IPSec Tunnel bricht nach unterschiedlicher Zeit ab

mt 0

Hallo,

hab ein merkwürdiges Probelm mit einem IpSec Tunnel Side2Side. Es kommt hier immer wieder vor dass die internen Netzwerke (Lokalen Netzwerke) nicht erreichbar sind. Der Tunnel ist zwar established, jedoch kann ich plötzlich keine Geräte mehr in den Remote-Netzwerken erreichen bzw. Daten senden oder empfangen. Das Ganze tritt in unterschiedlichen Zeiträumen auf. Es kann sein dass es 3-4 Tage problemlos funktioniert und dann plötlzich nicht. Es kann auch sein dass es 2-3 Wochen funktioniert und dann plötzlich wieder nicht.

Das einzige was dann wirklich hilft ist ein Synchroner Neustart der Firewalls. Deaktivieren des IPSec Services oder Neuverbinden der Phasen funktioniert nicht. Nur ein synchroner Neustart auf beiden Seiten.

Konstellation:

Standort 1: APU 1D4 Bord mit Pfsense
Netzwerk 192.168.0.1/24

Standort 2: APU 1D4 Board mit Pfsense
Netzwerk: 192.168.1.1/24

Die Standorte sind mit IPSec verbunden. Jeder Standort verfügt jeweils über eine eigene IPSec Verbindung zu einem externen Anbieter nach Wien. Diese IPSec Verbindung nach Wien ist identisch konfiguriert und ist davon nicht betroffen (interessanter weiße)

Der IPSec Tunnel hat folgende Konfiguration

General und Phase 1:

Key Exchange Version: IKEv1
Internet Protocol: IPv4
Interface: WAN
Remote Gateway: Ofizielle IP des RG
Authentication Method: Mutual PSK
Negotiation mode: Main
My identifier: My IP address
Peer identifier: Peer IP address
Pre-Shared Key: Geheimer Schlüssel
Encryption Algorithm: 3DES
Hash Algorithm: SHA1
DH Group: 2 (1024 bit)
Lifetime (Seconds): 28800
Disable rekey: nicht aktiviert
Responder Only: nicht aktiviert
NAT Traversal: Auto
Dead Peer Detection: Enable DPD ist aktiviert
Delay: 10
Max failures: 5

Phase 2:
Mode: IPv4
Local Network: Network 192.168.0.0/24
NAT/BINAT translation: None
Remote Network: Network 192.168.1.0/24
Protocol: ESP
Encryption Algorithms: 3DES aktiviert sonst nichts
Hash Algorithms: SHA1 aktiviert sonst nichts
PFS key grou: off
Lifetime: 3600
Automatically ping host: 192.168.1.1

Was ich schon versucht habe:
-Update der PFsense Software
-Automatischer Ping auf Remotenetzwerk
-Agressive Mode
-Service neustart wenn kein Datenverkehr meht da war
-Andere Internetverbindung auf beiden Seiten

Das einzige was funktioniert ist wirklich ein synchroner Neustart der Geräte auf beiden Seiten. Er muss Synchron stattfinden, sonst funktioniert das leider auch nicht.

Hoffe mir kann hier jemand helfen. Es handelt sich hierbei um ein sehr merkwürdiges Phenomen. Der zweite Tunnel nach Wien (keine Pfsense) bleibt jedoch immer aufrecht.

Vielen Dank!

ceofreak

Hast du das ganze mal mit AES Verschlüsselung getestet? Kommt da der gleiche Fehler?

Kannst du die PFS Key Group mal zum Test auf 1 (768bit) stellen?

mt 0

Hallo,

vielen Dank für die schnelle Antwort. AES habe ich noch nicht versucht. Der zweite Tunnel läuft jedoch mit 3DES problemlos. Werde es heute Abend auf alle Fälle testen.
Werde das mit der PFS Key Group auch testen und Rückmeldung geben.

Dank & LG

mt 0

Hallo ceofreak,

habe den Tunnel enstprechend eingestell (Aes und PFS Key Group 1). Es hat eine Woche lang problemlos funktioniert, heute funtkionierte der Tunnel aber leider nicht mehr.
Auffalend ist es dass es vermehrt in der Früh ab Arbeitsbeginn auftritt. Kann aber auch durchaus unter dem Tag passieren aber eher seltener. Echt merkwürdig. Hast du noch itgendeine Idee?

Danke!

mt 0

Hallo Zusammen,

leider tritt das Problem immer noch auf. Hat jemand eine Idee, woran das liegen könnte?

Vielen Dank!