Seltsames VPN Problem (IPsec)

    Hallo Leute,

    ich habe am letzte Woche meine UCG Max gegen eine UCG Fiber getaucht und das Backup eingespielt. 2 Tage hat alles wunderbar funktioniert.

    Meine UCG Fiber hängt hinter eine FB, welche die entsprechenden Portfreigaben konfiguriert hat. (500 + 4500 UDP + ESP)

    Ich habe zwei IPsec Site-to-Site VPN zu anderen Unifi Gateways. Das lief seit Monaten problemlos.

    Jetzt zum Problem, die VPN zwischen mir und beiden anderen Standorten wird nicht mehr aufgebaut. Ich habe schon Stunden investiert und komme nicht weiter.

    Was wurde vor 2 Tagen geändert. Auf beiden Remote Gateway wurde Network Version 9.5.21 eingespielt. Auf meiner UCG Fiber / Max was das schon länger drauf.

    Ich habe an meiner Unifi noch ein 2. WAN mit einer öffentlichen IP Adresse, wenn ich die VPN auf diese umstelle, baut sich die VPN wieder auf.

    Daher habe ich die Vermutung, dass mit 9.5.21 sich irgendwas an der VPN Aufbauanfrage geändert hat. ggf. müssen nun mehr Ports an der FritzBox geöffnet werden. Allerdings kann ich dazu nichts finden oder wüsste auch nicht welche Logs ich auslesen kann.


    Hat jemand eine Idee?

    VG und danke für euer Feedback!

    Ich glaub ich habe es gefunden.

    Vermutlich wird mit 9.5.21 der Hostname mit der IPv6 Adresse aufgelöst und deswegen verbinden sich die Remote Gateways nicht mehr. Sobald ich den Hostname auf die IP Adresse ändere, klappt die VPN wieder.

    Sobald ich einen Hostname nehme, der nur v4 auflöst geht´s wieder. Seltsam.....

    Warum seltsam? Das ist eigentlich normales Verhalten. Nicht normal ist, dass das Verhalten ohne Hinweis (hab die Patchnotes nicht gelesen) umgeändert wurde ... soweit das bei Ubiquiti überhaupt Absicht war :P

    Ein OS bevorzugt IPv4 oder IPv6, dementsprechend wird der Aufbau einer Verbindung zu einem hostnamen über IPv4 oder IPv6 versucht. Wenn man im DNS beides drin hat, dann sollte man auch dafür sorgen, dass beide IP Versionen funktionieren, ansonsten halt nur IPv4 ins DNS eintragen. Falls man dann doch noch einen IPv6 Dienst hat, muss man eben einen anderen hostnamen verwenden.


    Das ist ein häufiger auftretendes Problem .... merkt man gerne mal wenn der IPv6 Stack rumspinnt und diverse Websiten vermeindlich down sind.

    Ich habe mir die Release Note zu 9.5.21 angeschaut und nichts gefunden.

    Grund für das Update war nämlich dieser Bugfix:

    Quote
    • Fixed an issue where Site-to-Site VPN configurations weren't updated when the WAN DHCP IP changed.

    Ich würde mal behaupten, dass an meiner UCG Fiber auch IPv6 IPsec offen ist, da die entsprechenden Ports freigegeben sind.

    Die beiden Remote Gateway haben aber nicht mal IPv6 sondern sind nur mit IPv4 online. Daher wunder mich das ziemlich. Für den moment läufts wieder und ich hake das Thema mal ab :)

    Danke für dein Feedback.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login