IPSec Tunnel IkeV1 mit mehr als 3 Phase2 Einträgen Netzbeziehungen fehlerhaft
-
@JeGr Übertreibung macht anschaulich :-)
Ich finde es eher eine Sache der Gewöhnung... und ich sag mal so: wem die GUI / Weboberfläche nicht zusagt nimmt SSH :-)
Zum Thema Debugging im Tracing: einmal Proposals richtig konfiguriert (äquivalent zur PFSense) und dann eine Proposalliste mit nur dem einem vorher angelegten korrekten Proposal, versucht auch der Lancom nichts anderes. Gerade im Bereich IPSec habe ich da nie Probleme. (es sei denn ich habe auf der Gegenstelle nicht richtig gelesen :-) )zentrales Management mehrerer Geräte (Fallbackupmöglichkeiten im Bereich Firmware, VPN).
Sicher sehr komplex und preisgünstig ist anders.
Wie so häufig ist es eine Sache von Kosten, Nutzen und Gewöhnung.
Hätten Sie nicht ihre Daseinsberechtigung wäre ein relativ kleiner Deutscher Anbieter bei der Flut von möglichen Alternativen vermutlich schon längst pleite. -
@mbrabetz Du magst es Übertreibung nennen, ich (persönlich, subjektiv) finde es Augenkrebs und kompletten Unfug. Und so geht es ja anscheinend nicht nur mir. Natürlich scheinen die Ihre Nische zu haben - hey wer hat das heute nicht. Aber so eine große Nummer sind sie nun auch nicht. Mag sein, dass zentrales Management möglich ist. Aber ganz ehrlich bei einer UI, in der ich ungelogen 15 mal Klick-Ception habe bevor ich endlich im richtigen Dialog bin - sorry das ist einfach mies. Und ja, dann nimmt man ggf. eben SSH, aber soweit mir die Kollegen eines Lancom Partners das gesteckt haben, geht damit auch nicht alles. Ich fand es lediglich bezeichnend, dass selbst der Partner die Dinger inzwischen rausgeworfen hat. Und Partner wird man nicht wirklich mal so aus Spaß. Ich kann hier immer nur von dem berichten was ich sehe, und das war nun eben mehrfach einfach Quark der Lancom Teile. Bei einigen größeren Systemhäusern sind die eben jetzt rausgeflogen, bei einem habe ich tatsächlich nur deshalb mehrere Tage Schulung pfSense gemacht, weil diese sich jetzt komplett von Lancom trennen und pfSense Boxen aufbauen.
dann eine Proposalliste mit nur dem einem vorher angelegten korrekten Proposal, versucht auch der Lancom nichts anderes.
Würde man annehmen, stimmte in dem Fall aber leider nicht.
Hätten Sie nicht ihre Daseinsberechtigung wäre ein relativ kleiner Deutscher Anbieter bei der Flut von möglichen Alternativen vermutlich schon längst pleite.
Die Daseinsberechtigung gibts sicher, ob der wirkliche Nutzen gegeben ist, müssen andere für sich entscheiden. Ansonsten könnte man genauso auch für AVM und Co argumentieren, dann hätten wir alle sicher Fritzboxen :)
Um zudem mein Image als ganz Böser weiter aufrecht zu erhalten: Sie waren schon pleite! Lancom ist genauso wie Devolo aus der Konkursmasse von ELSA hervorgegangen - wer die noch kennt ist wie ich offiziell ein alter Sack ;) Ich hatte noch ein Elsa Microlink Modem in guten alten Tagen... was sich aber in jüngerer Zeit "super, toll, Sicherheit made in Germany" schimpft ist teils wirklich gruselig für mich. Und da schaue ich auf Lancom genauso wie bspw. Bintec oder andere Verdächtige. Wir hätten sicher nicht so viele Umstiege von anderen Herstellern auf OpenSource Software wie pfSense dieses und letztes Jahr gehabt, wenn die Lösungen alle so gut wären, denn dann gäbe es nichts zu meckern oder ändern :)Aber hey, just my 0,02€ :)
-
Moin,
@jegr said in IPSec Tunnel IkeV1 mit mehr als 3 Phase2 Einträgen Netzbeziehungen fehlerhaft:
...Lancom ist genauso wie Devolo aus der Konkursmasse von ELSA hervorgegangen - wer die noch kennt ist wie ich offiziell ein alter Sack ;) ...Hey, nun werd mal nicht gemein, wie soll sich da einer fühlen der mit einem Wörlein Dataphon S21-23d angefangen ist?
Dataphon S21-23d , Discovery 1200, Discovery 2400, Zyxel U1496E, Elsa-Microlink-33.6TQV, Teles ISDN Karte, Elsa ISDN Karte ... -
Die ganze Diskussion ob Lancom oder nicht, führt doch auch nicht zu einer Lösung. Persönlich würde ich es auch nicht einsetzen ;-)
@mbrabetz wie sieht es denn in den Logs aus (Vor allem beim Responder)? Ich würde mal versuchen die Richtung zu ändern. Konfiguriert mal den Lancom als Responder und lass die pfSense aufbauen.
-
@bepo ist wohl wahr.
Die Frage ist auch, ob es in den Logs einerseits des Lancom oder der Sense irgendwas dazu gibt, ob bei den zusätzlichen P2 Einträgen ggf. irgendwas falsch gesetzt wird. "Traffic geht nicht mehr durch den Tunnel" ist eigentlich eher was in Richtung falsche Proposals und Co. Da hätte ich dann schon den Verdacht, dass beim Aufbau wieder so eine Geschichte am Start ist in Richtung "baut A auf, klappt es, baut B auf nicht weil falsches initial proposal" oder ähnliches.
-
Hallo bepo, hallo JeGr,
die Vermutung hatte ich anfangs auch. Nachdem ich dann aber mehrfach zum testen unterschiedliche Phase2 Einträge sowohl mal nur auf dem Lancom oder auch nur auf der PFSense abgeschaltet habe und es immer korrekt funktionierte sofern ich nicht mehr als 3 Netze durch den Tunnel routen wollte kam ich davon auch ab und entschied mich zur Nachfrage hier im Forum.
Umdrehen kam dann aus Zeitgründen leider nicht mehr in Frage zumal ich dann massiv am Monitoring der Systeme hätte schrauben müssen.
In den Logs habe ich auf die schnelle eben nichts gefunden was darauf deutete.
Der Lancom hatte laut einer Abfrage in der SSH Sitzung die Netzbeziehungen immer korrekt aufgebaut.
Nur in der PFSense hab ich gesehen, dass dann meist nur noch ein Netz in den SADs / SPDs dargestellt wurde.
Die verschwanden dann auch immer wenn ich nachträglich ein zusätzliches Netz durch den Tunnel routen wollte.Wie gesagt habe ich es dann wieder auf IKEv2 umgebaut. Bisher gab es das Problem mit den abbrechenden Netzbeziehungen nicht mehr. Angepasst hatte ich dabei allerdings auch das Disable-Rekey und Disable-Reauth aktiviert sind.
@JeGr Hier wäre also eine schöne größe Testumgebung wie du Sie dir gerade aufbaust Gold wert :-)
ps.: Die ELSA Mikrolink setzen wir hier auch noch ein (Abruf von Windparkdaten) bin scheinbar auch schon etwas älter
Ich schau mir mein Problem dann noch mal an falls der IKEv2 nun doch wieder instabil wird und versuche es ggf. mal umzudrehen.
Danke für eure Zeit. -
Hallo @mbrabetz,
dann viel Erfolg!
Check auch mal die "Split connections" Einstellung in Phase 1. Manchmal mag die Gegenseite das so lieber.Viele Grüße
-
@mbrabetz said in IPSec Tunnel IkeV1 mit mehr als 3 Phase2 Einträgen Netzbeziehungen fehlerhaft:
ps.: Die ELSA Mikrolink setzen wir hier auch noch ein (Abruf von Windparkdaten) bin scheinbar auch schon etwas älter
Sind wir das nicht alle :) (und ich war sicher nicht der einzige, der sich "I, Robot" mit Will Smith angesehen hat und bei USR/USRobotics an sein Modem gedacht hat - oder? ODER?!)
Nur in der PFSense hab ich gesehen, dass dann meist nur noch ein Netz in den SADs / SPDs dargestellt wurde.
OK strange, das ist dann aber eher ein Zeichen, dass die P2 komplett untern Tisch gefallen ist... Wie gesagt hab ich hier noch zwei Tunnel mit mehr als 6 P2s die alle da sind (bzw. bei Bedarf aufgebaut werden), ich kanns mir also nicht so ganz vorstellen, dass das an >3 scheitern sollte, allerdings sind das auch IKE1. Vielleicht sollten wir da mals was mit >4 IKE2 P2 bauen zum Test...
-
@JeGr ich möchte auch nicht ausschließen, dass es speziell an der Verbindung zwischen Lancom und PFSense liegt.
Dafür habe ich schon zu viele Dinge an zu vielen unterschiedlichen Firewalllösungen mit integrierter VPN Schnittstelle gesehen :-(
Ich wünsche erst mal ein schönes WE.
-
Natürlich, das sind dann immer die Annahmen die man durch Deduction oder sonstwie trifft oder ausschließt, allerdings wäre es schön zu wissen ob es generell auftreten kann oder nicht :)
