[gelöst] VPN Verbindung Lancom-FritzBox nach gut 50min tot

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
dMatschek
Beiträge: 39
Registriert: 24 Apr 2017, 11:44

[gelöst] VPN Verbindung Lancom-FritzBox nach gut 50min tot

Beitrag von dMatschek »

Hi zusammen,

ich habe hier einen R884VA/10.34.0168 der eine erfolgreiche IKEv1 VPN Verbindung zu einer FritzBox 5490/7.29 herstellt.
Funktioniert soweit. Als die Verbindung pratkisch angefangen wurde zu nutzen, wurde sie immer wieder von der Dead Peer Detection gekappt. Hatte ich daher erst mal zwecks weiterer Diagnose auf einen hohen Wert gestellt und schließlich ausgestellt. Nun ist es reproduierbar so, dass nach etwa 50 Minuten einfach nix mehr durch den Tunnel geht. Der Lancom hält die Verbindung und tut so als wäre alles fein. Ein Ping durch den Tunnel geht von 0% loss auf 100% loss. Aus Sicht des FritzBox-Log gibt es nach 3093 Sekunden ein IKE-Error 0x2027 und nach weiteren 147 Sekunden eine Trennung wegen Lifetime expired. Das sind zusammen dann exakt 54 Minuten. Diese Zeiten hab ich auf die Sekunde genau bei 3 verschiedenen Abbrüchen im Log finden können, einen sporadischen Leitungsfehler schließe ich daher als Ursache aus.
Ich finde weder im Lancom noch in der FritzBox (bzw. der cfg-Datei die ich dort einspiele) einen derartigen Timer, geschweige denn eine Erklärung warum eine aktiv genutzte Verbindung überhaupt getrennt werden sollte.
Im Lancom-Trace fehlt mir der Überblick um die Diagnose weiter zielgerichtet zu verfolgen.
Was könnte das sein? Mit welchen Trace-Optionen könnte ich am Besten weiterkommen?

Grüße,
Matschek
Zuletzt geändert von dMatschek am 14 Jul 2022, 13:48, insgesamt 1-mal geändert.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN Verbindung Lancom-FritzBox nach gut 50min tot

Beitrag von backslash »

Hi dMatschek

da scheint die Fritzbox ein Problem mit dem Rekeying zu haben...
Ich finde weder im Lancom noch in der FritzBox (bzw. der cfg-Datei die ich dort einspiele) einen derartigen Timer
Im LANCOM findest du die Lifetimes bei den IKE- bzw. IPSEc-Proposals. Die IKE-Proposals haben im Default eine Lifetime von 8000 Sekunden (etwas mehr als 2 Stunden) und die IPSec-Proposals 2000 Sekunden (etwas mehr als eine halbe Stunde). Wo du die Lifetimes in der Fritzbox findest kann ich dir nicht sagen.

In der IKE-Verhandlung werden die für die Verbinung geltenden Lifetimes ausgehandelt. Die siehst du dann auch im VPN-Status-Trace des LANCOMs.

Da die Lifetrime 54 Minuten beträgt gehe ich davon aus, daß diese von der Fitzbox vorgegeben wurden. Und da sie die Leitung "kappt", hat sie wohl das Rekeying nicht hinbekommen. Was aber viel interressanter ist: warum baut die Fitzbox den Tunnel nicht wieder neu auf, wenn sie ihn schon trennt...

Aber für genau solche kaputten Fälle ist das DPD da... Darüber würde das LANCOM dann wenigstens mitbekommen, daß die Fitzbox nicht mehr mag und den Tunnel trennen und wieder neu aufbauen...
Und wenn dir das zu oft passiert, dann mußt du halt schauen, wo das Problem liegt, statt das DPD einfach abzuschalten (kleiner Tipp: der Blick sollte auch dabei in Richtung Fritzbox gehen...)

Du kannst aber statt des DPD auch ein ICMP-Polling einrichten. Das überwacht, ob auch wirklich Daten übertragen werden und trennt im Fehlerfall auch die Verbindung...

Gruß
Backslash
dMatschek
Beiträge: 39
Registriert: 24 Apr 2017, 11:44

Re: VPN Verbindung Lancom-FritzBox nach gut 50min tot

Beitrag von dMatschek »

Hi Backslash,

mit "ich finde keinen derartigen Timer" wollte ich meinen, dass ich keinen finde der zeitlich passt. Die Lifetimes in den Lancom Proposals haben bei mir gänzlich andere Defaults als du zitierst, aber auch die passen nicht (108.000 IKE / 28.800s IPSec). Für die FritzBox habe ich keine Hinweise gefunden was intern verwendet, in der cfg. Datei habe ich dazu keine Einstellung angegeben.
In der IKE-Verhandlung werden die für die Verbinung geltenden Lifetimes ausgehandelt. Die siehst du dann auch im VPN-Status-Trace des LANCOMs.
Da hab gerade mal reingesehen. Als erste Antwort von der FritzBox kommt:

Code: Alles auswählen

| | | Attribute 5
| | | | Type        : Basic, LIFE_TYPE
| | | | Value       : 1
| | | Attribute 6
| | | | Type        : Variable, LIFE_DURATION
| | | | Length      : 4
| | | | Value       : 00 01 A5 E0
0x01A5E0 sind 108.000, also 30 Stunden.

Weiter fällt mir auf:

Code: Alles auswählen

IKE info: The remote server 91.137.x.x:500 (UDP) peer FRITZ id <no_id> negotiated rfc-3706-dead-peer-detection
und

Code: Alles auswählen

[VPN-Status] 2022/06/03 12:48:57,446  Devicetime: 2022/06/03 12:49:00,135
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer FRITZ set to 86400 seconds (Initiator)
[VPN-Status] 2022/06/03 12:48:57,446  Devicetime: 2022/06/03 12:49:00,135
IKE info: Phase-1 SA Timeout (Hard-Event) for peer FRITZ set to 108000 seconds (Initiator)
Wenn ich das richtig lese: Beide Seiten haben sich auf ein Rekeying nach 86400s = 24h geeinigt. Sieht eigentlich gut aus.
Was aber viel interressanter ist: warum baut die FitzBox den Tunnel nicht wieder neu auf, wenn sie ihn schon trennt...
Das passt, da die Verbindung aktiv vom Lancom zur FritzBox aufgebaut wird, nicht andersrum. Vom Einsatz her benötigt das Lancom Netz Ressourcen die an der FritzBox sind (Backup-Spiegelung).

Dass das DPD Abschalten nicht die Lösung ist, ist klar, das war/ist nur ein diagnostischer Schritt um differenzieren zu können ob die DPD das Problem ist oder die Leitung tatsächlich tot ist oder Störungen drauf sind.

VG,
Matschek
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN Verbindung Lancom-FritzBox nach gut 50min tot

Beitrag von Dr.Einstein »

Les dir mal ein wenig https://telekomhilft.telekom.de/t5/All- ... -p/4882854 https://www.ip-phone-forum.de/threads/a ... de.262169/ durch. Gleiches Problem, die 54 Minuten werden aus dem Soft Rekeying stammen, d.h. nach 90% der Zeit wird ein neuer Key erzeugt (= 54 Minuten). Wenn ich die Doku richtig verstehe, dann hat die FritzBox 3600s sowohl in P1 als auch P2 fest hinterlegt ohne Anpassungsmöglichkeiten. Ich würde mich an deiner Stelle an diesem Wert orientieren, d.h. im Lancom Router ebenfalls auf 60 Minuten gehen, wenn nicht sogar testweise auf z.B. 30 Minuten, damit wirklich der Lancom vor der Fritzbox das Rekeying veranlasst.
dMatschek
Beiträge: 39
Registriert: 24 Apr 2017, 11:44

Re: VPN Verbindung Lancom-FritzBox nach gut 50min tot

Beitrag von dMatschek »

Danke schon mal für die Hinweise, das sieht so aus als wäre es die richtige Richtung. Gelöst hab ich es noch nicht bekommen, aber immerhin hab ich jetzt eine Schraube an der ich drehen kann. Werde berichten.
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

Re: VPN Verbindung Lancom-FritzBox nach gut 50min tot

Beitrag von andreas »

Hey,

sorry, bin nicht mehr so oft hier und hab es jetzt erst gelesen.

Die Leasetime auf 3600 zu setzen war bei mir definitiv die Lösung. Ich hab da auch ne Weile gesucht und jetzt 4 VPNs mit FritzBoxen, die zum Teil 28 Tage aufgebaut und nutzbar sind. Zusätzlich hab ich ICMP-Polling aktiviert. VPN baut bei mir auch der Lancom auf, das liegt aber daran, dass ich es anders rum nicht hin bekommen hab ;-)

VG
Andreas

OT: wenn ich mir die VPN-Parameter wieder so ansehe, fällt mir erneut auf, dass es keine so gute Idee mehr ist, ein VPN mit FritzBoxen aufzusetzen. Ich hatte auf IKEv2 gehofft, fürchte aber, das wird WireGuard zum Opfer fallen.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
JensK
Beiträge: 12
Registriert: 25 Okt 2019, 09:56

Re: VPN Verbindung Lancom-FritzBox nach gut 50min tot

Beitrag von JensK »

Hi,

da kann ich andreas zustimmen. Bei mir haben auch die 3600s bei der IKE-Lifetime geholfen, damit die "toten VPN-Verbindungen" der Vergangenheit angehörten. Außerdem hatte ich die IPSEC-Lifetime auf 7200s runtergedreht - bin mir aber nicht sicher, ob das evtl. ein Überbleibsel aus vielen Experimenten war. Meine Konfig läuft nun schon seit vielen Monaten - sowohl mit einer LCOS 10.42 als auch LCOS 10.50. Auf Fritz!Box-Seite läuft derzeit die 7.29.

Zur Info hier eine meiner funktionierenden Konfigs:

Code: Alles auswählen

cd /Setup/VPN/VPN-Peers 
add  "SITE2-MIT-FBOX"   {SH-Time}  0   {Extranet-Address}  0.0.0.0   {Remote-Gw}  "site2-mit-fbox.mooo.com"   {Rtg-tag}  0   {Layer}  "FBOX_SITE2_VPN" {dynamic}  No   {IKE-Exchange}  Aggressive-Mode {Rule-creation}  manually   {DPD-Inact-Timeout}  60   {IKE-CFG}  Off   {XAUTH}  Off   {SSL-Encaps.}  No   {OCSP-Check}  No   {IPv4-Rules}  "SITE2SITE-SITE1-SITE2"   {IPv6-Rules}  ""   {IPv6}  ""

cd /Setup/VPN/Layer 
add  "FBOX_SITE2_VPN" {PFS-Grp}  14   {IKE-Grp}  14   {IKE-Prop-List}  "IKE_PRESH_KEY_FBX" {IPSEC-Prop-List}  "FRITZVPN_SA"   {IKE-Key}  "FBOX_SITE2_PSK"

cd /Setup/VPN/Proposals/IKE 
add  "PSK-AES256-SHA1FB" {IKE-Crypt-Alg}  AES-CBC   {IKE-Crypt-Keylen}  256   {IKE-Auth-Alg}  SHA1   {IKE-Auth-Mode}  Preshared-Key   {Lifetime-Sec}  3600   {Lifetime-KB}  0

cd /Setup/VPN/Proposals/IPSEC 
add  "TN-AES256-SHA1FBX" {ESP-Crypt-Alg}  AES-CBC   {ESP-Crypt-Keylen}  256   {ESP-Auth-Alg}  HMAC-SHA1   {Lifetime-Sec}  7200   {Lifetime-KB}  2000000

cd /Setup/VPN/Proposals/IKE-Proposal-Lists 
add  "IKE_PRESH_KEY_FBX" {IKE-Proposal-1}    "PSK-AES256-SHA1FB" {IKE-Proposal-2}    ""   {IKE-Proposal-3}    ""   {IKE-Proposal-4}    ""   {IKE-Proposal-5}    ""   {IKE-Proposal-6}    ""   {IKE-Proposal-7}    ""   {IKE-Proposal-8}    ""

cd /Setup/VPN/Proposals/IPSEC-Proposal-Lists 
add  "FRITZVPN_SA"       {IPSEC-Proposal-1}  "TN-AES256-SHA1FBX" {IPSEC-Proposal-2}  ""   {IPSEC-Proposal-3}  ""   {IPSEC-Proposal-4}  ""   {IPSEC-Proposal-5}  ""   {IPSEC-Proposal-6}  ""   {IPSEC-Proposal-7}  ""   {IPSEC-Proposal-8}  ""

cd /Setup/VPN/Certificates-and-Keys/IKE-Keys 
add  "FBOX_SITE2_PSK" {Local-ID-Type}  Domain-Name   {Local-Identity}  "site1-mit-lancom.mooo.com"   {Remote-ID-Type}  Domain-Name   {Remote-Identity}  "site2-mit-fbox.mooo.com"   {Shared-Sec}  "top-secret"   {Shared-Sec-File}  ""

cd /Setup/VPN/Networks/IPv4-Rules 
add  "SITE2SITE-SITE1-SITE2"   {Local-Networks}  "192.168.1.0/24"   {Remote-Networks}  "192.168.2.0/24"

cd /Setup/IP-Router/IP-Routing-Table 
add  192.168.2.0   255.255.255.0   0   0   {Peer-or-IP}  "SITE2-MIT-FBOX"   {Distance}  0   {Masquerade}  No   {Active}  Yes   {Comment}  ""
und auf Fritz!Box-Seite:

Code: Alles auswählen

vpncfg {
        connections {
                enabled = yes;
                editable = yes;
                conn_type = conntype_lan;
                name = "site1-mit-lancom.mooo.com";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "site1-mit-lancom.mooo.com";
                localid {
                        fqdn = "site2-mit-fbox.mooo.com";
                }
                remoteid {
                        fqdn = "site1-mit-lancom.mooo.com";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "dh14/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "top-secret";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip any 192.168.1.0 255.255.255.0";
        } 
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Jens
dMatschek
Beiträge: 39
Registriert: 24 Apr 2017, 11:44

Re: VPN Verbindung Lancom-FritzBox nach gut 50min tot

Beitrag von dMatschek »

Vielen Dank für die verschiedenen Antworten, ich konnte mein Problem damit lösen. Die VPN Verbindung ist seit mehrern Tagen durchgängig verbunden.
Ich habe letzlich im Lancom die Gültigkeitszeiten im IKE-Proposal und IPSec-Proposal auf eine Stunde gesetzt. Nun werden rechtzeitig und erfolgreich die Schlüssel neu ausgetauscht.
Antworten