IPSec VPN Verbindung - Routing bricht spontan einseitig ab



  • Servus zusammen,

    ich habe seit einigen Wochen ein wirklich seltsames Problem auf unserer Netgate SG-2440 PFSense. Installiert ist mittlerweile das aktuelle Build 2.4.4-RELEASE-p3(amd64) , da ich zuerst von einen Bug ausgegangen bin. Leider brachte kein Update Besserung.

    Was los ist: Wir haben in der Firewall 3 IPSec VPN (Site-to-Site) Verbindungen eingerichtet, die Tunnel ins Microsoft Azure realisieren. Da in der Vergangenheit einmal beschlossen wurde, sämtliche Hardware-Server in die Cloud zu packen, befindet sich auch unser DC / DNS-Server dort. Alles soweit kein Problem. Doch eben seit einigen Wochen, Zitat der User: "haben wir plötzlich kein Internet mehr". Ursache hierfür ist, dass die DNS-Auflösung nicht mehr klappt, da die Azure-Ressourcen (eben z.B. DNS-Server) nicht mehr erreichbar sind.

    Kurios an der Stelle ist jedoch, dass ich in der PFSense sehe, dass alle Verbindungen aufgebaut sind. Selbst wenn ich diese manuell trenne und erneut verbinde - was laut UI auch hervorragend klappt - kann ich die Cloud-Systeme am anderen Ende des Tunnels nicht erreichen.

    Verbinde ich mich über die öffentliche IP auf eines dieser Systeme kann ich von dort aus aber ohne Probleme die PFSense über deren lokale (bei uns im physikalischen Netz) IP zugreifen und auch anpingen. Ergo passen Hin- und Rückroute.

    Alles, was in dieser Situation hilft ist: Stecker ziehen. Nachdem die PFSense dann neu bootet, klappt auch wieder das IP-Routing.

    Was mir noch aufgefallen ist: Da es 3 Verbindungen sind, müsste dies auch in der Nummerierung erkennbar sein. Jedoch konnte ich am Mittwoch beobachten, dass, als wieder Probleme auftraten, der Status der Verbindung auf "DELETING" stand. Parallel dazu wurde eine neue Verbindung mit gleichem Namen, gleichen Einstellungen... wie durch Geisterhand erstellt. Mittlerweile steht die "Verbindungs-Nummer" schon bei 48. Ergo wurde durch IRGENDWAS bereits über 40 mal die Verbindung neu eingerichtet. Ich bin derweil der einzige mit Zugriff auf die Firewall, dass sich hier jemand austobt ist also eher unwahrscheinlich.

    Hat das schon mal wer beobachtet oder noch besser: behoben?

    Viele Grüße und schon einmal DANKE! =)

    UPDATE:
    Ich habe das Thema die letzten Wochen weiter im Auge behalten und kann nun ein Muster erkennen:
    Die VPN-Verbindungen (IPSec) werden sauber aufgebaut. Sowohl als Initiator als auch Responder. Das lässt sich super demonstrieren: Alle Verbindungen schließen und von den Systemen aufeinander zugreifen. Schon wird die Verbindung hergestellt.
    Seltsamerweise funktioniert MANCHMAL eine Kommunikation zwischen den Systemen, manchmal nicht. Es kommt mir vor, als würde die Firewall etwas blockieren. Die Protokolle sind jedoch unauffällig. Wirklich seltsam.

    Hat wer eine Idee, wie man das Problem weiter eingrenzen könnte?


Log in to reply