VPN Verbindung wird abgebrochen

[GrooveAttack]

Hallo,

seit gestern abend wird eine netzt-zu-netz Verbindung ständig getrennt, dazu folgende Nachrichten aus dem Log:

Apr 21 14:54:15 mail pluto[12853]: "C20": terminating SAs using this connection
Apr 21 14:54:15 mail pluto[12853]: "C20" #2124: deleting state (STATE_QUICK_I2)
Apr 21 14:54:15 mail pluto[12853]: "C20" #2124: down-client output: connection C20 broke
Apr 21 14:54:15 mail vpnscripts[473]: connection C20 broke
Apr 21 14:54:15 mail postfix: succeeded
Apr 21 14:54:15 mail named[10440]: loading configuration from '/etc/named.conf'
Apr 21 14:54:15 mail named: named reload succeeded
Apr 21 14:54:15 mail pluto[12853]: "C20" #2123: deleting state (STATE_MAIN_I4)
Apr 21 14:54:15 mail pluto[12853]: packet from (externe IP):500: Informational Exchange is for an unknown (expired?) SA
Apr 21 14:54:15 mail pluto[12853]: "C20": deleting connection
Apr 21 14:54:15 mail pluto[12853]: loaded host cert file '/usr/intranator/keys/private/3.cert.pem' (1521 bytes)
Apr 21 14:54:15 mail pluto[12853]: loaded host cert file '/usr/intranator/keys/public/12.pem' (1314 bytes)
Apr 21 14:54:15 mail pluto[12853]: added connection description "C20"
Apr 21 14:54:15 mail pluto[12853]: packet from (externe IP):500: Informational Exchange is for an unknown (expired?) SA
Apr 21 14:54:15 mail pluto[12853]: "C20" #2125: initiating Main Mode
Apr 21 14:54:16 mail pluto[12853]: "C20" #2125: Main mode peer ID is ID_DER_ASN1_DN: 'CN=ppsator.net.local'
Apr 21 14:54:16 mail pluto[12853]: "C20" #2125: Issuer CA certificate not found
Apr 21 14:54:16 mail pluto[12853]: "C20" #2125: X.509 certificate rejected
Apr 21 14:54:16 mail pluto[12853]: "C20" #2125: ISAKMP SA established
Apr 21 14:54:16 mail pluto[12853]: "C20" #2126: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS
Apr 21 14:54:17 mail postfix: succeeded
Apr 21 14:54:17 mail named[10440]: loading configuration from '/etc/named.conf'
Apr 21 14:54:17 mail named: named reload succeeded
Apr 21 14:54:17 mail pluto[12853]: "C20" #2126: sent QI2, IPsec SA established

Auf der Gegenseite wird die Verbindung als nicht unterbrochen dargestellt und es funktioniert auch alles- was ist da los?

Danke und Gruß

Sebastian Wendeler
Groove Attack GmbH

[Thomas Jarosch]

Hallo Herr Wendeler,

haben Sie den Ping unter "Dienste > VPN > Verbindungen : Zeit" aktiviert?

Herzliche Grüsse,
Thomas Jarosch

[GrooveAttack]

Zitat:

Originally posted by Thomas Jarosch
Hallo Herr Wendeler,

haben Sie den Ping unter "Dienste > VPN > Verbindungen : Zeit" aktiviert?

Herzliche Grüsse,
Thomas Jarosch

Jetzt nur noch auf einer Seite- und siehe da: kein Verbindungsabbruch mehr...

Aber warum moniert der Inranator den Aussteller der CA und weist das Zertifikat ab (obwohl es ja offensichtlich dann doch akzeptiert)?

[Thomas Jarosch]

Zitat:

etzt nur noch auf einer Seite- und siehe da: kein Verbindungsabbruch mehr...

Sobald richtig viel auf der Leitung los ist (und das Bandbreitenmanagement nicht aktiviert ist) kommen die Ping-Pakete nicht mehr durch -> Das System denkt, die Verbindung sei zusammengebrochen.

Der Klassiker ist übrigends eine IP zu pingen, die nicht existiert oder nur manchmal an ist

Zitat:

Aber warum moniert der Inranator den Aussteller der CA und weist das Zertifikat ab (obwohl es ja offensichtlich dann doch akzeptiert)?

Das ist in Ordnung so und kann ignoriert werden. Gehört in die gleiche Kategorie wie die "Fritz! Karte" Fehlermeldung der "unresolved symbols" beim Booten.

Herzliche Grüsse,
Thomas Jarosch

Um die Antwort von Herrn Jarosch etwas zu vervollständigen:
Der Intranator verwendet Self Signed Zertifikate. Sprich verwendet keine bekannte Root-CA als Austeller dieses Zertifikates.
Das führt zu besagter Meldung, mindert aber in keiner Weise die Funktion/Sicherheit der VPN-Verbindung.

Viele Grüsse
Mirko Tochtermann