vaderdarth
Goto Top

Site2Site-Verbindung bricht ab nach Umstellung auf VDSL

Hallo Zusammen,

ich habe derzeit mal wieder ein Problem was mich zur Verzweiflung treibt. Unsere zwei Standorte sind per Site2Site-IPSec verbunden, was die letzten zwei Monate seit der Einrichtung auch anstandslos funktionierte. Jetzt wurde der Standort 1 mit der Astaro-Firewall von Standleitung auf VDSL mit fester IP umgestellt.

Die PPOE-Einwahl, Mail Versand/-empfang und VPN-SSL funktionieren anstandslos....selbst nach einer kurzen Unterbrechung der Leitung.

Allerdings sobald die Leitung einen kurzen Aussetzer hat und die PPPOE-Einwahl erneut stattfindet, wird die Site2Site-Verbindung nicht mehr automatisch aufgebaut. Selbst das Deaktivieren/aktivieren der Verbindung führt nicht zum gewünschten Erfolg. Erst nachdem die Firewall durchgestartet wurde wird die Site2Site-Verbindung wieder aufgebaut.

Gegen eine erneute Einwahl werde ich nichts unternehmen können (außer natürlich der Haken bzgl der Zangstrennung), jetzt ist meine Frage ob ich an der IPSec-Verbindung eine Änderung vornehmen kann um dieses Problem zu umgehen? Kann ich irgendwo beeinflussen wer bzw. wann die Einwahl stattfindet?

Hier die Konfig

Standort 1:
VDSL mit fester IP
Astaro ASG220

Standort 2:
Direct Access
Watchguard XTM 5

IPSec-Verbindung: 3DES, MD5, Lifetime 3600, Group 1 MODP 768

Wäre über jeden Tipp dankbar.

VG Michl

Content-Key: 193874

Url: https://administrator.de/contentid/193874

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: goscho
goscho 07.11.2012 um 11:49:44 Uhr
Goto Top
Hi VaderDarth,

ob es tatsächlich eine Zwangstrennung gibt?
Ihr solltet doch einen VDSL-Business-Anschluss haben (wegen fester IP)?
Bei meinen ADSL Business-Anschlüssen erfolgt keine Zwangstrennung.
Getrennt wird nur, wenn eine Leitung kurz weg war oder der Router. face-wink

Warum sich jedoch die VPN-Verbindung nicht automatisch erneut aufbaut, kann ich dir nicht sagen. Hier solltest du die Logs deiner Geräte überprüfen, ob dort etwas aussagekräftiges steht.
Mitglied: aqui
aqui 07.11.2012 um 17:15:59 Uhr
Goto Top
Vermutlich ein Bug in einer der beiden Firmwares der FW Systeme ?!
Hast du die auf den aktuellsten Stand geflasht ??
Mitglied: VaderDarth
VaderDarth 07.11.2012 um 17:59:09 Uhr
Goto Top
Danke mal für die Tipps. Ich hab bis jetzt noch kein Logging laufen. Werd das mal die nächsten Tage mitlaufen lassen.

Auf der Astaro bin ich derzeit nicht auf aktuellem Stand, werd ich aber in dem Fall mal nachziehen. Falls ich was genaueres weiß poste ich es hier wieder.

Danke schon mal.

VG Michl
Mitglied: VaderDarth
VaderDarth 08.11.2012 um 11:01:23 Uhr
Goto Top
Und heute wieder pünktlich um 9:30 war die Verbindung wieder weg.

Im Log der Astaro habe ich nur folgenden Hinweis auf eine Unregelmäßigkeit gefunden, nämlich diese

2012:11:08-10:41:21 exefw-2 ipsec_starter[28047]: no default route - cannot cope with %defaultroute!!!

Hat das damit was zu tun? Ich werd heute Abend auf jeden Fall ein Firmware-Update durchführen, wird seitens Astaro auf jeden Fall empfohlen.

VG Michl
Mitglied: VaderDarth
VaderDarth 12.11.2012 um 10:50:02 Uhr
Goto Top
Hallo Zusammen,

also die Verbindung bricht nach wie vor ab. Ziemlich genau nach 24 Std. Watchguard ist auf aktuellem Firmwarestand, die Astaro habe ich auf aktuellen Stand gebracht. Problem besteht nach wie vor. Die User können nach wie vor aufs Internet zugreifen, VPN über SSL ist möglich, auch der OWA-Server ist erreichbar. Nur die IPSec-Standort-Verbindung wird nicht mehr aufgebaut. Im Log kann ich nur sehen, dass er nur 1 Versuch startet die Verbindung herzustellen.

2012:11:11-19:35:12 firewallx pluto[12558]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:11:11-19:35:12 firewallx pluto[12558]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:11:11-19:35:12 firewallx pluto[12558]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:11:11-19:35:12 firewallx pluto[12558]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:11:11-19:35:12 firewallx pluto[12558]: Changing to directory '/etc/ipsec.d/crls'
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)" #1: deleting state (STATE_MAIN_I1)
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:49 firewallx pluto[12558]: listening for IKE messages
2012:11:11-19:35:49 firewallx pluto[12558]: forgetting secrets
2012:11:11-19:35:49 firewallx pluto[12558]: loading secrets from "/etc/ipsec.secrets"
2012:11:11-19:35:49 firewallx pluto[12558]: loaded PSK secret for 80.xxx.xxx.xxx xx.xxx.xxx.xxx
2012:11:11-19:35:49 firewallx pluto[12558]: loaded private key from 'L2TPIPSEC.pem'
2012:11:11-19:35:49 firewallx ipsec_starter[12557]: no default route - cannot cope with %defaultroute!!!
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)" #2: initiating Main Mode
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: forgetting secrets
2012:11:11-19:35:49 firewallx pluto[12558]: loading secrets from "/etc/ipsec.secrets"
2012:11:11-19:35:49 firewallx pluto[12558]: loaded PSK secret for 80.xxx.xxx.xxx 93.xxx.xxx.xxx
2012:11:11-19:35:49 firewallx pluto[12558]: loaded private key from 'L2TPIPSEC.pem'
2012:11:11-19:35:49 firewallx pluto[12558]: loading ca certificates from '/etc/ipsec.d/cacerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:11:11-19:35:49 firewallx pluto[12558]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:11:11-19:35:49 firewallx pluto[12558]: Changing to directory '/etc/ipsec.d/crls'

Könnt Ihr da was sehen?

Danke schon mal für Eure Hilfe

VG Michl
Mitglied: aqui
aqui 12.11.2012 um 11:23:55 Uhr
Goto Top
Aus Sicht des VPNs ist das absolut sauber. Bei IKE Phasen laufen sauber durch.
Allerdings "[12557]: no default route - cannot cope with %defaultroute!!! " ist nicht normal !
Da ist etwas faul mit dem Routing im VPN Tunnel.
Allerdings ist die Meldung so oberflächlich das man nicht wirklich was damit anfangen kann face-sad
Was sagt denn die Astaro Hotline zu dieser Fehlermeldung und ihrer genauen Ursache ??
Mitglied: VaderDarth
VaderDarth 13.11.2012 um 13:24:09 Uhr
Goto Top
Astaro werd ich mal als nächstes befragen, im Astaro-Forum bin ich auch nicht fündig geworden. Zuerst aber werde ich das ADSL-Modem noch austauschen. Da ist derzeit so ein Zyxel-Router verbaut der nur als Bridge konfiguriert ist. Den will ich mal als Fehlerquelle ausgeschlossen wissen.
Mitglied: VaderDarth
VaderDarth 26.11.2012 um 08:50:58 Uhr
Goto Top
So, und weiter bin ich immer noch nicht. Also eine Möglichkeit zum Tausch des V-DSL-Modems hat sich noch nicht ergeben. Ich habe mir die Einstellungen des aktuell verbauten V-DSL-Routers angesehen der als Bridge konfiguriert ist. Hier ist nichts bzgl. Zwangstrennung etc. zu sehen. Ich habe auch sämtliche nicht verwendeten Protokolle/Funktionen deaktiviert und ein Firmware-Update durchgeführt. Sobald ich diesen Zyxel-Router durchstarte bricht die IPSec-Verbindung ab und kommt auch nicht wieder hoch bis zum Neustart der Astaro.

Im Astaro-Forum bin ich auf folgenden Beitrag gestoßen http://www.astaro.org/local-language-forums/german-forum/21860-howto-vd ... und hab das soweit konfiguriert, allerdings konnte ich die Änderung in der Datei in /var/chroot-pppoe/bin/DSL.sh nicht vornehmen, da diese ganz anders aussieht als im Beispiel.

Ich werd heute auf jeden Fall noch einen Eintrag im Astaro-Forum posten und mal mit der Telekom sprechen, wobei ich Vermute dass zweitere mir nicht wirklich helfen können.

Hat noch jemand eine Idee für mich?

VG Michl
Mitglied: aqui
aqui 30.11.2012 um 12:32:11 Uhr
Goto Top
Nein, das wird vermutlich nicht helfen, denn es sieht eher nach einem Firmware Bug einer der beiden VPN Beteiligten aus.
Ein reines VDSL Modem ist simple Hardware und ein medienwandler der mit alledem nix zu tun hat.
Dein Reboot Test mit dem Zyxel belegt das ja eindeutig !