This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec VPN Tunnel zwischen SG und bintec be.ip Plus

Hallo Zusammen,

wir haben einen IPsec VPN Tunnel zwischen einer SG 135 und einem bintec be.ip plus. Wenn der Tunnel verbunden ist, funktioniert alles einwandfrei. Ist der Tunnel nicht mehr vorhanden, können wir diesen Tunnel nur mit der SG neu starten, d.h. wir müssen die IPSec Connection in der SG aus- und wieder einschalten. Von der bintec-Seite wird der Tunnel nicht wieder aufgebaut, ein ping jeweils in die andere Richtung baut den Tunnel ebenfalls nicht wieder auf. Welche Parameter haben wir falsch eingestellt, bzw. wo können wir diese überprüfen?

Wenn permanent mit dem Tunnel gearbeitet wird, ist dieser den ganzen Tag stabil.

Vielen Dank im Voraus

Uwe



This thread was automatically locked due to age.
Parents
  • Hallo Uwe,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Do you have DPD and NAT-T configured in both devices?  Is the bintec configured to initiate a connection if the tunnel stops working?  What do you see in the IPsec log when the tunnel goes down?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob,

    vielen Dank für die schnelle Antwort.

    Von Anfang auf der be.ip Plus eingeschaltet:

    Nat-Traversal 30 sekunden

    Erreichbarkeitsprüfung: "Automatische Erkennung", könnte in DPD geändert werden

     

    In der SG:

    Use Dead Peer Detection

    Use Nat Traversal mit keepalive 60 sekunden

     

    Der Tunnel ist inzwischen seit 1 Tag und 21 Stunden "up".

    Wir haben davor noch folgendes geändert:

    In der be.ip Plus:

    Startmodus: Immer aktiv vorher: war "Auf Anforderung"

    sowie "Lokale Dienste" -> "Überwachung" einen Ping-Generator zur UTM eingerichtet; alle 10 sek 3 Pings

    in der SG:

    wir hatten VPN ID type: IP address

    und in VPN ID die Public IP der be.ip Plus eingetragen, diesen Eintrag haben wir gelöscht

     

    Wir hoffen, dass der Tunnel stabil bleibt.

    Ggfs. würde ich mich erneut melden.

    Uwe

     

  • Hallo Bob,

    nachdem es nun fast 7 Tage funktioniert hat, gestern sogar die Internetverbindung auf der Sophos Seite durch den Provider gestört war und anschließend der Tunnel ohne Eingriff wieder aufgebaut war, mussten wir heute früh in der Sophos wieder manuell unter IPsec die Connection aus- und wieder einschalten.

    Der Tunnel war zu diesem Zeitpunkt seit ca. 20 Minuten down, laut E-Mail Benachrichtigung der SG.

    Vielen Dank für ggfs. noch einen weiteren Hinweis

    Uwe

  • Hallo Bob,

    wir haben inzwischen noch folgenden Beitrag in der Community gefunden:

    Sophos UTM 9 IPSec Site-to-Site vpn - bintec vpn 25 after 1-2 hours no more packets

    leider ist dort keine endgültige Lösung beschrieben, bzw. wird dort geschrieben, dass der bintec ersetzt werden soll.

    Uwe

  • Hallo Uwe,

    Maybe the easiest workaround is to have a cron job that toggles the tunnel off/on every morning...

    You can get the REF_ for an IPsec tunnel named bintec with the following command:

    cc get_object_by_name ipsec_connection site_to_site 'bintec'|grep \'ref

    That would give you an answer like REF_IpsSitBintec.  You could then have the tunnel disabled and enabled every morning at 06:00 by inserting the following command into /etc/crontab-static:

    0 6 * * *  root  /usr/local/bin/confd-client.plx change_object 'REF_IpsSitBintec' status 0 ; /usr/local/bin/confd-client.plx change_object 'REF_IpsSitBintec' status 1

    Now, to force those lines to be incorporated into /etc/crontab, change the 'Firmware Download Interval' to a different setting and [Apply].

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo Bob,

    vielen Dank, werde es umgehend einrichten.

    Kunde hat bereits einen 2. Anschluss beantragt, dort wird ebenfalls eine SG angeschlossen.

    MfG Uwe

Reply Children
No Data