wir haben 2 VPN S2S IKEv2/ipsec presharedkey mit Azure Gateway. Die Verbindung brecht ungefähr zwei mal pro Woche ab. Die Konfigurationen müssen richtig sein, da mit dem CISCO ISR der Kunde einwandfrei funktioniert. Die Fehlermeldung im Azure ist "Authentication Failed".
Zuerst habe ich ein Ticket zuerst mit Microsoft Azure Support geöffnet, damit wir den Aufbau der Verbindung von Azure-Seite überprüfen. Nach ein paar Sessions haben wir vermutet, dass es vielleicht an zwei Punkte liegt:
1- Phase Lifetime: Beide Seite können nicht mit einer Lifetime übereinstimmen. Hier haben wir verschiedene Werte ausprobiert. Phase 1 Lifetime mit 28800 und Phase2 Lifetime mit 2700 hat uns zwar das beste Ergebnis gegeben aber noch mit Störungen (ein-/zweimal pro Woche). Die Frage ist gibt es eine Beschränkung hier oder eine Ideale Wert, indem der Router arbeitet?
2- Noch eine Bemerkung von dem Azure-Support:
Im LanConfig kann man nicht festlegen, ob der Gerät als responder oder Initiator funktionieren soll. Gibt es die Möglichkeit diese einzustellen?I’ve noticed that at the time it disconnects the LANCOM device sends us Authentication Failed when it is acting as the responder, but when the connection comes up it is acting as the INITIATOR. It is worth trying to make sure the device is the initiator using phase 2 settings for responder.
Die Konfigurationen sind auf beiden Seiten wie folgendes:
- Basic Konfigurationen wie üblich in Connection List, Authentication, IPv4 rules, Routing Table nach https://www2.lancom.de/kb.nsf/bf0ed2a4d ... d0004abed6
- Connection parameters: default
- Encryption: (wir habe hier verschiedene Werten überprüft und uns auf die folgende entschieden)
- DH groups : DH2 (DH14 auf dieandere VPN-Verbindung)
- IKE-SA: AES-CBC-256/SHA-256
- Child-SA: AES-CBC-256/SHA-256
- PFS: Nein (Ja auf die andere VPN-Verbindung)
- Phase1 Lifetime: 28800
- Phase2 Lifetime: 27000 / 102400000 kBytes
Hoffentlich könnt Ihr mir weiter helfen.
Vielen Dank!