Hunter_BKC 10 Geschrieben 9. Februar 2009 Melden Teilen Geschrieben 9. Februar 2009 Hallo zusammen, ich habe ein kleines VPN-Problem auf unserer Symantec-Firewall. Wir haben mit einem Kunden ein VPN-Tunnel (der Tunnel wird über unsere Symantec-Firewall zu einem Cisco-Router aufgebaut), der von unserer Seite sporadisch mit einem Fehler beendet wird. Im Logfile der Firewall erscheint folgende Meldung: ISAKMPD Warning: Retry Limit Reached for the security gateway "IP des Kunden-Routers" Ich muss dann immer eine Art Neustart der Firewall durchführen, dann funktioniert es wieder ein paar Tage, bis der Fehler wieder auftritt. Das ist auf Dauer natürlich ganz schön nervig... Kann mir evtl. jemand hierbei weiterhelfen? Gruß Christian Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 9. Februar 2009 Melden Teilen Geschrieben 9. Februar 2009 Hi Christian, welche Optionen habt Ihr denn für das IPSec VPN eingestellt (etwa PFS etc.)? Unter Umständen ist schlichtweg eine Option nicht kompatibel? Fließt immer Traffic über die Leitung oder gibt es auch "Ruhezeiten"? Tritt der Fehler eventuell nach den "Ruhezeiten" auf? Der folgende Link ist zwar von Juniper, aber da die Systeme oft ein Linux oder BSD als Unterbau nutzen und oftmals die gleiche VPN Software (OpenSWAN o.ä.) kannst Du vielleicht auch mit den Hinweisen etwas anfangen: Knowledge Base - Support - Juniper Networks Viele Grüße olc Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 10. Februar 2009 Melden Teilen Geschrieben 10. Februar 2009 Checke einmal die Einstellungen zur SA-Lifetime (Time & Traffic Volum). Vielleicht ist hier etwas unterschiedliches konfiguriert. Zitieren Link zu diesem Kommentar
Hunter_BKC 10 Geschrieben 10. Februar 2009 Autor Melden Teilen Geschrieben 10. Februar 2009 Hallo zusammen, danke für Eure Antworten. Ich bin erst am Donnerstag wieder im Büro, melde mich dann noch mal. Gruß Christian Zitieren Link zu diesem Kommentar
Hunter_BKC 10 Geschrieben 11. Februar 2009 Autor Melden Teilen Geschrieben 11. Februar 2009 Ich komme doch schon dazu früher zu antworten... Muss auch gestehen, dass ich nicht so der VPN-Experte bin. Habe den Tunnel mit einem Kollegen eingerichtet und wir waren eigentlich froh, dass wir die Sache zum laufen bekommen haben... welche Optionen habt Ihr denn für das IPSec VPN eingestellt (etwa PFS etc.)?Unter Umständen ist schlichtweg eine Option nicht kompatibel? Fließt immer Traffic über die Leitung oder gibt es auch "Ruhezeiten"? Tritt der Fehler eventuell nach den "Ruhezeiten" auf? Beim IPSEC/IKE haben wir unter "Data Integrity Preference" 1st MD5 und 2nd MD5 eingstellt. Unter "Data Privacy Preference" ist unter 1st 3DES und unter 2nd 3DES eingestellt. Ob der Fehler nach Ruhezeitenauftritt kann ich ehrlich gesagt, gar nicht so genau beantworten. Der Tunnel wird eigentlich immer nur dann aufgebaut, wenn eine Anforderung von einem Client erfolgt, in unserem Fall von einem FTP-Client des Kunden zu unserem FTP-Server und umgekehrt. Heute ist der Tunnel wieder abgegrätscht. Diese Logfiles gingen vorweg: isakmpd Info: Responder, Established IPSEC SA TUNNEL 2.isakmp.16 type=INSTANCE (Lnet/sg=IP unserers FTP-Servers/unsere öffentliche IP, Rnet/sg=IP des Kunden-FTP-Servers/öffentliche IP des Kunden) Lspi=0x2691d57f Rspi=0xc61f6bc6 Auth Header = AH_NONE ESP Header = 3DES_MD5 No compression , [tunTemplate=Tunnel-Name] isakmpd Info: Responder, Established ISAKMP SA (Lsg=unsere öffentliche IP, Rsg=öffentliche IP des Kunden), [tunTemplate=Tunnel-Name] isakmpd Info: Responder, Established IPSEC SA TUNNEL 2.isakmp.18 type=INSTANCE (Lnet/sg=IP unserers FTP-Servers/unsere öffentliche IP, Rnet/sg=IP des Kunden-FTP-Servers/öffentliche IP des Kunden) Lspi=0xe4693d64 Rspi=0x3e854f5a Auth Header = AH_NONE ESP Header = 3DES_MD5 No compression , [tunTemplate=Tunnel-Name] Danach kommt die besagte Meldung des "ISAKMPD-Warnings" und es kann keine Verbindung mehr durch eine Anforderung aufgebaut werden. Ich werde mir gleich mal dem Link von Juniper ankucken Checke einmal die Einstellungen zur SA-Lifetime (Time & Traffic Volum). Du meinst bestimmt im Config-File der Firewall? Kann ich eigentlich den VPN-Teil aus dem Config-File der Firewall posten, oder macht man so etwas aus sicherheits-technischer Sicht nicht? Gruß Christian Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. Februar 2009 Melden Teilen Geschrieben 11. Februar 2009 Hi, man kann Konfiigurationsdateien sicher posten, aber mal muß schon selbst schauen, ob irgend etwas kritisches drin steht. ;) Die Daten zur Verschlüsselung (SA) sind nicht problematisch, eher IPs oder Pre-Shared Keys (falls eingesetzt). Von den oben geposteten Logs her sieht es m.E. so aus, als ob die Gegenseite nicht auf die SA Anforderungen reagiert. Der Hinweis von hegl ist hier relevant - unter Umständen stimmen die Lifetime oder Timeouts nicht auf der Gegenseite. Hast Du ein vollständiges Log von Deiner Seite und der Gegenseite sowie die Konfigurationsdateien beider Seiten? Hier macht ein "Vergleich" auf der Suche nach dem Fehler Sinn. Wie gesagt - schau vorher drüber, was vielleicht nicht gepostet werden sollte... Viele Grüße olc Zitieren Link zu diesem Kommentar
Hunter_BKC 10 Geschrieben 12. Februar 2009 Autor Melden Teilen Geschrieben 12. Februar 2009 Die einzigen Logfiles, die ich habe, habe ich gestern gepostet, mehr habe ich leider nicht :( Hatte mir auch mal den Link von Juniper angekuckt, da war dies Knowledge Base - Support - Juniper Networks ganz interessant. Es scheint aber demnach alles i.O. zu sein, es muss einen anderen Grund haben. Ich habe jetzt mal den Kunden angeschrieben, ob er evtl. etwas im Logfile erkennen kann. Mit dem posten der Konfiguartion ist es so eine Sache, da es über eine grafische Oberfläche läuft :) Ich meine dann wohl eher so was wie im Anhang, evtl. muss hier ja was eingestellt werden. Gruß Christian VPN.txt Zitieren Link zu diesem Kommentar
Hunter_BKC 10 Geschrieben 19. Februar 2009 Autor Melden Teilen Geschrieben 19. Februar 2009 Der Kunde hat geschrieben... Es wären keine Auffälligkeiten auf deren Seite zu erkennen. Dann muss das Problem wohl doch irgendwie auf unserer Seite liegen :( Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Folgende (nicht aktive) Parameter sehenh interessant aus: isakmpd.debug: nsetupd.troubleshoot: Zitieren Link zu diesem Kommentar
Hunter_BKC 10 Geschrieben 19. Februar 2009 Autor Melden Teilen Geschrieben 19. Februar 2009 Ok. Aber was heißt das jetzt für mich? :) Soll ich da irgendwas eintragen? Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Du solltest Dir das Manuual und Google nehmen um durch sinnvolles Einsetzen der beiden Parameter mehr Diagnoseinformationen zu bekommen. PS: Ich glaube nicht so ganz das auf der Gegenseite nichts zu sehen ist. Ein Verbindungsproblem sollte auch dort erkennbar sein. Ich hatte ein ähnliches Problem beim Kunden wo ein Remote-Tunnel keine Daten mehr durchlies (Einwahl Cisco VPN Client). Zitieren Link zu diesem Kommentar
Hunter_BKC 10 Geschrieben 19. Februar 2009 Autor Melden Teilen Geschrieben 19. Februar 2009 Alles klar :) Ist halt immer so eine Sache man von der Gegenseite hört, dass alles ok ist... Man ist ja doch immer auf Informationen angewiesen :( Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Hi, die hochgeladene Datei ist nur die allgemeine Konfigurationsdatei, nicht die Konfiguration für den konkreten Tunnel. Vielleicht kannst Du die andere Datei (wie gesagt, bitte keine Pre-Shared Keys o.ä. mit angeben) noch einmal irgendwo hosten, damit wir hinein schauen können. Aber ich denke wie djmaker auch, daß Du das Logging einmal einschalten solltest. Ich stimme ebenfalls zu, daß auf der Gegenseite auch etwas zu sehen sein sollte, ggf. muß hier auch das Logging hochgedreht werden. Viele Grüße olc Zitieren Link zu diesem Kommentar
Hunter_BKC 10 Geschrieben 6. März 2009 Autor Melden Teilen Geschrieben 6. März 2009 Hallo zusammen, ich habe jetzt mal das Logging hoch gesetzt. Anbei die Logs bis zum Abbruch: Mar 06 08:14:47.437 gate isakmpd[3040]: 120 isakmpd Info: Received command 'Rekey' from 'vpnd' Mar 06 08:14:47.437 gate isakmpd[3040]: 120 isakmpd Info: Entering state machine as Initiator Mar 06 08:14:47.437 gate isakmpd[3040]: 120 isakmpd Info: Initiating PhaseII(QuickMode) negotiation with öffentliche IP des Kunden to establish an IPSEC SA Mar 06 08:14:47.687 gate isakmpd[3040]: 120 isakmpd Info: SND-MESSAGE#1 Sending 284 bytes to peer öffentliche IP des Kunden Mar 06 08:14:57.765 gate isakmpd[3040]: 120 isakmpd Info: DispatcherSelectRead timed out (timeout = 8 sec) Mar 06 08:14:57.765 gate isakmpd[3040]: 120 isakmpd Info: SND-MESSAGE#1 Sending 284 bytes to peer öffentliche IP des Kunden [Retransmission] Mar 06 08:15:13.968 gate isakmpd[3040]: 120 isakmpd Info: DispatcherSelectRead timed out (timeout = 12 sec) Mar 06 08:15:13.968 gate isakmpd[3040]: 120 isakmpd Info: SND-MESSAGE#1 Sending 284 bytes to peer öffentliche IP des Kunden [Retransmission] Mar 06 08:15:38.765 gate isakmpd[3040]: 120 isakmpd Info: DispatcherSelectRead timed out (timeout = 18 sec) Mar 06 08:15:38.765 gate isakmpd[3040]: 343 isakmpd Warning: RETRY LIMIT REACHED for the remote security gateway öffentliche IP des Kunden Mar 06 08:15:38.765 gate isakmpd[3040]: 120 isakmpd Info: Exiting state machine; closed session with peer öffentliche IP des Kunden Gruß Christian Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 6. März 2009 Melden Teilen Geschrieben 6. März 2009 Hi, Mar 06 08:14:47.437 gate isakmpd[3040]: 120 isakmpd Info: Received command 'Rekey' from 'vpnd' Wie schon vermutet gibt es Probleme beim Re-Keying. Von daher nochmals der Hinweis, beide Logs vom gleichen Problemfall zu überprüfen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.