IPSEC Tunnel verliert die Verbindung [Fritzbox]
-
Hallo Jungs,
nachdem ich meinen 8. Tunnel erfolgreich auf meine Pfsense verbunden habe, habe ich auf einem Tunnel Probleme mit der Connectivity.
Ein Tunnel (Ist eine von momentan 6 Fritzboxen) lässt nach einer bestimmten Zeit keine Pakete mehr durch den Tunnel.
Es fängt damit an, dass ich auf der Remotseite (Fritzbox) keinen Ping mehr in Richtung Heimatnetz bekomme. Sobald ich aber wärend dem Pingtest einen Ping von der PFsense Seite in Richtung Fritzbox sende, funktionert in dem Moment der Ping von der Remote Seite wieder.
Aber irgendwann geht auch der Ping von der lokalen Seite nicht mehr durch und ich muss den Tunnel händig durchstarten.Kurioserweise sehe ich im Log keinen Hinweis auf diesen Tunnelabbruch. Der ist laut PFsense und Fritzbox hochgefahren.
Kann es sein, dass dass die "Automatically ping host" Funktion nicht richtig funktioniert ?
Ich habe jetzt zur Überwachung der IPSec Tunnel die Tunnelendpunkte als Gateway eingetragen und lasse sie über apinger monitoren. (Hoffe das dadurch die Strecke aufrechtgehalten wird)
Wie dem auch sei, was kann der Grund für die plötzlichen Probleme sein. Mit insgesamt 6 Tunnel gab es keine Probleme und jetzt hab ich sie.
Die CPU und Memory Last meines ALix ist auch im Grünen Bereich.
-
Leider muss ich mir meine Antwort wieder selber geben :/
Das Problem war eine Kombination aus Alix/DPD, und IKE Lifetime/Fritzbox
Anscheinend hat mein Alix bei zu vielen Tunneln Probleme mit DPD. Ich hab es in jedem Tunnel mitterweile abgeschaltet und seitdem hab ich weniger Verbindungsabbrüche.
Doch das war noch nicht alles…
Für jeden der eine Fritzbox anbinden will, setzt die IKE/ISAKMP oder Phase 1 Lifetime zwingend auf 3600.
Die Fritzbox steht nämlich sowohl bei Phase 1 als auch Phase 2 fest auf 3600 und lässt sich meines Wissens nicht ändern.
Ansonsten läuft die Box und hoffentlich jetzt länger stabil, bevor ich noch die Nerven verliere.
Sollte die nächsten Tagen nix weiteres auffallen, werde ich mir das neue ALix APu Board mit 3 Gigabit Ethernet Interfaces und AMD APU zulegen.
Laut PCengines soll sie Ende Februar offiziell verfügbar sein.
Gruß
Rubinho -
Leider muss ich mein Vorhaben vorerst auf Eis legen und wieder zurückbauen, da es immer noch trotz unzähliger Anpassungen kein stabiler Betrieb mit den Fritzboxen möglich ist.
Womöglich ist mein altes Alix Board mit den 8 Tunnel überfordert.
Es läuft zwar kein großer Traffic über die Leitung, sondern eher viele kleine Anfragen in kurzen Abständen.Wie dem auch sei. Ich warte jetzt auf das neue Alix APU Board, dass Ende Februar herauskommen soll und werde dann einen neuen Versuch starten. :-\
Vielleicht kann mir mal ein Alix Besitzer noch einen Tip geben oder Bestätigen das dieses Board nicht über ausreichende Leistung verfügt.