ubuntuusers.de

Hallo liebe Community,

ich habe ein kleines Problem, ich habe einen Linux PC mit VPN Tunnel am laufen.

Linux Openswan U2.6.38/K3.4-1 (netkey) die Linux Distribution ist für mich nicht ersichtlich.

jetzt passiert es ab und zu mal, dass das Internet kurzzeitig weg bricht (kurzer Ausfall im Sekunden/ms Bereich) und dann wieder da ist. Die Tunnel bleiben augenscheinlich offen, jedoch gehen keine Pings/Trafic zu einzelnen Tunnelendpunkten mehr durch (das Inet ist zu diesem Zeitpunkt bereits wieder da), so lange ich den Tunnel nicht maneull neu starte. Es betrifft nie alle Tunnel, sondern dann meistens 2 bis 3 Stück - habe über 15 Tunnel am laufen. Ist der Tunnel dann neu aufgebaut, bzw. manuell neu gestartet, funktioniert das ganze, wie es soll.

Der Trafic wird vor dem Tunnelneustart ins Internet geroutet, das habe ich schon festgestellt. Nach neustart des entsprechenden Tunnels dann wieder ordnungsgemäß in den Tunnel.

Gibt es zu diesem Thema irgendwelche Problemlösungsansätze, oder zumindest mal irgendwelche Anhaltspunkte, wo/wie ich herausfinden kann, was mit dem einzelnen Tunnel nicht stimmt?

Bin für jeden Tip/Ansatz dankbar.

Beste Grüße Euer Student

Habe zusätzlich in weiteren Linux Foren gepostet, weil mir das Thema wichtig ist.

http://www.linuxforen.de/forums/showthread.php?277511-Linux-Openswan-U2-6-38-VPN&p=1818905#post1818905 http://www.pro-linux.de/forum/viewtopic.php?p=1144611#1144611

IPSec ist nicht ganz trivial, ich vermute dass es die Unterbrechnung von einer Seite bemerkt wird, von der anderen nicht. Deshalb will die eine Seite den Tunnel neu aufbauen, erstellt neue SAs und die andere Seite ist damit nicht einverstanden, siehe auch: http://de.wikipedia.org/wiki/IPsec#Keepalives

Ist aber nur eine Vermutung. Sofern machbar würde ich persönlich von den IPSec VPNs weg migieren hin zu OpenVPN, das läuft nach meiner Erfahrung sehr stabil und der Tunnel bleibt sogar bei wechselnder IP Adressen an den beiden Endpunkten prima weiter.

Guten Morgen nbkr,

vielen Dank schon mal für die Antwort, leider ist das wechseln zu OpenVPN/ClientVPN für mich an dieser Stelle absolut keine Option.

Mit der Beschreibung der Problematik könntest Du recht haben. Aber genau das ist ja, was ich herausfinden möchte ☺ ob der Tunnel zu diesem Zeitpunkt wirklich offen ist, oder ich das nur denke.

Wüsste bisher nicht, wie ich das stichhaltig prüfen kann/soll - bin auf der shell leider nicht ganz so fit wie ich es gerne wäre.

Lässt sich mit ipsec ikeping eventuell Etwas anrichten?

Viele Grüße der Student.

Vermutlich steht im Log der beiden Endpunkte was aufschlussreiches, wo das steht, weiß ich aber leider nicht.