Lancom 1781VA mit 10.12.0382RU9 - Keine IKEV2_FRAGMENTATION_SUPPORTED-Benachrichtigung?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Kamper
Beiträge: 4
Registriert: 12 Jun 2022, 21:25

Lancom 1781VA mit 10.12.0382RU9 - Keine IKEV2_FRAGMENTATION_SUPPORTED-Benachrichtigung?

Beitrag von Kamper »

Hallo,

ich habe auf dem Lancom-Router eine VPN-Verbindung (IKEv2, zertifikatsbasiert) eingerichtet, die ich mit meinem Laptop und dem nativen Windows-10-VPN-Client nutzen möchte. Die Verbindung wird problemlos aufgebaut, wenn ich es über die mobilen Daten meines Handys versuche oder bei einem Bekannten, der seinen Internetanschluss bei der Telekom hat. Bei mir zu Hause (Deutsche Glasfaser) oder einem anderen Bekannten (ebenfalls Deutsche Glasfaser) kommt die Verbindung nicht zustande.

Ich habe dann einmal Wireshark mitlaufen lassen und festgestellt, dass die Datenpakete auf IP-Ebene fragmentiert werden und die Verbindung über die Deutsche Glasfaser vielleicht deswegen nicht aufgebaut wird. Beschrieben ist das Problem beispielsweise hier:

https://directaccess.richardhicks.com/2 ... -code-809/
https://directaccess.richardhicks.com/2 ... mentation/

Laut Doku ist beim Lancom-Router standardmäßig die IKEv2-Fragmentierung eingeschaltet. Gemäß RFC 7383, 2.3 und 2.4, müssen sich dabei beide Gegenstellen beim Aufbau einer VPN-Verbindung gegenseitig bestätigen, dass sie die IKE-Fragmentierung unterstützen. Dies geschieht durch eine IKEV2_FRAGMENTATION_SUPPORTED-Meldung sowohl beim IKE_SA_INIT Initiator Request als auch beim IKE_SA_INIT Responder Response.

Wenn ich mit dem nativen Windows10-VPN-Client versuche, zu dem Lancom-Router eine VPN-Verbindung aufzubauen, ist im IKE_SA_INIT Initiator Request die IKEV2_FRAGMENTATION_SUPPORTED-Meldung vorhanden. Bei der IKE_SA_INIT Responder Response des Lancom-Routers fehlt diese jedoch, so dass die folgenden IKE_AUTH Nachrichten auf IP-Ebene fragmentiert und wahrscheinlich deswegen unterwegs zum Lancom-Router verworfen werden. Wenn ich auf dem Lancom-Router einen VPN-Trace laufen lasse, sehe ich auch, dass dort bis auf den IKE_SA_INIT Initiator Request nichts ankommt.

Meine Frage: Wie bekomme ich den Lancom-Router dazu, in seiner IKE_SA_INIT Responder Response die IKEV2_FRAGMENTATION_SUPPORTED-Meldung mitzuschicken?

Vielen Dank schon einmal,
Peter
Frühstücksdirektor
Beiträge: 17
Registriert: 08 Jul 2022, 12:53
Wohnort: Aachen

Re: Lancom 1781VA mit 10.12.0382RU9 - Keine IKEV2_FRAGMENTATION_SUPPORTED-Benachrichtigung?

Beitrag von Frühstücksdirektor »

Hallo Peter,

Deine Firmware ist zu alt (LCOS 10.2). Aktuell ist 10.70 RU2.

Zuerst wurde von LCOS nur die Cisco-Fragmentierung unterstützt. Erst später gab es die IKEv2-Fragmentierung auf auch als IETF RFC 7383. Die RFC-Fragmentierung kam mit LCOS 10.30 oder so (ist schon zu lang her...). Windows unterstützt nur die IKEv2 RFC-Fragmentierung.

Also: Firmware-Update löst dein Problem vermutlich.

Viele Grüße,
Der Frühstücksdirektor
GrandDixence
Beiträge: 917
Registriert: 19 Aug 2014, 22:41

Re: Lancom 1781VA mit 10.12.0382RU9 - Keine IKEV2_FRAGMENTATION_SUPPORTED-Benachrichtigung?

Beitrag von GrandDixence »

Ein LANCOM-Router, welcher als VPN-Endpunkt fungiert, sollte aus Sicherheitsgründen mit einer aktuellen Stable-Version von LCOS betrieben werden:
https://www.lancom-systems.de/produkte/ ... ebersicht/

Also heute mindestens LCOS 10.42 RU7.

Wenn der LANCOM-Router das EoL-Datum erreicht, ist der Router aus Sicherheitsgründen durch ein neueres Gerät zu ersetzen:
https://www.lancom-systems.de/produkte/ ... management

Regelmässig die Sicherheitshinweise von LANCOM unter:
https://www.lancom-systems.de/service-s ... shinweise/
durchlesen.

Zum Thema "IKEv2-Fragmentierung" siehe auch:
fragen-zum-thema-vpn-f14/ikev2-fragment ... 18717.html

Ich empfehle die Path-MTU des Internetanschlusses zu prüfen. Sollwert: 1500 Byte. Siehe dazu:
fragen-zur-lancom-systems-routern-und-g ... 18492.html
Zuletzt geändert von GrandDixence am 04 Dez 2022, 22:19, insgesamt 1-mal geändert.
tstimper
Beiträge: 424
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Lancom 1781VA mit 10.12.0382RU9 - Keine IKEV2_FRAGMENTATION_SUPPORTED-Benachrichtigung?

Beitrag von tstimper »

GrandDixence hat geschrieben: 01 Dez 2022, 19:53 Ein LANCOM-Router, welcher als VPN-Endpunkt fungiert, sollte aus Sicherheitsgründen mit einer aktuellen Stable-Version von LCOS betrieben werden:
https://www.lancom-systems.de/produkte/ ... ebersicht/

Also heute mindestens LCOS 10.42 RU7.

Wenn der LANCOM-Router das EoL-Datum erreicht, ist der Router aus Sicherheitsgründen durch ein neueres Gerät zu ersetzen:
https://www.lancom-systems.de/produkte/ ... management

Zum Thema "IKEv2-Fragmentierung" siehe auch:
fragen-zum-thema-vpn-f14/ikev2-fragment ... 18717.html

Ich empfehle die Path-MTU des Internetanschlusses zu prüfen. Sollwert: 1500 Byte. Siehe dazu:
fragen-zur-lancom-systems-routern-und-g ... 18492.html
Wir hatten in einem Projekt den Fall, das der Internet Provider die Einwahl über einen anderen Provider machte.
Das kostete dann einige Bits bei der Path-MTU.
Da ein LCOS vor 10.50 bei VPN die Path -MTU nicht aushandeln kann, mussten wir da die MTU der VPN Gegenstelle im LCOS hart auf 1280 setzen.
Selbst 1300 war zu groß, das hatte der Provider vorgeschlagen.

Also im Zweifel ausprobieren. Firmware kannst Du updaten, Dein 1781VA hat sogar das goße Glück, das aktuelle LCOS 10.70 zu bekommen.

Viele Grüße

ts
tstimper
Beiträge: 424
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Lancom 1781VA mit 10.12.0382RU9 - Keine IKEV2_FRAGMENTATION_SUPPORTED-Benachrichtigung?

Beitrag von tstimper »

Dr.Einstein hat geschrieben: 02 Dez 2022, 10:21 Vielleicht im Client reduzieren?

https://www.stevenjordan.net/2016/11/wi ... 2-mtu.html
Gute Idee. In unserem Fall hatten wir keinen Zugriff auf die Client Konfiguration, wir konnten nur am Router handeln.

Viele Grüße

ts
GrandDixence
Beiträge: 917
Registriert: 19 Aug 2014, 22:41

Re: Lancom 1781VA mit 10.12.0382RU9 - Keine IKEV2_FRAGMENTATION_SUPPORTED-Benachrichtigung?

Beitrag von GrandDixence »

Ja, aber im Fall von Kamper blockiert irgendeine Netzwerkkomponente (üblicherweise Firewall oder Kabelmodem) den Transit von fragmentierten IP-Pakete. Was grundsätzlich ein nicht RFC-konformes Verhalten ist. Ursachenbehebung wäre also die Entfernung oder Umkonfiguration dieser Netzwerkkomponente.

Klar, beim Transport von fragmentierten IP-Paketen muss man durch das Reassemblieren einen Performanceverlust hinnehmen. Siehe:

LCOS-Menübaum > Setup > IP-Router > 1-N-NAT > Fragmente
https://www.lancom-systems.de/docs/LCOS ... 8_9_6.html
Kamper
Beiträge: 4
Registriert: 12 Jun 2022, 21:25

Re: Lancom 1781VA mit 10.12.0382RU9 - Keine IKEV2_FRAGMENTATION_SUPPORTED-Benachrichtigung?

Beitrag von Kamper »

Hallo,

vielen Dank für Eure Beiträge und Tipps.

Path-MTU ist 1500. Ich hatte das auch schon einmal auf dem Client und auch auf dem Router auf 1200 geändert, das hat aber nichts geholfen.

Wenn es an einer falsch konfigurierten Netzwerkkomponente liegt, wird sich diese wahrscheinlich irgendwo bei der Deutschen Glasfaser befinden, da die Verbindung ja an allen anderen Anschlüssen, die ich getestet habe, aufgebaut wird. Da kann ich also nichts entfernen oder umkonfigurieren.

Ich werde es jetzt erst einmal, wie vom Frühstücksdirektor empfohlen, mit einem Firmware-Update versuchen; wahrscheinlich werde ich aber erst am nächsten Wochenende dazu kommen. Und da ich sowas bei einem Lancom-Router noch nie gemacht habe und deswegen ein bisschen nervös bin: Kann ich direkt von 10.12.0382RU9 auf 10.70RU2 updaten? Oder sollte ich eine andere Version nehmen? Wo lauern da Fallstricke (Speicherplatz?)? Sind danach Konfiguration, Zertifikate etc. noch vorhanden? Und was kann ich im Vorfeld tun, damit ich im Fehlerfall möglichst schnell wieder einen funktionierenden Router habe? Gibt es hier im Forum vielleicht eine Anleitung, wie man da am besten vorgeht?
jueRgenB
Beiträge: 91
Registriert: 08 Apr 2019, 12:01

Re: Lancom 1781VA mit 10.12.0382RU9 - Keine IKEV2_FRAGMENTATION_SUPPORTED-Benachrichtigung?

Beitrag von jueRgenB »

Hallo,
mit der DG hab ich auch so meine Probleme ...

Was mir aus dem Text nicht klar wird ... wo steht der LANCOM Router, hängt der am Anschluss der DG.

Dann dürftest du mit Windows 10 nicht draufkommen, da die DG hier ein CGNAT macht.
Also müsstest du das ganze per IPv6 probieren.

IPv6 bei der DG ... :lol:

Gruß

JB
Antworten

Zurück zu „Fragen zum Thema VPN“