Probleme mit VP'N Verbindung: Pluto cannot decode source sockaddr

[Ebi]

Hallo,

ich habe seit kurzem das Problem, dass ich keine VPN-Verbindung mehr zu unserem Intrantor bekomme. Bis vor 2 Tagen lief noch alles problemlos, aber seitdem geht nichts mehr.
Das System Check-Log weisst folgende Meldung aus (keine Ahnung, ob das damit in Verbindung steht, aber die Zeiten scheinen zu passen):

Code:

Feb 2 10:06:45 intranator pluto[3101]: ERROR: recvfrom on eth1 failed; Pluto cannot decode source sockaddr in rejection: unknown source. Errno 11: Resource temporarily unavailable

Was läuft hier schief und was kann hier getan werden?

Liebe Grüße,
Jens Eberhardt

[Gerd von Egidy]

Hallo,

ich denke hier sollten wir uns einen größeren Ausschnitt aus der messages-Logdatei ansehen. Die Meldung klingt so, als ob etwas mit den internen Netzschnittstellen und deren IP-Zuweisung nicht stimmt - z.B. weil der Intranator in diesem Moment offline war.

Herzliche Grüße,

v. Egidy

[Ebi]

Hallo,

hier der komplette Ausschnitt inkl. der Meldungen, welche es nicht bis ins System Check geschafft hatten:

Code:

Feb  3 16:02:49 intranator pluto[2948]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [da8e937880010000]
Feb  3 16:02:49 intranator pluto[2948]: packet from source.ip.source.ip:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
Feb  3 16:02:49 intranator pluto[2948]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Feb  3 16:02:49 intranator pluto[2948]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Feb  3 16:02:49 intranator pluto[2948]: packet from source.ip.source.ip:500: received Vendor ID payload [RFC 3947]
Feb  3 16:02:49 intranator pluto[2948]: packet from source.ip.source.ip:500: received Vendor ID payload [Dead Peer Detection]
Feb  3 16:02:49 intranator pluto[2948]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [NCP Client]
Feb  3 16:02:49 intranator pluto[2948]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [c61baca1f1a60cc10800000000000000]
Feb  3 16:02:49 intranator pluto[2948]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [FRAGMENTATION c0000000]
Feb  3 16:02:49 intranator pluto[2948]: "C8"[2] source.ip.source.ip #4: responding to Main Mode from unknown peer source.ip.source.ip
Feb  3 16:02:50 intranator pluto[2948]: "C8"[2] source.ip.source.ip #4: NAT-Traversal: Result using RFC 3947: peer is NATed
Feb  3 16:03:00 intranator connd[2639]: [connection_manager] online mode set to always online
Feb  3 16:03:00 intranator connd[2639]: [connection_manager] still use P7 as default provider
Feb  3 16:03:00 intranator connd[2639]: [connection_manager] online mode set to always online
Feb  3 16:03:01 intranator lmtpunix[7446]: Delivered: <cmu-lmtpd-7446-1328281381-0@intranator.domain.lan> to mailbox: user.cyrus
Feb  3 16:03:02 intranator pluto[2948]: ERROR: recvfrom on eth1 failed; Pluto cannot decode source sockaddr in rejection: unknown source. Errno 11: Resource temporarily unavailable
Feb  3 16:03:02 intranator pluto[2948]: ERROR: recvfrom on eth1 failed; Pluto cannot decode source sockaddr in rejection: unknown source. Errno 11: Resource temporarily unavailable
Feb  3 16:03:12 intranator pluto[2948]: ERROR: recvfrom on eth1 failed; Pluto cannot decode source sockaddr in rejection: unknown source. Errno 11: Resource temporarily unavailable
Feb  3 16:03:17 intranator pluto[2948]: ERROR: recvfrom on eth1 failed; Pluto cannot decode source sockaddr in rejection: unknown source. Errno 11: Resource temporarily unavailable
Feb  3 16:03:21 intranator pluto[2948]: ERROR: recvfrom on eth1 failed; Pluto cannot decode source sockaddr in rejection: unknown source. Errno 11: Resource temporarily unavailable
Feb  3 16:03:22 intranator sys_check[2920]: Load: 0.01 0.04 0.05 1/201, MemFree: 2325320 kB, Buff/Cache: 999652 kB, Swapped: 0 kB, SwapFree: 2047868 kB, Swap since boot: 0 pages, I/O avg: 6%, highest I/O usage: 21%
Feb  3 16:03:23 intranator pluto[2948]: ERROR: recvfrom on eth1 failed; Pluto cannot decode source sockaddr in rejection: unknown source. Errno 11: Resource temporarily unavailable
Feb  3 16:03:29 intranator pluto[2948]: "C8"[2] source.ip.source.ip #4: byte 2 of ISAKMP Hash Payload must be zero, but is not
Feb  3 16:03:29 intranator pluto[2948]: "C8"[2] source.ip.source.ip #4: malformed payload in packet
Feb  3 16:04:00 intranator connd[2639]: [connection_manager] online mode set to always online
Feb  3 16:04:00 intranator connd[2639]: [connection_manager] still use P7 as default provider
Feb  3 16:04:00 intranator connd[2639]: [connection_manager] online mode set to always online
Feb  3 16:04:00 intranator pluto[2948]: "C8"[2] source.ip.source.ip #4: max number of retransmissions (2) reached STATE_MAIN_R2
Feb  3 16:04:00 intranator pluto[2948]: "C8"[2] source.ip.source.ip: deleting connection "C8" instance with peer source.ip.source.ip {isakmp=#0/ipsec=#0}
Feb  3 16:05:00 intranator connd[2639]: [connection_manager] online mode set to always online
Feb  3 16:05:00 intranator connd[2639]: [connection_manager] still use P7 as default provider
Feb  3 16:05:00 intranator connd[2639]: [connection_manager] online mode set to always online

Zum Vergleich hier noch einmal ein Ausschnitt aus erfolgreichen Tagen...

Code:

Jan 28 05:08:18 intranator pluto[3101]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [da8e937880010000]
Jan 28 05:08:18 intranator pluto[3101]: packet from source.ip.source.ip:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
Jan 28 05:08:18 intranator pluto[3101]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Jan 28 05:08:18 intranator pluto[3101]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Jan 28 05:08:18 intranator pluto[3101]: packet from source.ip.source.ip:500: received Vendor ID payload [RFC 3947]
Jan 28 05:08:18 intranator pluto[3101]: packet from source.ip.source.ip:500: received Vendor ID payload [Dead Peer Detection]
Jan 28 05:08:18 intranator pluto[3101]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [NCP Client]
Jan 28 05:08:18 intranator pluto[3101]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [c61baca1f1a60cc10800000000000000]
Jan 28 05:08:18 intranator pluto[3101]: packet from source.ip.source.ip:500: ignoring Vendor ID payload [FRAGMENTATION c0000000]
Jan 28 05:08:18 intranator pluto[3101]: "C8"[5] source.ip.source.ip #10: responding to Main Mode from unknown peer source.ip.source.ip
Jan 28 05:08:18 intranator pluto[3101]: "C8"[5] source.ip.source.ip #10: NAT-Traversal: Result using RFC 3947: peer is NATed
Jan 28 05:08:29 intranator pluto[3101]: "C8"[5] source.ip.source.ip #10: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Jan 28 05:08:29 intranator pluto[3101]: "C8"[5] source.ip.source.ip #10: Peer ID is ID_DER_ASN1_DN: 'DC=local, DC=domain, OU=company, OU=city, OU=Benutzer, CN=Username, E=User-E-Mail'
Jan 28 05:08:29 intranator pluto[3101]: "C8"[5] source.ip.source.ip #10: issuer cacert not found
Jan 28 05:08:29 intranator pluto[3101]: "C8"[5] source.ip.source.ip #10: X.509 certificate rejected
Jan 28 05:08:29 intranator pluto[3101]: "C8"[5] source.ip.source.ip #10: we have a cert and are sending it upon request
Jan 28 05:08:29 intranator pluto[3101]: "C8"[5] source.ip.source.ip:4500 #10: sent MR3, ISAKMP SA established
Jan 28 05:08:29 intranator pluto[3101]: "C8"[4] source.ip.source.ip:4500 #11: responding to Quick Mode
Jan 28 05:08:29 intranator pluto[3101]: "C8"[4] source.ip.source.ip:4500 #11: IPsec SA established {ESP=>0x4b6ef6ea <0xc803a26c NATOA=0.0.0.0}

Liebe Grüße,
Jens Eberhardt

[Gerd von Egidy]

Hallo,

der Intranator scheint in diesem Moment schon online gewesen zu sein. Dennoch gibt es mit dem Empfang von Daten von der internen Netzwerkschnittstelle Probleme.

Haben Sie mal versucht den Intranator neu zu starten? Ändert sich dadurch etwas an dem Problem?

Was für ein Providertyp ist aktiv? Siehe Netzwerk > Provider > Profile : Typ, Eintrag "Zugangsart".

Was für eine Schnittstelle wird für den Provider verwendet? Reiter Einstellungen, Eintrag "Schnittstelle".

Herzliche Grüße,

v. Egidy

[Ebi]

Hallo,

ein Neustart hat leider nichts gebracht.

Zugangsart ist Router mit fester IP.

Schnittstelle ist eth1 (DSL/Router).

Liebe Grüße,
Jens Eberhardt

[bjoerns]

Hallo,

ein Neustart hat leider nichts gebracht.

Zugangsart ist Router mit fester IP.

Schnittstelle ist eth1 (DSL/Router).

für mich sieht es so aus, als würde etwas die Kommunikation stören. Das könnte z.B. eine defekte Netzwerkkarte sein, oder aber der Router vor dem Intranator der auf irgendeine Weise die Pakete manipuliert.

Als erstes würde den Router mal durchstarten, falls das nicht schon passiert ist.

Dann könnte man das Interface für den WAN Zugang auf dem Intranator noch tauschen.

Ansonsten wäre noch zu versuchen, wie es sich verhält, wenn der Intranator direkt per PPPoE über den Router online geht.

MFG Björn

[Ebi]

Hallo,

leider hat auch der Neustart des Routers keinen Erfolg gebracht.

Direktes PPPoE scheidet leider aus, da es sich hier nicht um einen DSL-Router handelt, sondern um einen Router für eine richtige IP-Standleitung.

Bliebe nur noch das tauschen des WAN-Interfaces. Gibt es hier einen schmerzfreien Weg, dies (aus der Ferne) zu bewerkstelligen?

Liebe Grüße,
Jens Eberhardt

[bjoerns]

Hallo,

Bliebe nur noch das tauschen des WAN-Interfaces. Gibt es hier einen schmerzfreien Weg, dies (aus der Ferne) zu bewerkstelligen?

Warteschlange aktivieren.

Dann in der Interface Konfiguration das neue Interface auf DSL/Router stellen oder mit einem vorhandenen tauschen.

Nun muss nur noch in der Provider Konfiguration das Interface umgestellt werden.

Die Warteschlange kann ausgeführt werden.

Allerdings kommt man um das händische umstecken des Netzwerkkabels leider nicht herum .

MFG Björn

[Ebi]

Interface ist getauscht, leider keine Verbesserung in Sicht...

Der Fehler ist jetzt einfach auf das andere Interface umgezogen:

Code:

Feb  9 18:28:15 intranator pluto[2103]: ERROR: recvfrom on eth2 failed; Pluto cannot decode source sockaddr in rejection: unknown source. Errno 11: Resource temporarily unavailable

Was nun?

Liebe Grüße,
Jens Eberhardt

[Gerd von Egidy]

Hallo,

ich denke das beste wäre, wenn wir uns das mal per Fernwartung anschauen könnten.

Wenden Sie sich entweder an Ihren Händler oder legen Sie selbst ein Support-Ticket bei uns für diesen Fall an. Verweisen Sie im Text am besten auf diesen Thread.

Herzliche Grüße,

v. Egidy