Unterstützung bei Debugging eines instabilen IPSec-Tunnels (Sophos ↔ OPNsense)

[murmelbahn]

Hallo,

ich versuche, mit einer Sophos Firewall einen IPSec-Tunnel zwischen zwei Netzwerken einzurichten. Die Verbindung zwischen beiden Geräten kann grundsätzlich hergestellt werden, jedoch bricht der Tunnel alle 30–45 Minuten ab.

Das Problem äußert sich folgendermaßen: Auf der OPNsense scheint alles in Ordnung zu sein, aber der Datenverkehr zwischen den Netzen stoppt. Ich habe bereits verschiedene Einstellungen in Phase 1 und Phase 2 getestet, jedoch ohne dauerhaften Erfolg. Mittlerweile bin ich etwas ratlos, insbesondere hinsichtlich der weiteren Debugging-Möglichkeiten.

Um das Problem besser einzugrenzen, habe ich testweise einen Syslog-Server eingerichtet und die Logs der OPNsense dorthin geleitet. Allerdings fällt es mir schwer, die relevanten Einträge dem betroffenen VPN-Tunnel zuzuordnen, da mehrere VPN-Verbindungen auf der OPNsense konfiguriert sind. Zudem scheinen in den Logs wichtige Informationen zu fehlen.

In den Advanced Settings → Syslog gibt es diverse Parameter, die angepasst werden können. Die Option "Also include sensitive material in dumps, e.g. keys" scheint das höchste Loglevel zu aktivieren, allerdings bin ich unsicher, welche spezifischen Einstellungen erforderlich sind, um detaillierte Logs für genau diesen problematischen Tunnel zu erhalten. Leider bietet die OPNsense-Dokumentation hierzu nur begrenzte Informationen.

Daher meine Fragen:

    Wie kann ich möglichst verbose Logs für exakt diesen Tunnel generieren?
    Gibt es alternative Ansätze, um das Problem gezielt zu analysieren und zu lösen?

Ich freue mich über jede Unterstützung und bin für hilfreiche Hinweise dankbar!

€: Beim weiteren beobachten habe ich soeben festgestellt, dass wenn scheinbar keine Daten mehr durch den Tunnel gehen dieses Problem nicht jeden
Client im Netz bei mir betrifft. Ich habe das Netz 172.16.0.0/24 lokal und 172.16.79.0/24 remote. Kurioserweise kann ich mit der 172.16.0.3 die 172.16.79.3 pingen aber die 172.16.0.50 kann die 172.16.79.3 nicht pingen. Es kommt aber auch vor das die 172.16.0.3 die 172.16.79.3 nicht pingen kann.

Hat jemand eine Idee wonach man als nächstes gucken sollte?

Viele Grüße

[murmelbahn]

Ich habe den Fehler gefunden: Das oben erwähnte VPN wurde ursprünglich aus einem anderen herausgelöst.

Der Partner hatte damals alle seine Satelliten über sein HQ geroutet. Aufgrund der hohen Latenzzeiten (welch Überraschung) wurde mein ursprünglicher Vorschlag, die einzelnen Satelliten direkt anzubinden, letztendlich doch umgesetzt. Dabei hatte ich das IP-Netz aus meiner Phase 2 im alten VPN entfernt und es im neuen VPN neu angelegt.

Als ich heute alles noch einmal überprüft habe, ist mir aufgefallen, dass die OPNsense dieses IP-Netz sowohl im neuen als auch im alten VPN angezeigt hat. Ein kurzes Gespräch mit dem Partner brachte die Lösung: Er hatte vergessen, das Netz aus seiner Phase 2 zu löschen. Nachdem er das nachgeholt hatte und wir beide Tunnel neu gestartet hatten, war das Problem behoben.

Thread kann dann zu :)