Für die Wartung verschiedener Cloud-Server ist aus Sicherheitsgründen deren SSH-Zugang auf die feste IP-Adresse der Firma beschränkt.
Aus dem Homeoffice besteht jeweils ein VPN-Zugang zur Firma.
Um nun aus dem Homeoffice Zugriff auf die Cloud-Server zu erhalten, sind in der VPN-Konfiguration der FRITZ!Box zusätzlich die IP-Adressen der Cloud-Server eingetragen und im Router der Firma entsprechende VPN Netzwerk-Regeln definiert, so dass die SSH-Verbindung zunächst durch den VPN-Tunnel zum Router der Firma fließt und dann von dort - durch das NAT geleitet - zum Cloud-Server. Entsprechende Firewall-Regeln existieren selbstverständlich auch.
Prinzipiell funktioniert der Zugriff wie gewünscht, jedoch kommt es immer wieder zu Hängern, die sehr störend sind. Diese treten regelmäßig beim ersten SSH-Verbindungsversuch nach dem Aufbau der VPN-Verbindung auf (der SSH-Verbindungsversuch schlägt dann sogar fehl), jedoch auch immer wieder sporadisch im Betrieb (dann treten nur Hänger auf).
Mit LANtracer konnte ich ermitteln, dass Folgendes passiert:
Ein SSH-Client im Homeoffice wird gestartet, das erste Paket passiert den VPN-Tunnel und wird zum Cloud-Server geschickt, die Antwort vom Cloud-Server kommt im LANCOM-Router an, hier wird das Paket verworfen mit folgender Fehlermeldung:Die Fehlermeldung ist natürlich ausführlicher und enthält u.a. die zu erwartenden IP-Adressen. Ein zeigt, dass es in der Tat keinen Eintrag in der SADB für die Rückroute des Pakets gibt, obwohl eine entsprechende VPN Netzwerk-Regel existiert. Dieses Verhalten bleibt über ca. 10 Sekunden stabil, so dass (vermutlich) Retries auch fehlschlagen und der SSH-Client schließlich aufgibt. Der nächste Versuch, den SSH-Client zu starten, funktioniert nun, in der SADB steht jetzt die benötigte Regel und die Antwort vom Cloud-Server wird nicht mehr verworfen. Dabei konnte ich beobachten, dass Einträge für mehrere - aber nicht alle - Cloud-Server entstehen, obwohl zu diesem Zeitpunkt nur ein Cloud-Server angesprochen worden ist. Außerdem konnte ich beobachten, dass sogar der Eintrag für eine SSH-Verbindung zum LANCOM-Router selbst aus der SADB verschwand und in dieser SSH-Session der beschriebene Hänger auftrat.
Aufgrund dieser Beobachtungen scheint mir die Security Association (SA) "nicht stabil" zu sein.
Liegt noch ein Konfigurationsfehler vor bzw. wie können wir dafür sorgen, dass die SADB die Einträge länger behält?
Weitere Informationen:
Aus dem Homeoffice besteht jeweils ein VPN-Zugang zur Firma.
Code:
============= ================= ================| FRITZ!Box | <- VPN -> | LANCOM 1784VA | <- SSH -> | Cloud-Server |============= ================= ================ Homeoffice Firma, feste IP Cloud-Provider 192.168.x.x 10.y.y.y IP a.b.c.dPrinzipiell funktioniert der Zugriff wie gewünscht, jedoch kommt es immer wieder zu Hängern, die sehr störend sind. Diese treten regelmäßig beim ersten SSH-Verbindungsversuch nach dem Aufbau der VPN-Verbindung auf (der SSH-Verbindungsversuch schlägt dann sogar fehl), jedoch auch immer wieder sporadisch im Betrieb (dann treten nur Hänger auf).
Mit LANtracer konnte ich ermitteln, dass Folgendes passiert:
Ein SSH-Client im Homeoffice wird gestartet, das erste Paket passiert den VPN-Tunnel und wird zum Cloud-Server geschickt, die Antwort vom Cloud-Server kommt im LANCOM-Router an, hier wird das Paket verworfen mit folgender Fehlermeldung:
Code:
--> Discarded, sa lookup failedCode:
show vpn sadbAufgrund dieser Beobachtungen scheint mir die Security Association (SA) "nicht stabil" zu sein.
Liegt noch ein Konfigurationsfehler vor bzw. wie können wir dafür sorgen, dass die SADB die Einträge länger behält?
Weitere Informationen:
- Im Prinzip nutzen wir das gleiche Szenario, wie in diesem Thema beschrieben: viewtopic.php?t=16316
- Es wird nur IPv4 benutzt
- LCOS ist 10.72.0484RU6
- Die VPN-Regelerzeugung steht auf "automatisch", zusätzlich sind IPv4-Netzwerk-Regeln angegeben. Bei manueller Regelerzeugung ändert sich das beschriebene Verhalten jedoch nicht (ist laut diesem Beitrag viewtopic.php?p=105394&hilit=regelerzeugung+vpn#p105394 auch nicht zu erwarten).
- Es gibt mehrere Homeoffice-Zugänge
- Es gibt mehrere Cloud-Server
Statistik: Verfasst von Hagen2000 — Gestern, 10:57
