Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2827 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Timeout beim Herstellen einer IPSec Site-to-Site Verbindung

pro_mrjetter
Hallo Zusammen,

gibt es beim Wiederherstellen einer IPSec Site-to-Site Verbindung irgendwo ein Timeout, welches abgewartet werden muss, bevor die Verbindung erneut aufgebaut werden kann?

Hintergrund ist folgender:

Wir haben eine IPSec Site-to-Site Verbindungen zwischen einer UTM 220 und einer UTM 120. Die UTM 220 besitzt eine 50 Mbit/s SDSL Leitung ohne Zwangstrennung, die UTM 120 besitzt eine 50 Mbit/s VDSL Leitung der Telekom und baut eine PPPoE Verbindung auf, diese unterliegt somit der täglichen Zwangstrennung. Um der willkürlichen Zwangstrennung durch die Telekom zu entgehen, macht die UTM 120 jeden Abend um 22 Uhr einen reconnect des WAN-Interfaces. Nach dem reconnect wird aber die IPSec Site-to-Site Verbindung nicht automatisch wieder aufgebaut. Die UTM 220 läuft dabei im "respond only" modus und die UTM 120 läuft im "initiate connection" modus. Erst wenn ich auf der UTM 120 die IPSec Site-to-Site Verbindung deaktiviere, 10 Minuten warte und diese dann wieder aktiviere wird der Tunnel aufgebaut.

Das Phänomen ist das gleiche, wenn ich die Modi tausche und die UTM 220 im "initiate connection" Modus und die UTM 120 im "respond only" Modus laufen lasse. Nur das dann die Verbindung auf UTM 220 Seite deaktiviert werden muss, gefolgt von den 10 Minuten Wartezeit.

Hat irgendjemand eine Idee, wo hier das Problem liegen könnte?

- pro_mrjetter -


This thread was automatically locked due to age.
  • 0
    @pro_mrjetter

    Ist auf der UTM120 ein DynDNS eingerichtet?

    In der IPSec-Konfiguration auf der UTM220 muss ja als Remote-Gateway die UTM120 eingetragen sein.

    Ist dort der DynDNS-Name der UTM120 eingestellt?

    Ich vermute, dass die UTM120 wirklich 10 Minuten benötigt,
    um nach einem Reconnect die neue IP-Adresse an den DynDNS-Account zu übertragen.

    Ich denke das Problem kann man nur lösen,
    indem auch die UTM120 eine Internetanbindung ohne Trennung bekommt.

    Alternativ könnte man mal bei Sophos nachfragen wie man per Kommandozeile ( Script )
    den DynDNS-Account aktualisiert.

    Die Aktualisierung des DynDNS-Accounts könntest du mit in dein Script integrieren,
    das den Reconnect des WAN-Interfaces deiner UTM120 durchführt.

    Eventuell kann man das DynDNS-Update auf diese Weise beschleunigen.

    Übrigens sollte die UTM220 auf "Respond only" und die UTM120 auf "Initiate connection"
    konfiguriert sein, da sich die externe IP der 120er ja nach einem Reconnect ändert.

    Gruß, Datax
  • 0 in reply to Datax_87
    @Datax_87

    Vielen Dank für Deine Antwort, die UTM 120 hat eine feste IP-Adresse. Aber die Lösung des ganzen Problems war viel einfacher. Das Problem lag an der Firmware des VDSL-Modems (Zyxel). Nach dem Update der Firmware wurde der Tunnel nach jedem automatischen Reconnect sofort wieder aufgebaut. Zyxel hatte bezüglich VPN-Verbindungen einen Bug in der Firmware.

    Gruß
    - pro_mrjetter -
  • 0
    @pro_mrjetter

    Achso, die UTM120 hat eine statische IP-Adresse, aber mit Zwangstrennung, ok.

    Bin jetzt davon ausgegangen, dass die UTM120 eine dynamische IP-Adresse mit Zwangstrennung hat ^^.

    Ist ja super, dass jetzt alles funktioniert.

    Wie bist du darauf gekommen, dass das Modem, der Übeltäter sein könnte?

    Gruß, Datax
  • 0
    Hallo,

    Just4info:
    In diesem Fall würde sich auch ein SSL VPN zwischen den beiden UTMs anbieten! 
    Lg
    Gerald
Cookie Information Banner