IPSEC und Monit Probleme

Started by antiager, January 02, 2023, 01:00:21 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 02, 2023, 01:00:21 PM
Hallo Forum!

Ich habe 3 eigentlich funktionierende IPSEC SITE to SITE Tunnel.

Zwei davon zu Lancom Routern und eine zu einer opnsense. Alle beteiligten Netze haben feste IP Adressen.

Alle 3 funktionieren soweit bis plötzlich kein Trafffic durchgeht oder die Verbindung abbricht.

Es kann sein, das zwei Tunnel noch funktionieren aber der dritte kriegt keine Verbindung mehr.

Das Log enthält nach meinem Verständnis nichts verwertbares.

Ich habe schon viele Parameter probiert ohne Erfolg.

Das einzige was hilft ist den IPsec Dienst neu zu starten. Dann funktioniert sofort wieder alles.

Hat jemand von euch eine Idee?

Ich habe versucht mit Monit die Verbndung zu überwachen und ggfs. neu zu initiieren. Leider lande ich ich in einem Syntaxfehler.

Die Zeile failed ping4 count 5 address 192.168.200.254 ergibt einen Syntaxfehler!

Was ist da falsch?

Ich benutze Monit zum ersten mal! Kennt jemand ein howto betr. Ipsec und Monit?

Danke schonmal!
Danke für die Hilfe!
Thank you for your Help
January 02, 2023, 05:35:53 PM #1
Moin!

Zu Deinen monit-Problemen habe ich jetzt keine Idee. Aber Du solltest mal die "Close Action" deiner IPSec-Tunnel überprüfen. Ggf. hilft da die Option "Neustart" weiter.

Baut der Lancom die Verbindung auf oder die OPNsense?
January 03, 2023, 11:38:36 AM #2
Danke für deinen Tipp!

Die ganzen Parameter habe ich schon durch steht im Moment sogar auf "close Action".

Die Rollen Initiator/Responder habe ich auch schon getauscht. Im Moment ist der Lancom Initiator.

Mir ist jetzt aufgefallen, das im Fehlerfall die Verbindung sogar noch besteht, allerdings geht kein Traffic mehr ein (Statusübersicht Byte eingehend 0, Ausgehend scheint zu funktionieren).  Verbindungsab- /aufbau löst das Problem nicht. Neustart des Ipsec Dienstes aber schon. ::)
Danke für die Hilfe!
Thank you for your Help
January 03, 2023, 03:03:56 PM #3
Das klingt erstmal soweit plausibel bei dir.

Hatte auch einen Lancom Router, der gegen eine OPNsense einen IPSEC-Tunnel aufgebaut hat. Tunnelaufbau war auch durch den Lancom initiiert. Schlüsselprotokoll war IKEv2. Welches Protokoll setzt Du ein? V1 oder auch V2?

Bei IPSEC und insbesondere bei V1 ist es wichtig, die Parameter auf beiden Seiten identisch zu haben: Verschlüsselung, Hash-Funktion (z.B. SHA256), DH-Parameter, Key-Lebensdauer in Sekunden + übertragenen Bytes. Das ganze jeweils für Phase 1 und Phase 2 abgleichen...

Beim Lancom kannst Du auch einen VPN-Trace machen: Per SSH auf die Kiste und dann "trace # vpn-status" (sowohl zum ein- als auch zum ausschalten des Trace).
January 03, 2023, 09:35:06 PM #4
Benutze Ike2.

Wenn es an falschen Parametern liegt (eigentlich habe ich alles schon tausendmal kontrolliert - gut manchmal ist man blind) warum funktioniert dann alles nach dem Neustarten des Ipsec Dienstes wieder?
Danke für die Hilfe!
Thank you for your Help
January 04, 2023, 10:38:04 AM #5
Warum es erst nach einem IPsec-Neustart wieder funktioniert sehe ich in meiner Glaskugel nicht. Hast Du auf dem Lancom schon mal die Trace-Infos ausgewertet? Und parallel dazu auch das VPN-Protokoll der OPNsense?

Mit tcpdump könntest Du checken, ob überhaupt UDP-Pakete auf Port 500 oder 4500 laufen.
January 04, 2023, 10:55:15 AM #6
ok kann ich nochmal checken
Danke
Danke für die Hilfe!
Thank you for your Help
Print
Go Up Pages1
User actions