RalphT 15 Geschrieben 23. Januar 2019 Melden Teilen Geschrieben 23. Januar 2019 Moin, ich habe hier schon länger ein Problem. Der VPN-Tunnel zwischen einer Sonicwall NSA 2600 und einem Lancom 1783 VAW ist nach einer gewissen Zeit immer gestört. Wenn das der Fall ist, dann ist zwischen den verbundenen LANs keine Datenübertragung mehr möglich. Zwischen der Sonicwall bestehen auch noch andere VPN-Verbindungen zu anderen Lancoms. Auch zwischen diesen Verbindungen tritt ab und zu mal dieses Problem auf. Auf der Sonicwall und auf dem Lancom ist der Tunnel immer noch verbunden. Hier etwas zur Konfiguration: Zwischen der Sonicwall und dem Lancom bestehen mehrere Netzbeziehungen. Auf der Sonicwallseite sind es derzeit 5 verschiedene LANs und auf der Lancomseite sind es 2 verschiedene LANs. Der Fehler äußert sie wie folgt: Es wird oder wird nur meist nur eine LAN-Verbindung unterbrochen. Also die anderen bestehenden Netzbeziehung zwischen den beiden Firewalls funktionieren einwandfrei. Jetzt ist natürlich die Frage, was ist an dieser gestörten LAN-Verbindung anderes? Da habe ich länger geforscht und bin jetzt der Meinung, dass das am Traffik liegt. Denn zwischen diesen LANs wird fließt der meiste Datenverkehr. Abhilfe schafft entweder ein erneuter, kompletter Tunnelaufbau auf der Seite vom Lancom oder ein erneuter Aufbau nur von diesem Netz auf der Sonicwall. (Button Renegotiate) Anschließend wird nur diese Netzbeziehung wieder erneut aufgebaut und das Problem ist für mehrere Stunden ok. Auf der Lancomseite und Sonicwall habe ich folgende Werte für den Tunnel konfiguriert: --------------- Sonicwall -------------- Phase 1: Main-Mode DH-Group 2 AES-128 SHA-1 Lifetime 108.000s Phase 2: ESP AES-128 SHA-1 Lifetime: 28.800s --------------- Lancom -------------- Phase 1: AES-128 SHA-1 Liftetime: 108.000s Phase 2: AES 128 SHA-1 Liftime: 28.800 0 kBytes Hier die Netzbeziehungen (die habe ich zig mal auf beiden Seiten auf Richtigkeit kontrolliert): Seite Sonicwall: 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 192.168.5.0/24 Seite Lancom: 192.168.10.0/24 192.168.12.0/24 Hier wird auf beiden Seiten mit fester IP-Adresse und Presharedkey gearbeitet. Der meiste Traffik läuft auf der Sonicwallseite im Netz: 192.168.5.0/24. Und genau nur diese Verbindung zu den Remotenetzen im Lancom ist gestört. Alle anderen Netzbeziehungen laufen ständig. Ode sagen mir vorsichtig so: Hier wurde bislang keine Fehler festgestellt. Wenn der Tunnel händisch neu aufgebaut wird, dann hält das für ca. 6-7 Std. Diese Zeit entspricht aber nicht dem Erneuerungsintervall von 28.800s. Anschließend darf man wieder "Hand anlegen". Was mich dabei stutzig macht ist folgendes: In der Sonicwall kann ich für den gesamten Tunnel die Option "Disable IPsec Anti-Replay" aktivieren. Wenn man das dann abspeichert, funktioniert der VPN manchmal wochenlang tadellos. Bis der Fehler dann wieder auftritt. Ab dann tritt das Phänomen wieder regelmäßig auf. Dann nehme ich in der Sonicwall wieder diese o.g. Option raus. Danach läuft das wieder wochenlang. Ich denke mal, dass diese Option mit diesem Fehler nichts zu tun hat. Ich tippe eher darauf, dass dieser Fehler durch eine Konfigurationsänderung erstmal weg ist. Das wird wohl Zufall sein. Meine letzte Idee war, dass die Sonicwall mit der Firmware dieses Problem hat. Ich hatte aber, mit Rücksprache von Sonicwall, eine aktuelle, gut lauffähige Firmwareversion aufgespielt. Aber daran lag es nicht. Ja, jetzt die spannende Frage: Hat da jemand eine Idee? Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 23. Januar 2019 Melden Teilen Geschrieben 23. Januar 2019 (bearbeitet) Hi, welche Firmware ist denn auf dem / den Lancoms? Bis einschließlich 10.12 RU9 gibt es derzeiten einen Bug in der Schlüsselberechnung. Der Lancom schneidet dort blöderweise führende Nullen ab, was die Sonicwall korrekterweise nicht tut. Das tritt wohl in einem von 256 Fällen auf. Wir hatten bis heute über eine Woche Ruhe mit der 10.12RU10. Allerdings ist das Problem eben grade wieder aufgetreten und ich warte auf den Support. Gruß Jan P.S.: Falls ihr direkt auf die 10.20 wollt: Bei uns gibt es mit der 10.20 (Rel bis RU2) VRRP Probleme. P.P.S.: Ich sehe grade, am 21.01. wurde die 10.12 RU11 veröffentlicht. Naja, warten wir mal, was der Support sagt. bearbeitet 23. Januar 2019 von testperson Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 23. Januar 2019 Autor Melden Teilen Geschrieben 23. Januar 2019 Hmmm, also auf dem Problemlancom ist die 10.12.038RU9. Auf einem anderen Lancom, der auch mal Probleme macht ist sogar noch die 9.24.0070 drauf. Ich habe gerade nachgesehen: Derzeit ist 10.20 RU2 aktuell. Dazu muss ich sagen, dass ich bei keinen der Lancoms VRRP nutze. Dann könnte ich die doch nehmen - oder?? Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 23. Januar 2019 Melden Teilen Geschrieben 23. Januar 2019 Die 10.12 wird wohl ein "Long Term Support" werden. Theoretisch solltest du natürlich die 10.20 RU2 nehmen können. Die 9.24 könnte vermutlich noch das SU9 (9.24.0334) vertragen. Generell: Lancom mit Bug < VPN > Lancom mit Bug -> Keine Probleme Lancom ohne Bug < VPN > Lancom ohne Bug -> Keine Probleme Lancom ohne Bug < VPN > "Fremdprodukt" -> Keine Probleme Lancom mit Bug < VPN > Lancom ohne Bug -> Probleme Lancom mit Bug < VPN > "Fremdprodukt" -> Probleme Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 23. Januar 2019 Autor Melden Teilen Geschrieben 23. Januar 2019 Danke dir. Ich habe einen Lancom, der ist derzeit nicht so wichtig. Da werde ich die 10.20 RU aufspielen. Dann mal sehen. Auf der Lancomschulung hat man mir zig mal eingetrichtert, dass ich immer die neueste Firmware nehmen soll. Ok, ich gucke da nicht immer regelmäßig drauf. Vielleicht auch deshalb, weil alles funktioniert. Bei der Sonicwall hatte ich auch mal ohne vorher nachzufragen, die neueste Firmware aufgespielt. Naja, danach hatte ich große Augen: Es waren im Firewallregelwerk nicht mehr alle Regeln zu sehen. Aber sie wirkten noch - zum Glück. Eine Nachfrage beim Händler ergab, dass es dort einen BUG gab. Regeln, die in der Beschreibung Umlaute hatten, wurden nicht mehr angezeigt. Da gab es auch von der Sonicwall einen Beitrag dazu, wie man das wieder in Ordnung bringt. Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 24. Januar 2019 Autor Melden Teilen Geschrieben 24. Januar 2019 Zitat Bis einschließlich 10.12 RU9 gibt es derzeiten einen Bug in der Schlüsselberechnung. Wir hatten bis heute über eine Woche Ruhe mit der 10.12RU10. Allerdings ist das Problem eben grade wieder aufgetreten und ich warte auf den Support. Nun habe ich heute die Version 10.20 RU2 aufgespielt. Nachdem der Router seinen Neustart beendet hatte, hatte ich gleich gesehen, dass das nicht Erfolg führte. Ich musste also beim Tunnelaufbeu bei 2 Netzen wieder nachhelfen. Jetzt bin ich mir nicht sicher, ob ich dich richtig verstanden habe: Besteht das Problem im VPN immer noch bei der aktuellen Version oder redest hier von VRRP? Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 24. Januar 2019 Melden Teilen Geschrieben 24. Januar 2019 Laut Support tritt das Problem nicht mehr auf mit einer Version größer 10.12 RU9. Hier wäre noch die Frage, wie du die SAs am Lancom aufbaust? Automatisch oder manuel? Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 24. Januar 2019 Autor Melden Teilen Geschrieben 24. Januar 2019 Ich bin gerade am suchen, wo der Eintrag geblieben ist. Seit diesem Update finde ich den gerade nicht. Bei den anderen Lancoms steht der Wert immer auf "Jede einzeln nach Bedarf". Ich bin mir sehr sicher, dass ich hier nichts verändert habe, daher behaupte ich mal, dass das auch für diese Lancom zurifft. Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 25. Januar 2019 Autor Melden Teilen Geschrieben 25. Januar 2019 Ich sehe gerade, dass auf der Seite Verbindungsliste die Regelerzeugung auf automatisch steht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.