Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 7 subscribers
  • Views 1519 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec VPN hinter Digibox - Route wird abgebrochen

Norbert Horn

Servus,

wir haben von unserer SG-UTM zu unseren Kunden einen IPSEC-VPN aufgebaut, fast alle Tunnel laufen fehlerfrei. Wir haben jedoch bei einigen Kunden Problem das die Routen zum/vom Kunden plötzlich nicht mehr funktionieren, in der Routingtabelle sind sie eingetragen und der Tunnel ist online. Wenn wir den Tunnel beenden und wieder starten funktioniert er sofort wieder. Bei allen Kunden steht ebenfalls eine SG-UTM.

Das Problem ist jedoch nur dann wenn der Kunde eine Digibox der Deutschen Telekom hat, bei Kunden mit einer Fritzbox gibt es keine Probleme. 

Die Konfiguration ist bei allen Kunden identisch. Wir haben testweise die Tunnel umgestellt das die Kunden-UTM zu uns initiiert, es gab hier aber keine Veränderung, das Problem ist das Gleiche.

Wie gesagt, wenn der Tunnel kurzzeitig beendet und gestartet wird, funktioniert er sofort wieder, teilweise über mehrere Stunden, bei anderen wieder nur für weniger als eine Stunde.



This thread was automatically locked due to age.
  • FormerMember
    0 FormerMember

    Hi ,

    Thank you for reaching out to Sophos Community.

    Assuming Digibox is only configured to forward IPsec(500-4599) related traffic to SG-UTM.

    I would suggest checking whether UTM forwards the traffic correctly over IPsec tunnel or not at the time of instance.

    Perform the steps below to check espdump at both ends.

    How to capture and decrypt ESP traffic

    ==> Find the REF objects that correspond to the tunnel.

    cc > ipsec > connections@

    note REF name for the affected tunnel(eg. REF_abcxyz123).

    ==> Run espdump on the tunnel reference.

    # espdump -n --conn REF_abcxyz123

    You can filter above command with specific source/destination IP

    eg. espdump -n --conn REF_abcxyz123 | grep "10.10.10.10"

  • 0

    Hallo Norbert,

    Glück dabei gehabt?

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    Ist auf beiden Seiten DPD (dead peer detection) aktiviert?

    Das sollte den Tunnel automatisch abbauen / neuinitieren wenn etwas "klemmt".

    Ich denke, dass die TCom den Tunnel wegwirft, wenn es mal eng wird. Ohne DPD können die Partner davon u.U. nichts mitbekommen.

    PS: Wenn es mit IPSec Probleme gibt, kann zwischen 2 SG auch eine andere Tunnelvariante verwendet werden. Ich arbeite gern mit den RED-Tunneln zwischen SG. Einfach einzurichten und wegen der L2-nahen Kopplung geht sogar OSPF. Das ganze natürlich Parallel zu den bestehenden IPSec Tunneln ohne diese zu beeinträchtigen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML