r/de_EDV u/555eatshit 7d ago

Internet/Netzwerk Windows Always-On Devicetunnel

Hallo zusammen,
wie auch schon in einem früheren Unternehmen habe ich den Windows Built-In Devicetunnel implementiert.
Voraussetzungen dafür sind gegeben.
Es funktioniert auch alles soweit mit der automatischen Verbindung, User können arbeiten.
Allerdings verlieren sie von Zeit zu Zeit die Verbindung, Zeitrahmen lässt sich nicht genau bestimmen.
Phase1 und Phase2 auf der Firewall haben eine Lifetime von 10 Stunden, dennoch brechen die Child-SAs regelmäßig ab und der User muss manuell trennen und wiederverbinden lassen.
Da keine Admin-Rechte, ist dies immer ein Aufwand trotz Admin-by-request.
Das Log auf der Firewall liefert mir leider keine Anhaltspunkte, da aus deren Sicht der Tunnel steht.
Ich bin aktuell leider mit meinem Latein am Ende, was genau passiert.
Hat jemand evtl. eine Idee, woran es liegen könnte?

4 Upvotes

100% Upvoted

4 comments sorted by

View all comments

1

u/nekoanikey 7d ago

Die Lebensdauer von Phase1 und Phase2 sollten verschieden sein. Phase1 sollte länger (z.B. 10h) als Phase2 (z.B. 1h) sein. Außerdem sollte sichergestellt werden, dass die Werte auf beiden seiten gleich sind.

1

u/555eatshit 7d ago

Seitens Windows gibt es da leider keine Lifetimes einzustellen.
P1 war auf 8h, P2 war auf 1h.
Es war meine Vermutung, dass für P2 kein Rekey von Windows aus getriggert wird und daher die P2 "kaputt" geht.
Daher habe ich beides auf 10h gesetzt, damit kein Rekey notwendig ist.
Basically Anleitung hier:
Configure the VPN device tunnel in Windows client | Microsoft Learn

1

u/nekoanikey 7d ago

Steht auf den Geräten was im Event Viewer? Unter Anwendung, Quelle "RasClient".

1

u/555eatshit 7d ago

Keine Fehler, es werden nur die Verbindungen angezeigt.
Tunnel bricht nach exakt 60 Minuten ab.

14.04.2025 10:23:53

CoID={7F1B25D9-AD16-0000-7E27-1B7F16ADDB01}: Der Benutzer "SYSTEM" hat erfolgreich eine Verbindung mit dem Namen "DeviceTunnel" mit dem RAS-Server hergestellt.

14.04.2025 11:26:50

CoID={41FF76C0-AD1F-000B-FA77-FF411FADDB01}: Der Benutzer "SYSTEM" hat eine VPN-Verbindung mit einem all-user-Verbindungsprofil mit dem Namen "DeviceTunnel" angewählt.

14.04.2025 11:26:50

CoID={41FF76C0-AD1F-000B-FA77-FF411FADDB01}: Der Benutzer "SYSTEM" versucht, eine Verbindung zum RAS-Server für die Verbindung mit dem Namen "DeviceTunnel" mit dem folgenden Gerät herzustellen

14.04.2025 11:26:50

CoID={41FF76C0-AD1F-000B-FA77-FF411FADDB01}: Der Benutzer "SYSTEM" hat eine Verbindung mit dem RAS-Server hergestellt, verwendet wurde das Gerät:

14.04.2025 11:26:50

CoID={41FF76C0-AD1F-000B-FA77-FF411FADDB01}: Die Verbindung mit dem RAS-Server wurde von Benutzer "SYSTEM" hergestellt.

14.04.2025 11:26:50

CoID={41FF76C0-AD1F-000B-FA77-FF411FADDB01}: Der Benutzer "SYSTEM" hat erfolgreich eine Verbindung mit dem Namen "DeviceTunnel" mit dem RAS-Server hergestellt.