Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 1 reply
  • Answers 1 answer
  • Subscribers 25 subscribers
  • Views 2930 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec VPN Traffic Problem

BenjaminRickert

Hallo Allerseits

 

Wir haben zwei Standorte A und B. An jedem Standort befindet sich eine Sophos SG310 auf aktuellem Patchlevel.

Von Standort A aus haben wir jede Menge IPsec VPN Verbindungen zu verschiedenen Standorten, u.a. zu Standort B. Nun gibt es folgendes Problem:

 

Der IPsec Tunnel zu Standort B wird aufgebaut und funktioniert reibungslos. Nach einiger Zeit aber geht kein Traffic mehr durch den Tunnel.

Ein Neuaufbau der VPN Verbindung glückt meistens, die SA's stehen dann wieder, es geht jedoch trotzdem kein Traffic mehr durch. Hin und wieder wird die Verbindung auch gar nicht mehr aufgebaut und die Sophos an Standort A loggt den Fehler ":500 failed in main_outI1. Errno 1 Operation not permitted".

Die temporäre Lösung des Problems liegt darin, am Standort B das Huawei Device, welches am WAN Port der Sophos hängt, durchzustarten. Danach funktionierts wieder für einige Zeit.

Folgendes  wurde bereits überprüft:

- IKE und IPsec Policies sind absolut identisch

- Preshared Key ist auf beiden Seiten korrekt

- Kein IPsec Gateway ist fix an ein Interface gebunden

 

Keine andere VPN Verbindung an Standort A zeigt diese Probleme. An Standort B gibt es nur diese eine VPN Verbindung.

Die Sophos, welche sich nun an Standort B befindet, war vorher woanders im Einsatz. Von dort aus gab es keine Probleme mit der VPN Verbindung zu Standort A.

 

Ich habe ausserdem, sobald das Problem auftritt, dass kein Traffic über die SA's geht, den IPsec Traffic mit Wireshark analysiert, auf beiden Firewalls gleichzeitig.

Dazu wurde von Standort A nach Standort B gepingt. Zusätzlich von Standort B ebenfalls nach Standort A.

Ergebnis:

Pakete von Standort A -> B sind auf der Firewall B sichtbar, erreichen den gepingten Host im Netzwerk und dieser Antwortet. Die Antwort kommt aber nicht bei Firewall A an. Auf Seiten von Firewall A ist kein Traffic von B ersichtlich.

Meine Vermutung ist, dass das Huawei device für diees Problem verantwortlich sein könnte. Es handelt sich dabei um den Enterprise Router AR1220.

Hat hier jemand noch eine Idee, wo das Problem liegen könnte, bzw. wie es sich weiter eingrenzen lässt?

 

Danke und Grüsse 



This thread was automatically locked due to age.