Site to Site VPN Zeitüberschreitung

Hallo Zusammen

Ich habe schon mehrfach VPN Netzwerke auch mit Ubiquiti aufgebaut, doch leider stehe ich aktuell seit über 1 Woche vor einem grossen Problem und wende mich daher an euch in der Hoffnung das eventuell jemand ein identisches Problem bereits Lösen konnte.

Das Szenario ist folgendes das der VPN Tunnel zwischen der UDM-Pro (Heimnetzwerk) und der USG4 Pro (Rechenzentrum) zwar zustande kommt und auch ein Ping von beiden Seiten in das entfernte Netzwerk möglich ist, jedoch ist das Aufrufen von Webseiten vom Heimnetzwerk zum Rechenzentrum nur sporadisch möglich (jeder gefühlt 50te Versuch Glückt und nach dem aktualisieren kommt wieder eine Zeitüberschreitung). Kleinere Webseiten wie die Verwaltungsoberfläche eines Mikrotik Switches wiederum ist dauerhaft aufrufbar jedoch eine Oberfläche Proxmox überhaupt nicht (Fehler: Netzwerk-Zeitüberschreitung)

Das Netzwerk des Rechenzentrums besteht unverändert seit mehreren Jahren und zuvor war auch ein Ubiquiti ER4 Pro Router mit diesem VPN verbunden und hat ohne Probleme funktioniert, zudem sind auch aktuell noch andere identische VPN (Site to Site) aufgebaut und funktionieren, daher schliesse ich das Rechenzentrum (USG4 Pro) als Fehlerquelle aus.

Das Heimnetzwerk ist neu Aufgebaut mit der UDM-Pro, diese ist hinter einer Fritz!Box jedoch dient die Fritz!Box nur zum Aufbau der DSL Verbindung und die UDM stellt eine PPPoE Verbindung direkt zum Provider her.

Fixe IPv4 Adressen sind auf beiden Seiten vorhanden.

Bezüglich der Einstellungen habe ich es schon mit und ohne Dynamisches Routing Probiert.

Auch ein Statisches Routing auf den Nächsten Hop (IP des GW vom RZ) oder auf die Netzwerk Schnittstelle VPN ist erfolglos.

Ich hoffe es hat hier eventuell jemand einen Tipp woran es liegen kann.

Ergänzung:

Nach mehreren Tests was möglich ist aufzurufen ist mir nun aufgefallen das Webserver die per http aufrufbar sind Funktionieren, daher auch das Interface des Mikrotik Switches, sobald ich jedoch das selbe gerät per https aufrufen möchte oder dieses Automatisch auf eine gesicherte Verbindung weiterleitet kommt die Zeitüberschreitung.

SSH Verbindungen sind möglich, Remote Desktop Verbindungen jedoch nicht.

Update:

Das Problem liegt an der Verschlüsselung, wenn diese auf 3DES geändert wird funktioniert der VPN zwischen der UDM und USG4-Pro.

Es wurde nun bei Ubiquiti ein Ticket eröffnet und der Fall wird vom Tier 2 Team weiter Analysiert.

Hallo gierig

Bezüglich der MTU / MSS clamping war auch zuerst die Vermutung, jedoch wurde dies ausgiebig auch mit dem Support von Ubiquiti getestet, jedoch alles ohne Erfolg.

Bei der WAN Schnittstelle ist es bei PPPOE nicht möglich die MTU/MSS einzustellen, dies geht nur unter den Erweiterten allgemeinen Einstellungen der UDM.
Mir ist dann durch das viele hin und her testen irgendwann aufgefallen das nicht gesicherte Verbindungen (http sowie ssh und FTP) funktionieren, jedoch auf dieselben Server gesicherte Verbindungen (https, FTPS oder Remote Desktop) nicht funktionieren.

Und dieser Fehler besteht auch nur mit der Kombination UDM zu USG4-Pro, weil es besteht mit derselben UDM noch ein zweites VPN zu einer USG und dieser VPN funktioniert mit der identischen Konfiguration wie oben auf dem Bild zu sehen und alle Server wie zum Beispiel eine Synology in dem Netzwerk sind ohne Probleme aufrufbar.

Das der Fehler an der USG4-Pro liegt ist jedoch auch nicht möglich da dort mehrere andere Site-to-Site VPNs aktiv sind über andere USGs und diese ohne jegliche Probleme seit Jahren laufen.
Wo genau der Fehler liegt, ist aktuell auch mir fraglich, es könnte an der Verschlüsslung liegen, dass die UDM die Pakete nicht korrekt wieder entschlüsselt und dabei die gesicherte Verbindung fehlschlägt, wobei sich anders herum die Frage stellt, wieso es zu einer anderen USG funktioniert ...

Ich werde berichten, sobald ich etwas Neues vom Support höre