Rekey-Fehler sind eine der häufigsten Ursachen für VPN-Unterbrechungen, insbesondere in Providernetzwerken mit Remote Access oder Site-to-Site-Tunnels. Eine sorgfältige Planung von Lifetime-Einstellungen, Dead-Peer-Detection (DPD) und Security Association (SA) Rollover ist entscheidend, um stabile Verbindungen zu gewährleisten. In diesem Artikel erfahren Sie, wie Sie Rekey-Prozesse richtig designen und typische Fallstricke vermeiden.
Grundlagen von Rekeying
Rekeying beschreibt den Prozess, bei dem bestehende Security Associations (SAs) erneuert oder ersetzt werden, bevor sie ablaufen. Dies betrifft sowohl IKE Phase 1 als auch Phase 2. Ein fehlerhaftes Rekey-Management führt zu Verbindungsabbrüchen, da die Tunnels ihre SAs verlieren.
- IKE Phase 1 SA: Stellt die Authentifizierung und den sicheren Kanal für den Key-Austausch her.
- IKE Phase 2 SA: Definiert die Parameter für den eigentlichen IPSec-Datenverkehr.
Lifetime-Einstellungen korrekt planen
Die Lifetime bestimmt, wie lange eine SA gültig ist, bevor ein Rekey ausgelöst wird. Typische Empfehlungen:
- IKE Phase 1: 24 Stunden (86400 Sekunden)
- IKE Phase 2: 1 Stunde (3600 Sekunden) bis 8 Stunden, abhängig vom Datenvolumen
- IPSec PFS-Gruppen sollten synchronisiert werden, um Rollover ohne Unterbrechung zu ermöglichen
Beispiel CLI für Lifetime
crypto ikev2 policy IKE_POLICY
lifetime 86400
crypto ipsec security-association lifetime seconds 3600Die Lifetimes sollten auf beiden Seiten identisch konfiguriert sein. Unterschiedliche Werte führen oft zu vorzeitigen Abbrüchen.
Dead-Peer-Detection (DPD) einrichten
DPD prüft regelmäßig, ob der VPN-Peer noch erreichbar ist. Ohne DPD kann ein Client oder Gateway die SA verlieren, ohne dass eine erneute Verbindung automatisch aufgebaut wird.
- DPD Interval: 10–30 Sekunden
- DPD Retry: 3–5 Versuche, bevor SA als tot betrachtet wird
- DPD Aktion: Reinitiate oder Delete
Beispiel CLI DPD
crypto ikev2 dpd 10 3 on-demandMit dieser Einstellung prüft das Gerät alle 10 Sekunden, bis zu 3 fehlgeschlagene Antworten werden toleriert, danach wird eine neue IKE Phase 1 Init ausgelöst.
SA Rollover strategisch planen
SA Rollover bezeichnet die nahtlose Erneuerung einer bestehenden Security Association. Fehler beim Rollover führen oft zu kurzfristigen Tunnelunterbrechungen. Wichtige Punkte:
- Rekey vor Ablauf der Lifetime auslösen (z.B. 5–10 % vor Ende)
- Phasen 1 und 2 getrennt erneuern, um bestehende Datenflüsse nicht zu unterbrechen
- Synchronisation bei High-Availability-Gateways beachten
Praktische Beispiele
crypto ikev2 rekey auto
crypto ipsec rekey interval 300Hier wird die IKEv2 SA automatisch erneuert, und IPSec SA wird 5 Minuten (300 Sekunden) vor Ablauf rekeyed.
Typische Fehlerquellen
- Mismatched Lifetimes zwischen Client und Gateway
- Fehlende oder falsch konfigurierte DPD
- Nicht synchronisierte HA-Peers bei Active/Active Tunnels
- Veraltete Clients, die MOBIKE oder Rekey nicht korrekt unterstützen
- NAT-Traversal Probleme bei dynamischen IPs
Fehleranalyse CLI
show crypto ikev2 sa
show crypto ipsec sa
debug crypto ikev2
debug crypto ipsecMit diesen Befehlen lassen sich fehlerhafte Rekeys, verlorene SAs und DPD-Ausfälle identifizieren.
Best Practices für stabile Rekey-Prozesse
- Parallelbetrieb von alten und neuen Lifetimes während des Rollouts
- DPD aktivieren und auf allen Peers einheitlich konfigurieren
- Rekey-Prozesse vor Ablauf der SA initiieren
- Monitoring einrichten: Tunnelstatus, Rekey-Historie, DPD-Ergebnisse
- Test mit Pilot-Clients durchführen, um unbeabsichtigte Unterbrechungen zu vermeiden
Zusammenfassung
Ein fehlerfreier Rekey-Prozess hängt von synchronisierten Lifetime-Einstellungen, aktivem DPD und einem sauber geplanten SA-Rollover ab. Provider sollten diese Parameter in ihren Remote Access und Site-to-Site VPNs konsequent einhalten, um Verbindungsabbrüche zu vermeiden. Regelmäßiges Monitoring und Pilot-Tests helfen, Probleme frühzeitig zu erkennen und zu beheben.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.