Jump to content
RalphT

VPN Sonicwall - Lancom Problem mit Netzbeziehungen

Recommended Posts

Moin,

ich habe hier schon länger ein Problem. Der VPN-Tunnel zwischen einer Sonicwall NSA 2600 und einem Lancom 1783 VAW ist nach einer gewissen Zeit immer gestört. Wenn das der Fall ist, dann ist zwischen den verbundenen LANs keine Datenübertragung mehr möglich. Zwischen der Sonicwall bestehen auch noch andere VPN-Verbindungen zu anderen Lancoms. Auch zwischen diesen Verbindungen tritt ab und zu mal dieses Problem auf. Auf der Sonicwall und auf dem Lancom ist der Tunnel immer noch verbunden.

Hier etwas zur Konfiguration:

Zwischen der Sonicwall und dem Lancom bestehen mehrere Netzbeziehungen. Auf der Sonicwallseite sind es derzeit 5 verschiedene LANs und auf der Lancomseite sind es 2 verschiedene LANs.
Der Fehler äußert sie wie folgt:

Es wird oder wird nur meist nur eine LAN-Verbindung unterbrochen. Also die anderen bestehenden Netzbeziehung zwischen den beiden Firewalls funktionieren einwandfrei.
Jetzt ist natürlich die Frage, was ist an dieser gestörten LAN-Verbindung anderes? Da habe ich länger geforscht und bin jetzt der Meinung, dass das am Traffik liegt. Denn zwischen diesen LANs wird fließt der meiste Datenverkehr.

Abhilfe schafft entweder ein erneuter, kompletter Tunnelaufbau auf der Seite vom Lancom oder ein erneuter Aufbau nur von diesem Netz auf der Sonicwall. (Button Renegotiate) Anschließend wird nur diese Netzbeziehung wieder erneut aufgebaut und das Problem ist für mehrere Stunden ok.

Auf der Lancomseite und Sonicwall habe ich folgende Werte für den Tunnel konfiguriert:

 

--------------- Sonicwall --------------

Phase 1:

Main-Mode
DH-Group 2
AES-128
SHA-1
Lifetime 108.000s


Phase 2:

ESP
AES-128
SHA-1
Lifetime: 28.800s


--------------- Lancom --------------

Phase 1:

AES-128
SHA-1
Liftetime: 108.000s


Phase 2:

AES 128
SHA-1
Liftime: 28.800
0 kBytes

 

Hier die Netzbeziehungen (die habe ich zig mal auf beiden Seiten auf Richtigkeit kontrolliert):

Seite Sonicwall:

192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.4.0/24
192.168.5.0/24

Seite Lancom:

192.168.10.0/24
192.168.12.0/24


Hier wird auf beiden Seiten mit fester IP-Adresse und Presharedkey gearbeitet.

Der meiste Traffik läuft auf der Sonicwallseite im Netz: 192.168.5.0/24. Und genau nur diese Verbindung zu den Remotenetzen im Lancom ist gestört. Alle anderen Netzbeziehungen laufen ständig. Ode sagen mir vorsichtig so: Hier wurde bislang keine Fehler festgestellt.

Wenn der Tunnel händisch neu aufgebaut wird, dann hält das für ca. 6-7 Std. Diese Zeit entspricht aber nicht dem Erneuerungsintervall von 28.800s. Anschließend darf man wieder "Hand anlegen".

Was mich dabei stutzig macht ist folgendes:

In der Sonicwall kann ich für den gesamten Tunnel die Option "Disable IPsec Anti-Replay" aktivieren. Wenn man das dann abspeichert, funktioniert der VPN manchmal wochenlang tadellos. Bis der Fehler dann wieder auftritt.
Ab dann tritt das Phänomen wieder regelmäßig auf. Dann nehme ich in der Sonicwall wieder diese o.g. Option raus. Danach läuft das wieder wochenlang.

Ich denke mal, dass diese Option mit diesem Fehler nichts zu tun hat. Ich tippe eher darauf, dass dieser Fehler durch eine Konfigurationsänderung erstmal weg ist. Das wird wohl Zufall sein.

Meine letzte Idee war, dass die Sonicwall mit der Firmware dieses Problem hat. Ich hatte aber, mit Rücksprache von Sonicwall, eine aktuelle, gut lauffähige Firmwareversion aufgespielt.
Aber daran lag es nicht.

Ja, jetzt die spannende Frage:

Hat da jemand eine Idee?

Share this post


Link to post
Share on other sites

Hi,

 

welche Firmware ist denn auf dem / den Lancoms? Bis einschließlich 10.12 RU9 gibt es derzeiten einen Bug in der Schlüsselberechnung. Der Lancom schneidet dort blöderweise führende Nullen ab, was die Sonicwall korrekterweise nicht tut. Das tritt wohl in einem von 256 Fällen auf.

 

Wir hatten bis heute über eine Woche Ruhe mit der 10.12RU10. Allerdings ist das Problem eben grade wieder aufgetreten und ich warte auf den Support.

 

Gruß

Jan

 

P.S.: Falls ihr direkt auf die 10.20 wollt: Bei uns gibt es mit der 10.20 (Rel bis RU2) VRRP Probleme.

P.P.S.: Ich sehe grade, am 21.01. wurde die 10.12 RU11 veröffentlicht. Naja, warten wir mal, was der Support sagt.

Edited by testperson

Share this post


Link to post
Share on other sites

Hmmm, also auf dem Problemlancom ist die 10.12.038RU9.

Auf einem anderen Lancom, der auch mal Probleme macht ist sogar noch die 9.24.0070 drauf.

 

Ich habe gerade nachgesehen: Derzeit ist 10.20 RU2 aktuell. Dazu muss ich sagen, dass ich bei keinen der Lancoms VRRP nutze. Dann könnte ich die doch nehmen - oder??

Share this post


Link to post
Share on other sites

Die 10.12 wird wohl ein "Long Term Support" werden. Theoretisch solltest du natürlich die 10.20 RU2 nehmen können.

Die 9.24 könnte vermutlich noch das SU9 (9.24.0334) vertragen.

 

Generell:

  • Lancom mit Bug < VPN > Lancom mit Bug -> Keine Probleme
  • Lancom ohne Bug < VPN > Lancom ohne Bug -> Keine Probleme
  • Lancom ohne Bug < VPN > "Fremdprodukt" -> Keine Probleme
  • Lancom mit Bug < VPN > Lancom ohne Bug -> Probleme
  • Lancom mit Bug < VPN > "Fremdprodukt" -> Probleme

Share this post


Link to post
Share on other sites

Danke dir. Ich habe einen Lancom, der ist derzeit nicht so wichtig. Da werde ich die 10.20 RU aufspielen. Dann mal sehen.

 

Auf der Lancomschulung hat man mir zig mal eingetrichtert, dass ich immer die neueste Firmware nehmen soll. Ok, ich gucke da nicht immer regelmäßig drauf. Vielleicht auch deshalb, weil alles funktioniert.

 

Bei der Sonicwall hatte ich auch mal ohne vorher nachzufragen, die neueste Firmware aufgespielt. Naja, danach hatte ich große Augen: Es waren im Firewallregelwerk nicht mehr alle Regeln zu sehen. Aber sie wirkten noch - zum Glück. Eine Nachfrage beim Händler ergab, dass es dort einen BUG gab. Regeln, die in der Beschreibung Umlaute hatten, wurden nicht mehr angezeigt.

Da gab es auch von der Sonicwall einen Beitrag dazu, wie man das wieder in Ordnung bringt.

Share this post


Link to post
Share on other sites
Zitat

Bis einschließlich 10.12 RU9 gibt es derzeiten einen Bug in der Schlüsselberechnung.

 

Wir hatten bis heute über eine Woche Ruhe mit der 10.12RU10. Allerdings ist das Problem eben grade wieder aufgetreten und ich warte auf den Support.

Nun habe ich heute die Version 10.20 RU2 aufgespielt. Nachdem der Router seinen Neustart beendet hatte, hatte ich gleich gesehen, dass das nicht Erfolg führte. Ich musste also beim Tunnelaufbeu bei 2 Netzen wieder nachhelfen.

Jetzt bin ich mir nicht sicher, ob ich dich richtig verstanden habe: Besteht das Problem im VPN immer noch bei der aktuellen Version oder redest hier von VRRP?

Share this post


Link to post
Share on other sites

Laut Support tritt das Problem nicht mehr auf mit einer Version größer 10.12 RU9.

Hier wäre noch die Frage, wie du die SAs am Lancom aufbaust? Automatisch oder manuel?

Share this post


Link to post
Share on other sites

Ich bin gerade am suchen, wo der Eintrag geblieben ist. Seit diesem Update finde ich den gerade nicht. Bei den anderen Lancoms steht der Wert immer auf "Jede einzeln nach Bedarf".

Ich bin mir sehr sicher, dass ich hier nichts verändert habe, daher behaupte ich mal, dass das auch für diese Lancom zurifft.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...