1
IPSec VPN Abbruch bei IKE Rekeying (Funkwerk R1200 und NCP Client)
Hallo,
ich habe folgendes Problem:
Ein dynamischer IPSec-Client (Funkwerk/NCP-Client) baut einen IPSec-Tunnel zu einem Funkwerk R1200 auf.
Verbindungsaufbau, Datentransfer perfekt.
Das einzige Problem, was ich habe ist, dass die Verbindung nach einer bestimmten Zeit abbricht.
Anhand der Zeit und den Logs konnte ich feststellen, dass das Problem im IKE Rekeying besteht.
IPSec-Rekeying funktioniert perfekt.
Doch nach Ablauf der IKE-Lifetime sendet einer der Gegenstellen einen Delete Payload für die IKE SA.
Ich komme nicht dahinter, warum kein sauberes Rekeying stattfindet. Es lässt sich auch in der Log kein Fehler finden, der mir besagt, dass das Rekeying fehlgeschlagen ist.
Ich habe das Problem jetzt temporär umgangen, indem ich die IKE-Lifetime auf einen Tag hochgesetzt habe, aber das ist ja auch nicht die saubere Lösung.
Hier die IKE-Parameter:
Proposal: Blowfish/MD5
Lifetime: Test mit 15 min (Nun temporär 1 Tag)
Auth: PSK
Alive-Check: DPD
DH-Gruppe: 2 (1024)
Mode: aggressive (DynDNS beide Seiten)
NAT-T ist an
Ich bin für jede Hilfe dankbar.
ich habe folgendes Problem:
Ein dynamischer IPSec-Client (Funkwerk/NCP-Client) baut einen IPSec-Tunnel zu einem Funkwerk R1200 auf.
Verbindungsaufbau, Datentransfer perfekt.
Das einzige Problem, was ich habe ist, dass die Verbindung nach einer bestimmten Zeit abbricht.
Anhand der Zeit und den Logs konnte ich feststellen, dass das Problem im IKE Rekeying besteht.
IPSec-Rekeying funktioniert perfekt.
Doch nach Ablauf der IKE-Lifetime sendet einer der Gegenstellen einen Delete Payload für die IKE SA.
Ich komme nicht dahinter, warum kein sauberes Rekeying stattfindet. Es lässt sich auch in der Log kein Fehler finden, der mir besagt, dass das Rekeying fehlgeschlagen ist.
Ich habe das Problem jetzt temporär umgangen, indem ich die IKE-Lifetime auf einen Tag hochgesetzt habe, aber das ist ja auch nicht die saubere Lösung.
Hier die IKE-Parameter:
Proposal: Blowfish/MD5
Lifetime: Test mit 15 min (Nun temporär 1 Tag)
Auth: PSK
Alive-Check: DPD
DH-Gruppe: 2 (1024)
Mode: aggressive (DynDNS beide Seiten)
NAT-T ist an
Ich bin für jede Hilfe dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 105377
Url: https://administrator.de/contentid/105377
Printed on: April 24, 2024 at 22:04 o'clock
1 Comment
Hallo moqui,
deaktiviere mal DPD, zumindest darf der Router kein DPD verlangen.
Grüße, Steffen
deaktiviere mal DPD, zumindest darf der Router kein DPD verlangen.
Grüße, Steffen
