Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 37 subscribers
  • Views 6558 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verbindungsabbrüche - Dienstunabhängig

Scorp1337
Hallo Community!
wir haben eine ASG120 mit Softwareversion 8.202 im hochverfügbarkeitsbetrieb (zwei ASG120er).

Eine Kollegin, die häufig Homeoffice macht, hat festgestellt das es immer wieder einen Verbindungsabbruch gibt. Allerdings lässt sich der CISCO VPN Client sofort wieder verbinden und alles geht ganz normal weiter.

...mit immer wieder meine ich nach einer relativ langen Zeit (1 - 2 Stunden), allerdings unabhängig von Wochentagen, Tages- oder Nachtzeiten. Bei meinem eigenen Privat-PC passiert das Gleiche.

Weiterhin hat ein externer Mitarbeiter (der einzige mit Jabberclient von außen) berichtet, dass sein Spark und Psi (Jabberclients) nach einer langen Zeit die Verbindung verlieren.


---> Meine Vermutung ist, dass es an der Astaro liegt.
---> Meine Frage: Gibt es eine Einstellung/Funktion in der Astaro die eine dauerhafte Verbindung nach gewisser Zeit trennt?


This thread was automatically locked due to age.
Parents
  • 0
    (Sorry, I can't get my German-speaking brain to work [:(])

    This was discussed earlier this month in the VPN forum: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54186

    Apparently, the problem is that IPsec tries to negotiate a new Security Association (SA) after one hour.  If the IPsec daemon can't get a response to a ping, it assumes that the client isn't there, and then closes the connection.  What happens if you select 'Firewall is Ping visible' and 'Ping from Firewall' on the 'ICMP' tab?

    If that doesn't fix the problem, please post the 20+ lines from the IPsec log before the "connection terminated" message.
     
    MfG - Bob (Bitte, auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    (Sorry, I can't get my German-speaking brain to work [:(])

    This was discussed earlier this month in the VPN forum: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54186

    Apparently, the problem is that IPsec tries to negotiate a new Security Association (SA) after one hour.  If the IPsec daemon can't get a response to a ping, it assumes that the client isn't there, and then closes the connection.  What happens if you select 'Firewall is Ping visible' and 'Ping from Firewall' on the 'ICMP' tab?

    If that doesn't fix the problem, please post the 20+ lines from the IPsec log before the "connection terminated" message.
     
    MfG - Bob (Bitte, auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi BAlfson!
    danke für die Antwort. Ich habe es jetzt getestet. Inzwischen kann ich auch sagen, dass der Cisco VPN Client folgende Message bringt, sowie wie lang die Verbindung aufrecht erhalten wird: 
    Connection terminated by Peer .

    Reason 433: (Reason not specified by Peer)

    Duration: 02:09:42

    Außerdem hier der IPsec Log... hab mal ein wenig maskiert...
    Die Einstellungen mit dem ICMP habe ich natürlcih vorher gesetzt. 
    2011:10:26-11:11:56 721astaro-1 pluto[6746]: | state hash entry 6

    2011:10:26-11:11:56 721astaro-1 pluto[6746]: "D_REF_mzzgsRmeni_19"[11] 111.222.333.444:52827: deleting connection "D_REF_mzzgsRmeni_19"[11] instance with peer 111.222.333.444 {isakmp=#0/ipsec=#0}

    2011:10:26-11:11:56 721astaro-1 pluto[6746]: | creating state object #22136 at 0x95a62e0

    2011:10:26-11:11:56 721astaro-1 pluto[6746]: | instantiated "D_REF_mzzgsRmeni_19" for 111.222.333.444

    2011:10:26-11:11:56 721astaro-1 pluto[6746]: | inserting event EVENT_SA_REPLACE, timeout in 3930 seconds for #6693

    2011:10:26-11:11:56 721astaro-1 pluto[6746]: | ICOOKIE:  07 3a 94 f7  7d fc 71 ea

    2011:10:26-11:11:56 721astaro-1 pluto[6746]: | RCOOKIE:  08 ac 62 b3  9d 28 98 72

    2011:10:26-11:11:56 721astaro-1 pluto[6746]: | peer:  95 ac 8e bb

    2011:10:26-11:11:56 721astaro-1 pluto[6746]: | state hash entry 6

    2011:10:26-11:11:56 721astaro-1 pluto[6746]: | next event EVENT_SA_EXPIRE in 3 seconds for #6694

    2011:10:26-11:11:59 721astaro-2 pluto[15806]: | 

    2011:10:26-11:11:59 721astaro-2 pluto[15806]: | *time to handle event

    2011:10:26-11:11:59 721astaro-2 pluto[15806]: | event after this is EVENT_SA_SYNC_UPDATE in 12 seconds

    2011:10:26-11:11:59 721astaro-2 pluto[15806]: "D_REF_mzzgsRmeni_18"[19] 111.222.333.444:52827 #6694: IPsec SA expired (LATEST!)

    2011:10:26-11:11:59 721astaro-1 pluto[6746]: | executing down-client: 2>&1 PLUTO_VERSION='1.1' PLUTO_VERB='down-client' PLUTO_CONNECTION='D_REF_mzzgsRmeni_18' PLUTO_NEXT_HOP='111.222.333.444' PLUTO_INTERFACE='eth1' PLUTO_REQID='75573' PLUTO_ME='555.666.777.888' PLUTO_MY_ID='721astaro.domain.de' PLUTO_MY_CLIENT='0.0.0.0/0' PLUTO_MY_CLIENT_NET='0.0.0.0' PLUTO_MY_CLIENT_MASK='0.0.0.0' PLUTO_MY_PORT='0' PLUTO_MY_PROTOCOL='0' PLUTO_PEER='111.222.333.444' PLUTO_PEER_ID='C=de, L=StadtStadt, O=domain, CN=Max Mustermann, E=Max.Mustermann@domain.de' PLUTO_PEER_CLIENT='10.242.5.2/32' PLUTO_PEER_CLIENT_NET='10.242.5.2' PLUTO_PEER_CLIENT_MASK='255.255.255.255' PLUTO_PEER_PORT='0' PLUTO_PEER_PROTOCOL='0' PLUTO_PEER_CA='C=de, L=StadtStadt, O=domain, CN=domain VPN CA, E=it@domain.de' /usr/libexec/ipsec/updown classic

    2011:10:26-11:11:59 721astaro-2 pluto[15806]: | ICOOKIE:  07 3a 94 f7  7d fc 71 ea

    2011:10:26-11:11:59 721astaro-2 pluto[15806]: | RCOOKIE:  08 ac 62 b3  9d 28 98 72

    2011:10:26-11:11:59 721astaro-2 pluto[15806]: | peer:  95 ac 8e bb

    2011:10:26-11:11:59 721astaro-2 pluto[15806]: | state hash entry 6

    2011:10:26-11:11:59 721astaro-2 pluto[15806]: | executing down-client: 2>&1 PLUTO_VERSION='1.1' PLUTO_VERB='down-client' PLUTO_CONNECTION='D_REF_mzzgsRmeni_18' PLUTO_NEXT_HOP='111.222.333.444' PLUTO_INTERFACE='eth1' PLUTO_REQID='43085' PLUTO_ME='555.666.777.888' PLUTO_MY_ID='721astaro.domain.de' PLUTO_MY_CLIENT='0.0.0.0/0' PLUTO_MY_CLIENT_NET='0.0.0.0' PLUTO_MY_CLIENT_MASK='0.0.0.0' PLUTO_MY_PORT='0' PLUTO_MY_PROTOCOL='0' PLUTO_PEER='111.222.333.444' PLUTO_PEER_ID='C=de, L=StadtStadt, O=domain, CN=Max Mustermann, E=Max.Mustermann@domain.de' PLUTO_PEER_CLIENT='10.242.5.2/32' PLUTO_PEER_CLIENT_NET='10.242.5.2' PLUTO_PEER_CLIENT_MASK='255.255.255.255' PLUTO_PEER_PORT='0' PLUTO_PEER_PROTOCOL='0' PLUTO_PEER_CA='C=de, L=StadtStadt, O=domain, CN=domain VPN CA, E=it@domain.de' PLUTO_XAUTH_ID='Max.Mustermann' /usr/libexec/ipsec/updown classic

    2011:10:26-11:11:59 721astaro-1 pluto[6746]: id="2202" severity="info" sys="SecureNet" sub="vpn" event="Connection terminated" username="C=de, L=StadtStadt, O=domain, CN=Max Mustermann, E=Max.Mustermann@domain.de" variant="ipsec" srcip="111.222.333.444" virtual_ip="10.242.5.2"
Unfiltered HTML