IPSec Tunnel IkeV1 mit mehr als 3 Phase2 Einträgen Netzbeziehungen fehlerhaft



  • Hallo liebe Forumsleser,

    ich habe ein Problem mit der PFSense (aktuell noch auf dem Stand 2.4.3) über einen IPsec Tunnel IKEv1. IKEv1 wollte ich wieder nutzen weil er scheinbar in der Stabilität mit der Gegenstelle stabiler ist. (Haben immer wieder das Problem das bei der Nutzung von IKEv2 die Netzbeziehungen sporadisch zusammenbrechen und erst nach einer Trennung der Verbindung wieder korrekt aufgebaut werden).
    Aufbau: PFSense ist IPSec Knotenpunkt im Rechenzentrum und hat mehrere Anbindungen an andere Netze. Teils über IPSec teils normales Routing.

    Zum Problem: Baue ich zur PFSense hin einen Tunnel auf, kann ich bis zu 3 Phase 2 Einträge bei der PFSense initiativ einrichten. Die Netzbeziehungen werden aufgebaut und ICMP Pakete werden übertragen. Füge ich dann während der Tunnel aktiv ist noch einen weiteren P2 Eintrag beim aufbauenden System hinzu, wird diese Netzbeziehung teilweise auch aufgebaut und ist auch in den Netzbeziehungen der PFSense sichtbar und nutzbar. Aber spätestens nach einem Abbruch und Neuaufbau oder eine forcierten Trennung meinerseits sind die Netzbeziehungen bei der PFSense nicht korrekt aufgebaut.. und Traffic geht nicht mehr durch den Tunnel.
    Im IKEv2 habe ich das Problem nicht.
    Im Moment sehe ich keinen Grund dafür
    mit freundlichen Grüßen
    Marcel


  • Moderator

    Guten Morgen!

    Klingt ziemlich ungewöhnlich. Wir haben hier (aus Problemgründen der Hardware) noch eine 2.3-latest, die aber problemlos via IKEv1 zu einem Kunden eine Phase1 mit insg. 8 Phase2 Einträgen rüberschiebt. Problemlos, egal wer wann wie warum neu aufbaut. Und einen IKE2 mit 2 Phase2 der aber weder zusammenbricht noch sonstwie schlapp macht. Insofern schwierig das nachzuvollziehen. Sind die Gegenstellen denn ebenfalls Sensen oder irgendwelche Fremdhardware? Wer baut im Zweifelsfall die Verbindung auf?`

    Gruß Jens



  • Hallo Jens,

    ist in dem Falle ein LANCOM 1781 VA. Die PFSense ist darauf gestellt, dass sie nur Responder ist und der Lancom hat die Anweisung permanent den Tunnel aufrecht zu erhalten.

    Das Verhalten der Abbrüche der Netzbeziehungen im Bereich IKEv2 haben wir leider auch in einer anderen Umgebung (ebenfalls LANCOM [unterschiedliche Gerätetypen] an den 5 Außenstandorten) gehabt. Hier war die Struktur am Ende noch viel einfacher (jeweils ein getunneltes Netz in jeder IPSec Verbindung). Nach "Downgrade" auf IKEv1 war es dort wieder stabil.

    Im Moment fehlt mir ehrlich gesagt der Ansatz nach welchem Punkten ich schauen sollte.
    Grüße Marcel



  • Welche Gründe sprechen für Lancom Teile in Bezug auf VPN Hardware?

    Aus mir spricht die pure Neugier. Kenne diese Teile nur vom Hörensagen.

    LG



  • Als gelieferte Hardware der Telekom zu den Anschlüssen, sind das aus meiner Sicht recht leistungsfähige und langlebige Geräte mit guten Update Verhalten und viel Flexibilität in den Einstellungsmöglichten und recht guten Möglichkeiten im Bereich des Loggings. Und natürlich auch nett: Deutschsprachiger Telefonsupport :-)

    Grüße Marcel



  • @mbrabetz said in IPSec Tunnel IkeV1 mit mehr als 3 Phase2 Einträgen Netzbeziehungen fehlerhaft:

    recht leistungsfähige und langlebige Geräte

    Danke für die Info.

    Kannst du den Punkt leistungsfähig näher beschreiben? Ist OpenVPN möglich?

    LG



  • Nein das kann Sie nicht, sonst hätte ich das schon als alternative angedacht. :-)



  • Okay. Im Firmenumfeld ist Ausfallsicherheit ein wesentlicher Faktor. Wenn diese Lancom Teile erst nach
    Jahrzehnten ihr Leben aushauchen, warum nicht?

    LG


  • Moderator

    @gladius said in IPSec Tunnel IkeV1 mit mehr als 3 Phase2 Einträgen Netzbeziehungen fehlerhaft:

    Jahrzehnten ihr Leben aushauchen, warum nicht?

    Also da haben einige Kunden von uns leider andere Erfahrungen gemacht. Langlebig, ja. Aber die Lancom Kisten haben eine derart - man verzeihe mir den Ausdruck - beschissene Oberfläche und Möglichkeiten zu konfigurieren, dass jeder, der mit den Dingern mehr macht als nur NAT + Internet am Ende händeringend die Teile weit - weeeiiit - wegwerfen wollte. Und nachdem ich einen VPN Tunnel mal zwischen pfSense und einem Lancom debuggen musste weiß ich jetzt auch warum. Ich dachte eigentlich 20-30 Windows Popups sind nach Zeiten des Internet Explorers passé geworden, aber bei den Dingern musste für die Einstellungen am IPSec Cipher wirklich ungelogen am Ende mind. 15 "Mini-Fensterchen" übereinander aufgeklappt werden, damit man endlich in einen Dialog kam, in dem dann für diese Verbindung und diese Phase die Einstellungen der Cipher Suites geändert werden konnte. Grauenhaft.

    Ja, man hat deutschen Support und sie sind langlebig, aber das wars auch schon mit Vorteil. Ganz billig sind die nicht - es sei denn natürlich man bekommt sie gestellt ;) - und für den Preis was die normalerweise kosten würde ich die niemals empfehlen. Und nach der Debugging Session fasse ich die freiwillig auch nie wieder an 😱 Oh und sie hielten sich manchmal nicht an die gesetzten Einstellungen (bspw. AES-256, SHA-256, etc.) sondern versuchten sich mit einem niedrigeren Standard zu verbinden um danach dann Stück für Stück noch höhere anzubieten. Die Sense meinte dann beim ersten Connect gleich - Nö, das ist nicht konfiguriert, geh weg! - und erst als sie die Verbindung zum Lancom andersrum aufbaute kam sie zustande. An solchen Mätzchen scheitert es dann häufig und das ist unheimlich anstrengend und nervig zu debuggen.

    Bei den UIs musste ich unweigerlich an "typisch deutsche Ingenieure" von Siemens und Co denken, an alte Telefonanlagen Steuersoftware GUIs, bei denen der Techniker dann sagt, das ist doch ganz einfach und normal und jeder halbwegs vernünftige UI Designer schreiend aus dem 10. Stock hüpft weil es ihm beim anschauen das Hirn wegschmilzt 🤣 😆 davon abgesehen dass das (glaube ich?) ja ne reine Windows Software zum konfigurieren ist. Keine Ahnung ob es da auch Alternativen gibt 😉



  • @JeGr Übertreibung macht anschaulich :-)

    Ich finde es eher eine Sache der Gewöhnung... und ich sag mal so: wem die GUI / Weboberfläche nicht zusagt nimmt SSH :-)
    Zum Thema Debugging im Tracing: einmal Proposals richtig konfiguriert (äquivalent zur PFSense) und dann eine Proposalliste mit nur dem einem vorher angelegten korrekten Proposal, versucht auch der Lancom nichts anderes. Gerade im Bereich IPSec habe ich da nie Probleme. (es sei denn ich habe auf der Gegenstelle nicht richtig gelesen :-) )

    zentrales Management mehrerer Geräte (Fallbackupmöglichkeiten im Bereich Firmware, VPN).
    Sicher sehr komplex und preisgünstig ist anders.
    Wie so häufig ist es eine Sache von Kosten, Nutzen und Gewöhnung.
    Hätten Sie nicht ihre Daseinsberechtigung wäre ein relativ kleiner Deutscher Anbieter bei der Flut von möglichen Alternativen vermutlich schon längst pleite.


  • Moderator

    @mbrabetz Du magst es Übertreibung nennen, ich (persönlich, subjektiv) finde es Augenkrebs und kompletten Unfug. Und so geht es ja anscheinend nicht nur mir. Natürlich scheinen die Ihre Nische zu haben - hey wer hat das heute nicht. Aber so eine große Nummer sind sie nun auch nicht. Mag sein, dass zentrales Management möglich ist. Aber ganz ehrlich bei einer UI, in der ich ungelogen 15 mal Klick-Ception habe bevor ich endlich im richtigen Dialog bin - sorry das ist einfach mies. Und ja, dann nimmt man ggf. eben SSH, aber soweit mir die Kollegen eines Lancom Partners das gesteckt haben, geht damit auch nicht alles. Ich fand es lediglich bezeichnend, dass selbst der Partner die Dinger inzwischen rausgeworfen hat. Und Partner wird man nicht wirklich mal so aus Spaß. Ich kann hier immer nur von dem berichten was ich sehe, und das war nun eben mehrfach einfach Quark der Lancom Teile. Bei einigen größeren Systemhäusern sind die eben jetzt rausgeflogen, bei einem habe ich tatsächlich nur deshalb mehrere Tage Schulung pfSense gemacht, weil diese sich jetzt komplett von Lancom trennen und pfSense Boxen aufbauen.

    dann eine Proposalliste mit nur dem einem vorher angelegten korrekten Proposal, versucht auch der Lancom nichts anderes.

    Würde man annehmen, stimmte in dem Fall aber leider nicht.

    Hätten Sie nicht ihre Daseinsberechtigung wäre ein relativ kleiner Deutscher Anbieter bei der Flut von möglichen Alternativen vermutlich schon längst pleite.

    Die Daseinsberechtigung gibts sicher, ob der wirkliche Nutzen gegeben ist, müssen andere für sich entscheiden. Ansonsten könnte man genauso auch für AVM und Co argumentieren, dann hätten wir alle sicher Fritzboxen :)
    Um zudem mein Image als ganz Böser weiter aufrecht zu erhalten: Sie waren schon pleite! Lancom ist genauso wie Devolo aus der Konkursmasse von ELSA hervorgegangen - wer die noch kennt ist wie ich offiziell ein alter Sack ;) Ich hatte noch ein Elsa Microlink Modem in guten alten Tagen... was sich aber in jüngerer Zeit "super, toll, Sicherheit made in Germany" schimpft ist teils wirklich gruselig für mich. Und da schaue ich auf Lancom genauso wie bspw. Bintec oder andere Verdächtige. Wir hätten sicher nicht so viele Umstiege von anderen Herstellern auf OpenSource Software wie pfSense dieses und letztes Jahr gehabt, wenn die Lösungen alle so gut wären, denn dann gäbe es nichts zu meckern oder ändern :)

    Aber hey, just my 0,02€ :)



  • Moin,

    @jegr said in IPSec Tunnel IkeV1 mit mehr als 3 Phase2 Einträgen Netzbeziehungen fehlerhaft:
    ...Lancom ist genauso wie Devolo aus der Konkursmasse von ELSA hervorgegangen - wer die noch kennt ist wie ich offiziell ein alter Sack ;) ...

    Hey, nun werd mal nicht gemein, wie soll sich da einer fühlen der mit einem Wörlein Dataphon S21-23d angefangen ist? 😉 Dataphon S21-23d , Discovery 1200, Discovery 2400, Zyxel U1496E, Elsa-Microlink-33.6TQV, Teles ISDN Karte, Elsa ISDN Karte ...



  • Die ganze Diskussion ob Lancom oder nicht, führt doch auch nicht zu einer Lösung. Persönlich würde ich es auch nicht einsetzen ;-)

    @mbrabetz wie sieht es denn in den Logs aus (Vor allem beim Responder)? Ich würde mal versuchen die Richtung zu ändern. Konfiguriert mal den Lancom als Responder und lass die pfSense aufbauen.


  • Moderator

    @bepo ist wohl wahr.

    Die Frage ist auch, ob es in den Logs einerseits des Lancom oder der Sense irgendwas dazu gibt, ob bei den zusätzlichen P2 Einträgen ggf. irgendwas falsch gesetzt wird. "Traffic geht nicht mehr durch den Tunnel" ist eigentlich eher was in Richtung falsche Proposals und Co. Da hätte ich dann schon den Verdacht, dass beim Aufbau wieder so eine Geschichte am Start ist in Richtung "baut A auf, klappt es, baut B auf nicht weil falsches initial proposal" oder ähnliches.



  • Hallo bepo, hallo JeGr,

    die Vermutung hatte ich anfangs auch. Nachdem ich dann aber mehrfach zum testen unterschiedliche Phase2 Einträge sowohl mal nur auf dem Lancom oder auch nur auf der PFSense abgeschaltet habe und es immer korrekt funktionierte sofern ich nicht mehr als 3 Netze durch den Tunnel routen wollte kam ich davon auch ab und entschied mich zur Nachfrage hier im Forum.
    Umdrehen kam dann aus Zeitgründen leider nicht mehr in Frage zumal ich dann massiv am Monitoring der Systeme hätte schrauben müssen.
    In den Logs habe ich auf die schnelle eben nichts gefunden was darauf deutete.
    Der Lancom hatte laut einer Abfrage in der SSH Sitzung die Netzbeziehungen immer korrekt aufgebaut.
    Nur in der PFSense hab ich gesehen, dass dann meist nur noch ein Netz in den SADs / SPDs dargestellt wurde.
    Die verschwanden dann auch immer wenn ich nachträglich ein zusätzliches Netz durch den Tunnel routen wollte.

    Wie gesagt habe ich es dann wieder auf IKEv2 umgebaut. Bisher gab es das Problem mit den abbrechenden Netzbeziehungen nicht mehr. Angepasst hatte ich dabei allerdings auch das Disable-Rekey und Disable-Reauth aktiviert sind.

    @JeGr Hier wäre also eine schöne größe Testumgebung wie du Sie dir gerade aufbaust Gold wert :-)

    ps.: Die ELSA Mikrolink setzen wir hier auch noch ein (Abruf von Windparkdaten) bin scheinbar auch schon etwas älter ☹

    Ich schau mir mein Problem dann noch mal an falls der IKEv2 nun doch wieder instabil wird und versuche es ggf. mal umzudrehen.
    Danke für eure Zeit.



  • Hallo @mbrabetz,

    dann viel Erfolg!
    Check auch mal die "Split connections" Einstellung in Phase 1. Manchmal mag die Gegenseite das so lieber.

    Viele Grüße


  • Moderator

    @mbrabetz said in IPSec Tunnel IkeV1 mit mehr als 3 Phase2 Einträgen Netzbeziehungen fehlerhaft:

    ps.: Die ELSA Mikrolink setzen wir hier auch noch ein (Abruf von Windparkdaten) bin scheinbar auch schon etwas älter

    Sind wir das nicht alle :) (und ich war sicher nicht der einzige, der sich "I, Robot" mit Will Smith angesehen hat und bei USR/USRobotics an sein Modem gedacht hat - oder? ODER?!)

    Nur in der PFSense hab ich gesehen, dass dann meist nur noch ein Netz in den SADs / SPDs dargestellt wurde.

    OK strange, das ist dann aber eher ein Zeichen, dass die P2 komplett untern Tisch gefallen ist... Wie gesagt hab ich hier noch zwei Tunnel mit mehr als 6 P2s die alle da sind (bzw. bei Bedarf aufgebaut werden), ich kanns mir also nicht so ganz vorstellen, dass das an >3 scheitern sollte, allerdings sind das auch IKE1. Vielleicht sollten wir da mals was mit >4 IKE2 P2 bauen zum Test...



  • @JeGr ich möchte auch nicht ausschließen, dass es speziell an der Verbindung zwischen Lancom und PFSense liegt.

    Dafür habe ich schon zu viele Dinge an zu vielen unterschiedlichen Firewalllösungen mit integrierter VPN Schnittstelle gesehen :-(

    Ich wünsche erst mal ein schönes WE.


  • Moderator

    Natürlich, das sind dann immer die Annahmen die man durch Deduction oder sonstwie trifft oder ausschließt, allerdings wäre es schön zu wissen ob es generell auftreten kann oder nicht :)