{"id":2227,"date":"2009-02-07T16:41:00","date_gmt":"2009-02-07T15:41:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/ike-keep-alive-und-dead-peer-detection-dpd-2\/"},"modified":"2016-08-23T14:44:45","modified_gmt":"2016-08-23T12:44:45","slug":"ike-keep-alive-und-dead-peer-detection-dpd-2","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2009\/02\/ike-keep-alive-und-dead-peer-detection-dpd-2\/","title":{"rendered":"IKE Keep Alive und Dead Peer Detection (DPD)"},"content":{"rendered":"<p>Die Kernaussage vorweg: Steigern Sie die Stabilit\u00e4t Ihrer BOVPN Tunnel, indem Sie <strong>IKE Keep Alive &#8211;<u>ODER<\/u>&#8211; Dead Peer Detection (DPD) verwenden &#8211; aber nicht beides zusammen!<\/strong><\/p>\n<p>Branch Office VPN Tunnel sind im Regelfall darauf ausgerichtet, m\u00f6glichst 24 Stunden am Tag voll verf\u00fcgbar zu sein (always on). Brechen Tunnel weg, liegt es meist an:<\/p>\n<ul>\n<li>Ein oder beide Endpunkte haben eine instabile Internet-Anbindung, hohe Latenzzeiten oder Paketverluste. In meinem Artikel <a href=\"http:\/\/de.watchguard-blog.com\/2008\/12\/verbindungsprobleme-wegen-ethernet.html\">Verbindungsprobleme wegen Ethernet Collisions<\/a> bin ich darauf bereits einmal eingegangen.<\/li>\n<p><\/p>\n<li>Veraltete Software-St\u00e4nde oder Kompatibilit\u00e4ts-Probleme (m\u00f6glichst immer die aktuelle Software-Version einsetzen, sowohl auf WatchGuard Firebox Produkten als auch auf VPN Devices von Fremdherstellern).<\/li>\n<p><\/p>\n<li>Kein Traffic im VPN-Tunnel. Tunnel ohne Traffic tendieren dazu, instabil zu werden.<\/li>\n<\/ul>\n<p>Die WatchGuard Fireboxen kennen mehrere Verfahren, die zur Stabilit\u00e4t von VPN-Tunneln beitragen: IKE Keep Alive, Dead Peer Detection &#8211; und bei der X Edge Serie zus\u00e4tzlich noch VPN Keep Alive.<\/p>\n<p><strong>IKE Keep Alive<\/strong> sollte nur eingesetzt werden, wenn auf beiden Enden des VPN-Tunnels WatchGuard Produkte stehen!<br \/><strong>Dead Peer Detection (DPD)<\/strong> hingegen ist ein Industriestandard (<a href=\"http:\/\/www.ietf.org\/rfc\/rfc3706.txt\" target=\"_txt\">RFC3706<\/a>), der von den meisten IPSec Devices unterst\u00fctzt wird. Die aktuellen Default Einstellungen sollten auch verwendet werden: NAT-Traversal (aktiv), 20 Sekunden. Bei Nutzung von IKE Keep Alive: 30 Sekunden, max. 5 Failures. Bei Nutzung von DPD: 20 Sekunden, max. 5 Versuche. Verwenden Sie IKE Keep Alive und DPD <strong>NICHT GLEICHZEITIG<\/strong>, dies bewirkt genau das Gegenteil: Wenn beide Verfahren aktiviert sind und ein Verfahren eine Phase 1 Renegotiation ausl\u00f6st, erkennt das andere Verfahren den Tunnel als down und startet seinerseits eine zweite Phase 1. So entsteht ein Konflikt mit der gerade zuvor ausgehandelten Phase 1&#8230;<\/p>\n<p><a href=\"http:\/\/1.bp.blogspot.com\/_haYpXd-8uFA\/SY2rhx3GiaI\/AAAAAAAAAE8\/7YodxvOc3go\/s1600-h\/vpn-gateway-phase1.JPG\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 226px; height: 320px;\" src=\"http:\/\/1.bp.blogspot.com\/_haYpXd-8uFA\/SY2rhx3GiaI\/AAAAAAAAAE8\/7YodxvOc3go\/s320\/vpn-gateway-phase1.JPG\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5300080933293427106\" \/><\/a><\/p>\n<p>Auf der <strong>X Edge<\/strong> gibt es alternativ noch <strong>VPN Keep Alive<\/strong> (<em>VPN > VPN Keep Alive<\/em>). Hier kann pro Tunnel eine IP-Adresse eines Hosts auf der anderen Seite des Tunnels eingetragen werden, der 24\/7 l\u00e4uft und auf ping antwortet (z.B. ein Server, ein managebarer Switch oder ersatzweise die IP-Adresse des Trusted Interface der dortigen Firewall bzw. VPN-Komponente):<\/p>\n<p><a href=\"http:\/\/4.bp.blogspot.com\/_haYpXd-8uFA\/SY2rFS2DZ8I\/AAAAAAAAAE0\/MLwEFmqFQuQ\/s1600-h\/vpn-keep-alive.JPG\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 320px; height: 236px;\" src=\"http:\/\/4.bp.blogspot.com\/_haYpXd-8uFA\/SY2rFS2DZ8I\/AAAAAAAAAE0\/MLwEFmqFQuQ\/s320\/vpn-keep-alive.JPG\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5300080443931191234\" \/><\/a><\/p>\n<p>Es wird empfohlen, sich jedoch nur auf <strong>EIN Verfahren<\/strong> zu beschr\u00e4nken!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Kernaussage vorweg: Steigern Sie die Stabilit\u00e4t Ihrer BOVPN Tunnel, indem Sie IKE Keep Alive &#8211;ODER&#8211; Dead Peer Detection (DPD) verwenden &#8211; aber nicht beides zusammen! Branch Office VPN Tunnel sind im Regelfall darauf ausgerichtet, m\u00f6glichst 24 Stunden am Tag voll verf\u00fcgbar zu sein (always on). Brechen Tunnel weg, liegt es meist an: Ein oder beide Endpunkte haben eine instabile Internet-Anbindung, hohe Latenzzeiten oder Paketverluste. &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2009\/02\/ike-keep-alive-und-dead-peer-detection-dpd-2\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">IKE Keep Alive und Dead Peer Detection (DPD)<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[11,277,278,296,297,291,140,273],"class_list":["post-2227","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-bovpn","tag-fireware","tag-fireware-pro","tag-ipsec-vpn","tag-keep-alive","tag-konfiguration","tag-policy-manager","tag-vpn"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2227"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2227"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2227\/revisions"}],"predecessor-version":[{"id":2297,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2227\/revisions\/2297"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2227"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2227"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2227"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}