{"id":635,"date":"2016-06-16T17:48:33","date_gmt":"2016-06-16T15:48:33","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=635"},"modified":"2016-06-17T15:38:52","modified_gmt":"2016-06-17T13:38:52","slug":"ike-keep-alive-und-dead-peer-detection-dpd","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2016\/06\/ike-keep-alive-und-dead-peer-detection-dpd\/","title":{"rendered":"IKE Keep Alive und Dead Peer Detection (DPD)"},"content":{"rendered":"<p>Die Kernaussage vorweg: Steigern Sie die Stabilit\u00e4t Ihrer BOVPN Tunnel, indem Sie <strong>IKE Keep Alive &#8211;<u>ODER<\/u>&#8211; Dead Peer Detection (DPD)<\/strong> verwenden <strong>&#8211; aber nicht beides zusammen!<\/strong> Branch Office VPN Tunnel sind im Regelfall darauf ausgerichtet, m\u00f6glichst 24 Stunden am Tag voll verf\u00fcgbar zu sein (always on). Brechen Tunnel weg, liegt es meist an:<\/p>\n<ul>\n<li>Ein oder beide Endpunkte haben eine instabile Internet-Anbindung, hohe Latenzzeiten oder Paketverluste. In meinem Artikel <a href=\"http:\/\/de.watchguard-blog.com\/2008\/12\/verbindungsprobleme-wegen-ethernet.html\">Verbindungsprobleme wegen Ethernet Collisions<\/a> bin ich darauf bereits einmal eingegangen.<\/li>\n<li>Veraltete Software-St\u00e4nde oder Kompatibilit\u00e4ts-Probleme (m\u00f6glichst immer die aktuelle Software-Version einsetzen, sowohl auf WatchGuard Firebox Produkten als auch auf VPN Devices von Fremdherstellern).<\/li>\n<li>Kein Traffic im VPN-Tunnel. Tunnel ohne Traffic tendieren dazu, instabil zu werden.<\/li>\n<\/ul>\n<p><a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/ike-keep-alive-und-dpd-dead-peer-detection.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignleft wp-image-785 size-medium\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/ike-keep-alive-und-dpd-dead-peer-detection-300x296.png\" alt=\"ike-keep-alive-und-dpd-dead-peer-detection\" width=\"300\" height=\"296\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/ike-keep-alive-und-dpd-dead-peer-detection-300x296.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/ike-keep-alive-und-dpd-dead-peer-detection.png 652w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a><\/p>\n<p>Die WatchGuard Firebox \/ XTM kennt mehrere Verfahren, die zur Stabilit\u00e4t von VPN-Tunneln beitragen:<\/p>\n<p>Bei<strong> IKE Keep Alive<\/strong>\u00a0handelt es sich um ein WatchGuard-propriet\u00e4res Verfahren. Dieses sollte nur genau dann eingesetzt werden, wenn auf beiden Enden des VPN-Tunnels WatchGuard Produkte stehen und die Verwendung von DPD nicht gew\u00fcnscht ist!<\/p>\n<p><strong>Dead Peer Detection (DPD)<\/strong> hingegen ist ein Industriestandard (<a href=\"http:\/\/www.ietf.org\/rfc\/rfc3706.txt\" target=\"_txt\">RFC3706<\/a>), der von den meisten IPSec Devices unterst\u00fctzt wird.\u00a0Wenn kein sonstiger Tunnel Traffic flie\u00dft, erzeugt der eine VPN-Endpunkt einen DPD-Request, der von der VPN-Gegenstelle mit einem DPD-Acknowledge beantwortet werden muss. Geschieht das nicht rechtzeitig innerhalb der eingestellten Settings (Default f\u00fcr\u00a0DPD: 20 Sekunden, max. 5 Versuche) =&gt; 5 x 20 Sekunden plus die urspr\u00fcnglichen 20 Sekunden =&gt; 120 Sekunden =&gt; 2 Minuten, dann geht der VPN-Endpunkt davon aus, dass die VPN-Gegenstelle &#8220;dead&#8221; ist, verwirft die SAs und startet die Neuaushandlung von Phase 1 und Phase 2. Hieraus geht auch hervor, dass DPD eben auf <strong>BEIDEN<\/strong> VPN-Endpunkten korrekt aktiviert und konfiguriert sein muss, denn sonst bewirkt diese Funktion das genaue Gegenteil: Statt dass der Tunnel \u00fcber einen langen Zeitraum stabil bleibt, wird er im Extremfall alle 2 Minuten unterbrochen und neu ausgehandelt.<\/p>\n<p>Es wird empfohlen, jedoch nur genau <strong>EIN Verfahren<\/strong>\u00a0einzusetzen! Verwenden Sie IKE Keep Alive und DPD <strong>NICHT GLEICHZEITIG<\/strong>, dies bewirkt genau das Gegenteil: Wenn beide Verfahren aktiviert sind und ein Verfahren eine Phase 1 Renegotiation ausl\u00f6st, erkennt das andere Verfahren den Tunnel als down und startet seinerseits eine zweite Phase 1. So entsteht ein Konflikt mit der gerade zuvor ausgehandelten Phase 1 und die Verfahren spielen Ping-Pong.<a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/vpn-keep-alive-edge.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-787 size-medium alignleft\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/vpn-keep-alive-edge-300x221.jpg\" alt=\"vpn-keep-alive-edge\" width=\"300\" height=\"221\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/vpn-keep-alive-edge-300x221.jpg 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/vpn-keep-alive-edge-768x566.jpg 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/vpn-keep-alive-edge-800x590.jpg 800w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2016\/06\/vpn-keep-alive-edge.jpg 838w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a><\/p>\n<p>Auf der alten WatchGuard Firebox X Edge gibt es alternativ noch <strong>VPN Keep Alive<\/strong> (<em>VPN &gt; VPN Keep Alive<\/em>). Hier kann pro Tunnel eine IP-Adresse eines Hosts auf der anderen Seite des Tunnels eingetragen werden, der 24\/7 l\u00e4uft und auf ping antwortet (z.B. ein Server, ein managebarer Switch oder ersatzweise die IP-Adresse des Trusted Interface der dortigen Firewall bzw. VPN-Komponente).<\/p>\n<p><em>Dieser Artikel wurde erstmals am 07.02.2009 im \u201eTechnischen WatchGuard-Blog von Bernd Och\u201c ver\u00f6ffentlicht. Hierher verschoben und aktualisiert in 2016.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Kernaussage vorweg: Steigern Sie die Stabilit\u00e4t Ihrer BOVPN Tunnel, indem Sie IKE Keep Alive &#8211;ODER&#8211; Dead Peer Detection (DPD) verwenden &#8211; aber nicht beides zusammen! Branch Office VPN Tunnel sind im Regelfall darauf ausgerichtet, m\u00f6glichst 24 Stunden am Tag voll verf\u00fcgbar zu sein (always on). Brechen Tunnel weg, liegt es meist an: Ein oder beide Endpunkte haben eine instabile Internet-Anbindung, hohe Latenzzeiten oder Paketverluste. &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2016\/06\/ike-keep-alive-und-dead-peer-detection-dpd\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">IKE Keep Alive und Dead Peer Detection (DPD)<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[11,52,51,50,53],"class_list":["post-635","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-bovpn","tag-dead-peer-detection","tag-dpd","tag-ike","tag-ike-keep-alive"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/635"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=635"}],"version-history":[{"count":7,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/635\/revisions"}],"predecessor-version":[{"id":791,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/635\/revisions\/791"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}