Hallo Community
Habe folgende Konstellation:
- Centro Business Router mit fixer IP
- DMZ auf Port 1 aktiviert
- Sonicwall von WAN auf Port1 CB
- 3 Site-to-Site VPN Profile auf Sonicwall
Leider passiert immer wieder folgendes:
- 1 Site-to-Site VPN Verbindung funktioniert nach 5-10 Tagen nicht mehr (immer die gleiche)
- Wenn ich die Sonicwall neu starte gehen keine Site-to-Site VPNs mehr
- Manchmal gehen alle wieder wenn ich beide Geräte vom Strom trenne
Die Sonicwall wurde schon ersetzt und komplett neu konfiguriert.
Der Router an der Problemniederlassung wurde ersetzt.
Alle Logs kontrolliert, Firmware updates gemacht auch vom CB
Sonicwall Support konnte auch nichts finden.
Das einzige was sie gemeint haben soll ein Problem mit Port 4500 sein.
Ich hoffe jemand hat mir einen Denkanstoss denn ich weiss nicht weiter.
Vielen Dank und Gruss
Daniel
Wie ist das Setup auf den Gegenstellen?
Auch überall ein Business Internet Service mit fixem IP Subnet und DMZ auf LAN1 und einer Sonicwall dahinter?
Die Gegenstellen sind alle gleich (jedoch zu einem anderen Zeitpunkt, 2.5 Jahre, 1.5 Jahre und 6 Monate) installiert worden.
Die Firewall (auch Sonicwalls) sind hinter dem Router und dazwischen ist ein eigenes Netz definiert.
Sie bauen das Site-to-Site auf und haben das Keep Alive aktiviert. ISP ist überall Sunrise.
Was steht den in den Logs?
Von Seite CB sehe ich kein generelles Problem. Habe zig Verbindungen genau so im DMZ LAN 1 in Betrieb.
Aber keine Sonicwall sondern pfsense zu pfsense und anderen Firewalls wie auch Fremdprovider auf den Gegenstellen und da läuft es ohne Unterbruch.
Ahh das Problem kommt mir bekannt vor 🙂
Ich hatte das gleiche bei einem Szenario von 6 VPN Verbindungen, eine Verbindung hat nach einer gewissen Zeit die Verbindung verloren. Nach einem Neustart lief es dann wieder.
Darf ich Fragen, die Verschlüsselung lautet nicht per Zufall esp/aes-256/sha1?
Und die anderen beiden VPN Verbindungen haben eine andere Verschlüsselung?
In den Logs findet sich leider kein Anhaltspunkt. Ich sehe dass er einen Tunnel herstellen will aber
es klappt dann einfach nicht. Verschlüsselung habe ich bei allen die gleiche einfach default weiss gerade
die Parameter nicht. Am Mittwoch bekomme ich die Chance auf die Gegenstelle zu zu greifen dann werde ich mal
die Verschlüsselung anpassen. Glaube es ist ESP/3DES/SHA1.
Ich werde dann berichten.
Danke Euch beiden soweit und Gruss
Daniel
Update:
Also das VPN funktioniert wieder mal, die Frage ist nur wie lange.
Wir haben dort noch ein Gerät vom Netz genommen, dass anscheinend defekt ist und ich hab
mich dann an der Firewall angemeldet. Danach war der Tunnel da.
Sollte sich wieder etwas tun werde ich es hier berichten.
Das VPN hat sich wieder verabschiedet. Konnte einen Remotezugang organisieren und gemäss folgender Anleitung habe ich die Site-to-Site VPN's angepasst und nun läuft alles wieder:
https://www.sonicwall.com/support/knowledge-base/?sol_id=170505565649605
Geändert habe ich folgendes:
MTU auf WAN Port Sonicwall auf 1492 gesetzt (einer war auf 1400 und einer auf 1500).
Den IKE Exchange auf Aggressive Mode angepasst.
Enable Prefect Forward Secrecy überall deaktiviert.
Ich hoffe das bleibt nun so