VPN-Fehler

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

VPN-Fehler

Beitrag von G_StarRAW »

Hallo,

weiß jemand was diese Einträge im Syslog bedeuten?

3 2018-06-21 11:13:50 AUTH Hinweis Successfull logged in to peer VPN-SERVER_1
4 2018-06-21 11:13:40 LOCAL0 Fehler VPN: Error for peer VPN-SERVER_1: IFC-I-Connection-timeout-dynamic
5 2018-06-21 11:13:13 KERN Hinweis dropped message from 80.15x.xxx.xx port 4500 due to notification type INVALID_COOKIE
6 2018-06-21 11:13:13 KERN Hinweis message_recv: invalid cookie(s) 30c855e72db8faae 914701bdca52b59f
7 2018-06-21 11:13:13 KERN Hinweis dropped message from 80.15x.xxx.xx port 4500 due to notification type INVALID_COOKIE

148 2018-06-21 17:38:32 LOCAL0 Fehler VPN: Error for peer VPN-SERVER_1: IFC-I-Connection-timeout-dynamic
149 2018-06-21 17:38:23 LOCAL3 Alarm Dst: 192.168.0.129 {VPN-CLIENT08.dragos-xxxx.intern}, Src: 80.15x.xxx.xx (ESP): connection refused

Es ist eine IKEv1 Verbindung, da dieses Gerät nicht mehr als das kann.
Es geht um ein älteres Router-Modell Business LAN R800+
Dieser Router ist hinter einem anderen Router. Die WAN-Verbindung erfolgr über DHCPoE.

Diese Nebenstelle verliert mehrmals pro Tag die VPN-Verbindung zur Zentrale.

Wie kann ich herausfinden, ob das Internet an dem Standort ausfällt oder die VPN-Verbindung schuld daran ist.

Viele Grüße,
Dragos
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN-Fehler

Beitrag von GrandDixence »

IKEv1 besitzt einen Schutz vor DoS-Attacken der auf "Cookies" basiert:

https://www.heise.de/security/artikel/E ... 70056.html

https://de.wikipedia.org/wiki/Denial_of_Service

Gemäss der Meldung "INVALID_COOKIE" verweigert um 11:13 Uhr ein VPN-Endpunkt die Kommunikation, weil der VPN-Endpunkt offenbar ein IKEv1- oder ESP-Datenpaket erhalten hat, welches ein falsches Cookie aufweist und schützt sich somit vor möglichen DoS-Attacken.

Ein VPN-Tunnel sollte mit Dead Peer Detection (DPD) periodisch (zum Beispiel alle 30 Sekunden) auf seine Funktionstüchtigkeit überprüft werden. Dead Peer Detection sollte für jeden VPN-Endpunkt konfiguriert werden, damit jeder VPN-Endpunkt eigenständig einen Abbruch des VPN-Tunnels feststellen kann (gilt für IKEv2, eventuell auch für IKEv1). Siehe auch:
viewtopic.php?f=31&t=16558&p=93544&hili ... sal#p93544

Erfolgt der VPN-Tunnel über ein oder mehrere NAT-Router, was an der Verwendung von NAT-Traversal (UDP Port 4500) erkennbar ist, kann auch eine falsch konfigurierte NAT-Traversal-Intervallzeit die Problemursache sein:
fragen-zum-thema-firewall-f15/connectio ... 16551.html

Wenn der VPN-Tunnel nach dem Neustart der beiden VPN-Endpunkte für mindestens 1 Stunde unterbruchsfrei funktioniert, aber nach einigen Stunden plötzlich unterbricht, kann die Ursache in einem falsch konfigurierten oder nicht unterstützten Rekeying liegen. Das Schlüsselmaterial für den Steuerkanal (IKE) wie auch für den Datenkanal (ESP) muss aus Sicherheitsgründen regelmässig erneuert werden (Rekeying).

Entweder erfolgt dies nach Ablauf einer Zeitfrist oder nach Überschreiten einer über diesen Kanal übertragenen Datenmenge. Für jeden Kanal kann die Zeitfrist und Datenmenge für das Erneuern des Schlüsselmaterials unabhängig vom anderen Kanal konfiguriert werden. Bricht die Verbindung des Steuerkanals IKE wegen einem Konfigurationsfehler im IKE-Rekeying ab (IKE_SA-Rekeying), kann der Datenkanal solange benutzt werden, bis auch das Schlüsselmaterial des Datenkanals ESP erneuert werden muss (ESP-Rekeying => CHILD_SA-Rekeying). Da aber die Neuaushandlung des Datenkanals-Schlüsselmaterials zwingend über den Steuerkanal IKE erfolgen muss, führt der nicht mehr vorhandene Steuerkanal zur Trennung des Datenkanals (ESP) und somit zur vollständigen Trennung des VPN-Tunnels!

viewtopic.php?f=14&t=16114&p=90848&hili ... ing#p90534

fragen-zum-thema-vpn-f14/fast-kein-traf ... 16434.html
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN-Fehler

Beitrag von MariusP »

Hi,
Du könntest die Gegenseite anpingen.
Es gibt sogar ein Tool im LCOS das das automatisch macht und dafür dir Logs anlegt.
Setup/SLA/ICMP
Das kannst du dann mit den Zeiten vergleichen wo das VPN wegbricht.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN-Fehler

Beitrag von G_StarRAW »

Hallo,

vielen Dank an GrandDixence und MariusP für die schnellen Antworten.
Ich glaube, ich brauche vorerst ein wenig Zeit, um diese Informationen zu verarbeiten.

Liebe Grüße
Dragos
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN-Fehler

Beitrag von G_StarRAW »

Hallo,

Ich habe ein passr Änderungen durchgeführt und wollte Euch eine kurze Rückmeldung geben.

1. Ich habe die IKEv1 VPN-Vebindung manuell, wie in der LANCOM-Knowledge Base beschrieben, konfiguriert.
Der VPN-Tunnel wurde damals mit dem Assistenten konfiguriert und die Proposals-Reihenfolge und die Proposals-Dauer stimmten auf beiden Seiten nicht überein. Jetzt ist aber der Fall.
Ich habe die IKEv1- & IPsec-Proposals so eingestellt:
IKE-Proposals 108.000 Sek./0 kB
IPsec-Proposals: 28.800 Sec. 2.000.000 kB

2. Die DPD-Zeit habe ich erstmal auf 30 Sek., dann auf 15 Sek. reduziert (von ursprünglich auf 60 Sek.).

Trotz Änderungen bricht die VPN-Verbindung ab und der entfernte Router muss neu gestartet werden, damit er sich wieder verbindet.
Die Verbindung hält zwischen ein paar Stunden und 1 Tag an.

Jetzt habe ich 3 Fragen:
1. Wie ist die Standard Gültigkeitsdauer von IKEv1- & IPsec-Proposals?
2. An dem Standort ist ein vorgeschalteter Router von UPC, der die Internet-Verbindung aktiv aufbaut. Der LANCOM ist dahinter per DHCPoE.
Ist es möglich, dass der UPC-Router (eine Connect Box, wie die von Unitymedia) die VPN-Verbindung trennt?
Ich habe in dem UPC-Router keine Änderungen gemacht.
Muss man da Ports freigeben?
3. Gibt es irgendeine Möglichkeit über VPN auf dem UPC-Router zuzugreifen?
Der UPC-Router hat das Netz 192.168.0.0
DER LANCOM Router 192.168.8.0

Viele Grüße
Dragos
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN-Fehler

Beitrag von MariusP »

Hi,
Du hast zwei mal das selbe Netz gepostet bei deiner Frage 3.

Wenn die Verbindung aufgebaut werden kann, dann hängt es nicht mit blockierten Ports zu tun, dass die Verbindung später abbricht.

https://tools.ietf.org/html/rfc2407#section-4.5
Für IKEv1 ist das der offizielle Standart. Auch wenn ich nicht glaube das dir diese Information weiterhelfen wird.
Aber da die Lifetime eh zur IKEv1-Verhandlung gehört müssen sie gleich groß sein.
Du kannst dir gerne dazu den VPN-IKE Trace anschauen dann siehst du die ganze Verhandlung.

Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN-Fehler

Beitrag von G_StarRAW »

Hallo MariusP,
Du hast zwei mal das selbe Netz gepostet bei deiner Frage 3.
Zurück zu meiner Frage 3: Gibt es die irgendeine Möglichkeit, aus der Ferne, auf dem UPC-Router zuzugreifen?

In der Routing-Tabelle steht:
Das Netz 192.168.8.0 (entfernt) zeigt auf 192.168.2.0 (lokal) und umgekehrt.
Aber das Netz 192.168.0.0 / 255.255.0.0 wird geblockt?, als Router ist 0.0.0.0 eingetragen, auf beiden Seiten. Das ist ein Standard-Eintrag, den habe ich nicht verändert. Ich sage das bzgl des UPC-Routers (192.168.0.0).

Was muss ich genau eingeben, um ein VPN-IKE-Trace zu erstellen?
Meinst du im SSH "trace + vpn-status" eingeben?
Im Augenblick ist der VPN-Client08 mal wieder getrennt.
Ich habe mich mit "tracen" noch nicht beschäftigt.

Ich habe in einer Anleitung auf der LANCOM Seite das gefunden:
"Achten Sie darauf, dass neben dem UDP-Port 500 auch der UDP-Port 4500 bei Verwendung von NAT-T in der Firewall freigeschaltet ist, wenn das Gerät als NAT-Router zwischen den VPN-Endpunkten fungiert! Bei Verwendung des Firewall-Assistenten in LANconfig wird dieser Port automatisch freigeschaltet."
Muss ich diese Ports freigeben?

Etwas ist doch merkwürdig: ich habe noch ein älteres VPN-Client, die beiden Verbindungen sind gleich konfiguriert und der andere Client keine Probleme macht.
Bei dem Problem-Client läuft die VPN-Verbindung so schlecht, seitdem der UPC-Router (der davor geschaltet ist) ausgetauscht wurde, da die Internetgeschwindigkeit gesteigert wurde und das alte Modem ein älteres Gerät war.
Erst seitdem gibt es diese Abbrüche.

Viele Grüße
Dragos
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN-Fehler

Beitrag von MariusP »

Hi,
Per SSH auf einer Konsole oder auch per dem Lanconfig beigefügtem Tool Lantracer.
Wenn du auf der Konsole "trace" eingibst siehst du alle traces und ob sie angeschaltet sind.
Dort siehst du nicht nur den VPN-Status Trace sondern auch den VPN-IKE Trace.
Der VPN-Status berichtet über den Status von Verhandlungen und Tunneln sowie andere VPN bezogene Events.
Der VPN-IKE Trace zeigt dir alle IKE-v1/2-Verhandlungspakete an.
Der VPN-Packet Trace zeigt asugehende sowie eingehende Datenpakete die in den IPSEC-Tunnel gesteckt werden an.

Die Ports sind für für die Verhandlung, auch wenn nicht gleichzeitig, notwendig. Wenn die Verbindung dementsprechend aufgebaut werden konnte, sind die Ports ja schon freigegeben bzw werden weitergeleitet. Ich bezweifle stark, das die Ports, zwischendrin einfach so aus Spaß wieder abgeschaltet werden. >.<
Im DHCPOE Modus wird dem vorgeschalteten Router quasi mitgeteilt, dass er sich nur als Modem verstehen soll und selber nicht die Aufgaben eines Routers wahrnehmen soll.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN-Fehler

Beitrag von G_StarRAW »

Hallo Marius,

vielen Dank für die schnelle Antwort.
im welchem Modus würdest du dann den LANCOM hinter dem vorgeschalteten UPC Router konfigurieren?

LAN-Tracer habe ich gefunden, habe es bisher noch nie benutzt.

Es ist mir noch aufgefallen, bei diesem Standort ist der DNS-Server nicht der vorgeschaltete Router, sondern der Internet Provider eingetragen.
VPN-CLIENT08.JPG
Hat das eine Bedeutung?

In einem Trace VPN-Status erscheint regelmässig derselbe Eintrag:

Code: Alles auswählen

data received during intervall
set poll timer to 30000 ms

[VPN-Status] 2018/06/26 21:50:26,279  Devicetime: 2018/06/26 21:50:25,064
VPN: poll timeout for VPN-CLIENT8_ (78.97.xxx.xxx)
data received during intervall
set poll timer to 30000 ms
Ich habe gerade auch ein VPN-IKE Trace erstellt. Es enthällt so viele Daten. Kann man was daraus ableiten, wenn ich sie öffentlich poste außer WAN-IP-Adresse?

Gruß
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN-Fehler

Beitrag von GrandDixence »

Ein VPN-Tunnel mit IKEv2/IPSec sollte gemäss den Empfehlungen des BSI TR-02102-3 konfiguriert werden (Proposals, Gültigkeitsdauer etc.):
https://www.bsi.bund.de/DE/Publikatione ... x_htm.html

Dies entspricht für einen VPN-Tunnel zwischen zweier LANCOM-Geräten der im täglichen Einsatz stehenden Konfiguration:
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268

Da IKEv1 als veraltet gilt und IKE Version 2 (IKEv2) dank neuen Sicherheitsmerkmale eine bessere Sicherheit bietet, sollte kein IKEv1 mehr eingesetzt werden. Deshalb gibt es vom BSI auch keine Technische Richtlinie für IKEv1. Gerade direkt mit dem Internet verbundene Netzwerkkomponenten (=> Edge-Router) sollten aus Sicherheitsgründen mit einem Betriebssystem und mit Software betrieben werden, welche vom Hersteller zuverlässig mit allfällig erforderlichen Sicherheitsupdates versorgt wird. Dies ist bei "End-of-Life" LANCOM-Geräten sicher nicht der Fall:
https://www.lancom-systems.de/produkte/ ... ttabellen/

Falls kein Gerät mehr vom Hersteller LANCOM wegen der sehr kurzen "Lebensdauer" der LANCOM-Geräte erwünscht ist, siehe bitte Seite 2 von:
viewtopic.php?f=41&t=16226&p=91517&hilit=gigabit#p91517

EuroDOCSIS-Kabelmodeme (hier ConnectBox) sollten im Bridge-/Modem-Modus betrieben werden. Im Router-Modus bereiten EuroDOCSIS-Kabelmodeme erfahrungsgemäss nur Ärger. Siehe auch:
aktuelle-lancom-router-serie-f41/proble ... tml#p94256

Der Responder (Begriffsdefinition siehe fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268) sollte mit einer öffentlichen IPv4-Adresse an der WAN-Schnittstelle betrieben werden => kein Port-Forwarding! Port-Forwarding auf Seite Responder (in Router Nr. 3 gemäss Abbildung) ist technisch möglich, wird aber wahrscheinlich nur Ärger bereiten:
https://www.lancom-systems.de/docs/conf ... 75697.html

Falls MobIKE irgendwann in naher oder ferner Zukunft unterstützt werden soll, muss der Responder zwingend mit einer öffentlichen IPv4-Adresse an der WAN-Schnittstelle betrieben werden => kein Port-Forwarding!
viewtopic.php?f=31&t=16558&p=93500&hilit=mobike#p93500

DPD-Zeiten kürzer als 30 Sekunden werden von LCOS v10.12 nicht unterstützt. Dasselbe gilt sehr wahrscheinlich auch für IKEv1. Poll-Timer und Poll-Timeout hört sich nach der Dead Peer Detection (DPD) für IKEv1 an.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN-Fehler

Beitrag von MariusP »

Hi,
@GrandDixcence Postest du eigentlich immer das selbe in den Posts.

@GstarRaw
- Die Propsal die du ausgewählt hast, welche eh meist Standart sind, bieten keine wirkliche Angriffsfläche.
Die ersten 4 Pakete werden in IKEv1 eh unverschlüsselt übertragen, daher kann es jeder auf der Leitung mitlesen.
Die Sicherheit beruht eh nicht auf öffentlich und auch nicht übertragenen Daten.
- In den Quickmode Paketen werden dann noch die zu verbindenen Netze übertragen.

Wenn der Router der vor dir geschaltet ist, nur als Modem fungiert, bekommst du die DNS-Server mitgeteilt, den der ISP dem Modem mitgeteilt hat.
Ein Router muss nicht zwingend als DNS eingetragen werden, es können ja die DNS Anfragen vom Router weitergeleitet werden.
Also ist die Bedeutung, dass es so funktioniert wie in einer DHCPoE Konfiguration vorgesehen.

Ich würde ihn genauso konfigurieren wie er aktuell bei dir eingetragen ist. Warum fragst du? Nimmst du an, dass allein die Tatsache das du DHCPoE einsetzt, der VPN-Tunnel sporadisch abbricht?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN-Fehler

Beitrag von G_StarRAW »

Hallo und vielen Dank nochmal für die schnellen Rückmeldungen!!!

Ich merke, GrandDixcence ist ein Theoretiker. Ich bin ein Praktiker :lol: :lol: :lol:

@Marius

genau deswegen frage ich.
Die Probleme gibt es erst seitdem der vorgeschaltete UPC-Router erneuert wurde.
Als der alten UPC-Router gab es gar keine Abbrüche.
Ich denke, die Abbrüche müssen mit der neuen Connect Box zusammen hängen.
Es kommt noch dazu, nach einem Abbruch baut sich der VPN-Tunnel nicht mehr selbstständig auf (wie bei allen anderen Gegenstellen). Der LANCOM Router muss immer neugestartet werden.

@GrandDixcence

Du hast eine schöne Anleitung zum Thema VPN IKEv2 gepostet.
Ich habe deine Anleitung schon zum Teil bei mir umgesetzt (Gultigkeitsdauer und die GCM-Verschlüsselung. Es funktioniert alles.
Ich habe mich nur nicht getraut alles so umzusetzen, wie von dir beschrieben.
Wenn wir von Initiator sprechen, steht bei mir aktuell meine feste WAN-IP-Adresse unter Ext. Gateway eingetragen.
In deiner Anleitung steht eine Domäne. Kann das eine frei erfundene Domäne sein?
Z.B. lokal: vpn-server.dragos.intern und entfernt: vpn-client.dragos.intern. Würde das funktionieren????
Wie funktioniert das, wie weiß der Initiator unter welcher WAN-IP-Adresse der Responder zu finden ist.

Lieben Gruß
Dragos
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN-Fehler

Beitrag von MariusP »

Hi,
Welcher der beiden Lancom Router muss neugestartet werden.
Wenn also der andere UPC Router funktioniert hat mit dem selben DHCPoE-Schema, liegt der Fehler nicht am Prinzip sondern an etwas anderem.

Ich würde vorschlagen erstmal zu klären warum die VPN-Verbindung zusammenbricht und dann anschließend mich erst damit befassen warum sie nicht sauber neu aufbaut.
Hast du denn mal wie vorgeschlagen eine Überwachung der Internetverbindung von dem UPC gemacht? Korreliert diese mit dem wegbrechen der VPN-Verbindung?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
G_StarRAW
Beiträge: 52
Registriert: 12 Feb 2012, 11:26
Wohnort: Köln

Re: VPN-Fehler

Beitrag von G_StarRAW »

Hallo Marius,

der LANCOM hinter dem UPC-Router muss neugestartet werden.
Jetzt stelle ich nochmal die Frage, gibt es irgendeine Möglichkeit über VPN auf dem UPC-Router zuzugreifen?
Ich komme sonst nicht an dem UPC Router.
Das ist eine Connect Box (die Weiße, wie die neue Connect Box von Unitymedia).
Was für eine Überwachungsmöglichkeiten bietet sie an?
Aber erstmal muss ich drauf zugreifen können...

Gruß
Dragos
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN-Fehler

Beitrag von Dr.Einstein »

Hi Dragos,

das ganze erinnert mich an einem Fall, wo eine bestimmte Firmware-Version eines Zyxel B30A Modems VPN Pakete nach der Zwangstrennungs / PPPoE Trennung einfach verschluckt hat, alles andere lief sauber. Erst nach einem Router oder Modemneustart lief der nachgelagerte VPN wieder, konnte man immer schön sehen, dass auf der Gegenseite keinerlei Pakete angekommen sind am nächsten Morgen, per Wireshark hat man die Pakete aber am Quellrouter sehen können ...

Vielleicht kannst du in die Richtung ebenfalls einmal schauen.

Gruß Dr.Einstein
Antworten