IPSEC und Monit Probleme

[antiager]

Hallo Forum!

Ich habe 3 eigentlich funktionierende IPSEC SITE to SITE Tunnel.

Zwei davon zu Lancom Routern und eine zu einer opnsense. Alle beteiligten Netze haben feste IP Adressen.

Alle 3 funktionieren soweit bis plötzlich kein Trafffic durchgeht oder die Verbindung abbricht.

Es kann sein, das zwei Tunnel noch funktionieren aber der dritte kriegt keine Verbindung mehr.

Das Log enthält nach meinem Verständnis nichts verwertbares.

Ich habe schon viele Parameter probiert ohne Erfolg.

Das einzige was hilft ist den IPsec Dienst neu zu starten. Dann funktioniert sofort wieder alles.

Hat jemand von euch eine Idee?

Ich habe versucht mit Monit die Verbndung zu überwachen und ggfs. neu zu initiieren. Leider lande ich ich in einem Syntaxfehler.

Die Zeile failed ping4 count 5 address 192.168.200.254 ergibt einen Syntaxfehler!

Was ist da falsch?

Ich benutze Monit zum ersten mal! Kennt jemand ein howto betr. Ipsec und Monit?

Danke schonmal!

[dmark]

Moin!

Zu Deinen monit-Problemen habe ich jetzt keine Idee. Aber Du solltest mal die "Close Action" deiner IPSec-Tunnel überprüfen. Ggf. hilft da die Option "Neustart" weiter.

Baut der Lancom die Verbindung auf oder die OPNsense?

[antiager]

Danke für deinen Tipp!

Die ganzen Parameter habe ich schon durch steht im Moment sogar auf "close Action".

Die Rollen Initiator/Responder habe ich auch schon getauscht. Im Moment ist der Lancom Initiator.

Mir ist jetzt aufgefallen, das im Fehlerfall die Verbindung sogar noch besteht, allerdings geht kein Traffic mehr ein (Statusübersicht Byte eingehend 0, Ausgehend scheint zu funktionieren).  Verbindungsab- /aufbau löst das Problem nicht. Neustart des Ipsec Dienstes aber schon.

[dmark]

Das klingt erstmal soweit plausibel bei dir.

Hatte auch einen Lancom Router, der gegen eine OPNsense einen IPSEC-Tunnel aufgebaut hat. Tunnelaufbau war auch durch den Lancom initiiert. Schlüsselprotokoll war IKEv2. Welches Protokoll setzt Du ein? V1 oder auch V2?

Bei IPSEC und insbesondere bei V1 ist es wichtig, die Parameter auf beiden Seiten identisch zu haben: Verschlüsselung, Hash-Funktion (z.B. SHA256), DH-Parameter, Key-Lebensdauer in Sekunden + übertragenen Bytes. Das ganze jeweils für Phase 1 und Phase 2 abgleichen...

Beim Lancom kannst Du auch einen VPN-Trace machen: Per SSH auf die Kiste und dann "trace # vpn-status" (sowohl zum ein- als auch zum ausschalten des Trace).

[antiager]

Benutze Ike2.

Wenn es an falschen Parametern liegt (eigentlich habe ich alles schon tausendmal kontrolliert - gut manchmal ist man blind) warum funktioniert dann alles nach dem Neustarten des Ipsec Dienstes wieder?

[dmark]

Warum es erst nach einem IPsec-Neustart wieder funktioniert sehe ich in meiner Glaskugel nicht. Hast Du auf dem Lancom schon mal die Trace-Infos ausgewertet? Und parallel dazu auch das VPN-Protokoll der OPNsense?

Mit tcpdump könntest Du checken, ob überhaupt UDP-Pakete auf Port 500 oder 4500 laufen.

[antiager]

ok kann ich nochmal checken
Danke