Moin,
ich habe mit einer 1793 VAW einen VPN-Tunnel erstellt. In diesem Tunnel gibt es viel SA-Beziehungen zu den jeweiligen Netzen. Ich habe hier mal als Beispiel das nachfolgende Bild eingefügt.
In diesem Fall hat sollen über der Lancom 2 Netze über den VPN verbunden werden Auf der Gegenseite sind es 3 Netze. Nun habe ich unter VPN unter der IPv4-Regelliste diese Netzbeziehnungen alle miteinander "verbunden". Das bedeutet in diesem Falle habe ich dort 2x3=6 Einträge hinterlegt.
In meinem Fall habe ich jetzt insgesamt 195 Einträge. Jetzt hatte ich den Fall, dass eine von den vielen Netzbeziehungen nicht miteinander verbunden waren. Dann hatte ich die Lancom neu gestartet, da ich keinen Fehler gefunden hatte. Nach dem Neustart funktionierte das Netz, aber dafür funktionierte ein anderes Netz nicht. Also habe ich einfach nochmal den Tunnelaufbau neu angeschubst. Danch lief anscheindend alles.
Ich hatte in der Vergangenheit festgestellt, wenn man von den vielen Netzbeziehnungen einen Eintrag vergisst, dann funktioniert wohl nach dem Neustart alles, aber nach 28.800s fehlt das eine oder andere Netz.
Meine Frage:
Gibt es hier ein zahlenmäßiges Limit?
VPN - viele SA-Beziehungen - Limit?
Moderator: Lancom-Systems Moderatoren
VPN - viele SA-Beziehungen - Limit?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
Frühstücksdirektor
- Beiträge: 258
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: VPN - viele SA-Beziehungen - Limit?
Hallo RalphT,
solche Konstrukte mache ich grundsätzlich nicht mehr. Da sucht man sich zu Tode, wenn was nicht funktioniert...
Darf ich Dir einen Vorschlag ans Herz legen?
Ich würde nur noch die Any-to-Any SA überall verwenden, d.h. 0.0.0.0/0 <=> 0.0.0.0/0.
Alle VPN-Tunnel haben nur noch eine SA. Regelerzeugung NUR noch "manuell"-
Über die Routing-Tabelle wird dann gesteuert, welche Daten in den VPN-Tunnel gehen.
Man kann optional noch über Firewall-Regeln Zugriffe weiter limitieren.
Vielleicht passt das ja bei Dir auch.
Viele Grüße,
Frühstücksdirektor
solche Konstrukte mache ich grundsätzlich nicht mehr. Da sucht man sich zu Tode, wenn was nicht funktioniert...
Darf ich Dir einen Vorschlag ans Herz legen?
Ich würde nur noch die Any-to-Any SA überall verwenden, d.h. 0.0.0.0/0 <=> 0.0.0.0/0.
Alle VPN-Tunnel haben nur noch eine SA. Regelerzeugung NUR noch "manuell"-
Über die Routing-Tabelle wird dann gesteuert, welche Daten in den VPN-Tunnel gehen.
Man kann optional noch über Firewall-Regeln Zugriffe weiter limitieren.
Vielleicht passt das ja bei Dir auch.
Viele Grüße,
Frühstücksdirektor
Re: VPN - viele SA-Beziehungen - Limit?
Hi RalphT,
Ich kann da eigentlich Frühstücksdirektor nur zustimmen, denn z.B. bei N Gegenstellen, die über die Zentrale miteinander kommunizierten sollen, bekommst du O((N^2)/2) Netzbeziehungen. Das wird ultimativ schnell unübersichtlich...
Gruß
Backslash
Das spricht dafür, daß die Netzbeziehungen auf beiden Seiten nicht gleich sind... Nach dem Neustart werden die SAs vom Initiator verhandelt und nach 28.800 erfolgt offenbar ein Rekeying vom Responder aus... und der handelt offenbar nicht alles aus...Ich hatte in der Vergangenheit festgestellt, wenn man von den vielen Netzbeziehnungen einen Eintrag vergisst, dann funktioniert wohl nach dem Neustart alles, aber nach 28.800s fehlt das eine oder andere Netz.
Ich kann da eigentlich Frühstücksdirektor nur zustimmen, denn z.B. bei N Gegenstellen, die über die Zentrale miteinander kommunizierten sollen, bekommst du O((N^2)/2) Netzbeziehungen. Das wird ultimativ schnell unübersichtlich...
Gruß
Backslash
Re: VPN - viele SA-Beziehungen - Limit?
Moin,
danke für eure Antworten. Ich muss dazu sagen, dass das ganze Konstrukt mit der Zeit gewachsen ist. Ich glaube ich hatte vor vielen Jahren 2 x 4 Regeln. Da war noch alles easy. Aber wie der Frühstücksdirektor schon geschrieben hatte, man verbringt Zeit ohne Ende bei der Fehlersuche.
Ich hatte heute nochmal den Tunnel überprüft, es sieht so aus als wenn alles funktioniert.
Ich werde aber euren Rat befolgen und das Ganze any - any ausstattten.
danke für eure Antworten. Ich muss dazu sagen, dass das ganze Konstrukt mit der Zeit gewachsen ist. Ich glaube ich hatte vor vielen Jahren 2 x 4 Regeln. Da war noch alles easy. Aber wie der Frühstücksdirektor schon geschrieben hatte, man verbringt Zeit ohne Ende bei der Fehlersuche.
Ich hatte heute nochmal den Tunnel überprüft, es sieht so aus als wenn alles funktioniert.
Ich werde aber euren Rat befolgen und das Ganze any - any ausstattten.
Re: VPN - viele SA-Beziehungen - Limit?
Ein Limit gibt es nicht, aber für jede SA muss eine Child-SA mit samt der ganzen Kryptografie berechnet werden.
Früher hatte ich 16 Netze pro Filiale und die automatische Regelerzeugung aktiv. Bei 80 Routern und einer kurzen Trennung der Internetverbindung hat dass CSG fast zwei Stunden den Betrieb eingestellt, da es mit den Berechnungen zu 100% ausgelastet war.
Ein paar Umstellungen (jeweils vier Netze gegen 0.0.0.0) und der Wiederaufbau aller Filialen ist nach zwei bis drei Minuten komplett durch.
Früher hatte ich 16 Netze pro Filiale und die automatische Regelerzeugung aktiv. Bei 80 Routern und einer kurzen Trennung der Internetverbindung hat dass CSG fast zwei Stunden den Betrieb eingestellt, da es mit den Berechnungen zu 100% ausgelastet war.
Ein paar Umstellungen (jeweils vier Netze gegen 0.0.0.0) und der Wiederaufbau aller Filialen ist nach zwei bis drei Minuten komplett durch.
LCS NC/WLAN
-
Dr.Einstein
- Beiträge: 3477
- Registriert: 12 Jan 2010, 14:10
Re: VPN - viele SA-Beziehungen - Limit?
Die Lancoms hatten doch je nach Lizenz zumindest bei IKEv1 eine Limitierung der SAs. Wie waren diese Werte? Finde es nicht mehr in meinen Unterlagen.