.2.130	SYSTEM_INFO: sa_rekey_phase2_sa: No Phase-1 SA found for rekeying rule "ipsec-0-SERVER-pr0-l0-r0"
Auth.Info		2.1.2.130	CONN-LOGIN_INFO: Disconnected from peer SERVER
Auth.Notice	2.1.2.130	CONN-LOGIN_INFO: Successfully connected to peer SERVER
Kernel.Notice	2.1.2.130	SYSTEM_INFO: message_parse_payloads: reserved field non-zero: 6f
Kernel.Notice	2.1.2.130	SYSTEM_INFO: dropped message from 8.2.2.180(static-ip-8-2-2-180.inaddr.-.com) port 500 due to notification type PAYLOAD_MALFORMED
*IPs verändert


Auf dem 1781VA sind noch mehr VPNs terminiert, die seit Tagen verbunden sind. Auf die Juniper habe ich keinen Zugriff.

Hat jemand einen Tipp für mich in welche Richtung ich weiter suchen kann.

Viele Grüße,
Andreas
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von GrandDixence »

Aus Sicherheitsgründen sollten die für die (symmetrische) Verschlüsselung verwendeten Schlüssel durch neue Schlüssel ausgetauscht werden (üblicherweise AES). Der Wechsel der Verschlüsselungs-Schlüssel wird Rekeying genannt. Rekeying wird ausgelöst, wenn entweder die Schlüssel eine gewisse Zeit eingesetzt wurden (sec) oder wenn mit den Schlüssel eine gewisse Datenmenge verschlüsselt wurden (KB).

Für die verschlüsselte Kommunikation von IKE wird eigenes Schlüsselmaterial verwendet. Für die verschlüsselte Kommunikation von ESP wird eigenes Schlüsselmaterial verwendet. Üblicherweise hat das ESP-Schlüsselmaterial eine kürzere Lebensdauer.

IKE => verschlüsselter Steuerkanal des VPN-Tunnels (Phase 1-SA)
ESP => verschlüsselter Datenkanal des VPN-Tunnels (Phase 2-SA oder CHILD_SA)

Der neue ESP-Verschlüsselungsschlüssel wird über den Steuerkanal (IKE) ausgehandelt!

Gemäss dem Beitrag schlägt das Rekeying des ESP-Schlüsselmaterials fehl, da der Steuerkanal (IKEv1) nicht mehr vorhanden ist.

Wie lange der Verschlüsselungsschlüssel noch gültig ist, ist im LANCOM-Gerät unter /Status/VPN ersichtlich.

Empfehlungen zum Rekeying und der Schlüssel-Lebensdauer macht BSI-TR-02102-3:

https://www.bsi.bund.de/DE/Publikatione ... x_htm.html

Die Lebensdauer der symmetrischen Schlüsseln von IKE können im LANCOM-Gerät wie folgt konfiguriert werden (Aufzählung nicht vollständig!):

IKEv1:

Code: Alles auswählen

Setup > VPN > Proposals > IPSEC > Lifetime-Sec
Setup > VPN > Proposals > IPSEC > Lifetime-KB
IKEv2:

Code: Alles auswählen

Setup > VPN > IKEv2 > Lebensdauer
Beim Einsatz von IKEv2 muss unbedingt auf die aktuellste LCOS-Version aktualisiert werden! In den aktuellen LCOS-Versionen wurden einige IKEv2-Rekeying-Fehler behoben. Beim Einsatz von IKEv2 ist darauf zu achten, dass die fehlende Unterstützung vom PFS (Perfect Forward Secrecy) sich erst beim ersten Rekeying des ESP-Schlüsselmaterials mit einem Verbindungsabbruch offenbart:

https://wiki.strongswan.org/projects/st ... xpiryRekey

Der Einsatz von PFS (Aushandlung der symmetrischen AES-Verschlüsselungsschlüsseln mit dem asymmetrischen Schlüsselverfahren Diffie-Hellman, kurz DH) ist aus Sicherheitsgründen empfohlen! Siehe BSI TR-02102-3.
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von MDCYP »

Nutzen auch den 1781VAW und haben selbes Problem - wohl Firmware Bug
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von MDCYP »

Hat sonst niemand IPSec VPN Probleme mit der aktuellen Firmware und Gegenstellen andrer Hersteller?
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von andreas »

Das Problem besteht übrigens noch.

Ich bin mir gar nicht so sicher, ob es an der aktuellen Firmware liegt. Das Problem gibt es mit unterschiedlichen Versionen auf Lancom-Seite.

Ich habe mich mit dem Netzwerker der Gegenstelle zunächst darauf geeinigt Dinge im Ausschlussverfahren zu ändern. Da sind wir jetzt bald erfolglos durch. Danach wird es wohl auf einen Dauertrace hinaus laufen.

Wenn es neue Erkenntnisse gibt, gebe ich Bescheid.
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von MDCYP »

Danke für die Info - bei uns hilft es immer dann einfach kurz die VPN zu trennen, nach wiederaufbaue läuft es dann direkt. Ansonsten dauert es bis zum nächsten Re-Keying bis es wieder läuft. Es ist aber nicht reproduzierbar und tritt absolut unterschiedlich auf von den Zeiten her. Sehr ärgerlich. Nicht nur mit Juniper sondern auch Palo Alto Geräten
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von GrandDixence »

andreas hat geschrieben:Danach wird es wohl auf einen Dauertrace hinaus laufen.
Statt einem Dauertrace würde es genügen, wenn im LANCOM für das Erstellen der Traces die Lebensdauer der symmetrischen Schlüsseln auf wenige Minuten reduziert würde. Bevor man einen VPN-Tunnel in den "scharfen" Betrieb übernimmt, sollte man vorgängig das IKE- und ESP-Rekeying auf Herz und Niere prüfen (mit Schlüssel-Lebensdauern von wenigen Minuten). Ansonsten erlebt man ärgerliche, unberechenbare Trennungen des VPN-Tunnels, wie sie oben beschrieben wurden!
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von MDCYP »

Wie VPN bei uns besteht seit über 1,5 Jahren - es gab vorher nie die Probleme. Erst mit neueren Firmware Versionen trat dies auf einmal auf.
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von andreas »

GrandDixence hat geschrieben: Statt einem Dauertrace würde es genügen, wenn im LANCOM für das Erstellen der Traces die Lebensdauer der symmetrischen Schlüsseln auf wenige Minuten reduziert würde.
Das Problem tritt -wie in meinem Eingangsposting erwähnt- sehr unregelmäßig auf, oft zwischen 3-7 Stunden, manchmal bricht der Tunnel 5-6 Mal am Tag weg, manchmal bleibt er 12 Stunden aktiv.

GrandDixence hat geschrieben: Bevor man einen VPN-Tunnel in den "scharfen" Betrieb übernimmt, sollte man vorgängig das IKE- und ESP-Rekeying auf Herz und Niere prüfen (mit Schlüssel-Lebensdauern von wenigen Minuten). Ansonsten erlebt man ärgerliche, unberechenbare Trennungen des VPN-Tunnels, wie sie oben beschrieben wurden!
Wie bereits geschrieben: das Problem tritt seit wenigen Wochen auf. Der Tunnel war vorher 6 Jahre lang stabil, tlw 80 Tage. Von daher gehe ich im Moment nicht von grundsätzlichen Einstellungsproblemen aus.

Es kann ja sein, dass ich was übersehe oder falsch verstehe: Wie soll ich Deiner Meinung nach das Problem tracen? Was bringt mir ein Trace mit der Länge der Lebensdauer der Schlüssel?
MDCYP
Beiträge: 187
Registriert: 22 Okt 2015, 11:31
Wohnort: Dortmund

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von MDCYP »

Gibts news? Hast du mal die 10.12 RC Firmware getestet?
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von andreas »

Ne, das Problem besteht noch.
Die RC habe ich noch nicht getestet. Im Moment sieht es aber eher nach einem Problem der Juniper aus, da die Roadwarriorzugänge, die dort terminiert sind auch extrem schlecht laufen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von GrandDixence »

MDCYP hat geschrieben:Wie VPN bei uns besteht seit über 1,5 Jahren - es gab vorher nie die Probleme. Erst mit neueren Firmware Versionen trat dies auf einmal auf.
In der aktuellen und älteren LCOS-Version wurden Programmierfehler in der IKEv2-Implementierung behoben (siehe LCOS Release Notes). Deshalb kann eine neue LCOS-Version sehr wohl Fehlkonfigurationen aufdecken.

Falls der Wille besteht, diese VPN-Tunnel-Probleme ernsthaft zu lösen, sollten der LANCOM-Hotline bzw. dem Lancom-Forum vollständige VPN-Traces und VPN-Konfigurationsangaben (z.B. IKEv1 oder IKEv2), wie unter:

http://www.lancom-forum.de/fragen-zum-t ... 16174.html

als Beispiel aufgeführt, bereitgestellt bzw. veröffentlicht werden. Ansonsten darf man ruhig mit den VPN-Tunnel-Problemen weiterleben...
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

Re: VPN Abbrüche 1781VA <> Juniper SG140

Beitrag von andreas »

Hallo zusammen,

das Problem wurde durch den Tausch der Gegenstelle behoben. Nachdem alles Debugging nichts gebracht hat, konnte ich mich durchsetzen und der Provider hat die Juniper ausgetauscht.
Ohne das ich etwas am Lancom geändert habe steht das VPN jetzt ohne Unterbrechungen. Da der Provider seine Produkte angepasst hat terminiert der Lancom jetzt gegen eine Fortinet 200 D.

Fazit für den Fall:
Die Abbrüche waren unabhängig von der Lancom Firmware. Ob es jetzt tatsächlich an einer defekten Gegenstelle gelegen hat ist nicht sicher, da das Produkt getauscht wurde.

Im nächsten Schritt werden wir auf IKEv2 umstellen, mal sehen wie es dann so läuft.

VG
Andreas
Antworten