1
German - Deutsch / Kein Durchsatz durch VPN-Tunnel nach unterschiedlicher Zeit
« on: May 01, 2020, 02:28:38 pm »
Hallo,
ich habe seit längerem ab und zu Probleme mit meinen VPNs. In der Regel arbeitet alles einwandfrei, aber es geschieht öfter das nach unterschiedlicher Länge der Verbindungsdauer der Tunnel einfach "stirbt". Ich benutze grundsätzlich dieses Setup: EAP-MSCHAPv2 via IKEv2
Gegenstelle ist meine Workstation zuhause, aktuellstes Windows 10 mit dem eingebauten VPN-Client. Über die VPN-Verbindung in mein Büro benutze ich hauptsächlich klassischen Kram wie SSH, VNC, RDP. Das Problem äußert sich dann wie folgt, dass die Verbindung mit den remote-Servern verloren geht, und auch nicht wiederhergestellt werden kann. Währenddessen zeigen sowohl Windows als auch OPNSense noch einen bestehenden Tunnel an. Das Problem kann nach Stunden oder auch Minuten auftreten, das ist vollkommen zufällig. Wenn ich parallel eine SSH-Verbindung ohne VPN per Port Forwarding aufbaue, bleibt diese bestehen, d.h. es liegt wahrscheinlich nicht an Problemen mit dem Internet.
Die Logfiles zeigen, dass es die OPNSense trotz totem Tunnel noch "mitbekommt", wenn ich bei Windows die VPN-Verbindung trenne. Nach einem Neuaufbau der Verbindung funktioniert alles wieder, bis zum nächsten Mal jedenfalls.
Wie kann ich die Ursache des Problems herausfinden ?
Logs der OPNSense, die Verbindung ging irgendwann zwischen 13:42 und 13:52 (SSH Session vom Server aufgrund von Timeout geschlossen) verloren. RASMan auf Windows meldet nichts, außer dem manuellen Trennen der Verbindung:
ich habe seit längerem ab und zu Probleme mit meinen VPNs. In der Regel arbeitet alles einwandfrei, aber es geschieht öfter das nach unterschiedlicher Länge der Verbindungsdauer der Tunnel einfach "stirbt". Ich benutze grundsätzlich dieses Setup: EAP-MSCHAPv2 via IKEv2
Gegenstelle ist meine Workstation zuhause, aktuellstes Windows 10 mit dem eingebauten VPN-Client. Über die VPN-Verbindung in mein Büro benutze ich hauptsächlich klassischen Kram wie SSH, VNC, RDP. Das Problem äußert sich dann wie folgt, dass die Verbindung mit den remote-Servern verloren geht, und auch nicht wiederhergestellt werden kann. Währenddessen zeigen sowohl Windows als auch OPNSense noch einen bestehenden Tunnel an. Das Problem kann nach Stunden oder auch Minuten auftreten, das ist vollkommen zufällig. Wenn ich parallel eine SSH-Verbindung ohne VPN per Port Forwarding aufbaue, bleibt diese bestehen, d.h. es liegt wahrscheinlich nicht an Problemen mit dem Internet.
Die Logfiles zeigen, dass es die OPNSense trotz totem Tunnel noch "mitbekommt", wenn ich bei Windows die VPN-Verbindung trenne. Nach einem Neuaufbau der Verbindung funktioniert alles wieder, bis zum nächsten Mal jedenfalls.
Wie kann ich die Ursache des Problems herausfinden ?
Logs der OPNSense, die Verbindung ging irgendwann zwischen 13:42 und 13:52 (SSH Session vom Server aufgrund von Timeout geschlossen) verloren. RASMan auf Windows meldet nichts, außer dem manuellen Trennen der Verbindung:
Code: [Select]
2020-05-01T14:10:03 charon: 11[CFG] <con1|57> lease 10.0.250.1 by 'vpnuser@domain.tld' went offline
2020-05-01T14:10:03 charon: 11[NET] <con1|57> sending packet: from VPN-SERVERIP[4500] to CLIENT-WAN-IP[4500] (80 bytes)
2020-05-01T14:10:03 charon: 11[ENC] <con1|57> generating INFORMATIONAL response 9 [ ]
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> IKE_SA deleted
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> deleting IKE_SA con1[57] between VPN-SERVERIP[vpn.domain.tld]...CLIENT-WAN-IP[192.168.X.YYY]
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> received DELETE for IKE_SA con1[57]
2020-05-01T14:10:03 charon: 11[ENC] <con1|57> parsed INFORMATIONAL request 9 [ D ]
2020-05-01T14:10:03 charon: 11[NET] <con1|57> received packet: from CLIENT-WAN-IP[4500] to VPN-SERVERIP[4500] (80 bytes)
2020-05-01T14:10:03 charon: 11[NET] <con1|57> sending packet: from VPN-SERVERIP[4500] to CLIENT-WAN-IP[4500] (80 bytes)
2020-05-01T14:10:03 charon: 11[ENC] <con1|57> generating INFORMATIONAL response 8 [ D ]
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> CHILD_SA closed
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> sending DELETE for ESP CHILD_SA with SPI cf3334c8
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> closing CHILD_SA con1{295} with SPIs cf3334c8_i (87798 bytes) 6cd39980_o (60176 bytes) and TS 0.0.0.0/0 === 10.0.250.1/32
2020-05-01T14:10:03 charon: 11[IKE] <con1|57> received DELETE for ESP CHILD_SA with SPI 6cd39980
2020-05-01T14:10:03 charon: 11[ENC] <con1|57> parsed INFORMATIONAL request 8 [ D ]
2020-05-01T14:10:03 charon: 11[NET] <con1|57> received packet: from CLIENT-WAN-IP[4500] to VPN-SERVERIP[4500] (80 bytes)
2020-05-01T13:42:21 charon: 09[NET] <con1|57> sending packet: from VPN-SERVERIP[4500] to CLIENT-WAN-IP[4500] (80 bytes)
2020-05-01T13:42:21 charon: 09[ENC] <con1|57> generating INFORMATIONAL response 7 [ D ]
2020-05-01T13:42:21 charon: 09[IKE] <con1|57> CHILD_SA closed
2020-05-01T13:42:21 charon: 09[IKE] <con1|57> sending DELETE for ESP CHILD_SA with SPI c697ebff
2020-05-01T13:42:21 charon: 09[IKE] <con1|57> closing CHILD_SA con1{294} with SPIs c697ebff_i (0 bytes) a504004a_o (0 bytes) and TS 0.0.0.0/0 === 10.0.250.1/32
2020-05-01T13:42:21 charon: 09[IKE] <con1|57> received DELETE for ESP CHILD_SA with SPI a504004a
2020-05-01T13:42:21 charon: 09[ENC] <con1|57> parsed INFORMATIONAL request 7 [ D ]
2020-05-01T13:42:21 charon: 09[NET] <con1|57> received packet: from CLIENT-WAN-IP[4500] to VPN-SERVERIP[4500] (80 bytes)
2020-05-01T13:37:32 charon: 09[NET] <con1|57> sending packet: from VPN-SERVERIP[4500] to CLIENT-WAN-IP[4500] (208 bytes)
2020-05-01T13:37:32 charon: 09[ENC] <con1|57> generating CREATE_CHILD_SA response 6 [ N(ESP_TFC_PAD_N) SA No TSi TSr ]
2020-05-01T13:37:32 charon: 09[IKE] <con1|57> CHILD_SA con1{295} established with SPIs cf3334c8_i 6cd39980_o and TS 0.0.0.0/0 === 10.0.250.1/32
2020-05-01T13:37:32 charon: 09[CFG] <con1|57> selected proposal: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
2020-05-01T13:37:32 charon: 09[ENC] <con1|57> parsed CREATE_CHILD_SA request 6 [ SA No TSi TSr ]
2020-05-01T13:37:32 charon: 09[NET] <con1|57> received packet: from CLIENT-WAN-IP[4500] to VPN-SERVERIP[4500] (336 bytes)
2020-05-01T13:37:21 charon: 08[IKE] <con1|57> CHILD_SA closed