VPN Anfragen von fremden IP-Adressen führen zu "maximal number of concurrent negotiations reached"

[steps]

Hallo zusammen,

Wir haben einen Lancom 1926VAG-5G und benutzen den Shrewsoft-VPN-Client zur VPN-Einwahl.

Nun haben wir das Problem, dass wir immer mehrere Versuche benötigen bis die Einwahl klappt.

Wir haben über die Auswertung der Trace-Logs festgestellt, dass sich 2 fremde IP Adressen, die wir nicht zuordnen können, versuchen in unser VPN einzuwählen.

Diese beiden IP-Adressen versuchen sich nun permanent per IKE-VPN am Lancom anzumelden.
Die Anmeldung scheitert mit „INVALID_ID_INFORMATION“, jedoch wird scheinbar für jede Anmeldung eine Session-Cookie angelegt (z.B.: IPSEC_IKE Cookies 0x823968FE930731B0A729E1D72F698F1E)
Bei jeder ungültigen Anmeldung werden diese Session-Cookies dementsprechend mehr. Der Lancom lässt dann bis zu 7 Session Cookies, danach nimmt er keine Anmeldungen mehr an und quittiert das ganze mit der Meldung: maximal number of concurrent negotiations reached und System overload => Reject

Alle 30 Sekunden ca. löscht der Lancom dann diese Session-Cookies und ist wieder bereit für neue Anmeldung.

Wenn nun also ein gültiger VPN-Client genau zu diesem Zeitpunkt, quasi schneller als die fremden IPs ist, dann kann er sich erfolgreich anmelden.
Kommt er gerade zu dem Zeitpunkt an, wo bereits 7 fehlerhafte Versuche von den beiden IPs stattgefunden haben, wird er abgewiesen.

Dadurch benötigen wir selbst sehr viel Glück und Geduld, wenn wir uns ins VPN einwählen wollen.

Ich habe versucht die IPs über die Firewall zu blocken. Leider bringt das nichts. Außerdem sind diese IP-Adressen dynamisch, d.h. das Blocken macht im Grunde auch keinen Sinn.

Wie können wir dieses Verhalten verhindern?

Vielen Dank für die Unterstützung!

[Dr.Einstein]

Soweit mir bekannt ist, kannst du gegen die VPN DDoS-Schwäche des Lancoms nichts machen. Das Thema ist seit Jahren bekannt, wird aber nicht gelöst. Theoretisch könntest du dem Lancom Router eine VPN Option verpassen, kann aber eigentlich nicht Sinn der Sache sein.

Ich würde mich an deiner Stelle beim Lancom Support melden. Aber vermutlich bist du mit deinem 1926VAG zu unwichtig, wie viele andere mit dem gleichen Thema zuvor auch.

[GrandDixence]

Mit dem Verfahren "Session Cookie" verfügt ein mit dem IKE-Protokoll arbeitender VPN-Server über einen (offenbar) praxiserprobten Schutz vor DoS-Attacken (Denial-of-Service). Für mehr Informationen zum "Session Cookie" siehe Seite 1 des Heise-Artikels:
https://www.heise.de/hintergrund/Einfac ... 70056.html

Bei LANCOM-Routern mit dem Betriebssystem LCOS kann für IKEv2 (IKE Version 2) das Verfahren "Session Cookie" über den Konfigurationsparameter:

LCOS-Menübaum > Setup > VPN > IKEv2 > Cookie-Challenge

ein- oder ausgeschaltet werden.
https://www.lancom-systems.de/docs/LCOS ... 36_12.html

Wer heute noch IKE in der Version 1 (IKEv1) einsetzt, ist selber schuld, wenn er in Probleme mit "Session Cookies" reinläuft. Siehe auch:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

Alternativ kann als DoS-Schutzmassnahme die VPN-Gegenstelle "DEFAULT" aus der LANCOM-Routerkonfiguration entfernt werden.
Ohne "DEFAULT"-VPN-Gegenstelle wird die Realisierung von Einwahl-VPN (RAS) aber fast unmöglich!
fragen-zum-thema-vpn-f14/ikev2-vpn-mit- ... ml#p113105

[tstimper]

Ich würde mich an deiner Stelle beim Lancom Support melden. Aber vermutlich bist du mit deinem 1926VAG zu unwichtig, wie viele andere mit dem gleichen Thema zuvor auch.

Meine Vorgehensweise wäre hier:
BUG Report erstellen und BUG Nummer sagen lassen und Interessenten sammeln, die das Problem auch haben.

Und dann einen gemiensamen Call mit LANCOM organiseren.

Viele Grüße

ts

[steps]

Herzlichen Dank für die vielen Antworten
Vor allem für die hilfreichen Links von "GrandDixence".

Der IKEv2-Umstieg wäre tatsächlich das Beste, denke ich auch.
Momentant scheitert es noch daran, dass wir den Shrewsoft-VPN-Client einsetzen. Ich glaube der kann kein IKEv2.

Aber ich werde mir mal Deine Links genauer ansehen. Wenn ich richtig gesehen habe, ist dort beschrieben, wie man Windows-Native-VPN-Client und IKEv2 lauffähig bekommt. Da hört sich gut an.

Viele Dank & Grüße, Steps

[COMCARGRU]

Gibt es einen anderen Grund für ShrewSoft als sich die jeweils 90 Euro für den LC VPN Client zu sparen?

Wie viel Arbeitszeit hast du bereits in das Thema versenkt? Wie viel Produktivitätsverlust ist bereits eingetreten wegen nicht nutzbarem VPN? Und falls Ihr ein Non-Profift-Org oder Verein oder was auch immer seid - wie hoch ist euer Stundensatz für die geopferte Freizeit? Sind die Kosten für den LC VPN Client schon erreicht oder bereits überschritten?