Beantwortet

IPSec Site2Site VPN über Hybrid; Probleme

M
Rang
Benutzerebene 1
Habe ein bestehendes ausgehendes IPSEC VPN des Draytek 2925+, das 2 Sites verbindet. An der Hybrid Box an WAN 1 wurde schlicht die Verbindung verweigert. Stelle ich das VPN auf WAN 2, dort hängt eine LTE Bridge, funktioniert die Verbindung sofort. An der Hybrid Box funktioniert das Site2Site Lan sofort, wenn ich mich einmal von außen mit L2TP auf den VPN Server einwähle. Die Site2Site Verbindung bleibt bestehen und lässt sich auch wieder aufbauen, wenn die eingehende Verbindung nicht mehr besteht.

Es scheint ein Bug zu sein, der auch bei der deutschen Telekom auftritt. Daher zitiere ich deren dortigen Beitrag, weil er sich zu 100% deckt:
"https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/IPSec-S2S-VPN-durch-Speedport-Hybrid/td-p/1326994/highlight/true/page/2

Falls es jemanden interessiert und helfen kann. Ich weiß jetzt nämlich, wieso der VPN funktioniert. Das VPN Setup (Site to Site VPN) sieht folgendermaßen aus: Meine Firewall (hinter dem Hybrid) ist der Initiator der VPN Verbindung, die Firewall im Internet ist nur Responder. Diese Verbindung kommt leider nicht zustande. Vermutlich weil irgendwas im Hybrid fehlschlägt (z.B. NAT oder Portforwarding). Mache ich jetzt aber einen Roadwarrior VPN zur selben (meiner hinter dem Hybrid befindlichen) Firewall auf, funktioniert das. Da in diesem Fall der Hybrid die Anfragen des Roadwarriors durch Portforwarding weiterleitet. Ist diese Verbindung aktiv, kann sofort auch der Site to Site VPN aufgebaut werden. Dieser bleibt auch bestehen, wenn die Roadwarrior Verbindung getrennt wird."

Vielleicht hilft es jemandem oder vielleicht gibt es ja auch mal eine Lösung 😉
icon

Beste Antwort von A1_Hermann 18 May 2017, 11:15

Original anzeigen

23 Antworten

rwhlive
Rang
Benutzerebene 7
Abzeichen +6
hallo,

dmz gab es damals noch nicht beim telekom hybrid
ein eingehendes nat problem kann es bei dir nicht nicht sein da dein router als exposed host konfiguriert ist
portweiterleitungen hast ja hoffentlich nicht zusätzlich gemacht

wenn dann liegt das von dir beschriebene problem an der vpn durchleitung (vpn passthrouh für l2tp bzw. ipsec)
normalerweise ist das bei jeden router router einstellbar
da ich keinen hybrid habe ...
wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
M
Rang
Benutzerebene 1
Es ist jetzt auch nicht mehr reproduzierbar. Selbst nach Neustart baut sich der Tunnel von innen nach außen ohne Fehlermeldung auf. Gestern ging es anfangs nicht, erst als ich zufällig mich von auswärts eingewählt hatte, stand er kurz drauf.
Solche Effekte treten halt mit neuen Geräten gerne auf, ohne sie wirklich eingrenzen zu können.
VPN Passthrough wäre normal nur bei Incoming ein Thema. Dadurch dass ich zwei WAN Ports habe, kann ich das Verhalten zumindest vergleichen und feststellen, ob es an meinem Router liegt. Aber es schaut mittlerweile ganz gut aus, bis auf den einen oder anderen Hänger, bei dem dann nichts mehr geht. Aber das muss sich jetzt mal einlaufen.
rwhlive
Rang
Benutzerebene 7
Abzeichen +6
hallo,

vpn passthrough hat schon mit der ausgehenden vpn verbindung zu tun
soll ja die nat probleme bei vpn lösen
z.b. ist esp ein ip protokoll ohne ports
da fragt man sich wie der vorgeschaltete router seine port address translation machen soll ohne das protokoll zu zerstören
der vpn passthrough workaround geht übrigens nur mit einen vpn client

aber ich hoffe du nimmst sowieso ipsec mit nat-traversal
die esp-pakete werden in udp-pakete verpackt und über port 4500 verschickt
der nat-router kann dann ohne probleme ip-adressen und ports umschreiben
natürlich gibt es auch bei nat traversal probleme
muss von beiden seiten unterstützt werden
dein router muss zuverlässig erkennen das er nat vor sich hat usw.
wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
M
Rang
Benutzerebene 1
Ich habe hier ein VPN Router zu Router (Site2Site). Es gibt dahinter keinen VPN Client, der auf eine Pass Through angewiesen wäre. Es ist IP Sec mit NAT Trans.

Aber es ist m.E. definitiv ein Problem des Hybrid. Es ist gerade wieder aufgetreten, dass der IPSec Tunnel sich nicht mehr aufbauen lies. Neustart des Hybrid und der Tunnel ist sofort wieder da. Die Antwort des Receivers geht dabei an einer Stelle offensichtlich ins Nirvana. Nachdem es ohne Hybrid klappt, nach einem Reboot auch wieder für Stunden klappt, liegt es wohl am Hybrid. An keiner anderen Stelle wurde dazwischen was geändert.

Das ist das Log vor dem Reboot:
141¬ 2017-05-09 16:12:40¬ May 9 16:12:40¬ DrayTek¬ [IPSEC/IKE][L2L][1:PPiusX][@178.189.38.41] quick_outI1: match network¬
141¬ 2017-05-09 16:12:43¬ May 9 16:12:43¬ DrayTek¬ [IPSEC/IKE][L2L][1:PPiusX][@178.189.38.41] duplicate packet(1), stuck at state? STATE_AGGR_I2¬

Im Anhang die Logs, weil sich die wegen der Pfeile in den Text nicht einfügen lassen.
2 Anlagen
rwhlive
Rang
Benutzerebene 7
Abzeichen +6
hallo,

site 2 site oder client 2 site macht diesbezüglich keinen unterschied
deine vpn verbindung muss übers nat
also entweder nat passthrough oder nat traversal

aus dem log sieht man das nat traversal aktiv ist
suche nach workarounds für 'duplicate paket'
mehr kann ich auch nicht dazu sagen
wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
M
Rang
Benutzerebene 1
VPN passthrough wird bei Router dann verwendet, wenn der VPN Server hinter dem Router sitzt. Ist der Router der VPN Server, gibt es kein pass through, weil der Router der Endpunkt ist. NAT ist klar.
Duplicate Packet heisst ja nur, dass er von der Gegenstelle keine Antwort erhält und daher das Paket noch mehrmals schickt. Die Frage ist, warum kommt die Antwort nicht durch oder wurde der Request verändert? Da muss ich mir beim nächsten Mal das Syslog von der Gegenseite auch herüberspielen, ob der nicht auch wartet. . Und warum tritt das nach einen Reboot des Hybrid nicht auf. Wenn ich jetzt nach 2h Laufzeit die VPN Verbindung droppe, ist sie in weniger als einer Sekunde wieder da. Nur irgendwann eben nicht mehr.
rwhlive
Rang
Benutzerebene 7
Abzeichen +6
hallo,

egal ob server oder client
es geht um vpn hinter nat und um die verbindung nach draußen
in deinen fall ist es eh nicht vpn passthrough sondern nat traversal
so oder so ... beide workarounds haben einschränkungen
bei vpn passthrough geht nur eine vpn verbindung
bei nat traversal hat man oft probleme mit der mtu
im fall der fälle hilft nur eine protokoll analyse (z.b. via wireshark)
wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
M
Rang
Benutzerebene 1
Ja, eh und das noch dazu remote 😉
Aber da ist es für mich einfacher, die Hybridbox zu entfernen, nachdem es ja beim parallel laufenden LTE Modem nicht auftritt und die letzten Jahre auf ADSL mit dem eingebauten Modem des 2860n Routers auch nicht.
ich schaue mir noch das Log auf der anderen Seite an, wenn es wieder auftritt, dann sieht man, ob der Request oder die Antwort im Nirvana landet. Ändern kann ich dann ja eh nichts. Allenfalls so genau dokumentieren, dass A1 oder Huawei damit was anfangen kann.
rwhlive
Rang
Benutzerebene 7
Abzeichen +6
hallo,

ändern kannst sicher was
probiere halt mal ohne nat traversal
oder verkleinere die mtu

site 2 site vpn hinter einen hybrid router ... sag eh nix mehr dazu
lte springt da wahrscheinlich eh nicht an
wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
M
Rang
Benutzerebene 1
Erkläre mir bitte, warum ich die Parameter einer stundenlang funktionierende Lösung ändern soll, nur weil der Hybrid sich irgendwann mal zu einer selbständigen Veränderung entschließt? Noch dazu, dass das sogar über ein LTE-Modem mit private IP klaglos geht.

Wenn es überhaupt nicht ginge, da wäre das sicher der notwendige Weg. Aber der Tunnel läuft stundenlang, bis er halt irgendwann nicht mehr läuft.

Das Thema Hybrid ist ein eigenes. Der Tunnel ist für die Fernwartung, daher nur geringe Last. Da ist Site2Site recht praktisch, weil ich mir bei Problemen die Syslog Meldungen auf meinen Rechner geben kann.
Aber natürlich ist ein Dual WAN Router (plus 2 via USB), mit 300MBit/s Firewall Durchsatz und 60MBit/s VPN Durchsatz, 50 VPN Tunneln und 25 SSL Tunneln nicht gerade die Traumpaarung für einen hybriden Consumeranschluß. Aber man gönnt sich halt sonst nichts und Glas will ja keiner zu mir legen. 😉
rwhlive
Rang
Benutzerebene 7
Abzeichen +6
hallo,

wie kann man feststellen wo das problem liegt wenn man nichts ändert
oder keine details erfasst
sag mir bitte wie und ich kann den nächsten der so ein problem hat einen besseren ratschlag geben
bin für jede hilfe dankbar
wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
M
Rang
Benutzerebene 1
Schau, ich bin dir ja für Tips dankbar, weil ich damit selbst nicht weiter komme. Ich gehe davon aus, dass es genügend Leute geben wird, die ähnliche Probleme haben oder bekommen. Das wäre von der Eingrenzung schon hilfreich.

Nur bringt es nichts, wenn sich etwas scheinbar zufällig nach Stunden plötzlich verändert, obwohl davor sämtliche Tunnelaufbauten klaglos gingen, die Parameter zu verändern, weil danach nicht mehr feststellbar ist, ob es zufällig nicht auftrat oder die Parameter etwas verändern. Daher versuche ich, über die Log Files auf beiden Seiten mal festzustellen, in welchem Stadium der Abbruch erfolgt und von welcher Seite. Erst wenn das klar reproduzierbar ist und weiß, wer es verursacht, kann ich in die Tiefe gehen und gezielt suchen. Klar geht das dann über Portmirroring und Wireshark an zwei Standorten. Nur ob sich der Aufwand lohnt, bezweifle ich. Zahlt mich ja niemand dafür.

Wo das Problem liegt, ist für mich schon klar. Nachdem es jetzt bei der LTE Bridge am WAN 2 und beim vorhergen Modemrouter an der DSL Leitung 2 Jahre lang mit der exakt gleichen Konfig nicht auftrat, ist da nicht viel Spielraum. Nur genau da wären die Einstellungen zu machen und die Logs zu schreiben. Das zugängliche Log sagt nichts aus. Ich habe jetzt mal die IPSEC Weiterleitung (die einzige denkbare Einstellung) dazugegeben und warte auf den nächsten Absturz 😉
rwhlive
Rang
Benutzerebene 7
Abzeichen +6
hallo,

ich bekomme für meine ratschläge auch kein geld ;)

gerade eben bin ich zu faul meinen switch zu konfigurieren und wireshark anzuwerfen um endlich rauszufinden wie die json api für a1tv epg genau funkt

bin leider mehr openvpn spezi.
das ist in diesen zusammenhang meist weniger problematisch

ist der hybrid sonst noch brauchbar zu diesen zeitpunkt oder eh schon im nirvanva ?
wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
M
Rang
Benutzerebene 1
Der Hybrid lebt derzeit noch gut. Sogar mit IPSec Tunnel 😉 Von der Leistung her bin ich durchaus zufrieden, da er bisher immer die zugesicherte Bandbreite erbracht, meist übertroffen hat, und diese bei mir sofort zur Verfügung steht. Klar schwankt sie, aber Downloads oder insb. Upload gehen schon sehr schnell. Ich habe ja jetzt die Weiterleitung ipsec reingegeben. Wäre zwar theoretisch in der DMZ sinnlos, aber wenn es damit ein paar Tage läuft, dann wäre das die Lösung.

Ja, OpenVPN ist ganz interessant, hätte ich auf dem NAS 😉, wird aber von Draytek leider nicht unterstützt. Ich verwende deren Produkte ja schon seit fast 10 Jahren. Da gewöhnt man sich daran. Und wenn man mal die Strapazen der Erstkonfiguration durch hat, da sind sie leider durchaus zickig und wenn sie neu auf den Markt kommen leider auch manchmal mit netten Bugs versehen, dann laufen die jahrelang ohne Murren und ohne Absturz. Deswegen blieb ich ihnen auch treu.
M
Rang
Benutzerebene 1
Die Indizien verdichten sich. Seit ich IPSEC im Hybrid weitergeleitet habe, steht der Tunnel. Gestern von 16Uhr bis 5 Uhr in der Früh. Da trennt die Gegenstelle die Verbindung, um keine Zwangstrennung unter Tags zu erhalten. Seit 5 Uhr ist der Tunnel ohne Probleme bereits bis jetzt wieder aktiv.

Dafür wollte ich mir Mitterlehners Abtritt anschauen. Was soll ich sagen, nach 1 Minute steht das Bild. IPTV auf WAN 2 und damit LTE Bridge umgelenkt und es läuft anstandslos durch. Danach im Hybrid 1935 TCP/UDP auf Weiterleitung und es geht auch über WAN 1 ohne Stehenbleiben.

Wirklich sagen kann man es in einer Woche, aber die Indizien verdichten sich, dass die DMZ Einstellung ein Placebo ist und trotzdem in diversen Fällen die an sich unnötige Weiterleitung das Problem möglicherweise löst. Hilfreich wäre, vom Hybrid ein aussagekräftiges Syslog zu bekommen, wenn er was blockiert.
M
Rang
Benutzerebene 1
IPTV war dann doch was anderes, da der frühere Port 1935 nicht mehr benötigt wird. Da muss ich noch suchen.
M
Rang
Benutzerebene 1
Denke, das Thema kann eigentlich geschlossen werden. Mit der o.a. Einstellung läuft die IPSec Tunnel jetzt schon den zweiten Tag problemlos und eine Einwahl mit L2TP ist ebenfalls immer möglich.
Es ist halt so, wie es nicht sein dürfte, aber das Problem ist weg.
M
Rang
Benutzerebene 1
Leider war die Freude verfrüht. Gestern wieder ein Totalausfall, sonst bricht der Tunnel doch immer wieder mal ohne Erklärung ab.
Interessant beim gestrigen Ausfall war, dass nur bestimmte Ports betroffen waren. Ich konnte sogar noch einen Speedtest durchführen, aber der Port 6922 war bereits genauso zu wie IPSec (natürlich von innen nach außen). Es gibt auch keinen relevanten Protokolleintrag. Es schaut so aus, dass es abhängig von Wetter und Laune einfach Ports plötzlich nicht mehr durchgelassen werden. Nach Neustart des Hybrid geht dann alles wieder.
A
Rang
Benutzerebene 7
Abzeichen +4
Hallo @mrieglhofer_

habe zum Thema VPN Verbindungen über das Hybrid Modem nur eine Info gefunden. Wenn es mit den Ports zu tun hat wird das wahrscheinlich nicht helfen, aber probiere es bitte aus:

"Eine Lösung kann meist durch eine Anpassung der MTU Size am Client erzielt werden (z.B. LAN/WLAN Verb. auf MTU 1250 stellen)."

Wenn das nichts bringt bitte Bescheid geben.

lg
Hermann
M
Rang
Benutzerebene 1
Danke für die Information.
Habe im Router ein MTU Detection Tool und komme auf 1464 auf der WAN Seite. Die habe ich jetzt eingestellt. Damit sollte der Hybrid nichts mehr fragmentieren müssen. Bisher war 1500, der Eth Basiswert, da ja Eth Schnittstelle. Einstellen kann ich sie ja nur dort, und dann muss halt mein Router die Pakete aus dem LAN bei Bedarf fragmentieren. LAN to Internet via meinem Router und Hybrid sind es 1440, wenn es unfragmentiert sein soll. VPN ist 1362. Aber das muss ich mir noch genauer anschauen, bevor ich an die PCs gehe.

Allerdings sehe ich den Zusammenhang deswegen nicht, da der Tunnel durchaus 16h stehen kann, aber zu anderen Zeiten nach einer halben Stunde down geht. Leider ist mit dem Reset das Log wieder leer. Aber es sah eher danach aus, dass von 5h in der früh bis zum späten Nachmittag keine Problem auftreten, ab 2 Uhr in der früh bis 5 Uhr auch nicht (um 5 trennt die Gegenstelle). Aber ich werde das jetzt mal eine Woche beobachten, dann habe ich auch ein aussagekräftigeres Log. Es ist ja insofern kein Drama, da der Tunnel einige Sekunden später wieder steht. Das passt ja jetzt.
M
Rang
Benutzerebene 1
Mittlerweile hat sich das soweit stabilisiert, dass ich durchaus mehr als eine Woche ohne Absturz online sein kann. Dann kommt irgendwann wieder mal der Punkt, dass bestimmte Ports nicht mehr erreichbar sind und ein Neustart erforderlich ist. Aber damit kann ich vorerst leben. Der Durchsatz ist ganztags besser als erwartet.
M
Rang
Benutzerebene 1
Leider hat sich die Situation in letzter Zeit wieder deutlich verschlechtert. Es sterben unterschiedliche Ports ausgehend. Factory Reset hat auch nichts gebracht. Schaut nach Firmwareproblem aus.
M
Rang
Benutzerebene 1
Mit der mir letzte Woche eingespielte Firmware V100R001C22B025SP02 kann ich eine in den Logs merkbare Verbesserung vermelden. Sowohl kommt die VPN Verbindung bei einer Unterbrechung innerhalb einiger Minuten wieder, als auch treten derzeit beim Gaming keine Probleme auf, die nur durch einen Reset behoben werden können. Die anderen Punkte könnte ich noch nicht prüfen. No-ip meldet noch immer Synchronisation failure, aber das ist umgehbar.

Antworten


Allgemeine Nutzungsbedingungen