Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPsec-Tunnel nach Neustart nicht automatisch wieder da
« previous
next »
Print
Pages: [
1
]
Author
Topic: IPsec-Tunnel nach Neustart nicht automatisch wieder da (Read 3467 times)
ollibraun
Newbie
Posts: 31
Karma: 0
IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
on:
May 20, 2020, 08:44:11 pm »
Hallo,
ich habe bei einem Site-to-site-VPN zwischen zwei OPNsense 20.1.6 das Problem, dass der Tunnel nicht automatisch wieder aufgebaut wird, wenn ich die beiden Geräte neu starte.
Erhofft hätte ich mir, dass die aktive Seite nach ihrem Reboot so lange versucht, sich neu zu verbinden, bis die Gegenstelle wieder erreichbar ist, und dann eben die Verbindung herstellt. Tatsächlich muss ich auf Statusübersicht gehen und dort den orangenen Pfeil anklicken.
Auf der sich einwählenden Seite steht unter Anschlussart "Sofort starten".
Wo kann ich denn das Verhalten diesbezüglich beeinflussen?
Viele Grüße
Oliver
Logged
superwinni2
Hero Member
Posts: 546
Karma: 24
Netzwerk der Kindheit? - Draussen
Re: IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
Reply #1 on:
May 20, 2020, 10:15:34 pm »
Wie hast du denn den Tunnel eingestellt?
Was passiert wenn du einfach versuchst Daten an die Gegenstelle zu senden?
Gesendet von meinem LG-H815 mit Tapatalk
Logged
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD
FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
ollibraun
Newbie
Posts: 31
Karma: 0
Re: IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
Reply #2 on:
May 23, 2020, 07:03:01 pm »
Nachtrag: Problem könnte besonders dann auftauchen, wenn die Außenstelle aktualisiert wurde und neu startete und anschließend die Zentrale aktualisiert wurde und neu startete. Als ob die Außenstelle es nach ein paar Fehlversuchen (die Zentrale startet noch neu) aufgeben würde.
Wenn ich in der Außenstelle ein Netzlaufwerk auf dem Server in der Zentrale versuche zu öffnen, gelingt kein Zugriff. Der Haken in der IPsec-Statusübersicht in der Außenstelle bleibt orange. Wenn ich ihn anklicke, wird die Verbindung hergestellt.
Einstellungen in der Außenstelle sind diese:
«
Last Edit: May 23, 2020, 07:05:23 pm by ollibraun
»
Logged
ollibraun
Newbie
Posts: 31
Karma: 0
Re: IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
Reply #3 on:
February 19, 2021, 02:20:25 pm »
Ich habe jetzt mal DPD auf geschaltet, weil ich in diesem Post fand, dass es daran liegen könnte:
https://forum.opnsense.org/index.php?topic=19799.msg91475#msg91475
Logged
ollibraun
Newbie
Posts: 31
Karma: 0
Re: IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
Reply #4 on:
August 06, 2021, 01:12:35 pm »
Leider hat das nicht geholfen.
Wenn die Zentrale ein paar Minuten offline war, verbindet sich die Außenstelle nicht mehr automatisch. Ich starte also nach jedem Neustart der Zentrale ein paar Minuten später auch die Außenstelle neu.
Schön ist das nicht. Aber vielleicht ist es bei OPNsense einfach so.
Logged
kosta
Hero Member
Posts: 540
Karma: 2
Re: IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
Reply #5 on:
August 08, 2021, 07:38:45 am »
Also ich habe beide Seiten auf Sofort verbinden eingestellt und ist mir im Punkto Site-to-Site nichts negatives aufgefallen.
Ich starte beide FW nie wirklich gleichzeitig, erstmal eine, stelle ich sicher dass die Firewall wieder online ist, und dann die andere.
Bisher war die Verbindung immer da, und ich musste nie nacharbeiten.
Hast du eine genaue Prozedur die man testen kann?
«
Last Edit: August 08, 2021, 07:40:54 am by kosta
»
Logged
ollibraun
Newbie
Posts: 31
Karma: 0
Re: IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
Reply #6 on:
August 08, 2021, 02:11:10 pm »
Bei mir steht nur die Außenstelle auf "sofort verbinden", weil die Außenstelle keine feste IP hat. Die Zentrale steht auf "Nur Antworten". Nach meinem Verständnis müsste das reichen, und so kenne ich es von anderen FWs auch.
Wenn ich die Zentrale für ein paar Minuten offline nehme, dann wählt sich die Außenstelle nicht mehr ein. Ich starte sie dann einfach neu. Aber schöner fände ich es, wenn die Außenstelle es einfach immer wieder neu versuchen würde, notfalls stundenlang, bis die Zentrale wieder erreichbar ist.
Logged
kosta
Hero Member
Posts: 540
Karma: 2
Re: IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
Reply #7 on:
August 08, 2021, 06:31:35 pm »
OK, verstehe was du meinst, das habe ich glaube ich nicht getestet.
Krux an der Sache glaube ich: stelle die Zentral auch auf sofort verbinden, und sie wird sich an die Außenstelle verbinden wenn sie wieder online (hochgefahren) ist.
Ich weiß nur nicht ob das auch wirkt, wenn zB. Internet Down ist, noch nie einfach nur den Kabel gezogen... das gilt bei mir nur für die Neustarts.
Logged
ollibraun
Newbie
Posts: 31
Karma: 0
Re: IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
Reply #8 on:
August 08, 2021, 06:39:09 pm »
Verstehe. Das bedeutet aber, dass der Betrieb nur ordentlich möglich ist, wenn die Außenstelle auch eine feste IP hat (oder man bastelt mit DynIP). Richtig?
Logged
kosta
Hero Member
Posts: 540
Karma: 2
Re: IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
Reply #9 on:
August 08, 2021, 10:17:20 pm »
Bei IPsec Tunnels wird ja grundsätzlich empfohlen die IPs zu verwenden, daher ist naheliegend, dass es besser ist, eine statische IP zu haben. Aber, mit FQDN funkt's auch.
Wenn die IP nicht statisch ist und du verbindest mit IP, dann musst du jedes mal die Konfig anpassen.
Mit DynDNS Plugin kannst es auch automatisieren.
Eine Idee vielleicht: unter IPsec gibt's Automatically ping host. Das plus default Einstellung (Start on traffic). Dann müsste immer automatisch verbinden, oder?
«
Last Edit: August 08, 2021, 10:23:46 pm by kosta
»
Logged
ollibraun
Newbie
Posts: 31
Karma: 0
Re: IPsec-Tunnel nach Neustart nicht automatisch wieder da
«
Reply #10 on:
October 09, 2021, 07:45:02 am »
Ich glaube, das Problem ist gelöst, nachdem ich "keyingtries" auf -1 gesetzt habe.
https://github.com/opnsense/core/issues/4204
Jetzt kann auch die Zentrale mit fester IP ordentlich auf "Nur antworten" stehen. Die Außenstelle wählt sich ein (nur dort habe ich den keyingtries-Eintrag gemacht).
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
IPsec-Tunnel nach Neustart nicht automatisch wieder da