IPSec Logging

Started by superwinni2, April 12, 2022, 10:07:04 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 12, 2022, 10:07:04 AM
Hallo zusammen

habe ein Problem mit meiner IPSec Verbindung und weiß mir irgendwie nicht zu helfen...
Die Verbindung steht und das wohl auch stabil (zumindest beklagt sich keiner).
Jedoch wird jeden Tag eine Log Datei mit mehr als 250 MB erstellt.
Leider kann ich nichts aus der Log herausfinden warum wieso weshalb dies so ist... Vielleicht hat von euch einer eine passende Idee?

Im Anhang ist ein kleiner Auszug der Log Datei.
Ich bin 198.51.100.194 und die andere Firewall ist 203.0.113.154
Leider habe ich keinen "direkten" Zugriff auf die andere FW um diese zu konfigurieren da hier ein (kleines) Systemhaus dahinter steht mit denen man jedoch wirklich gut reden kann :)

Daten zur VPN Verbindung:
Phase1:
Code Select

General information:
Connection method: default
Key Exchange version: V2
Internet Protocol: IPv4
Interface: 198.51.100.194 (Virtual IP WAN)
Remote gateway: 203.0.113.154
Dynamic gateway: deaktiviert

Phase 1 proposal (Authentification)
Authentication method: Mutual PSK
My identifier: IP address -> 198.51.100.194
Peer identifier: IP address -> 203.0.113.154
Pre-Shared Key: *******

Phase 1 proposal (Algorithms)
Encryption algorithm: AES128
Hash algorithm: SHA256
DH key group: 14 (2048 bits)
Lifetime: 3600

Advanced Options
Install policy: Aktiviert
NAT Traversal: Disable
Close Action: None
Dead Peer Detection: 10    5    Restart the tunnel


Phase2:
Code Select

General information:
Mode: Tunnel IPv4

Local Network:
Type: Network
Address: 10.46.20.232/29

Remote Network:
Type: Network
Address: 192.168.190.0/24

Phase 2 proposal (SA/Key Exchange)
Protocol: ESP
Encryption algorithms: AES128
Hash algorithms: SHA256
PFS key group: 14
Lifetime: 3600
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
April 12, 2022, 12:05:24 PM #1
Hallo,

ich würde die Lifetime von 3600 auf 86400 in Phase 1 erhöhen. Phase 2 sollte auf 3600 bleiben.

Gruße,
atom
April 12, 2022, 05:06:01 PM #2
Quote from: atom on April 12, 2022, 12:05:24 PM
ich würde die Lifetime von 3600 auf 86400 in Phase 1 erhöhen. Phase 2 sollte auf 3600 bleiben.


Danke für die Antwort.
Würdest du dies machen weil du immer mit einer Lifetime von 3600 arbeitest oder weil hierdurch wirklich mein Fehler kommen könnte?
Versstehe es irgendwie nicht warum bei einer Laufzeit von 24 Stunden die Logs weniger schnell schreiben sollten als bei 1 Stunde da in die Logs ja mehr oder weniger alle paar Sekunden geschrieben wird.
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
April 13, 2022, 09:56:00 AM #3
Um so öfter die Schlüssel neu ausgehandelt werden müssen, umso mehr Log-Einträge werden erzeugt.
Die Empfehlung des BSI liegt bei 86400 / 14400. (Punkt 3.4)

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-3.pdf
April 13, 2022, 10:31:35 AM #4
Da bin ich erstmal vollkommen bei dir.

Da bei mir jedoch innerhalb von einer Stunde ~60000 Zeilen in die Log geschrieben werden, sollte das Problem nicht damit zusammenhängen oder?
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
April 13, 2022, 03:09:21 PM #5
Schwer zu sagen, wo das Problem liegt. Dazu müsste man auch mal das Log der anderen Seite sehen.
Verwunderlich ist z.B. dass die Anwort hier z.B. erst nach 5 Minuten erfolgt.

Code Select

<30>1 2022-04-12T00:00:26+02:00 fw1.local charon 2623 - [meta sequenceId="518"] 09[NET] <con1|44742> sending packet: from 198.51.100.194[4500] to 203.0.113.154[4500] (480 bytes)
<30>1 2022-04-12T00:00:31+02:00 fw1.local charon 2623 - [meta sequenceId="519"] 11[NET] <con1|44740> received packet: from 203.0.113.154[4500] to 198.51.100.194[4500] (80 bytes)


Wenn das ein site2site-Tunnel sein soll, warum ist Mobike aktiv ?
April 13, 2022, 03:31:49 PM #6
Quote from: atom on April 13, 2022, 03:09:21 PM
Schwer zu sagen, wo das Problem liegt. Dazu müsste man auch mal das Log der anderen Seite sehen.
Verwunderlich ist z.B. dass die Anwort hier z.B. erst nach 5 Minuten erfolgt.

Es sind 5 Sekunden  :)
Logs von der anderen Seite zu bekommen ist leider sehr schwer... Bissel konfiguration ist bei dem Systemhaus noch drin.. mehr leider auch nicht...


Quote from: atom on April 13, 2022, 03:09:21 PM
Wenn das ein site2site-Tunnel sein soll, warum ist Mobike aktiv ?
Gute Frage... Vermutlich weil es niemand deaktiviert hat  :-X
Aber auch mit deaktiviertem MOBIKE macht es leider keinen Unterschied.  :'(

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
April 13, 2022, 03:40:16 PM #7
Was sagen denn deine Log/Debug-Settings für IPsec? Wenn du da an der passenden/falschen Stelle "debug" oder "audit" reingeschrieben hast, bekommst du natürlich für jedes Paket Log-Einträge  ;)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 13, 2022, 03:43:25 PM #8
Quote from: pmhausen on April 13, 2022, 03:40:16 PM
Was sagen denn deine Log/Debug-Settings für IPsec?


Steht alles auf "Basic".
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
Print
Go Up Pages1
User actions