Core 127 / 128 / 129 IPSec stockt alle paar Minuten

Post Reply
TheUnicornXXL
Posts: 54
Joined: December 17th, 2010, 7:08 am

Core 127 / 128 / 129 IPSec stockt alle paar Minuten

Post by TheUnicornXXL » April 10th, 2019, 9:27 pm

Hallo,

ich habe hier eine FritzBox 7590 per IPSec und einige OpenVPN Clients an meiner IPFire hängen.
Seit dem Update von Core 126 auf 128 (127 hatte ich ausgelassen) habe ich bei IPSec an meiner FritzBox das Problem, dass alle paar Minuten die Verbindung stockt. Das merke ich besonders an den RDP Sessions, die ich täglich verwende. Diese stoppen dann und häufig wird die RDP Session neu aufgebaut, manchmal dauert es einfach länger bis Maus und Keyboarddaten übermittelt werden.

Die Verbindung über die FritzBox zur IPFire ist ohne IPSec einwandfrei, ich verwende gerade einen OpenVPN Tunnel und habe keine Problem dergleichen. Ich habe dabei aufgepasst, dass die externe und nicht die interne IP Adresse vom OpenVPN Client verwendet wird.

Ich habe gelesen, dass IPSec umgebaut wurde. Hat sich irgendwas grundlegendes neu zu konfigurierendes im IPSec Handshake geändert?

Grüße

Stefan

FloSchn
Posts: 33
Joined: August 3rd, 2015, 8:57 pm

Re: Core 127 / 128 / 129 IPSec stockt alle paar Minuten

Post by FloSchn » April 14th, 2019, 12:04 pm

Hi,

ich habe auch vermehrt Probleme mit RDP in ipsec & ipfire. Bei mir ist der Auslöser wenn gewechselt wird von tcp auf udp. seit ich udp 3389 blocke funktioniert RDP bei mir wieder einwandfrei.
lg
Image

Image

Image

TheUnicornXXL
Posts: 54
Joined: December 17th, 2010, 7:08 am

Re: Core 127 / 128 / 129 IPSec stockt alle paar Minuten

Post by TheUnicornXXL » April 14th, 2019, 9:55 pm

Irgendwas scheint sich beim IPSec geändert zu haben.
Mit der neuesten Firmware 7.10 für die FritzBox 7590 ist das Problem passe.
Laut Beschreibung soll die FritzBox jetzt erheblich mehr können, z.B. SplitDNS für DNS Auflösung definierter Namensräume über den VPN Tunnel.
Da hat sich wohl sehr viel getan.

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5739
Joined: August 11th, 2005, 9:02 am

Re: Core 127 / 128 / 129 IPSec stockt alle paar Minuten

Post by MichaelTremer » April 15th, 2019, 9:24 am

Hallo,

ich vermute mal, dass das an der FritzBox liegt.

Ich hab schon länger keine mehr davon mit IPsec im Einsatz gesehen, aber in der Vergangenheit gab es bei diesen und bei anderen Geräten in der Bauart (LANCOM, etc.) immer folgendes Problem: Die generieren Schlüssel zu langsam.

Beim Aufbau einer IPsec-Verbindung gibt es zunächst (meistens) einen Diffie-Hellman-Schlüsselaustausch. Dazu muss jede Seite eine Primzahl mit einer Länge von 4096 oder 2048 Bit finden. Das ist eine Rechenoperation, die auf schnellen Rechnern schon relativ lange dauert.

Jetzt haben diese "Plasterouter" meistens nicht die CPU-Ressourcen, um das mal eben schnell durchzuführen. Cryptochips werden aus Kostengründen komplett weg gespart. Eine Operation von einer Sekunde, dauert dann schon einmal 60 oder 90 Sekunden.

IPFire wartet aber nicht so lange. Wenn das System auf der anderen Seite nach ein paar Sekunden nicht reagiert hat, dann wird die Aufforderung für den Schlüsselaustausch noch einmal geschickt. Nach einigen Fehlerversuchen wird aufgegeben. Dann sendet IPFire eine Nachricht für den Abbau der Verbindung (die alten Schlüssel sind ja irgendwann abgelaufen) und schließt die Verbindung.

(Hier beginnt jetzt gerade mal die Vermutung:) Dann stellt die FritzBox fest, dass die Verbindung ja eigentlich aufgebaut sein sollte, generiert einen neuen Schlüssel und initiiert die Verbindung mit IPFire. Ab da gehts dann auch einfacher mit dem Verbindungsaufbau, da IPFire schneller reagiert.

Was kann man nun dagegen tun? Lancom weiß, dass die keine gute Crypto können und hat das gleich gar nicht eingebaut. Die kleinen Geräte von denen können nur Schlüssel mit einer Länge von 1024 oder 786 Bit generieren. Das gilt jetzt nicht nur als ein bisschen unsichern, sondern ist so kaputt, dass man sich den IPsec-Tunnel auch sparen könnte. Was die neuen Firmwares der FritzBox können weiß ich leider nicht.

Es gäbe jetzt elliptische Kurven, die einfacher zu berechnen sind und auch auf kleiner Hardware hervorragend in Software performen, doch leider setzt zumindest Lancom das meines Wissens nicht ein.

Daher kann ich nur *dringendst* empfehlen ein VPN lieber mit einer kleinen Hardware mit IPFire zu machen als mit den Plasteroutern. Ja, da kommt ein Tunnel bei raus. Da gehen auch Daten durch, aber satisfaktionsfähig ist das nicht. IPsec hat eigentlich wenig Overhead. Da sollte nichts langsamer gehen oder hängen nur weil da etwas Crypto gemacht wird. Und wenn man es mit den Plasteroutern schnell haben will, dann kann man sich die Sicherheit schenken.

Ergo: Wenn ihr sauberes IPsec haben wollt, dann nehmt vielleicht mal was anderes an Hardware, wo es geht.
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

TheUnicornXXL
Posts: 54
Joined: December 17th, 2010, 7:08 am

Re: Core 127 / 128 / 129 IPSec stockt alle paar Minuten

Post by TheUnicornXXL » April 15th, 2019, 12:10 pm

Hallo Michael,
MichaelTremer wrote:
April 15th, 2019, 9:24 am
ich vermute mal, dass das an der FritzBox liegt.
Ich muss Dich enttäuschen, bis zum Update der IPFire lief es sauber.
Das Update führte dazu, dass es mit der FirtzBox 7590 Firmware Version 7.01 nicht mehr lief. Irgendwas am Timing o.ä. der IPFire hat sich mit den neuesten Updates geändert.
Mit der Firmware 7.10 läuft es hingegen wieder einwandfrei.

Ich gebe Dir Recht, dass die FritzBox bisher ein Trauerspiel bzgl. IPSec war (und wahrscheinlich ist). Mit den richtigen Parametern konnte man sie ganz gut (aber nicht 100% sicher genug) zum Laufen bekommen.
Anscheinend hat sich da einiges geändert, daher werde ich mir die neuen Parameter der FritzBox bei Gelegenheit durcharbeiten.

Grüße

Stefan

P.s.: Warum ich die FritzBox einsetze?
Zuhause habe ich noch keine Lust mehr Hardware als notwendig einzusetzen.

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5739
Joined: August 11th, 2005, 9:02 am

Re: Core 127 / 128 / 129 IPSec stockt alle paar Minuten

Post by MichaelTremer » April 15th, 2019, 2:44 pm

Hi,

schwer zu sagen ohne Logs. Aber selbst wenn das mit der Fritte rund läuft ist das nicht gerade geil...
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

Post Reply