Schwachstromblog.de

In der Woche nach Weihnachten musste ich, obwohl ich mich im Urlaub befand, etwas arbeiten.

Spontan meldete sich unsere Netzwerküberwachung mit einer Offline-Meldung für einer Filiale. Diese treten im Regelfall dann auf, wenn der Filialrouter mehr als zehn Minuten nicht pingbar ist. Erst war es ein Router, dann wurden es immer mehr. Nach einer kurzen Analyse zeigt sich, dass alle unsere VPN-Gateways auf fast 100% CPU-Auslastung liefen. Da dieses nicht das erste Mal war, habe ich das Problem tiefergehend betrachtet. Es zeigte sich, dass meine Konfiguration, die auf Sicherheit ausgelegt war, die Gateways niederstreckte. Ich habe die höchstmögliche DH-Gruppe und Verschlüsselung genutzt, die alle Geräte beherrschten. Da die ältesten Geräte, die wir im Einsatz haben, maximal DH-Gruppe 14 können, war diese konfiguriert.

Da, warum auch immer, eine größere Menge an Verbindungen neuaufgebaut werden mussten und alle Geräte beim ersten Versuch auf dem gleichen Gerät aufschlagen, war dieses mit zu vielen Berechnungen für den Schlüsseltausch beschäftigt. Den Routern, die sich verbinden wollten, dauerte dieses zu lange, also sprangen diese zum nächsten Gateway, welches das gleiche Problem hatte.

Aus der Erfahrung heraus weiß ich, dass es nur ewig dauert, aber irgendwann funktioniert. Für 25 Router benötigt man zwei bis drei Stunden. Da es nicht das erste Mal war, habe ich testweise mal alle betroffenen Router umkonfiguriert. Aus der DH-Gruppe 14 wurde die DH-Gruppe 5, also aus 2048bit wurden 1536bit. Da wir keine hochgeheimen Daten übertragen und die gefährdeten Daten End-to-End verschlüsselt übertragen werden, ist diese Änderung bedenkenlos durchführbar. Daran hängt auch nicht direkt die Sicherheit, sondern diese kommt erst durch die AES-Verschlüsselung.

Direkt nach der Änderung habe ich die neue Konfiguration mal getestet. 25 Router waren nach weniger als zehn Minuten wieder verbunden.

Wer auch in dieses Problem reinläuft, muss für sich entscheiden, wie er das Problem lösen will. Die Veränderung der VPN-Parameter ist eine Variante. Eine andere Variante wäre eine bessere Verteilung auf mehrere VPN-Gateways (die aufgrund meiner Leitungsbackuplösung nicht so einfach wäre). Auch könnte man die VPN-Verbindungen auf mehr VPN-Gateways verteilen, was natürlich mit enormen Kosten verbunden wäre.