IPSec -> Fritzbox Abbrüche nach Umstellung ipsec.conf nach swanctl.conf

Started by CoolTux, January 10, 2024, 07:48:18 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 10, 2024, 07:48:18 AM Last Edit: January 14, 2024, 04:46:30 PM by CoolTux
Hallo Mitstreiter,

Ich habe mich gestern mal ran gewagt und meine IPSec Konfig von Legacy (ipsec.conf) nach Connections (swanctl.conf) umgestellt. Leider musste ich trotz besserer Anpassung feststellen das ich Verbindungsabbrüche habe. Meist so alle 1 Stunde für 1-2 Minuten. Das ist doch recht störend im täglichen Betrieb.

Das Log der Fritzboxen ist auch seit der Umstellung bezüglich VPN recht gut gefüllt. Das hatte ich davor nicht.

Code Select

10.01.24
07:15:11
VPN-Verbindung zu VPN zu opnsense [65.108.239.137] IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
10.01.24
07:14:58
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 10.01.24 07:14:25]
10.01.24
07:14:11
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
10.01.24
07:11:43
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
06:20:11
VPN-Verbindung zu VPN zu opnsense [65.108.239.137] IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
10.01.24
06:20:11
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [2 Meldungen seit 10.01.24 06:19:55]
10.01.24
06:19:40
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [5 Meldungen seit 10.01.24 06:18:38]
10.01.24
06:18:24
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 10.01.24 06:17:54]
10.01.24
06:17:37
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
10.01.24
06:15:10
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
05:22:01
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
04:27:45
VPN-Verbindung zu VPN zu opnsense [65.108.239.137] IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
10.01.24
04:27:39
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
10.01.24
04:25:12
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
...
...
10.01.24
02:59:03
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [4 Meldungen seit 10.01.24 02:58:18]
10.01.24
02:58:03
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [4 Meldungen seit 10.01.24 02:57:13]
10.01.24
02:56:57
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [7 Meldungen seit 10.01.24 02:55:24]
10.01.24
02:55:07
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:54:51
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [7 Meldungen seit 10.01.24 02:53:12]
10.01.24
02:52:56
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [5 Meldungen seit 10.01.24 02:51:49]
10.01.24
02:51:34
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [2 Meldungen seit 10.01.24 02:51:18]
10.01.24
02:51:02
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [7 Meldungen seit 10.01.24 02:49:26]
10.01.24
02:49:10
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [2 Meldungen seit 10.01.24 02:48:55]
10.01.24
02:48:39
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:48:23
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [5 Meldungen seit 10.01.24 02:47:17]
10.01.24
02:47:01
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [6 Meldungen seit 10.01.24 02:45:42]
10.01.24
02:45:25
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:45:07
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [8 Meldungen seit 10.01.24 02:43:17]
10.01.24
02:43:00
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 10.01.24 02:42:29]
10.01.24
02:42:14
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [2 Meldungen seit 10.01.24 02:41:58]
10.01.24
02:41:43
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:41:28
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:41:12
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:40:57
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
02:40:37
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 12 SA loss
10.01.24
02:40:37
Internetverbindung wurde erfolgreich hergestellt. IP-Adresse: 46.142.14.45, DNS-Server: 82.144.41.8 und 82.145.9.8, Gateway: 94.134.199.212, Breitband-PoP: pot0007bihk001, LineID:1UND1.DEU.DTAG.8UAK
10.01.24
02:40:34
Internetverbindung wurde getrennt.
10.01.24
02:40:34
Die Internetverbindung wird kurz unterbrochen, um der Zwangstrennung durch den Anbieter zuvorzukommen.
10.01.24
02:19:20
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
01:25:04
VPN-Verbindung zu VPN zu opnsense [65.108.239.137] IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
10.01.24
01:24:50
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 10.01.24 01:24:17]
10.01.24
01:24:02
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [4 Meldungen seit 10.01.24 01:23:16]
10.01.24
01:23:01
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [4 Meldungen seit 10.01.24 01:22:10]
10.01.24
01:21:54
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 10.01.24 01:21:25]
10.01.24
01:21:08
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
10.01.24
01:18:40
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
10.01.24
00:27:08
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027
09.01.24
23:32:51
VPN-Verbindung zu VPN zu opnsense [65.108.239.137] IKE SA: DH14/AES-256/SHA2-512 IPsec SA: ESP-AES-256/SHA2-512/LT-3600 wurde erfolgreich hergestellt.
09.01.24
23:32:41
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 09.01.24 23:32:10]
09.01.24
23:31:55
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027 [3 Meldungen seit 09.01.24 23:31:22]
09.01.24
23:31:05
VPN-Verbindung zu VPN zu opnsense wurde getrennt. Ursache: 1 Lifetime expired
09.01.24
23:28:38
VPN-Fehler: VPN zu opnsense, IKE-Error 0x2027


Die kleine Lücke habe ich gemacht weil zwischen 3 und 4 eh die Zwangstrennung ist, also nicht repräsentativ.

Im Grunde habe ich mich an die Konfig von hier https://forum.opnsense.org/index.php?topic=32429.msg160082#msg160082 gehalten nachdem die Abbrüche sofort nach der Umstellung häufig auftauchten. Einzige Änderung zur eben erwähnten Konfig im Link ist das ich DH14 genommen habe weil das als einziges überhaupt eine Verbindung zu stande kommen lässt.


Vielleicht gibt es hier ja wissende die mir noch Tipps geben können.
January 10, 2024, 08:06:05 AM #1
Du musst herausfinden welche Lifetimes die Fritzbox für Phase 1 und Phase 2 erwartet.

Du kannst einfach mal pauschal in der OPNsense niedrige Lifetimes setzen, dann wird der Key und die SAs schneller verworfen und ein Rekeying gemacht. In Ikev2 darf dadurch keine Unterbrechung entstehen, wenn beide Seiten "make_before_break" unterstützen. https://docs.strongswan.org/docs/5.9/config/rekeying.html

z.B.:
VPN: IPsec: Connections -
General settings: Rekey time (s) 2400
Children: Rekey time (s) 600


Hardware:
DEC740
January 10, 2024, 08:21:03 AM #2
Vielen Dank für den Hinweis. Leider unterstützt die Fritzbox wohl aktuell nur IKEv1. Ich habe es gerade anders rum gemacht und die lifetime erhöht. Weiß auch nicht wie ich darauf gekommen bin.
Ich werde sie jetzt mal runter setzen an Hand Deines Beispiels und dann schaue ich mal.

Ich teste und berichte dann. Danke
January 10, 2024, 10:19:58 AM #3
Der Tipp von Dir war Gold wert. Vielen lieben Dank. Seit fast 2 Stunden kein Unterbrecher mehr.
January 14, 2024, 04:49:07 PM #4
Der Tipp an sich war gut, leider tauchten im laufe eines Tages sehr sehr viele Fehlermeldungen im Fritzbox Log auf, außerdem kam es wenigstens einmal am Tag hin und wieder auch 2-3 mal zu einem kompletten unterbrechen der Verbindung.

Ich habe nun wieder auf Legacy umgestellt und seit dem nicht eine Unterbrechung und kein einzigen Eintrag im Fritzbox Log. Hier scheint also generell etwas anders unterschiedlich zu sein zwischen swanctl.conf und ipsec.conf.
Print
Go Up Pages1
User actions