Jump to content

VPN Sonicwall - Lancom Problem mit Netzbeziehungen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

ich habe hier schon länger ein Problem. Der VPN-Tunnel zwischen einer Sonicwall NSA 2600 und einem Lancom 1783 VAW ist nach einer gewissen Zeit immer gestört. Wenn das der Fall ist, dann ist zwischen den verbundenen LANs keine Datenübertragung mehr möglich. Zwischen der Sonicwall bestehen auch noch andere VPN-Verbindungen zu anderen Lancoms. Auch zwischen diesen Verbindungen tritt ab und zu mal dieses Problem auf. Auf der Sonicwall und auf dem Lancom ist der Tunnel immer noch verbunden.

Hier etwas zur Konfiguration:

Zwischen der Sonicwall und dem Lancom bestehen mehrere Netzbeziehungen. Auf der Sonicwallseite sind es derzeit 5 verschiedene LANs und auf der Lancomseite sind es 2 verschiedene LANs.
Der Fehler äußert sie wie folgt:

Es wird oder wird nur meist nur eine LAN-Verbindung unterbrochen. Also die anderen bestehenden Netzbeziehung zwischen den beiden Firewalls funktionieren einwandfrei.
Jetzt ist natürlich die Frage, was ist an dieser gestörten LAN-Verbindung anderes? Da habe ich länger geforscht und bin jetzt der Meinung, dass das am Traffik liegt. Denn zwischen diesen LANs wird fließt der meiste Datenverkehr.

Abhilfe schafft entweder ein erneuter, kompletter Tunnelaufbau auf der Seite vom Lancom oder ein erneuter Aufbau nur von diesem Netz auf der Sonicwall. (Button Renegotiate) Anschließend wird nur diese Netzbeziehung wieder erneut aufgebaut und das Problem ist für mehrere Stunden ok.

Auf der Lancomseite und Sonicwall habe ich folgende Werte für den Tunnel konfiguriert:

 

--------------- Sonicwall --------------

Phase 1:

Main-Mode
DH-Group 2
AES-128
SHA-1
Lifetime 108.000s


Phase 2:

ESP
AES-128
SHA-1
Lifetime: 28.800s


--------------- Lancom --------------

Phase 1:

AES-128
SHA-1
Liftetime: 108.000s


Phase 2:

AES 128
SHA-1
Liftime: 28.800
0 kBytes

 

Hier die Netzbeziehungen (die habe ich zig mal auf beiden Seiten auf Richtigkeit kontrolliert):

Seite Sonicwall:

192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.4.0/24
192.168.5.0/24

Seite Lancom:

192.168.10.0/24
192.168.12.0/24


Hier wird auf beiden Seiten mit fester IP-Adresse und Presharedkey gearbeitet.

Der meiste Traffik läuft auf der Sonicwallseite im Netz: 192.168.5.0/24. Und genau nur diese Verbindung zu den Remotenetzen im Lancom ist gestört. Alle anderen Netzbeziehungen laufen ständig. Ode sagen mir vorsichtig so: Hier wurde bislang keine Fehler festgestellt.

Wenn der Tunnel händisch neu aufgebaut wird, dann hält das für ca. 6-7 Std. Diese Zeit entspricht aber nicht dem Erneuerungsintervall von 28.800s. Anschließend darf man wieder "Hand anlegen".

Was mich dabei stutzig macht ist folgendes:

In der Sonicwall kann ich für den gesamten Tunnel die Option "Disable IPsec Anti-Replay" aktivieren. Wenn man das dann abspeichert, funktioniert der VPN manchmal wochenlang tadellos. Bis der Fehler dann wieder auftritt.
Ab dann tritt das Phänomen wieder regelmäßig auf. Dann nehme ich in der Sonicwall wieder diese o.g. Option raus. Danach läuft das wieder wochenlang.

Ich denke mal, dass diese Option mit diesem Fehler nichts zu tun hat. Ich tippe eher darauf, dass dieser Fehler durch eine Konfigurationsänderung erstmal weg ist. Das wird wohl Zufall sein.

Meine letzte Idee war, dass die Sonicwall mit der Firmware dieses Problem hat. Ich hatte aber, mit Rücksprache von Sonicwall, eine aktuelle, gut lauffähige Firmwareversion aufgespielt.
Aber daran lag es nicht.

Ja, jetzt die spannende Frage:

Hat da jemand eine Idee?

Link zu diesem Kommentar

Hi,

 

welche Firmware ist denn auf dem / den Lancoms? Bis einschließlich 10.12 RU9 gibt es derzeiten einen Bug in der Schlüsselberechnung. Der Lancom schneidet dort blöderweise führende Nullen ab, was die Sonicwall korrekterweise nicht tut. Das tritt wohl in einem von 256 Fällen auf.

 

Wir hatten bis heute über eine Woche Ruhe mit der 10.12RU10. Allerdings ist das Problem eben grade wieder aufgetreten und ich warte auf den Support.

 

Gruß

Jan

 

P.S.: Falls ihr direkt auf die 10.20 wollt: Bei uns gibt es mit der 10.20 (Rel bis RU2) VRRP Probleme.

P.P.S.: Ich sehe grade, am 21.01. wurde die 10.12 RU11 veröffentlicht. Naja, warten wir mal, was der Support sagt.

bearbeitet von testperson
Link zu diesem Kommentar

Die 10.12 wird wohl ein "Long Term Support" werden. Theoretisch solltest du natürlich die 10.20 RU2 nehmen können.

Die 9.24 könnte vermutlich noch das SU9 (9.24.0334) vertragen.

 

Generell:

  • Lancom mit Bug < VPN > Lancom mit Bug -> Keine Probleme
  • Lancom ohne Bug < VPN > Lancom ohne Bug -> Keine Probleme
  • Lancom ohne Bug < VPN > "Fremdprodukt" -> Keine Probleme
  • Lancom mit Bug < VPN > Lancom ohne Bug -> Probleme
  • Lancom mit Bug < VPN > "Fremdprodukt" -> Probleme
Link zu diesem Kommentar

Danke dir. Ich habe einen Lancom, der ist derzeit nicht so wichtig. Da werde ich die 10.20 RU aufspielen. Dann mal sehen.

 

Auf der Lancomschulung hat man mir zig mal eingetrichtert, dass ich immer die neueste Firmware nehmen soll. Ok, ich gucke da nicht immer regelmäßig drauf. Vielleicht auch deshalb, weil alles funktioniert.

 

Bei der Sonicwall hatte ich auch mal ohne vorher nachzufragen, die neueste Firmware aufgespielt. Naja, danach hatte ich große Augen: Es waren im Firewallregelwerk nicht mehr alle Regeln zu sehen. Aber sie wirkten noch - zum Glück. Eine Nachfrage beim Händler ergab, dass es dort einen BUG gab. Regeln, die in der Beschreibung Umlaute hatten, wurden nicht mehr angezeigt.

Da gab es auch von der Sonicwall einen Beitrag dazu, wie man das wieder in Ordnung bringt.

Link zu diesem Kommentar
Zitat

Bis einschließlich 10.12 RU9 gibt es derzeiten einen Bug in der Schlüsselberechnung.

 

Wir hatten bis heute über eine Woche Ruhe mit der 10.12RU10. Allerdings ist das Problem eben grade wieder aufgetreten und ich warte auf den Support.

Nun habe ich heute die Version 10.20 RU2 aufgespielt. Nachdem der Router seinen Neustart beendet hatte, hatte ich gleich gesehen, dass das nicht Erfolg führte. Ich musste also beim Tunnelaufbeu bei 2 Netzen wieder nachhelfen.

Jetzt bin ich mir nicht sicher, ob ich dich richtig verstanden habe: Besteht das Problem im VPN immer noch bei der aktuellen Version oder redest hier von VRRP?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...