Probleme mit VPN-Verbindung

[reinhardi]

Hallo Supportgemeinde,

habe ein Problem beim Verbindungsaufbau mit dem Netgear Client. Der Client verbindet, wenn ich mich mit einer ISDN-Wählverbindung ins Internet verbinde. Nur bei einer DSL Verbindung hinter einem Router/Modem LANCOM 1511 funktioniert der Verbindungsaufbau nicht. Hier die Log-Datei:

2-02: 18:22:17.203 My Connections\*** - Using cached address. (Hostname=***.dyndns.org) (IP ADDR=**.***.***.198)
2-02: 18:22:17.203 My Connections\*** - Attempting to resolve Hostname (***.dyndns.org)
2-02: 18:22:17.312
2-02: 18:22:17.312 My Connections\*** - Initiating IKE Phase 1 (Hostname=***.dyndns.org) (IP ADDR==**.***.***.198)
2-02: 18:22:17.421 My Connections\*** - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
2-02: 18:22:17.484 My Connections\*** - RECEIVED<<< ISAKMP OAK MM (SA, VID 4x)
2-02: 18:22:17.671 My Connections\*** - Peer supports Dead Peer Detection Version 1.0
2-02: 18:22:17.671 My Connections\*** - Peer is NAT-T draft-02 capable
2-02: 18:22:17.671 My Connections\*** - Dead Peer Detection enabled
2-02: 18:22:17.687 My Connections\*** - SENDING>>>> ISAKMP OAK MM (KE, NON, NAT-D 2x, VID 4x)
2-02: 18:22:17.765 My Connections\*** - RECEIVED<<< ISAKMP OAK MM (KE, NON, CERT_REQ 4x, NAT-D 2x)
2-02: 18:22:17.812 My Connections\*** - NAT is detected for Client
2-02: 18:22:17.812 My Connections\*** - Floating to IKE non-500 port
2-02: 18:22:17.890 My Connections\*** - Using configured machine certificate "*** lifebooke ID".
2-02: 18:22:17.921 My Connections\*** - SENDING>>>> ISAKMP OAK MM *(ID, CERT, CERT_REQ 4x, SIG, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
2-02: 18:22:27.765 My Connections\*** - RECEIVED<<< ISAKMP OAK MM (Retransmission)
2-02: 18:22:27.765 My Connections\*** - SENDING>>>> ISAKMP OAK MM *(Retransmission)
2-02: 18:22:33.687 My Connections\*** - message not received! Retransmitting!
2-02: 18:22:33.687 My Connections\*** - SENDING>>>> ISAKMP OAK MM *(Retransmission)
2-02: 18:22:48.687 My Connections\*** - message not received! Retransmitting!
2-02: 18:22:48.687 My Connections\*** - SENDING>>>> ISAKMP OAK MM *(Retransmission)
2-02: 18:23:03.687 My Connections\*** - message not received! Retransmitting!
2-02: 18:23:03.687 My Connections\*** - SENDING>>>> ISAKMP OAK MM *(Retransmission)
2-02: 18:23:18.687 My Connections\*** - Exceeded 3 IKE SA negotiation attempts
2-02: 18:23:18.687 My Connections\*** - Deleting IKE SA (IP ADDR=**.***.***.198)
2-02: 18:23:18.687 My Connections\*** - MY COOKIE 13 15 e4 c8 46 6c 2f 2d
2-02: 18:23:18.687 My Connections\*** - HIS COOKIE a9 89 c0 42 b8 a8 71 81
2-02: 18:23:18.687 My Connections\*** - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)

[Gerd von Egidy]

Hallo,

2-02: 18:22:17.421 My Connections\*** - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
2-02: 18:22:17.484 My Connections\*** - RECEIVED<<< ISAKMP OAK MM (SA, VID 4x)

Wie man hier sieht, können beide Seiten am Anfang der Verbindung wunderbar miteinander reden.

2-02: 18:22:17.812 My Connections\*** - NAT is detected for Client
2-02: 18:22:17.812 My Connections\*** - Floating to IKE non-500 port

Dann wird erkannt, daß der Client in einem NAT-Netzwerk ist und daher auf einen anderen Port (Client-Port beliebig, Intranator Port 4500) umgestellt wie es der Standard vorschreibt.

2-02: 18:22:17.921 My Connections\*** - SENDING>>>> ISAKMP OAK MM *(ID, CERT, CERT_REQ 4x, SIG, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
2-02: 18:22:27.765 My Connections\*** - RECEIVED<<< ISAKMP OAK MM (Retransmission)

Der Client sendet jetzt zwar eine Nachricht raus, sie wird aber wohl nie auf dem Intranator empfangen. Daher wiederholt der Intranator ständig die letzte Nachricht.

Prüfen Sie, ob der Client auch wirklich Verbindungen zu UDP Port 4500 aufbauen darf und ob der Intranator diese auch zulässt (Firewall).

Unter Umständen kann es auch sein, daß der Lancom-Router vor dem Client denkt, daß die Verbindung für Ihn gedacht ist. Versuchen Sie mal ein Firmware-Update für den Lancom zu machen und dort evtl. das VPN zu deaktivieren.

Sie können es auch mal hinter einem anderen Router probieren. Der Vergleich mit der ISDN-Leitung hilft da nicht viel weiter, weil dort kein Router mit NAT zwischendrin steht.

Herzliche Grüße,

v. Egidy

[reinhardi]

Hallo,

wir haben es jetzt mit einem anderern Router probiert mit demselben Ergebnis. Die Log-Dateien sind identisch.

[reinhardi]

Hier nochmal die Portfreigaben am Router (siehe Anhang)

[Gerd von Egidy]

Hallo,

danke für den Screenshot, da erkennt man den Fehler deutlich: die Verbindung wird über UDP Port 4500 aufgebaut, nicht TCP wie eingestellt.

Wenn Sie das umstellen sollte es klappen.

Herzliche Grüße,

v. Egidy

[reinhardi]

Hallo,

auch das brachte nicht den gewünschten Erfolg.

Hier nochmal ein Log:

2-13: 13:28:47.546 My Connections\gasscomputer-vpn - Initiating IKE Phase 1 (Hostname=**.dyndns.org) (IP ADDR=**.***.153.251)
2-13: 13:28:47.750 My Connections\gasscomputer-vpn - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
2-13: 13:28:47.984 My Connections\gasscomputer-vpn - RECEIVED<<< ISAKMP OAK MM (SA, VID 4x)
2-13: 13:28:48.203 My Connections\gasscomputer-vpn - Peer supports Dead Peer Detection Version 1.0
2-13: 13:28:48.203 My Connections\gasscomputer-vpn - Peer is NAT-T draft-02 capable
2-13: 13:28:48.203 My Connections\gasscomputer-vpn - Dead Peer Detection enabled
2-13: 13:28:48.203 My Connections\gasscomputer-vpn - SENDING>>>> ISAKMP OAK MM (KE, NON, NAT-D 2x, VID 4x)
2-13: 13:28:48.343 My Connections\gasscomputer-vpn - RECEIVED<<< ISAKMP OAK MM (KE, NON, CERT_REQ 4x, NAT-D 2x)
2-13: 13:28:48.406 My Connections\gasscomputer-vpn - NAT is detected for Client
2-13: 13:28:48.406 My Connections\gasscomputer-vpn - Floating to IKE non-500 port
2-13: 13:28:48.484 My Connections\gasscomputer-vpn - Using configured machine certificate "ugass's gasscomputer lifebooke ID".
2-13: 13:28:48.515 My Connections\gasscomputer-vpn - SENDING>>>> ISAKMP OAK MM *(ID, CERT, CERT_REQ 4x, SIG, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
2-13: 13:28:58.375 My Connections\gasscomputer-vpn - RECEIVED<<< ISAKMP OAK MM (Retransmission)
2-13: 13:28:58.375 My Connections\gasscomputer-vpn - SENDING>>>> ISAKMP OAK MM *(Retransmission)
2-13: 13:29:04.203 My Connections\gasscomputer-vpn - message not received! Retransmitting!
2-13: 13:29:04.203 My Connections\gasscomputer-vpn - SENDING>>>> ISAKMP OAK MM *(Retransmission)
2-13: 13:29:18.453 My Connections\gasscomputer-vpn - RECEIVED<<< ISAKMP OAK MM (Retransmission)
2-13: 13:29:18.453 My Connections\gasscomputer-vpn - SENDING>>>> ISAKMP OAK MM *(Retransmission)
2-13: 13:29:19.203 My Connections\gasscomputer-vpn - message not received! Retransmitting!
2-13: 13:29:19.203 My Connections\gasscomputer-vpn - SENDING>>>> ISAKMP OAK MM *(Retransmission)
2-13: 13:29:34.203 My Connections\gasscomputer-vpn - message not received! Retransmitting!
2-13: 13:29:34.203 My Connections\gasscomputer-vpn - SENDING>>>> ISAKMP OAK MM *(Retransmission)
2-13: 13:29:49.203 My Connections\gasscomputer-vpn - Exceeded 3 IKE SA negotiation attempts
2-13: 13:29:49.203 My Connections\gasscomputer-vpn - Deleting IKE SA (IP ADDR=**.***.153.251)
2-13: 13:29:49.203 My Connections\gasscomputer-vpn - MY COOKIE 47 e4 cb 7d 5f 56 cd 30
2-13: 13:29:49.203 My Connections\gasscomputer-vpn - HIS COOKIE 81 c4 aa bf b8 29 14 4f
2-13: 13:29:49.203 My Connections\gasscomputer-vpn - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)
2-13: 13:35:15.546 My Connections\gasscomputer-vpn - Using cached address. (Hostname=***.dyndns.org) (IP ADDR=**.***.153.251)
2-13: 13:35:15.546 My Connections\gasscomputer-vpn - Attempting to resolve Hostname (***.dyndns.org)

[Gerd von Egidy]

Hallo,

wie am Telefon besprochen vermute ich, daß auf dem Client selbst ein Treiber oder eine andere Software nicht kompatibel sind. Daher würde ich als erstes versuchen den Netgear Client in der aktuellen Version zu installieren und wenn das nichts hilft dann Dienst für Dienst auf dem System abschalten und überprüfen ab wann es wieder funktioniert.

Wenn das alles nichts hilft können Sie es auch mal mit dem VPN-Client von NCP versuchen, siehe entsprechende Anleitung bei uns im Referenzhandbuch.

Herzliche Grüße,

v. Egidy

[reinhardi]

sorry für die lange Leitung...

Da es sich hier aber nur um das VPN unserer Firma handelt, wird das immer hinten angestellt. Jetzt ist wieder etwas Luft und es kann weiter gehen...

Ich habe jetzt das VPN nochmal komplett neu eingerichtet (Schlüssel und Verbindung)

Diesel Logfile ist nochmal von eimem Netgear VPN Client, das Laptop ist in einer anderen Firma am Netz, die auch einen Intranator einsetzen:

10-07: 15:02:07.250 NETGEAR ProSafe VPN Client Version 10.8.3 (Build 6).
10-07: 15:02:10.593 No Interfaces detected.
10-07: 15:02:10.718 Filter table loaded (2 entries).
10-07: 15:02:10.718 This is a GA version of NETGEAR ProSafe VPN Client.
10-07: 15:02:21.312 Interface added: 192.168.0.120/255.255.255.0 on LAN "Realtek RTL8169/8110 Family Gigabit Ethernet NIC".
10-07: 15:02:21.312 Clearing arp for adapter 3
10-07: 15:02:21.390 Filter table loaded (2 entries).
10-07: 15:02:50.578 My Connections\GASS - Attempting to resolve Hostname (gass-computer.dyndns.org)
10-07: 15:02:52.015 My Connections\GASS - Filter entry 3 added: SECURE & 192.168.000.000&255.255.255.000 079.199.159.197
10-07: 15:02:52.031
10-07: 15:02:52.031 My Connections\GASS - Initiating IKE Phase 1 (Hostname=XXX.dyndns.org) (IP ADDR=79.199.159.197)
10-07: 15:02:53.484 My Connections\GASS - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
10-07: 15:02:53.718 My Connections\GASS - RECEIVED<<< ISAKMP OAK MM (SA, VID 4x)
10-07: 15:02:53.843 My Connections\GASS - Peer supports Dead Peer Detection Version 1.0
10-07: 15:02:53.843 My Connections\GASS - Peer is NAT-T draft-02 capable
10-07: 15:02:53.843 My Connections\GASS - Dead Peer Detection enabled
10-07: 15:02:53.843 My Connections\GASS - SENDING>>>> ISAKMP OAK MM (KE, NON, NAT-D 2x, VID 4x)
10-07: 15:02:53.953 My Connections\GASS - RECEIVED<<< ISAKMP OAK MM (KE, NON, CERT_REQ, NAT-D 2x)
10-07: 15:02:54.031 My Connections\GASS - NAT is detected for Client
10-07: 15:02:54.031 My Connections\GASS - Floating to IKE non-500 port
10-07: 15:02:54.140 My Connections\GASS - Using configured machine certificate "amilo.gass.local's GASS VPN ID".
10-07: 15:02:54.343 My Connections\GASS - SENDING>>>> ISAKMP OAK MM *(ID, CERT, CERT_REQ 10x, SIG, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
10-07: 15:03:03.953 My Connections\GASS - RECEIVED<<< ISAKMP OAK MM (Retransmission)
10-07: 15:03:03.953 My Connections\GASS - SENDING>>>> ISAKMP OAK MM *(Retransmission)
10-07: 15:03:09.484 My Connections\GASS - message not received! Retransmitting!
10-07: 15:03:09.484 My Connections\GASS - SENDING>>>> ISAKMP OAK MM *(Retransmission)
10-07: 15:03:23.968 My Connections\GASS - RECEIVED<<< ISAKMP OAK MM (Retransmission)
10-07: 15:03:23.968 My Connections\GASS - SENDING>>>> ISAKMP OAK MM *(Retransmission)
10-07: 15:03:24.484 My Connections\GASS - message not received! Retransmitting!
10-07: 15:03:24.484 My Connections\GASS - SENDING>>>> ISAKMP OAK MM *(Retransmission)
10-07: 15:03:39.500 My Connections\GASS - message not received! Retransmitting!
10-07: 15:03:39.500 My Connections\GASS - SENDING>>>> ISAKMP OAK MM *(Retransmission)
10-07: 15:03:54.531 My Connections\GASS - Exceeded 3 IKE SA negotiation attempts
10-07: 15:03:54.531 My Connections\GASS - Deleting IKE SA (IP ADDR=79.199.159.197)
10-07: 15:03:54.531 My Connections\GASS - MY COOKIE ac 90 a7 8c 93 44 16 a5
10-07: 15:03:54.531 My Connections\GASS - HIS COOKIE 7b 4 fa c3 5a 33 a1 eb
10-07: 15:03:54.531 My Connections\GASS - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)
10-07: 15:03:54.531 My Connections\GASS - Filter entry 3 removed: SECURE

Übrigens habe ich auch eien VPN-Verbindung in anderer Richtung zu dem anderen Intranator eingerichtet, die funktioniert ohne Probleme.

[reinhardi]

Hier jetzt ein Logfile mit einem NCP-Client, der Test war von mir zuhause zum Intranator in der Firma. Die Verbindung wurde erst hergestellt und dann nach ca. 1 min. wieder unterbrochen. Die Ports UDP 500 und 4500 waren an meinem Speedport für den Laptop freigeschaltet:

siehe Anhang

[bjoerns]

Hallo,

der Grund warum die Verbindung abgebaut wurde ist in diesen Zeilen zu erkennen:

Tue Dec 01 22:53:28 2009:Tue Dec 01 22:53:28 2009:Ike: ConRef=24, DeadPeerDetection - no answer - VPN zu Intranator
Tue Dec 01 22:53:28 2009:Tue Dec 01 22:53:28 2009:ERROR - 4035: IKE(phase1)isconnect due to no DPD response.

Der NCP-Client bekommt vom Intranator keine Antwort auf die DeadPeerDetection Pakete.

Leider kann ich nicht sagen warum. Funktioniert denn die Kommunikation im Allgemeinen?

Vielleicht hilft es, wenn Sie sich die /var/log/messages während einem Verbindungsaufbau und Test live anzeigen lassen. Den Mitschnitt können Sie dann gerne Posten und am besten auch die /var/log/messages im kompletten hochladen.

MFG Björn

[reinhardi]

Hallo,

ja, die Schlüssel und die Verbindungseinstellung sind in Ordnung, denn wenn ich das Notebook per ISDN ins Internet stelle, funktioniert die VPN. Nur über DSL bekomme ich keine Verbindung.

Hier das Logfile aus dem Intranator:

[Gerd von Egidy]

Hallo,

der NCP-Client scheint das Dead Peer Detection nicht anzufordern. Im Intranator-Protokoll würden Sie eine Zeile mit "Dead Peer Detection (RFC 3706) enabled" sehen wenn das Dead Peer Detection an ist.

Probieren Sie mal im Intranator das Dead Peer Detection auch anzumachen ("Offline-Erkennung alle xx Sekunden"), tragen Sie z.B. 60 Sekunden ein. Suchen Sie ansonsten die Einstellung für das Dead Peer Detection im NCP-Client und deaktivieren Sie sie dort.

Herzliche Grüße,

v. Egidy

[reinhardi]

Hallo,

der zweite Ansatz im NCP-Client die Einstellung für das Dead Peer Detection zu deaktivieren brachte den gewünschten erfolg. Leider habe ich jetzt den Effekt, dass ich das Netz dahinter nicht erreiche (kein Ping auf Server möglich).

[bjoerns]

Hallo,

ein solches Problem sollte eigentlich nichts mit den DeadPeerDetection Einstellungen zu tun haben.

Meinen Sie mit "Netz dahinter" das Netz zu dem Sie sich verbinden, oder ein weiteres Netz welches der Intranator Routet?

MFG Björn

[reinhardi]

ja, ich meine das Netz zu dem ich mich verbinde.