VPN Verbindungen nicht automatisch seit Core 91

Post Reply
d.surace
Posts: 53
Joined: May 14th, 2013, 1:08 pm

VPN Verbindungen nicht automatisch seit Core 91

Post by d.surace » June 29th, 2015, 12:03 pm

Hallo Community,

seit dem Core 91 Update habe ich erneut Probleme mit meinen VPN Verbindungen. Nachdem sich mein Modem neustartet und die Internetverbindung wieder hergestellt ist, verbinden sich die VPN´s nicht mehr automatisch miteinander. In der Core 90 war das kein Problem jetzt seit dem Core 91 Update bleiben alle Verbindungen getrennt bis ich in IPSec gehe und auf speichern klicke.

Jemand eine Idee was das sein könnte?

User avatar
copymaster
Core Developer
Core Developer
Posts: 904
Joined: August 7th, 2012, 6:02 am

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by copymaster » June 29th, 2015, 7:01 pm

Nicht direkt, aber einen Weg, wie man es herausfinden kann:

Starte den IPFire mal neu, dann werden die Tunnel ja nicht aufgebaut, richtig?
Dann kopierst Du Dir die .conf Datei vom IPSec.
Danach klickst Du im Webinterface auf "speichern" und vergleichst dann die .conf Datei vom System mit der, die Du vorher kopiert hast. Welche Unterschiede gibt es?

Plan B:
Im Webinterface die LOGs prüfen, steht da ein Hinweis?!

d.surace
Posts: 53
Joined: May 14th, 2013, 1:08 pm

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by d.surace » June 30th, 2015, 5:32 am

Hallo,

ich habe die IPFire mal neu gestartet danach waren alle VPN (IPSec) Verbindungen "VERBUNDEN"

Hier mal die ipsec.conf

Code: Select all

version 2

conn %default
   keyingtries=%forever

include /etc/ipsec.user.conf

conn db1vpn
   left=*********
   leftsubnet=192.168.100.0/24
   leftfirewall=yes
   lefthostaccess=yes
   right=*********
   rightsubnet=192.168.109.0/24
   leftid="*********"
   rightid="*********"
   ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
   esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
   keyexchange=ikev2
   ikelifetime=1h
   keylife=8h
   dpdaction=restart
   dpddelay=30
   dpdtimeout=120
   authby=secret
   auto=start
   fragmentation=yes

conn vpnbw
   left=*********
   leftsubnet=192.168.100.0/24
   leftfirewall=yes
   lefthostaccess=yes
   right=*********
   rightsubnet=192.168.112.0/24
   leftid="*********"
   rightid="*********"
   ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
   esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
   keyexchange=ikev2
   ikelifetime=1h
   keylife=8h
   dpdaction=restart
   dpddelay=30
   dpdtimeout=120
   authby=secret
   auto=start
   fragmentation=yes

conn pcak
   left=*********
   leftsubnet=192.168.100.0/24
   leftfirewall=yes
   lefthostaccess=yes
   right=*********
   rightsubnet=192.168.117.0/24
   leftid="*********"
   rightid="*********"
   ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
   esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
   keyexchange=ikev2
   ikelifetime=1h
   keylife=8h
   dpdaction=restart
   dpddelay=30
   dpdtimeout=120
   authby=secret
   auto=start
   fragmentation=yes

conn tksa2
   left=*********
   leftsubnet=192.168.100.0/24
   leftfirewall=yes
   lefthostaccess=yes
   right=*********
   rightsubnet=192.168.106.0/24
   leftid="*********"
   rightid="*********"
   ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
   esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
   keyexchange=ikev2
   ikelifetime=1h
   keylife=8h
   dpdaction=restart
   dpddelay=30
   dpdtimeout=120
   authby=secret
   auto=start
   fragmentation=yes

conn vpntgr
   left=*********
   leftsubnet=192.168.100.0/24
   leftfirewall=yes
   lefthostaccess=yes
   right=*********
   rightsubnet=192.168.111.0/24
   leftid="*********"
   rightid="*********"
   ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
   esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
   keyexchange=ikev2
   ikelifetime=1h
   keylife=8h
   dpdaction=restart
   dpddelay=30
   dpdtimeout=120
   authby=secret
   auto=start
   fragmentation=yes

conn sapc
   left=*********
   leftsubnet=192.168.100.0/24
   leftfirewall=yes
   lefthostaccess=yes
   right=*********
   rightsubnet=192.168.157.0/24
   leftid="*********"
   rightid="*********"
   ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
   esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
   keyexchange=ikev2
   ikelifetime=3h
   keylife=8h
   dpdaction=restart
   dpddelay=30
   dpdtimeout=120
   authby=secret
   auto=start
   fragmentation=yes

conn tkak2
   left=*********
   leftsubnet=192.168.100.0/24
   leftfirewall=yes
   lefthostaccess=yes
   right=*********
   rightsubnet=192.168.107.0/24
   leftid="*********"
   rightid="*********"
   ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
   esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
   keyexchange=ikev2
   ikelifetime=1h
   keylife=8h
   dpdaction=restart
   dpddelay=30
   dpdtimeout=120
   authby=secret
   auto=start
   fragmentation=yes

conn vpndb2
   left=*********
   leftsubnet=192.168.100.0/24
   leftfirewall=yes
   lefthostaccess=yes
   right=*********
   rightsubnet=192.168.110.0/24
   leftid="*********"
   rightid="*********"
   ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
   esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
   keyexchange=ikev2
   ikelifetime=1h
   keylife=8h
   dpdaction=restart
   dpddelay=30
   dpdtimeout=120
   authby=secret
   auto=start
   fragmentation=yes


d.surace
Posts: 53
Joined: May 14th, 2013, 1:08 pm

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by d.surace » July 2nd, 2015, 5:28 am

Leider kann ich nicht herausfinden warum die IPSec Netzte nicht automatisch Verbinden... hoffe mal es kommt möglichst bald Core 92 ... mit der 91 ist es schlichtweg unmöglich die Netzte aufrecht zu halten.

Bei uns laufen etwa 80 User über VPN die dann immer warten müssen bis ich auf "Speichern" klicke, da die User 24/7 im Dienst sind, ich aber nicht (Gott sei Dank) müssen die User teilweise mit 14 Stunden ohne Verbindung zum Term.Server auskommen. Am besten wieder Schreibmaschine oder Stift und Papier dazu brauchts kein VPN ;D

d.surace
Posts: 53
Joined: May 14th, 2013, 1:08 pm

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by d.surace » July 3rd, 2015, 5:23 am

Ich habe gestern Nachmittag mal zum testen bei einigen Standorten die Dead Peer Detection Verzögerung auf 120 gestellt. Bei diesen Standorten war heute früh die Verbindung hergestellt, alle anderen waren getrennt. Ich werde diese Einstellung nun für alle Standorte übernehmen und berichte nächste Woche nochmal ob es etwas gebracht hat.

Scheint wohl etwas Licht am Ende des Tunnels :)

Allen ein heißes schönes Wochenende

d.surace
Posts: 53
Joined: May 14th, 2013, 1:08 pm

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by d.surace » July 7th, 2015, 5:17 am

Leider leider....

... war das auch nicht die Lösung für mein Problem :(

Heute morgen waren einige Verbindungen "GETRENNT"...

Morgen gibts einen neuen Anschluss von Unitymedia mal schauen ob der dann stabil läuft ... ohne Ausfälle

T.Lieberum
Posts: 2
Joined: July 16th, 2015, 2:54 pm

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by T.Lieberum » July 20th, 2015, 10:48 am

Dieses Problem ist ärgerlich

ich habe dieses so gelöst

Geht auf Netzwerk / Connection Scheduler

Da wählt ihr dann IPSEC aus und stellt dort mal einen Neustart ein ... seit dem ich das gemacht habe funktioniert der ipsec tunnel bei mir wunderbar
Image

ITechPro
Posts: 37
Joined: October 11th, 2011, 11:15 am

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by ITechPro » July 22nd, 2015, 3:16 pm

Hi,

nachdem auch ich schon vor längerer Zeit ähnliche Probleme mit dem autom. (Wieder-)Aufbau von VPN-Verbindungen via IPSec hatte, hatte ich mir kurzerhand das nachfolgende, kleine Script zum autom. Neustart geschrieben, und Dieses unter /usr/local/sbin/check+restart_vpn.sh gespeichert :

Code: Select all

#!/bin/bash
#
# Script for checking and restarting IPSEC tunnel
#

VPNLANHOST=<IPFIRE remote LAN IP>
VPNPARTNER=<IPFIRE remote WAN IP>

if [ -e /var/ipfire/red/active ]; then
        ping -c 1 -w 5 $VPNPARTNER >/dev/null 2>&1
        if [ $? -eq 0 ]; then
                ping -c 1 -w 5 $VPNLANHOST >/dev/null 2>&1
                if [ $? -ne 0 ]; then
                   # restart VPN
                        logger "check+restart_vpn.sh: IPSEC tunnel seems broken, restarting now"
                        /usr/local/bin/ipsecctrl S >/dev/null 2>&1
                fi;
        else
                logger "check+restart_vpn.sh: Host $VPNPARTNER did not reply on ping request. Down?"
        fi;
fi;


Dann u.a. noch einen symbolischen Link zu /etc/fcron.cyclic/check+restart_vpn.sh via:

Code: Select all

ln -s /usr/local/sbin/check+restart_vpn.sh /etc/fcron.cyclic/check+restart_vpn.sh
chmod 0755 /usr/local/sbin/check+restart_vpn.sh
/etc/rc.d/init.d/fcron restart


Durch den Aufruf via fcron.cyclic wird der VPN-Tunnel i.d.R. nach max. 5min wieder aufgebaut.

Dies habe ich auf all meinen permanent verbunden "Filial"-IPFires seit geraumer Zeit erfolgreich am Laufen.

Für Rückmeldungen und ggf. notwendige "Verfeinerungen" des Scripts bin ich dankbar.

femi
Posts: 42
Joined: October 2nd, 2018, 9:21 am

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by femi » July 17th, 2019, 5:41 am

Hallo Zusammen,
ich habe das Script auf meinem Ipfire getestet, leider funktioniert es nicht.
Kann es sein daß man da inzwischen noch Änderungen machen muß? Oder gibt es inzwischen eine bessere Lösung?
DPD funktioniert anscheinend bei IkeV1 Verbindungen nicht.

ITechPro
Posts: 37
Joined: October 11th, 2011, 11:15 am

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by ITechPro » July 17th, 2019, 9:29 am

Hallo femi,

ich habe meine Tunnel zwischenzeitlich auf "Bei Bedarf" bzw. "on demand" umgestellt, benötige damit und setze das Script deshalb nicht mehr ein.

Es sollte aber bei Nichterreichbarkeit der IP-Adresse des VPN-Partners/-Firewall (<VPNLANHOST>, <VPNPARTNER>) einen Logeintrag erzeugen:
- "check+restart_vpn.sh: IPSEC tunnel seems broken, restarting now" oder
- "check+restart_vpn.sh: Host $VPNPARTNER did not reply on ping request. Down?"

Ist einer dieser Logeinträge vorhanden, und wenn ja welcher ?

PS: Eine Notwendigkeit für Änderungen an dem Script kann ich i.M. nicht erkennen.

femi
Posts: 42
Joined: October 2nd, 2018, 9:21 am

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by femi » July 17th, 2019, 12:47 pm

Hallo ITechPro,
Log Eintrag ist da:

Code: Select all

check+restart_vpn.sh: Host  did not reply on ping request. Down? 
der andere Eintrag ist nicht zu finden.

ITechPro
Posts: 37
Joined: October 11th, 2011, 11:15 am

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by ITechPro » July 17th, 2019, 3:19 pm

dann war der Versuch den anderen VPN-Partner per "ping" zu erreichen erfolglos, und das Script beendet sich ohne den VPN-Tunnel neu zu starten.

Die Ursachen hierfür können z.B. sein:
1. im Script wurde von Dir <IPFIRE remote WAN IP> nicht durch dessen IP-Adresse oder einen per DNS auflösbaren Hostnamen ersetzt
2. falls ein Hostname angegeben wurde, ist dieser nicht per DNS auflösbar
3. diese IP-Adressse ist tatsächlich nicht (mehr) erreichbar, wodurch dann auch kein Tunnel aufgebaut werden kann
4. diese IP-Adresse antwortet nicht auf ICMP echo-requests (8)
Last edited by ITechPro on July 17th, 2019, 3:38 pm, edited 1 time in total.

femi
Posts: 42
Joined: October 2nd, 2018, 9:21 am

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by femi » July 17th, 2019, 3:30 pm

du hast recht, ich hatte die ersten Codezeilen nicht gesehen.
Hatte mich schon gewundert wo wohl die Variable herkommt.
Wie mache ich das dann für meine anderen Tunnel?
Mehrere Scripte anlegen?

ITechPro
Posts: 37
Joined: October 11th, 2011, 11:15 am

Re: VPN Verbindungen nicht automatisch seit Core 91

Post by ITechPro » July 17th, 2019, 3:35 pm

das Einfachste sind mehrere, unterschiedlich benamte Scripte.
Eleganter wäre es das Script entspr. für mehrere VPN-Partner zu erweitern ;)

Post Reply