Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Site2Site-Verbindung bricht ab nach Umstellung auf VDSL

Frage Sicherheit Firewall

Mitglied: VaderDarth

VaderDarth (Level 1) - Jetzt verbinden

07.11.2012 um 11:41 Uhr, 3582 Aufrufe, 9 Kommentare

Hallo Zusammen,

ich habe derzeit mal wieder ein Problem was mich zur Verzweiflung treibt. Unsere zwei Standorte sind per Site2Site-IPSec verbunden, was die letzten zwei Monate seit der Einrichtung auch anstandslos funktionierte. Jetzt wurde der Standort 1 mit der Astaro-Firewall von Standleitung auf VDSL mit fester IP umgestellt.

Die PPOE-Einwahl, Mail Versand/-empfang und VPN-SSL funktionieren anstandslos....selbst nach einer kurzen Unterbrechung der Leitung.

Allerdings sobald die Leitung einen kurzen Aussetzer hat und die PPPOE-Einwahl erneut stattfindet, wird die Site2Site-Verbindung nicht mehr automatisch aufgebaut. Selbst das Deaktivieren/aktivieren der Verbindung führt nicht zum gewünschten Erfolg. Erst nachdem die Firewall durchgestartet wurde wird die Site2Site-Verbindung wieder aufgebaut.

Gegen eine erneute Einwahl werde ich nichts unternehmen können (außer natürlich der Haken bzgl der Zangstrennung), jetzt ist meine Frage ob ich an der IPSec-Verbindung eine Änderung vornehmen kann um dieses Problem zu umgehen? Kann ich irgendwo beeinflussen wer bzw. wann die Einwahl stattfindet?

Hier die Konfig

Standort 1:
VDSL mit fester IP
Astaro ASG220

Standort 2:
Direct Access
Watchguard XTM 5

IPSec-Verbindung: 3DES, MD5, Lifetime 3600, Group 1 MODP 768

Wäre über jeden Tipp dankbar.

VG Michl
Mitglied: goscho
07.11.2012 um 11:49 Uhr
Hi VaderDarth,

ob es tatsächlich eine Zwangstrennung gibt?
Ihr solltet doch einen VDSL-Business-Anschluss haben (wegen fester IP)?
Bei meinen ADSL Business-Anschlüssen erfolgt keine Zwangstrennung.
Getrennt wird nur, wenn eine Leitung kurz weg war oder der Router.

Warum sich jedoch die VPN-Verbindung nicht automatisch erneut aufbaut, kann ich dir nicht sagen. Hier solltest du die Logs deiner Geräte überprüfen, ob dort etwas aussagekräftiges steht.
Bitte warten ..
Mitglied: aqui
07.11.2012 um 17:15 Uhr
Vermutlich ein Bug in einer der beiden Firmwares der FW Systeme ?!
Hast du die auf den aktuellsten Stand geflasht ??
Bitte warten ..
Mitglied: VaderDarth
07.11.2012 um 17:59 Uhr
Danke mal für die Tipps. Ich hab bis jetzt noch kein Logging laufen. Werd das mal die nächsten Tage mitlaufen lassen.

Auf der Astaro bin ich derzeit nicht auf aktuellem Stand, werd ich aber in dem Fall mal nachziehen. Falls ich was genaueres weiß poste ich es hier wieder.

Danke schon mal.

VG Michl
Bitte warten ..
Mitglied: VaderDarth
08.11.2012 um 11:01 Uhr
Und heute wieder pünktlich um 9:30 war die Verbindung wieder weg.

Im Log der Astaro habe ich nur folgenden Hinweis auf eine Unregelmäßigkeit gefunden, nämlich diese

2012:11:08-10:41:21 exefw-2 ipsec_starter[28047]: no default route - cannot cope with %defaultroute!!!

Hat das damit was zu tun? Ich werd heute Abend auf jeden Fall ein Firmware-Update durchführen, wird seitens Astaro auf jeden Fall empfohlen.

VG Michl
Bitte warten ..
Mitglied: VaderDarth
12.11.2012 um 10:50 Uhr
Hallo Zusammen,

also die Verbindung bricht nach wie vor ab. Ziemlich genau nach 24 Std. Watchguard ist auf aktuellem Firmwarestand, die Astaro habe ich auf aktuellen Stand gebracht. Problem besteht nach wie vor. Die User können nach wie vor aufs Internet zugreifen, VPN über SSL ist möglich, auch der OWA-Server ist erreichbar. Nur die IPSec-Standort-Verbindung wird nicht mehr aufgebaut. Im Log kann ich nur sehen, dass er nur 1 Versuch startet die Verbindung herzustellen.

2012:11:11-19:35:12 firewallx pluto[12558]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:11:11-19:35:12 firewallx pluto[12558]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:11:11-19:35:12 firewallx pluto[12558]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:11:11-19:35:12 firewallx pluto[12558]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:11:11-19:35:12 firewallx pluto[12558]: Changing to directory '/etc/ipsec.d/crls'
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)" #1: deleting state (STATE_MAIN_I1)
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:49 firewallx pluto[12558]: listening for IKE messages
2012:11:11-19:35:49 firewallx pluto[12558]: forgetting secrets
2012:11:11-19:35:49 firewallx pluto[12558]: loading secrets from "/etc/ipsec.secrets"
2012:11:11-19:35:49 firewallx pluto[12558]: loaded PSK secret for 80.xxx.xxx.xxx xx.xxx.xxx.xxx
2012:11:11-19:35:49 firewallx pluto[12558]: loaded private key from 'L2TPIPSEC.pem'
2012:11:11-19:35:49 firewallx ipsec_starter[12557]: no default route - cannot cope with %defaultroute!!!
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)" #2: initiating Main Mode
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: forgetting secrets
2012:11:11-19:35:49 firewallx pluto[12558]: loading secrets from "/etc/ipsec.secrets"
2012:11:11-19:35:49 firewallx pluto[12558]: loaded PSK secret for 80.xxx.xxx.xxx 93.xxx.xxx.xxx
2012:11:11-19:35:49 firewallx pluto[12558]: loaded private key from 'L2TPIPSEC.pem'
2012:11:11-19:35:49 firewallx pluto[12558]: loading ca certificates from '/etc/ipsec.d/cacerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:11:11-19:35:49 firewallx pluto[12558]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:11:11-19:35:49 firewallx pluto[12558]: Changing to directory '/etc/ipsec.d/crls'

Könnt Ihr da was sehen?

Danke schon mal für Eure Hilfe

VG Michl
Bitte warten ..
Mitglied: aqui
12.11.2012 um 11:23 Uhr
Aus Sicht des VPNs ist das absolut sauber. Bei IKE Phasen laufen sauber durch.
Allerdings "[12557]: no default route - cannot cope with %defaultroute!!! " ist nicht normal !
Da ist etwas faul mit dem Routing im VPN Tunnel.
Allerdings ist die Meldung so oberflächlich das man nicht wirklich was damit anfangen kann
Was sagt denn die Astaro Hotline zu dieser Fehlermeldung und ihrer genauen Ursache ??
Bitte warten ..
Mitglied: VaderDarth
13.11.2012 um 13:24 Uhr
Astaro werd ich mal als nächstes befragen, im Astaro-Forum bin ich auch nicht fündig geworden. Zuerst aber werde ich das ADSL-Modem noch austauschen. Da ist derzeit so ein Zyxel-Router verbaut der nur als Bridge konfiguriert ist. Den will ich mal als Fehlerquelle ausgeschlossen wissen.
Bitte warten ..
Mitglied: VaderDarth
26.11.2012 um 08:50 Uhr
So, und weiter bin ich immer noch nicht. Also eine Möglichkeit zum Tausch des V-DSL-Modems hat sich noch nicht ergeben. Ich habe mir die Einstellungen des aktuell verbauten V-DSL-Routers angesehen der als Bridge konfiguriert ist. Hier ist nichts bzgl. Zwangstrennung etc. zu sehen. Ich habe auch sämtliche nicht verwendeten Protokolle/Funktionen deaktiviert und ein Firmware-Update durchgeführt. Sobald ich diesen Zyxel-Router durchstarte bricht die IPSec-Verbindung ab und kommt auch nicht wieder hoch bis zum Neustart der Astaro.

Im Astaro-Forum bin ich auf folgenden Beitrag gestoßen http://www.astaro.org/local-language-forums/german-forum/21860-howto-vd ... und hab das soweit konfiguriert, allerdings konnte ich die Änderung in der Datei in /var/chroot-pppoe/bin/DSL.sh nicht vornehmen, da diese ganz anders aussieht als im Beispiel.

Ich werd heute auf jeden Fall noch einen Eintrag im Astaro-Forum posten und mal mit der Telekom sprechen, wobei ich Vermute dass zweitere mir nicht wirklich helfen können.

Hat noch jemand eine Idee für mich?

VG Michl
Bitte warten ..
Mitglied: aqui
30.11.2012 um 12:32 Uhr
Nein, das wird vermutlich nicht helfen, denn es sieht eher nach einem Firmware Bug einer der beiden VPN Beteiligten aus.
Ein reines VDSL Modem ist simple Hardware und ein medienwandler der mit alledem nix zu tun hat.
Dein Reboot Test mit dem Zyxel belegt das ja eindeutig !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
VDSL (50 Mbit) Verbindung bricht immer ab - Speedport 921V (4)

Frage von Sebastian9191 zum Thema LAN, WAN, Wireless ...

Exchange Server
gelöst Nginx Reverse Proxy Exchange () Outlook Verbindung bricht immer ab (4)

Frage von ThePcSwagTogether zum Thema Exchange Server ...

Router & Routing
gelöst VPN-Verbindung zwischen zwei Fritzboxen bricht sehr häufig ab (14)

Frage von mabue88 zum Thema Router & Routing ...

Router & Routing
gelöst Umstellung auf VDSL mit Speedlink 5501 (8)

Frage von frank99 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...