VPN-Verbindung immer nach einer bestimmten Zeit unterbrochen

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

VPN-Verbindung immer nach einer bestimmten Zeit unterbrochen

Beitrag von RalphT »

Moin,

ich habe eine VPN-Verbindung von einem 1783 VAW zu einer Sonicwall. Die VPN-Verbindung ist soweit ok. Der Router baut um 0:00 Uhr immer seine Internetverbindung erneut auf.
Auf einem Server habe ich das Programm NoNetSMS laufen. Dieses überprüft in regelmäßigen Abständen per ICMP, ob das entsprechende Netzwerkgerät auch ereichbar ist. Hier wird die Adresse vom Router auf das WLAN überprüft. Nach 3:40 Std und nach weiteren 3 Stunden meldet das Programm, dass der Lancom nicht erreichbar ist. Das scheint aber nur kurzzeitig zu sein. Wenn ich diese Meldung bekomme und den Lancom anpinge, ist alles ok. Nach weiteren 6 Stunden das Gleiche.

Ich habe von der Sonicwall mehrere Lancom per VPN verbunden. Bei allen Lancoms ist die gleiche Konfiguration hinterlegt. Zu den anderen Zweigstellen besteht dieses Problem nicht.

Allerdings ist bei der o.g. Zweigstelle eins anders: Dort ist nur einmal in der Woche ein Notebook an. Meine Vermutung: Kann es sein, dass die Verbindung deshalb abgebaut wird, weil dort keine aktiven Geräte auf der Gegenseite sind?
Das Notebook ist über WLAN mit dem Lancom verbunden.

Jetzt wollte ich testweise ein Gerät dort per WLAN hinstellen, welches ständig eingeschaltet ist.

Meine Frage: Kann der Fehler aus der Richtung kommen oder kann ich mir das mit dem WLAN-Gerät sparen und der Fehler liegt ganz wo anders?

Der Lancom zeigt mir, dass die VPN-Verbing nur bei der erneuten Anwahl aufgebaut wird. Danach nicht mehr.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN-Verbindung immer nach einer bestimmten Zeit unterbro

Beitrag von MariusP »

Hi,
Die SH-Time bestimmt in dem Fall ob Verbindungen nur bei Datenverkehr aufgebaut werden sollen und wie lang diese danach erstmal aktiv bleiben.
Bei 9999 wird die Verbindung immer versuchen aufzubauen wenn sie abgebaut ist.

Was zeigt den der VPN-IKE trace? Sind DPD Pakete die ganze Zeit zu sehen?
Siehst du irgendwelche Rekeying-Pakete?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN-Verbindung immer nach einer bestimmten Zeit unterbro

Beitrag von RalphT »

Hallo,

ich bin mir jetzt nicht sicher: Ist die SH-Time unter IPsec-Proposals definiert? Wenn ja, dann liegt sie bei 28.800 Sek. Übrigens, die Zeit ist auf beiden Seiten identisch. Da der Ausfall morgens einmal um 3:40 Uhr und um 6:00 Uhr passiert, kann ich da nicht nachsehen.
Was ist denn, wenn die 28.800 Sekunden um sind und anschließend ein Client sich über den VPN verbinden möchte? Das müsste doch eigentlich fehlerfrei wieder funktionieren oder??

Ich habe auch schon mal darüber nachgedacht, die Zwangstrennung von 23:55 Uhr auf eine andere Zeit zu verlegen. Mal sehen, wann dann die Fehlermeldungen kommen.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN-Verbindung immer nach einer bestimmten Zeit unterbro

Beitrag von MariusP »

Hi,
Die SH-Time ist in den Setup/VPN/VPN-Peers zu finden.
ftp://ftp.lancom.de/Documentation/CLI-R ... d81e121853

Zu den Lifetimes, da gibt es einmal Phase 1(IKE-Proposals) Lifetimes, wenn die angelaufen ist wird die Phase 1 abgebaut und die VPN-Verhandlung muss neu durchgeführt werden.
Phase 2(IPSEC-Proposals) Lifetimes, wenn diese abläuft kann/muss ein Rekeying durchgeführt werden, dies passiert dann auf der Phase 1.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN-Verbindung immer nach einer bestimmten Zeit unterbro

Beitrag von RalphT »

Danke für die Info.

Dann ist noch eine Frage aufgetreten:

Wie stellt man denn die beiden Zeiten am sinnvollsten ein? Im Lancom ist die Zeit für die Phase 1 auf 108.000 sek. (30 Stunden) eingestellt. Also deutlich über 24 Stunden. Warum eigentlich, wenn es doch nach 24 Std. eine Zwangstrennung gibt?
Die Zeit für Phase 2 liegt hier immer bei 28.800 sek. (8 Stunden). Sollte man das so lassen oder vielleicht doch auf 24 Std. erhöhen?

Was macht hier Sinn?
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN-Verbindung immer nach einer bestimmten Zeit unterbro

Beitrag von MariusP »

Hi,
Nun wenn du 23 Stunden für die Phase 1 nimmst:
0-1-2-3-4-...--22-23 Trennung -24 Trennung.
Daher ergibt ein Wert über 24 schon Sinn.

Nun grob beschrieben, gibt eine Phase 2 Lifetime vor wielange der Key zur Verschlüsselung der ESP Pakete im Gebrauch ist. Somit hat ein potenzieller Angreifer nur maximal 8 Stunden (oder auch gewählte KB Mengen) Zeit,Pakete zu sammeln und zu analysieren um den Key "errechnen" (Sofern es möglich wäre) und dann selber Pakete versenden zu können.
Dies ist hier eher präventiv, für den Fall das jemand eine Möglichkeit dazu finden würde, soll die Menge die "er" nutzen könnte limitiert werden.
Da aber nicht bekannt ist, wie viel Daten ein Angreifer brauchen würde um einen Key bestimmen zu können, wird in dem Fall meist ein Wert gewählt zwischen Nutzerverträglichkeit wegen des Rekeyings und Vorsicht besser als Nachsicht. (Stell es dir vl so vor wie das regelmäßige Passwort ändern am PC, nur das es in dem Fall automatisch passiert)

Was Sinn ergibt, mag für manchen Anwender von seinem Szenario abhängen. Meist sind die Defaultwerte aber schon recht vernünftig.
Gruß

P.S.: präzisere Antworten findest du unter : https://tools.ietf.org/html/rfc2409 IKEv1
https://tools.ietf.org/html/rfc4301 IPSEC
https://tools.ietf.org/html/rfc7296 IKEv2
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN-Verbindung immer nach einer bestimmten Zeit unterbro

Beitrag von GrandDixence »

RalphT hat geschrieben:Wie stellt man denn die beiden Zeiten am sinnvollsten ein? I
Diese Frage beantwortet die Technische Richtlinie TR-02102-3 vom BSI:

https://www.bsi.bund.de/SharedDocs/Down ... 102-3.html
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN-Verbindung immer nach einer bestimmten Zeit unterbrochen

Beitrag von RalphT »

Moin,

ich hole diesen Thread mal wieder nach oben.

Das Problem hatte sich damals erledigt, da diese Zweigstelle nicht mehr existiert.
Leider habe ich das Problem immer noch.

In einer anderen Zweigstelle ist ein 1783VAW verbaut. Dieser baut zu zwei anderen Zweigstellen, die auch einen 1783VAW haben, ein VPN-Tunnel aufgebaut. Hier scheint alles ok zu sein.
Weiterhin baut diese Zweigstelle einen VPN-Tunnel zu einer Sonicwall auf. Hier gibt es das folgende Problem:

Nach 8 Stunden fallen die IP-Verbindungen zwischen den Tunnelenden aus. An der Zweigstelle ist ein Telekomanschluss, der ja alle 24 Stunden zwangsgetrennt wird. Der Tunnel wird erneut aufgebaut. Hier kommt es zum Problem, dass der Tunnel wohl steht, jedoch keine IP-Pakete übertragen werden können. Man kann in der Sonicwall diesen Tunnel noch mal eben per Klick wieder erneut aufbauen. Das klappt dann auch.

Jetzt vergehen die 28.800 Sekunden und es erfolgt ein Rekeying. Hier kommt es dann wieder zu diesem Problem.

Auf der Zweigstelle und der Gegenseite (Sonicwall) werden mehrere LANs verbunden. Es sind auf der einen Seite 4 und auf der anderen Seite 5 LANs. Das sollte ja wohl kein Problem darstellen. Die Netzbeziehungen habe ich auf beiden Seiten noch einmal genau verglichen. Also IP-Bereich und Subnetmaske. Das stimmt soweit.

Im Annhang habe ich einmal die Einstellungen in der Sonicwall und der Lancom dargestellt. Das sollte ja stimmen. Weiterhin habe ich ein Auschnitt der LOG-Datei der Sonicwall angehangen. Wie man sieht hat die Sonicwall wohl ein Problem mit der Phase 2. Nur ich komme nicht drauf.

Was mich noch etwas wundert, dass dieser VPN-Tunnel schon seit Jahren problemlos funktionierte.

Hat jemand noch einen Rat für mich?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN-Verbindung immer nach einer bestimmten Zeit unterbrochen

Beitrag von GrandDixence »

Nach 8 Stunden (28800 Sekunden) läuft die Gültigkeit des Schlüsselmaterials des Datenkanals (ESP) ab. Da die beiden VPN-Endpunkte bei der Neuverhandlung des neuen ESP-Schlüsselmaterials (Phase 2) sich nicht in der zu verwendenden Verschlüsselungsstärke (IPSec proposals does not match) einigen konnte, wurde nach Ablauf der Gültigkeitsdauer des beim Tunnelaufbau ausgehandelten Schlüsselmaterials der VPN-Tunnel getrennt.

Grundsätzlich ist dieses Verhalten sehr gut: So ein grauenvoll unsicher konfigurierter VPN-Tunnel gehört schlicht weg einfach getrennt!

Für weitere Informationen siehe meinen Beitrag vom "25 Jul 2018, 22:00":
viewtopic.php?f=14&t=16957&p=96189&hili ... ion#p96189

und meine Beiträge unter:
fragen-zum-thema-vpn-f14/fast-kein-traf ... 16434.html

Ich empfehle den LANCOM-Router vor der Fehlersuche neuzustarten.
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN-Verbindung immer nach einer bestimmten Zeit unterbrochen

Beitrag von RalphT »

So, ich denke es läuft jetzt . Den Fehler habe ich wohl gefunden. Ich warte das noch heute ab und dann schreibe ich das mal etwas ausführlicher auf, was ich hier noch gemacht hatte.
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: VPN-Verbindung immer nach einer bestimmten Zeit unterbrochen

Beitrag von RalphT »

Hier jetzt die vesprochene Antwort:

Ich hatte mich die Tage mal etwas ausführlicher mit diesem Problem beschäftigt.

Zuerst eine Korrektur: Dieser Fehler tritt nicht nach genau 28.800s auf. Das sah nur so aus und ich bin von den 8 Std. ausgegangen. Eine Kontrolle mit PRTG zeigte,
dass der Abbruch unregelmäßig stattfindet.Machmal hält die IP-Verbindung ca. 2 Stunden, manchmal auch 3-4 Stunden. Also keine Regelmäßigkeit erkennbar.
Weiterhin habe ich festgestellt, dass dieser Abbruch nicht alle LAN-Bereiche betrifft. Hier wurden nur einzelne LANs unterbrochen, nicht der Tunnel selber.
Im Lancom habe ich folgende Netzwerke:

192.168.8.0/24
192.168.25.0/24
192.168.49.0/28
192.168.57.0/29

Auf der Seite mit der Sonicwall sind folgende LANs für den Tunnel zuständig:

192.168.20.0/24
192.168.35.0/24
192.168.121.0/24
192.168.122.0/24
192.168.123.0/24

Jetzt ist es so, dass es hauptsächlich das LAN 192.168.8.0 mit dem LAN 192.168.20.0 betrifft.

Ich weiß jetzt nicht warum gerade diese Paarung immer aussteigt. Was nur auffällt, dass auf dieen beiden LANs der meiste Traffik stattfindet.

Ich habe auf dem Lancom einen Trace "VPN-IKE" laufen lassen. Hier war nur zur erkennen, dass beim Abbruch der LAN-Verbindung (nicht der Tunnel selber) versucht wurde die Netzbeziehungen wieder aufzubauen.
Das gelang aber eigentlich nie.
Auffällig war auch, dass weitere Lancoms, die einen Tunnel mit der Sonicwall hatten, ab und zu mal die Netzverbindung ausfiel. Alles sehr unregelmäßig.

Dann hatte ich in der Sonicwall mal genauer das LOG angesehen. Da fiel mir immer ein Eintrag auf: Die Sonicwall wollte ein ESP-Paket nicht akzeptieren.
Nach etwas googeln fand ich diesen Eintrag von Sonicwall:

https://www.sonicwall.com/en-us/support ... 5715286572

Dann habe ich dort bei der betreffenden VPN-Verbidung den Haken gesetzt und seit dem funktioniert es.

Vielleicht kann das ja mal jemand gebrauchen, der mit Lancom und Sonicwall arbeitet.
Antworten