IPSec Logging

[superwinni2]

Hallo zusammen

habe ein Problem mit meiner IPSec Verbindung und weiß mir irgendwie nicht zu helfen...
Die Verbindung steht und das wohl auch stabil (zumindest beklagt sich keiner).
Jedoch wird jeden Tag eine Log Datei mit mehr als 250 MB erstellt.
Leider kann ich nichts aus der Log herausfinden warum wieso weshalb dies so ist... Vielleicht hat von euch einer eine passende Idee?

Im Anhang ist ein kleiner Auszug der Log Datei.
Ich bin 198.51.100.194 und die andere Firewall ist 203.0.113.154
Leider habe ich keinen "direkten" Zugriff auf die andere FW um diese zu konfigurieren da hier ein (kleines) Systemhaus dahinter steht mit denen man jedoch wirklich gut reden kann

Daten zur VPN Verbindung:
Phase1:

Code: [Select]

General information:
Connection method: default
Key Exchange version: V2
Internet Protocol: IPv4
Interface: 198.51.100.194 (Virtual IP WAN)
Remote gateway: 203.0.113.154
Dynamic gateway: deaktiviert

Phase 1 proposal (Authentification)
Authentication method: Mutual PSK
My identifier: IP address -> 198.51.100.194
Peer identifier: IP address -> 203.0.113.154
Pre-Shared Key: *******

Phase 1 proposal (Algorithms)
Encryption algorithm: AES128
Hash algorithm: SHA256
DH key group: 14 (2048 bits)
Lifetime: 3600

Advanced Options
Install policy: Aktiviert
NAT Traversal: Disable
Close Action: None
Dead Peer Detection: 10    5    Restart the tunnel

Phase2:

Code: [Select]

General information:
Mode: Tunnel IPv4

Local Network:
Type: Network
Address: 10.46.20.232/29

Remote Network:
Type: Network
Address: 192.168.190.0/24

Phase 2 proposal (SA/Key Exchange)
Protocol: ESP
Encryption algorithms: AES128
Hash algorithms: SHA256
PFS key group: 14
Lifetime: 3600


[atom]

Hallo,

ich würde die Lifetime von 3600 auf 86400 in Phase 1 erhöhen. Phase 2 sollte auf 3600 bleiben.

Gruße,
atom

[superwinni2]

ich würde die Lifetime von 3600 auf 86400 in Phase 1 erhöhen. Phase 2 sollte auf 3600 bleiben.

Danke für die Antwort.
Würdest du dies machen weil du immer mit einer Lifetime von 3600 arbeitest oder weil hierdurch wirklich mein Fehler kommen könnte?
Versstehe es irgendwie nicht warum bei einer Laufzeit von 24 Stunden die Logs weniger schnell schreiben sollten als bei 1 Stunde da in die Logs ja mehr oder weniger alle paar Sekunden geschrieben wird.

[atom]

Um so öfter die Schlüssel neu ausgehandelt werden müssen, umso mehr Log-Einträge werden erzeugt.
Die Empfehlung des BSI liegt bei 86400 / 14400. (Punkt 3.4)

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-3.pdf

[superwinni2]

Da bin ich erstmal vollkommen bei dir.

Da bei mir jedoch innerhalb von einer Stunde ~60000 Zeilen in die Log geschrieben werden, sollte das Problem nicht damit zusammenhängen oder?

[atom]

Schwer zu sagen, wo das Problem liegt. Dazu müsste man auch mal das Log der anderen Seite sehen.
Verwunderlich ist z.B. dass die Anwort hier z.B. erst nach 5 Minuten erfolgt.

Code: [Select]

<30>1 2022-04-12T00:00:26+02:00 fw1.local charon 2623 - [meta sequenceId="518"] 09[NET] <con1|44742> sending packet: from 198.51.100.194[4500] to 203.0.113.154[4500] (480 bytes)
<30>1 2022-04-12T00:00:31+02:00 fw1.local charon 2623 - [meta sequenceId="519"] 11[NET] <con1|44740> received packet: from 203.0.113.154[4500] to 198.51.100.194[4500] (80 bytes)

Wenn das ein site2site-Tunnel sein soll, warum ist Mobike aktiv ?

[superwinni2]

Schwer zu sagen, wo das Problem liegt. Dazu müsste man auch mal das Log der anderen Seite sehen.
Verwunderlich ist z.B. dass die Anwort hier z.B. erst nach 5 Minuten erfolgt.

Es sind 5 Sekunden 
Logs von der anderen Seite zu bekommen ist leider sehr schwer... Bissel konfiguration ist bei dem Systemhaus noch drin.. mehr leider auch nicht...

Wenn das ein site2site-Tunnel sein soll, warum ist Mobike aktiv ?

Gute Frage... Vermutlich weil es niemand deaktiviert hat 
Aber auch mit deaktiviertem MOBIKE macht es leider keinen Unterschied. 

[Patrick M. Hausen]

Was sagen denn deine Log/Debug-Settings für IPsec? Wenn du da an der passenden/falschen Stelle "debug" oder "audit" reingeschrieben hast, bekommst du natürlich für jedes Paket Log-Einträge 

[superwinni2]

Was sagen denn deine Log/Debug-Settings für IPsec?

Steht alles auf "Basic".