Beiträge von mzwack85

Wir haben den Fehler gefunden.
Der Thread kann geschlossen werden.

Hallo,

wir haben hier massive Probleme mit unserer Endian Firewall.
Die Firewall hängt sich nach 2-7 Tagen komplett auf.
Die CPU Auslastung steigt auf 100%. Der SSH Zugriff und Zugriff per GUI sind dann nicht mehr möglich.
Alle VPN Verbindungen werden beendet.
Ein Reboot über SSH wird nicht mehr ausgeführt. Es bleibt nur der Kaltstart. Nach 2-7 Tagen das selbe.
An der Config der Firewall wurde seid Monaten nichts verändert. Vorher lief die EFW über Monate stabil.

Die Firewall wird als vServer unter HyperV in einem Rechenzentrum betrieben.
Da hinter stehen mehrere vServer.
Der Hoster versichert den vServer weder auf eine andere Hardware geschoben, noch an der Virtualisierung etwas geändert zu haben.

Als Notlösung haben wir einen Cronjob angelegt, der die Firewall täglich Nachts rebooten lässt.
Das setzt natürlich nicht ursächlich am Problem an.

Ist das Problem bekannt?
Hat jemand einen Tipp für uns?

Besten Dank

Hallo,

folgende Ausgangssituation:

Meine EFW int. Netz: 192.168.105.0/24
Es bestehen folgende Net2Net VPNs zwischen der EFW und Fritzboxen:

Netz FB1: 192.168.1.0/24
Netz FB2: 192.168.2.0/24
Netz FB3: 192.168.3.0/24

Alles funktioniert ohne Probleme.

Nun ist auf der EFW noch ein oVPN Server für mobile Arbeitsstationen eingerichtet.
Die Clients bekommen IPs aus dem Netz 192.168.106.0/24 zugewiesen.
Alles funktioniert.
Die mobilen Clients können alles aus dem internen EFW Netz pingen.
Nun sollen die mobilen Clients auch auf das FB1 Netz zugreifen können.
Ein Ping geht aber nicht durch. Was mache ich falsch?

Die EFW pusht das Netzwerk 192.168.1.0/24
Als statische Route habe ich eingetragen:
Quelle: 192.168.106.0/24
Ziel: 192.168.1.0/24

Ich hoffe das ist soweit verständlich

Den Cronjob konnte ich erfolgreich anlegen. Die VPN baut jeden Tag nun neu auf.
Welche Firewallregel muss erstellt werden, damit der https/ssh Zugriff auf die efw von externen VPN Netzen möglich ist?

Danke

Kann mir jemand schnell helfen?
Wie lege ich einen cronjob an, der täglich um 03:30 folgendes ausführt:
/etc/init.d/ipsec restart
Ich bekomme es nicht hin.
Vielen Dank

Der http Zugriff auf Server hinter der efw ist jetzt auch möglich.
Es lag an der Server-Firewall, nicht an endian.
Nur der Zugriff auf das endian web-gui von fremden Netzen klappt noch nicht.

Ich habe folgendes herausgefunden. Fritzbox 1: 7330SL - Tunnel baut neu auf. Fritzbox 2: 7390 - Tunnel baut neu auf. Fritzbox 3: 7170 - Tunnel wird geschlossen. Das Problem gibt es nur mit einer Fritzbox. Es scheint also an der Fritzbox zu liegen.

Ein weiteres Problem gibt es mit http/s Zugriff von Fritzbox-Seite auf endian. RDP und Datei/Druckerfreigabe funktioniert.
Die VPN-Firewall ist deaktiviert. Welche Firewal muss ich wie konfigurieren, damit http/s Zugriff auf hinter der efw liegende Server möglich ist?
http/s Zugriff auf Server hinter fb von endian Seite funktioniert.

Das ist mir bewusst. Ich habe die ipsec.conf.tmpl editiert, sodass keine DPD Einträge mehr in die ipsec.conf geschrieben weden. Leider hat das nichts gebracht. Also alles auf Anfang. Die DPD Änderungen Rückgängig gemacht. Benutzt du efw 3.0 Community? Falls nicht scheint es diesbezüglich Änderungen gegeben zu haben. In der fb config always_renew auf yes gesetzt - brachte auch keine Änderung. VPN Firewall habe ich deaktiviert. Welche Werte hast du bei Ping Delay und Timeout interval gesetzt? Ansonsten weis ich wirklich nicht mehr weiter, wieso die Verbindung jedes mal geschlossen wird... :nerv:

Kurz zur Erklärung;
Es stehen 3 Server + efw (virtualisiert) im Rechenzentrum.
Es sind 3 IPsec Verbindungen für die Außenstellen angelegt. Mobile Clients wählen sich über oVPN ein.

Ich habe die ipsec.conf editiert und alle dpd Einträge entfernt. Danach ipsec über ssh neugestartet. Gebracht hat es leider nichts. Sobald sich die Fritzbox eine neue IP abholt wird der Tunnel auf der endian Seite geschlossen.
Du sagst, dass die endian warten sollte auf einen reconnect der fb. Das ist aber nicht der Fall. Die fb baut den Tunnel ja nicht auf. Das macht die efw. Im config-file der fb gibt es den Eintrag always_renew=no würde es einen Unterschied machen den Eintrag auf yes zu setzen?
Welche Möglichkeiten habe ich noch das Problem zu beheben? Nach einem reboot der efw wird die Verbindung automatisch hergestellt. Das wäre natürlich keine schöne Lösung die efw jede Nacht rebooten zu lassen.

Erstmal vielen Dank für die Hilfe soweit. Der Tunnel wird aufgebaut. Ping von beiden Seiten möglich
Jetzt habe ich noch ein weiteres Problem. Die efw hat eine statische IP die fb jedoch DynDNS.
Nach der Zwangstrennung wird der Tunnel sofort geschlossen und ich muss ihn dann jeden Morgen zurücksetzen.
Eigentlich sollte die Verbindung nach einem Dead Peer automatisch neu starten. Anscheinend unterstützt die fb kein DPD.
Im WebGui der efw kann ich es aber nicht deaktivieren. Gibt es eine Möglichkeit die DPD über SSH zu deaktivieren?
Oder gibt es eine andere Möglichkeit den Tunnel am Leben zu halten?

Danke vorab

Hallo,

ich bin Endian Neuling.
Ich versuche seid 2 Tagen ein IPsec VPN zwischen Endian und einer Fritzbox erfolglos aufzubauen.
Ich hoffe, dass mir hier jemand weiterhelfen kann.

eFW: statische ip
fb: dyn-dns

Meine FB Config:

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "123.123.123.123";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 123.123.123.123;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "name.no-ip.org";
}
remoteid {
ipaddr = 123.123.123.123;
}
mode = phase1_mode_idp;
phase1ss = "alt/aes-3des/sha";
keytype = connkeytype_pre_shared;
key = "lustiger-key";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.3.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.105.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-des|3des-all/ah-all/comp-no/no-pfs";
accesslist = "permit ip any 192.168.105.0 255.255.255.0";
}

Config der efw:

Fehlermeldung FB LOG:
IKE-Error 0x2026 "no proposal chosen"

Fehlermeldung efw Log:
ipsec 07[IKE] no IKE config found for 78.47.113.183...83.125.120.140, sending NO_PROPOSAL_CHOSEN
ipsec 07[ENC] generating INFORMATIONAL_V1 request 3043842381 [ N(NO_PROP) ]

Merkwürdig ist auch, dass in den Statudinformationen der efw trotz Neustart der Dienst VPN (IPsec) auf gestoppt steht.

Kann mir jemand weiterhelfen?