OPNsense Forum

International Forums => German - Deutsch => Topic started by: nullinger on May 01, 2020, 02:28:38 pm

Title: Kein Durchsatz durch VPN-Tunnel nach unterschiedlicher Zeit
Post by: nullinger on May 01, 2020, 02:28:38 pm

Hallo,

ich habe seit längerem ab und zu Probleme mit meinen VPNs. In der Regel arbeitet alles einwandfrei, aber es geschieht öfter das nach unterschiedlicher Länge der Verbindungsdauer der Tunnel einfach "stirbt". Ich benutze grundsätzlich dieses Setup: EAP-MSCHAPv2 via IKEv2 (https://wiki.opnsense.org/manual/how-tos/ipsec-rw-srv-mschapv2.html)

Gegenstelle ist meine Workstation zuhause, aktuellstes Windows 10 mit dem eingebauten VPN-Client. Über die VPN-Verbindung in mein Büro benutze ich hauptsächlich klassischen Kram wie SSH, VNC, RDP. Das Problem äußert sich dann wie folgt, dass die Verbindung mit den remote-Servern verloren geht, und auch nicht wiederhergestellt werden kann. Währenddessen zeigen sowohl Windows als auch OPNSense noch einen bestehenden Tunnel an. Das Problem kann nach Stunden oder auch Minuten auftreten, das ist vollkommen zufällig. Wenn ich parallel eine SSH-Verbindung ohne VPN per Port Forwarding aufbaue, bleibt diese bestehen, d.h. es liegt wahrscheinlich nicht an Problemen mit dem Internet. 

Die Logfiles zeigen, dass es die OPNSense trotz totem Tunnel noch "mitbekommt", wenn ich bei Windows die VPN-Verbindung trenne. Nach einem Neuaufbau der Verbindung funktioniert alles wieder, bis zum nächsten Mal jedenfalls.

Wie kann ich die Ursache des Problems herausfinden ?

Logs der OPNSense, die Verbindung ging irgendwann zwischen 13:42 und 13:52 (SSH Session vom Server aufgrund von Timeout geschlossen) verloren. RASMan auf Windows meldet nichts, außer dem manuellen Trennen der Verbindung:

Code: [Select]

2020-05-01T14:10:03 charon: 11[CFG] <con1|57> lease 10.0.250.1 by 'vpnuser@domain.tld' went offline
2020-05-01T14:10:03 charon: 11[NET] <con1|57> sending packet: from VPN-SERVERIP[4500] to CLIENT-WAN-IP[4500] (80 bytes)
2020-05-01T14:10:03 charon: 11[ENC] <con1|57> generating INFORMATIONAL response 9 [ ]
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> IKE_SA deleted
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> deleting IKE_SA con1[57] between VPN-SERVERIP[vpn.domain.tld]...CLIENT-WAN-IP[192.168.X.YYY]
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> received DELETE for IKE_SA con1[57]
2020-05-01T14:10:03 charon: 11[ENC] <con1|57> parsed INFORMATIONAL request 9 [ D ]
2020-05-01T14:10:03 charon: 11[NET] <con1|57> received packet: from CLIENT-WAN-IP[4500] to VPN-SERVERIP[4500] (80 bytes)
2020-05-01T14:10:03 charon: 11[NET] <con1|57> sending packet: from VPN-SERVERIP[4500] to CLIENT-WAN-IP[4500] (80 bytes)
2020-05-01T14:10:03 charon: 11[ENC] <con1|57> generating INFORMATIONAL response 8 [ D ]
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> CHILD_SA closed
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> sending DELETE for ESP CHILD_SA with SPI cf3334c8
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> closing CHILD_SA con1{295} with SPIs cf3334c8_i (87798 bytes) 6cd39980_o (60176 bytes) and TS 0.0.0.0/0 === 10.0.250.1/32
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> received DELETE for ESP CHILD_SA with SPI 6cd39980
2020-05-01T14:10:03 charon: 11[ENC] <con1|57> parsed INFORMATIONAL request 8 [ D ]
2020-05-01T14:10:03 charon: 11[NET] <con1|57> received packet: from CLIENT-WAN-IP[4500] to VPN-SERVERIP[4500] (80 bytes)
2020-05-01T13:42:21 charon: 09[NET] <con1|57> sending packet: from VPN-SERVERIP[4500] to CLIENT-WAN-IP[4500] (80 bytes)
2020-05-01T13:42:21 charon: 09[ENC] <con1|57> generating INFORMATIONAL response 7 [ D ]
2020-05-01T13:42:21 charon: 09[IKE] <con1|57> CHILD_SA closed
2020-05-01T13:42:21 charon: 09[IKE] <con1|57> sending DELETE for ESP CHILD_SA with SPI c697ebff
2020-05-01T13:42:21 charon: 09[IKE] <con1|57> closing CHILD_SA con1{294} with SPIs c697ebff_i (0 bytes) a504004a_o (0 bytes) and TS 0.0.0.0/0 === 10.0.250.1/32
2020-05-01T13:42:21 charon: 09[IKE] <con1|57> received DELETE for ESP CHILD_SA with SPI a504004a
2020-05-01T13:42:21 charon: 09[ENC] <con1|57> parsed INFORMATIONAL request 7 [ D ]
2020-05-01T13:42:21 charon: 09[NET] <con1|57> received packet: from CLIENT-WAN-IP[4500] to VPN-SERVERIP[4500] (80 bytes)
2020-05-01T13:37:32 charon: 09[NET] <con1|57> sending packet: from VPN-SERVERIP[4500] to CLIENT-WAN-IP[4500] (208 bytes)
2020-05-01T13:37:32 charon: 09[ENC] <con1|57> generating CREATE_CHILD_SA response 6 [ N(ESP_TFC_PAD_N) SA No TSi TSr ]
2020-05-01T13:37:32 charon: 09[IKE] <con1|57> CHILD_SA con1{295} established with SPIs cf3334c8_i 6cd39980_o and TS 0.0.0.0/0 === 10.0.250.1/32
2020-05-01T13:37:32 charon: 09[CFG] <con1|57> selected proposal: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
2020-05-01T13:37:32 charon: 09[ENC] <con1|57> parsed CREATE_CHILD_SA request 6 [ SA No TSi TSr ]
2020-05-01T13:37:32 charon: 09[NET] <con1|57> received packet: from CLIENT-WAN-IP[4500] to VPN-SERVERIP[4500] (336 bytes)
2020-05-01T13:37:21 charon: 08[IKE] <con1|57> CHILD_SA closed


Title: Re: Kein Durchsatz durch VPN-Tunnel nach unterschiedlicher Zeit
Post by: micneu on May 02, 2020, 01:14:50 am

also, ein wenig mehr informationen währen schön.
- ist es eine vm oder läuft die auf echtem blech (bitte mehr informationen zur hardware)
- wie ist dein netztwerk aufgebaut (bitte einen netzwerkplan)

Title: Re: Kein Durchsatz durch VPN-Tunnel nach unterschiedlicher Zeit
Post by: nullinger on May 02, 2020, 02:52:15 am

Klar, kein Problem.

Die OPNSense von meinem Netz zuhause läuft direkt auf der Hardware:

CPU: i5-7500, RAM: 16 GB DDR4-2400, SATA-SSD 120GB, Mainboard MSI B110M ECO, Netzwerkkarten: Intel X520-DA2 (2x 10 GBit/s), 1x Quad-Port Intel PCIe.
Angebunden an ein TC-4400 Kabelmodem im Bridge-Mode, d.h. OPNSense hat die WAN-IP direkt und keine Schweinereien mit NAT-T etc.
Das Netzwerk verteilt sich über drei Stockwerke, im Keller der Serverraum mit Modem, Firewall, NAS und einem kleinen 4x 10 GBit/s Mikrotik-Switch, EG und OG haben je einen großen Mikrotik Switch mit 24 Ports + 2x 10 Gbit/s. Die laufen auch alle als Switch und nicht als Router. Die Workstation (mit der ich die VPN-Verbindung aufbaue) ist also bis zur OPNSense mit 10 GBit/s angebunden. Im internen Netzwerk gibt es zumindest keine Fehler (Paketverluste, Fragmentierung, ...).

Auf der anderen Seite an einem Telekom-DSL Anschluss mit reinem DSL-Modem steht wieder eine OPNSense (Supermicro Board mit Atom C2558, 8 GB RAM, SSD, 4x 1 GBit/s Intel onboard, OPNSense läuft direkt auf der Hardware), die direkt die externe IP hat. Netzwerk ist ebenfalls ein Mikrotik-Setup mit 5x 24 Port Switchen (ca. 100 Geräte) und 12 VLANs. Die Geräte auf die ich per VPN und SSH/RDP/VNC zugreife sind allerdings per Kabel im Kernnetz, also kein VLAN. Auch hier, das interne Netz ist völlig unauffällig.

Anbei noch der vereinfachte Netzwerkplan von meinem Zuhause, das Büro ist eigentlich redundant, da habe ich grad keinen Plan zur Hand. Nach der OPNSense kommt der Hauptswitch, an dem direkt die Server hängen. Weitere Switches hängen direkt am Hauptswitch, die VLANs per extra Trunk direkt an der OPNSense.