IPsec-Tunnel nach Neustart nicht automatisch wieder da

Started by ollibraun, May 20, 2020, 08:44:11 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 20, 2020, 08:44:11 PM
Hallo,

ich habe bei einem Site-to-site-VPN zwischen zwei OPNsense 20.1.6 das Problem, dass der Tunnel nicht automatisch wieder aufgebaut wird, wenn ich die beiden Geräte neu starte.

Erhofft hätte ich mir, dass die aktive Seite nach ihrem Reboot so lange versucht, sich neu zu verbinden, bis die Gegenstelle wieder erreichbar ist, und dann eben die Verbindung herstellt. Tatsächlich muss ich auf Statusübersicht gehen und dort den orangenen Pfeil anklicken.

Auf der sich einwählenden Seite steht unter Anschlussart "Sofort starten".

Wo kann ich denn das Verhalten diesbezüglich beeinflussen?

Viele Grüße
Oliver
May 20, 2020, 10:15:34 PM #1
Wie hast du denn den Tunnel eingestellt?

Was passiert wenn du einfach versuchst Daten an die Gegenstelle zu senden?

Gesendet von meinem LG-H815 mit Tapatalk

May 23, 2020, 07:03:01 PM #2 Last Edit: May 23, 2020, 07:05:23 PM by ollibraun
Nachtrag: Problem könnte besonders dann auftauchen, wenn die Außenstelle aktualisiert wurde und neu startete und anschließend die Zentrale aktualisiert wurde und neu startete. Als ob die Außenstelle es nach ein paar Fehlversuchen (die Zentrale startet noch neu) aufgeben würde.

Wenn ich in der Außenstelle ein Netzlaufwerk auf dem Server in der Zentrale versuche zu öffnen, gelingt kein Zugriff. Der Haken in der IPsec-Statusübersicht in der Außenstelle bleibt orange. Wenn ich ihn anklicke, wird die Verbindung hergestellt.

Einstellungen in der Außenstelle sind diese:

February 19, 2021, 02:20:25 PM #3
Ich habe jetzt mal DPD auf geschaltet, weil ich in diesem Post fand, dass es daran liegen könnte:

https://forum.opnsense.org/index.php?topic=19799.msg91475#msg91475
August 06, 2021, 01:12:35 PM #4
Leider hat das nicht geholfen.

Wenn die Zentrale ein paar Minuten offline war, verbindet sich die Außenstelle nicht mehr automatisch. Ich starte also nach jedem Neustart der Zentrale ein paar Minuten später auch die Außenstelle neu.

Schön ist das nicht. Aber vielleicht ist es bei OPNsense einfach so.
August 08, 2021, 07:38:45 AM #5 Last Edit: August 08, 2021, 07:40:54 AM by kosta
Also ich habe beide Seiten auf Sofort verbinden eingestellt und ist mir im Punkto Site-to-Site nichts negatives aufgefallen.
Ich starte beide FW nie wirklich gleichzeitig, erstmal eine, stelle ich sicher dass die Firewall wieder online ist, und dann die andere.
Bisher war die Verbindung immer da, und ich musste nie nacharbeiten.

Hast du eine genaue Prozedur die man testen kann?
August 08, 2021, 02:11:10 PM #6
Bei mir steht nur die Außenstelle auf "sofort verbinden", weil die Außenstelle keine feste IP hat. Die Zentrale steht auf "Nur Antworten". Nach meinem Verständnis müsste das reichen, und so kenne ich es von anderen FWs auch.

Wenn ich die Zentrale für ein paar Minuten offline nehme, dann wählt sich die Außenstelle nicht mehr ein. Ich starte sie dann einfach neu. Aber schöner fände ich es, wenn die Außenstelle es einfach immer wieder neu versuchen würde, notfalls stundenlang, bis die Zentrale wieder erreichbar ist.
August 08, 2021, 06:31:35 PM #7
OK, verstehe was du meinst, das habe ich glaube ich nicht getestet.
Krux an der Sache glaube ich: stelle die Zentral auch auf sofort verbinden, und sie wird sich an die Außenstelle verbinden wenn sie wieder online (hochgefahren) ist.
Ich weiß nur nicht ob das auch wirkt, wenn zB. Internet Down ist, noch nie einfach nur den Kabel gezogen... das gilt bei mir nur für die Neustarts.
August 08, 2021, 06:39:09 PM #8
Verstehe. Das bedeutet aber, dass der Betrieb nur ordentlich möglich ist, wenn die Außenstelle auch eine feste IP hat (oder man bastelt mit DynIP). Richtig?
August 08, 2021, 10:17:20 PM #9 Last Edit: August 08, 2021, 10:23:46 PM by kosta
Bei IPsec Tunnels wird ja grundsätzlich empfohlen die IPs zu verwenden, daher ist naheliegend, dass es besser ist, eine statische IP zu haben. Aber, mit FQDN funkt's auch.
Wenn die IP nicht statisch ist und du verbindest mit IP, dann musst du jedes mal die Konfig anpassen.
Mit DynDNS Plugin kannst es auch automatisieren.

Eine Idee vielleicht: unter IPsec gibt's Automatically ping host. Das plus default Einstellung (Start on traffic). Dann müsste immer automatisch verbinden, oder?
October 09, 2021, 07:45:02 AM #10
Ich glaube, das Problem ist gelöst, nachdem ich "keyingtries" auf -1 gesetzt habe.

https://github.com/opnsense/core/issues/4204

Jetzt kann auch die Zentrale mit fester IP ordentlich auf "Nur antworten" stehen. Die Außenstelle wählt sich ein (nur dort habe ich den keyingtries-Eintrag gemacht).
Print
Go Up Pages1
User actions