[Erledigt] be.ip plus stützt ab/startet neu

Hm, das liest sich nicht so gut.

Da meine hybird 300 anfängt zu spinnen, wollte ich sie demnächst eigentlich gegen eine be.IP plus austauschen, die ich sonst als Demo-Gerät benutze.

Mir gefällt in dem Zusammenhang sowieso schon nicht, dass mit dem neuen Firmwarestand aus dem Netz der be.IP plus keine von einem PC ausgehenden IKEv2-Verbindungen mehr möglich sind, ohne IPSec zu deaktivieren.
Ich nutze das für Fernwartungszwecke und habe auch einige be.IP swift draußen. Da die anfänglich nur IKEv2 kannten, habe ich die Tunnel auf der Basis auch gelassen.

Ich denke, dass ich da zum einen noch mit der Firmwareaktualisierung der von mir betreuten be.IP plus Systeme warte und zum anderen meine hybird trotz der Macke noch ein wenig laufen lasse - in der Hoffnung, dass hier nochmal nachgelegt wird.
 
Zuletzt bearbeitet:
Mir gefällt in dem Zusammenhang sowiso schon nicht, dass mit dem neuen Firmwarestand aus dem Netz der be.IP plus keine von einem PC ausgehenden IKEv2-Verbindungen mehr möglich sind, ohne IPSec zu deaktivieren.
Man muss dafür IPSec nicht deaktivieren, sondern es muss nur IKEv2 deaktiviert werden. Und das passiert automatisch wenn man alle IKEv2 - Peers löscht.

Tunnel war ca. 5 Stunden aktiv, dann die ersten abbrüche
Sind auf den Systemen IKEv2 - Verbindungen konfiguriert? Falls ja, diese bitte löschen.
 
Man muss dafür IPSec nicht deaktivieren, sondern es muss nur IKEv2 deaktiviert werden.
Das liest sich in den Releasenotes aber ein wenig anders:
Bei aktiviertem IPsec im Router verwirft der Router das Routing von IKEv2-Paketen vom WAN zu einem LAN-Host. Wenn Sie dennoch IKEv2-Tunnel von einem Host im LAN hinter dem Bintec-Elmeg-Router initiieren möchten, müssen Sie IPsec im Bintec-Elmeg-Router deaktivieren.

Aber selbst wenn es so ist, wie Du sagst, hilft mir das auch nicht weiter. An meinem Router ist u.a. auch ein permanenter IKEv2-Tunnel konfiguriert.
Das ist mir jetzt einfach zu umständlich, alles wieder auf IKEv1 herunterzustufen, nur damit von einem Host ausgehender IKEv2-Tunnel aufgebaut werden kann.
 
Bitte mal ausprobieren, dann wissen wir wie es wirklich ist. Ich habe keine IKEv2 - Gegenstellen zum testen. Vielleicht ist die Release Notes nur etwas ungenau formuliert.
 
Ich möchte eigentlich nicht auf IKEv1 zurück,... Aus dem LAN gehen die IPSec's zu Vodafone&Telecom (Wificalling).
 
Die IKEv2 - Implementierung ist leider nicht sehr zuverlässig und hat auch die Systeme beeinträchtigt die kein IKEv2 verwenden. Die Änderungen im Patch 4 sollen jetzt diese Systeme stabilisieren und das haben einige Tests in den letzten Wochen auch schon bestätigt.
 
Vielleicht kann ich mir wieder als Workaround mit dem Scheduler-Skript helfen,... Wenn das Peer nicht mehr pingbar ist, dann IPSec Tunnel neu starten,..
Das hatte ich ja schon in einer älteren Version im Einsatz,... Die Reboots und die Stabilität nerven nur extrem.
 
Wir werden das Problem jetzt mit dem TAC von Bintec anschauen und nach einem Bugfix suchen.

Tipps:
Core (Responder): IKEv2 SA Lebensdauer = 86400 / Child SA Lebensdauer = 14400.
Remote (Initiator): IKEv2 SA Lebensdauer = 84000 / Child SA Lebensdauer = 12000.

Wir hatten bisher kürzere Zeiten,...
Zudem sind gelegentlich einzelne Subnetze nicht erreichbar, erst nach Neustart des Routers bzw. des IPSec-Peers.
 
Hey zusammen,

ich habe auch das Problem mit er 99% Auslastung. Ich glaube aber nicht das dieses etwas mit dem VPN zu tun hat. Ich habe festgestellt das sobald ein client im Netzwerk eine große Datenmenge (z. B. 5GB) downloaded springt die Be.IP auf 99% auslastung und alle dienste brechen zusammen. Wir der Download abgebrochen geht die Auslastung zurück und alles funktioniert wieder.

MfG
 
Bei meiner be.IP plus kann ich das 99% - Problem bei einem Download nicht bestätigen. Die CPU - Nutzung geht hier auf 89 % hoch, ich habe einen Glasfaseranschluss mit 200 MBit/s. Wobei zum Test - Zeitpunkt keine VPN - Verbindungen aktiv waren.
 
Leider wird es für die Be.IP plus nun doch kein Patch mehr bereitgestellt. Ich bin zurück auf 10.2.12 Patch1 gegangen und hoffe, dass die stabiler läuft.
Ich überlege alle Geräte gegen einen anderen Hersteller auszutauschen.
 
Das es keinen Patch mehr für die be.IP plus geben wird, glaube ich nicht. Es kann aber gut sein das man kurzfristig keinen Patch mehr für IKEv2 - Probleme herausbringen wird.
 
Braucht jemand noch eine Originalverpackte Be.IP plus v2?
 
Moin Männers,

hat einer von euch das Problem mit der 99% CPU Last auch auf der Hybird 300? Unserer be.IP Plus geht es soweit gut, allerdings bricht die Telefonie 2-3 zusammen. Währenddessen hat die Hybird Probleme mit DNS auflösungen und diese hohe CPU Last. Entweder muss die Anlage hart neugestartet werden und wieder upgraden/downgraden die firmware der TK Anlage. Wir haben 14 TK Anlagen mit den gleichen Symptomen.
 
Ich habe mit IKEv2 aufgegeben. Routing Probleme, willkürliche Netze sind bei IKEv2 nicht erreichbar. Die Stabilitätsprobleme gibt es auch mit IKEv1, als Workaround habe ich aktuell dedizierte Tunnelprofile eingerichtet ohne Aushandlung. DH14-Group -SHA256 bzw. 512,... seit ca. 1 Woche kein Reload. Jeder Tunnel hat unterschiedliche Lifetimes&Rekeying Timer...
IKEv1 ist auch keine Dauerlösung, da zu unsicher und vom BSI nicht mehr empfohlen... Wenn da nichts mehr kommt, dann werde ich alles gegen LANCOM 1793 austauschen,... So ist aktuell der Plan.
 
Bintec elmeg arbeitet bezogen auf IKEv2 noch an weiteren Fehlerbehebungen.

Bei Systemen ohne IKEv2 - Profile habe ich seit dem aktuellen Patch - Release keine VPN - Probleme mehr gehabt.
 
Ok, interessant,... Woher kommt die Info? Ich habe gegenteiliges vom Support gehört,...
 
Hallo jeggy76, wie Kalle2006 bereits geschrieben hat, sind zumindest die Probleme mit IKEv1-Peers behoben worden, bei IKEv2 bestehen die Probleme leider weiterhin. Dazu gab es von Elmeg diese Info:

"Wir hatten im Zuge dieses Bugfixes zusätzlich auch in IKEv2 ein paar Bugs behoben, jedoch offensichtlich nicht das von ihnen (und anderen Kunden) geschilderte IKEv2-Problem bei aktiven IKEv2-Peers. Unsere Entwicklung ist derzeit dran dieses IKEv2-Problem bei aktiven IKEv2-Peers zu lösen. Wann ein Fix dafür verfügbar sein wird, ist derzeit nicht absehbar. Bis dahin empfehlen wir ihnen in jedem Fall 10.2.12 Patch 4 einzusetzen und nur IKEv1-Peers einzurichten und zu verwenden, um das Stabilitätsproblem zu umgehen."
 
  • Like
Reaktionen: Kalle2006
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.