Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Firewall

Site2Site-Verbindung bricht ab nach Umstellung auf VDSL

Mitglied: VaderDarth

VaderDarth (Level 1) - Jetzt verbinden

07.11.2012 um 11:41 Uhr, 3866 Aufrufe, 9 Kommentare

Hallo Zusammen,

ich habe derzeit mal wieder ein Problem was mich zur Verzweiflung treibt. Unsere zwei Standorte sind per Site2Site-IPSec verbunden, was die letzten zwei Monate seit der Einrichtung auch anstandslos funktionierte. Jetzt wurde der Standort 1 mit der Astaro-Firewall von Standleitung auf VDSL mit fester IP umgestellt.

Die PPOE-Einwahl, Mail Versand/-empfang und VPN-SSL funktionieren anstandslos....selbst nach einer kurzen Unterbrechung der Leitung.

Allerdings sobald die Leitung einen kurzen Aussetzer hat und die PPPOE-Einwahl erneut stattfindet, wird die Site2Site-Verbindung nicht mehr automatisch aufgebaut. Selbst das Deaktivieren/aktivieren der Verbindung führt nicht zum gewünschten Erfolg. Erst nachdem die Firewall durchgestartet wurde wird die Site2Site-Verbindung wieder aufgebaut.

Gegen eine erneute Einwahl werde ich nichts unternehmen können (außer natürlich der Haken bzgl der Zangstrennung), jetzt ist meine Frage ob ich an der IPSec-Verbindung eine Änderung vornehmen kann um dieses Problem zu umgehen? Kann ich irgendwo beeinflussen wer bzw. wann die Einwahl stattfindet?

Hier die Konfig

Standort 1:
VDSL mit fester IP
Astaro ASG220

Standort 2:
Direct Access
Watchguard XTM 5

IPSec-Verbindung: 3DES, MD5, Lifetime 3600, Group 1 MODP 768

Wäre über jeden Tipp dankbar.

VG Michl
Mitglied: goscho
07.11.2012 um 11:49 Uhr
Hi VaderDarth,

ob es tatsächlich eine Zwangstrennung gibt?
Ihr solltet doch einen VDSL-Business-Anschluss haben (wegen fester IP)?
Bei meinen ADSL Business-Anschlüssen erfolgt keine Zwangstrennung.
Getrennt wird nur, wenn eine Leitung kurz weg war oder der Router.

Warum sich jedoch die VPN-Verbindung nicht automatisch erneut aufbaut, kann ich dir nicht sagen. Hier solltest du die Logs deiner Geräte überprüfen, ob dort etwas aussagekräftiges steht.
Bitte warten ..
Mitglied: aqui
07.11.2012 um 17:15 Uhr
Vermutlich ein Bug in einer der beiden Firmwares der FW Systeme ?!
Hast du die auf den aktuellsten Stand geflasht ??
Bitte warten ..
Mitglied: VaderDarth
07.11.2012 um 17:59 Uhr
Danke mal für die Tipps. Ich hab bis jetzt noch kein Logging laufen. Werd das mal die nächsten Tage mitlaufen lassen.

Auf der Astaro bin ich derzeit nicht auf aktuellem Stand, werd ich aber in dem Fall mal nachziehen. Falls ich was genaueres weiß poste ich es hier wieder.

Danke schon mal.

VG Michl
Bitte warten ..
Mitglied: VaderDarth
08.11.2012 um 11:01 Uhr
Und heute wieder pünktlich um 9:30 war die Verbindung wieder weg.

Im Log der Astaro habe ich nur folgenden Hinweis auf eine Unregelmäßigkeit gefunden, nämlich diese

2012:11:08-10:41:21 exefw-2 ipsec_starter[28047]: no default route - cannot cope with %defaultroute!!!

Hat das damit was zu tun? Ich werd heute Abend auf jeden Fall ein Firmware-Update durchführen, wird seitens Astaro auf jeden Fall empfohlen.

VG Michl
Bitte warten ..
Mitglied: VaderDarth
12.11.2012 um 10:50 Uhr
Hallo Zusammen,

also die Verbindung bricht nach wie vor ab. Ziemlich genau nach 24 Std. Watchguard ist auf aktuellem Firmwarestand, die Astaro habe ich auf aktuellen Stand gebracht. Problem besteht nach wie vor. Die User können nach wie vor aufs Internet zugreifen, VPN über SSL ist möglich, auch der OWA-Server ist erreichbar. Nur die IPSec-Standort-Verbindung wird nicht mehr aufgebaut. Im Log kann ich nur sehen, dass er nur 1 Versuch startet die Verbindung herzustellen.

2012:11:11-19:35:12 firewallx pluto[12558]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:11:11-19:35:12 firewallx pluto[12558]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:11:11-19:35:12 firewallx pluto[12558]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:11:11-19:35:12 firewallx pluto[12558]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:11:11-19:35:12 firewallx pluto[12558]: Changing to directory '/etc/ipsec.d/crls'
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)" #1: deleting state (STATE_MAIN_I1)
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:13 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)": deleting connection
2012:11:11-19:35:49 firewallx pluto[12558]: listening for IKE messages
2012:11:11-19:35:49 firewallx pluto[12558]: forgetting secrets
2012:11:11-19:35:49 firewallx pluto[12558]: loading secrets from "/etc/ipsec.secrets"
2012:11:11-19:35:49 firewallx pluto[12558]: loaded PSK secret for 80.xxx.xxx.xxx xx.xxx.xxx.xxx
2012:11:11-19:35:49 firewallx pluto[12558]: loaded private key from 'L2TPIPSEC.pem'
2012:11:11-19:35:49 firewallx ipsec_starter[12557]: no default route - cannot cope with %defaultroute!!!
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: "S_Standort1-Standort2 (IPSec)" #2: initiating Main Mode
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: added connection description "S_Standort1-Standort2 (IPSec)"
2012:11:11-19:35:49 firewallx pluto[12558]: forgetting secrets
2012:11:11-19:35:49 firewallx pluto[12558]: loading secrets from "/etc/ipsec.secrets"
2012:11:11-19:35:49 firewallx pluto[12558]: loaded PSK secret for 80.xxx.xxx.xxx 93.xxx.xxx.xxx
2012:11:11-19:35:49 firewallx pluto[12558]: loaded private key from 'L2TPIPSEC.pem'
2012:11:11-19:35:49 firewallx pluto[12558]: loading ca certificates from '/etc/ipsec.d/cacerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2012:11:11-19:35:49 firewallx pluto[12558]: loading aa certificates from '/etc/ipsec.d/aacerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2012:11:11-19:35:49 firewallx pluto[12558]: loading attribute certificates from '/etc/ipsec.d/acerts'
2012:11:11-19:35:49 firewallx pluto[12558]: Changing to directory '/etc/ipsec.d/crls'

Könnt Ihr da was sehen?

Danke schon mal für Eure Hilfe

VG Michl
Bitte warten ..
Mitglied: aqui
12.11.2012 um 11:23 Uhr
Aus Sicht des VPNs ist das absolut sauber. Bei IKE Phasen laufen sauber durch.
Allerdings "[12557]: no default route - cannot cope with %defaultroute!!! " ist nicht normal !
Da ist etwas faul mit dem Routing im VPN Tunnel.
Allerdings ist die Meldung so oberflächlich das man nicht wirklich was damit anfangen kann
Was sagt denn die Astaro Hotline zu dieser Fehlermeldung und ihrer genauen Ursache ??
Bitte warten ..
Mitglied: VaderDarth
13.11.2012 um 13:24 Uhr
Astaro werd ich mal als nächstes befragen, im Astaro-Forum bin ich auch nicht fündig geworden. Zuerst aber werde ich das ADSL-Modem noch austauschen. Da ist derzeit so ein Zyxel-Router verbaut der nur als Bridge konfiguriert ist. Den will ich mal als Fehlerquelle ausgeschlossen wissen.
Bitte warten ..
Mitglied: VaderDarth
26.11.2012 um 08:50 Uhr
So, und weiter bin ich immer noch nicht. Also eine Möglichkeit zum Tausch des V-DSL-Modems hat sich noch nicht ergeben. Ich habe mir die Einstellungen des aktuell verbauten V-DSL-Routers angesehen der als Bridge konfiguriert ist. Hier ist nichts bzgl. Zwangstrennung etc. zu sehen. Ich habe auch sämtliche nicht verwendeten Protokolle/Funktionen deaktiviert und ein Firmware-Update durchgeführt. Sobald ich diesen Zyxel-Router durchstarte bricht die IPSec-Verbindung ab und kommt auch nicht wieder hoch bis zum Neustart der Astaro.

Im Astaro-Forum bin ich auf folgenden Beitrag gestoßen http://www.astaro.org/local-language-forums/german-forum/21860-howto-vd ... und hab das soweit konfiguriert, allerdings konnte ich die Änderung in der Datei in /var/chroot-pppoe/bin/DSL.sh nicht vornehmen, da diese ganz anders aussieht als im Beispiel.

Ich werd heute auf jeden Fall noch einen Eintrag im Astaro-Forum posten und mal mit der Telekom sprechen, wobei ich Vermute dass zweitere mir nicht wirklich helfen können.

Hat noch jemand eine Idee für mich?

VG Michl
Bitte warten ..
Mitglied: aqui
30.11.2012 um 12:32 Uhr
Nein, das wird vermutlich nicht helfen, denn es sieht eher nach einem Firmware Bug einer der beiden VPN Beteiligten aus.
Ein reines VDSL Modem ist simple Hardware und ein medienwandler der mit alledem nix zu tun hat.
Dein Reboot Test mit dem Zyxel belegt das ja eindeutig !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Umstellung auf VDSL mit Speedlink 5501
gelöst Frage von frank99Router & Routing8 Kommentare

Hallo Forum Gemeinde, bei uns hat man auf VDSL umgestellt. Bisher hatten wie DSL + ISDN (Telefonanlage). Als Router ...

Voice over IP
Umstellung ADSL + ISDN auf VDSL + VOIP
Frage von cyruszVoice over IP24 Kommentare

Hallo zusammen, aktuell sind 3 x ADSL der Telekom + 3 x ISDN mit jeweils 10 MSN vorhanden (3 ...

TK-Netze & Geräte
Was tun mit den "überflüssigen" Splittern nach der VOIP oder VDSL-Umstellung?
Tipp von LochkartenstanzerTK-Netze & Geräte2 Kommentare

Moin. Es bleibt ja neuerdings der ein oder andere Splitter übrig, wenn man von DSL auf VOIP und/oder VDSL ...

LAN, WAN, Wireless
VDSL (50 Mbit) Verbindung bricht immer ab - Speedport 921V
Frage von Sebastian9191LAN, WAN, Wireless4 Kommentare

Hey, Bei nem Kollegen wurde von der Telekom die Leitung umgestellt von 30 MBit auf 50 MBit (VDSL) Seit ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...