Horror-Release 10.12: VPN mit "Rückschlagventil"

[Koppelfeld]

Hi Jirka,

Dir ist mitunter schwer zu helfen...

Sagt der Irrenarzt hier auch immer.

Im Normalfall stimmen bei sowas die Netzbeziehungen nicht. Oben schreibst Du zwar, das hättest Du überprüft, aber ich traue dem nicht so ganz.

Nee, schon klar. Dann überzeuge er sich selbst.


Außenstelle: Von hier aus komme ich nicht zur Zentrale

Code: Alles auswählen

VPN SPD and IKE configuration:
  # of rules = 4

  Rule #1          ikev1        192.168.116.0/255.255.255.0:0 <-> 192.168.115.0/255.255.255.0:0 any

    Name:                       KCB
    Unique Id:                  ipsec-1-KCB-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.116.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, xx.x.xxx.xxx)
    Remote Gateway:             IPV4_ADDR(any:0, yy.yyy.yy.yy)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.115.0/255.255.255.0)

  Rule #2          ikev1        192.168.10.0/255.255.255.0:0 <-> 192.168.115.0/255.255.255.0:0 any

    Name:                       KCB
    Unique Id:                  ipsec-0-KCB-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.10.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, xx.x.xxx.xxx)
    Remote Gateway:             IPV4_ADDR(any:0, yy.yyy.yy.yy)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.115.0/255.255.255.0)

    (dann kommen noch zwei Regeln zum Management-VPN bei uns, welche aber prima funktionieren)

Zentrale: Von hier aus komme ich prima zur Gegenstelle.

Code: Alles auswählen

(ein eifon ..)

  Rule #2          ikev1        192.168.60.0/255.255.255.0:0 <-> 192.168.116.0/255.255.255.0:0 any

    Name:                       MACH
    Unique Id:                  ipsec-2-MACH-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.60.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, yy.yyy.yy.yy)
    Remote Gateway:             IPV4_ADDR(any:0, xx.x.xxx.xxx)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.116.0/255.255.255.0)

  Rule #3          ikev1        192.168.70.0/255.255.255.0:0 <-> 192.168.116.0/255.255.255.0:0 any

    Name:                       MACH
    Unique Id:                  ipsec-1-MACH-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.70.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, yy.yyy.yy.yy)
    Remote Gateway:             IPV4_ADDR(any:0, xx.x.xxx.xxx)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.116.0/255.255.255.0)

  Rule #4          ikev1        192.168.115.0/255.255.255.0:0 <-> 192.168.116.0/255.255.255.0:0 any

    Name:                       MACH
    Unique Id:                  ipsec-0-MACH-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.115.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, yy.yyy.yy.yy)
    Remote Gateway:             IPV4_ADDR(any:0, xx.x.xxx.xxx)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.116.0/255.255.255.0)

    (dann kommen wieder Management-VPN - Regeln)

Hast Du denn je Router nur ein lokales Netz (Intranet) und mehr nicht, oder gibt es mehrere lokale Netze?

Natürlich gibt es da mehrere. Wartungsnetz für die ganzen Serverkomponenten, Intranet und WLAN-Gastsuhle.

Bloß: Ich finde nix. Langsam wird es spannend.

[Jirka]

Hallo Koppelfeld,

Sagt der Irrenarzt hier auch immer.

der Arme...

Nachfolgend lasse ich der Übersichtlichkeit halber mal die Subnetmasken unter den Tisch fallen.

So, da hätten wir also die Netzbeziehungen für KCB <-> MACH. Schön. Was sieht man da? Ungleichheiten. Beide Seiten bieten Netze an, von denen die andere Seite gar nichts weiß. Das kann unter Umtänden funktionieren, teilweise auch je nachdem wer aufbaut, aber eine Garantie hast Du dafür so nicht:
Die Außenstelle gibt an, über die VPN die beiden lokalen Netze 192.168.116.0 und 192.168.10.0 routen zu wollen und erwartet in der Zentrale (ausschließlich) das 192.168.115.0-er Netz.
Die Zentrale hingegen gibt an, über die VPN die drei lokalen Netze 192.168.60.0, 192.168.70.0 und 192.168.115.0 routen zu wollen und erwartet in der Außenstelle (ausschließlich) das 192.168.116.0-er Netz.

So wie ich das sehe, willst Du eigentlich nur die Netzbeziehung 192.168.116.0 <-> 192.168.115.0.

Folglich musst Du, wie ich sehe hast Du also (vermutlich) automatische Regelerzeugung an, entweder auf manuelle Regelerzeugung umstellen oder aber die Routen in der Routing-Tabelle so taggen, dass nur das jeweilige Netz den Weg in die Route findet. Also z. B. in der Außenstelle ist das Netz 192.168.116.0 und dieses hat das Schnittstellen-Tag 116. Dann muss die Route zum 192.168.115.0-er Netz mit dem Routing-Tag 116 getaggt werden. Das lokale Netz 192.168.10.0 in der Außenstelle hat dann vielleicht das Schnittstellen-Tag 10 oder was weiß ich auch immer, nur nicht 116, das würde dann den Weg zum Netz der VPN-Gegenseite nicht finden und damit auch nicht in die Berechnung der automatischen Regelerzeugung einfließen.

Viele Grüße,
Jirka

[Koppelfeld]

Hallo Jirka,

So, da hätten wir also die Netzbeziehungen für KCB <-> MACH. Schön. Was sieht man da? Ungleichheiten. Beide Seiten bieten Netze an, von denen die andere Seite gar nichts weiß. Das kann unter Umtänden funktionieren, teilweise auch je nachdem wer aufbaut, aber eine Garantie hast Du dafür so nicht:

Monent mal.
Die jeweiligen Router bieten Netze an, auch wenn es dafür noch keine Gegenstellen gibt.
Dagegen ist doch nichts einzuwenden ?

So wie ich das sehe, willst Du eigentlich nur die Netzbeziehung 192.168.116.0 <-> 192.168.115.0.

Stimmt, für die Niederlassung.

auf manuelle Regelerzeugung umstellen

Kein Problem. Wie ?
Am liebsten würde ich das mit diesen neuen Regel-Sätzen machen, welche man pro VPN festlegen kann. Werden die denn angezogen, wenn man im Steuersatz 'rule creation' auf 'manual' setzt ?

oder aber die Routen in der Routing-Tabelle so taggen, dass nur das jeweilige Netz den Weg in die Route findet.

Das ist aber eine Lizenz zum sich-selbst-in-den Fuß-schießen.

Erstmal vielen Dank !

[5624]

Am liebsten würde ich das mit diesen neuen Regel-Sätzen machen, welche man pro VPN festlegen kann. Werden die denn angezogen, wenn man im Steuersatz 'rule creation' auf 'manual' setzt ?

Ja, werden sie. Firewall-VPN-Regeln und die neuen Netzwerkregeln funktionieren auch wunderbar nebeneinander. Ich hab das System mit den Netzwerkregeln bei mir vor einigen Monaten für alle Gegenstellen eingeführt, statt auf der Filialseite auf Automatisch und zentralseitig mit ANY to ANY zu arbeiten. Die grauen Haare werden schon wieder weniger. Die neuen Netzwerkregeln haben aber, soweit ich weiß, Priorität.

[Koppelfeld]

Guten Abend,

Ich hab das System mit den Netzwerkregeln bei mir vor einigen Monaten für alle Gegenstellen eingeführt, statt auf der Filialseite auf Automatisch und zentralseitig mit ANY to ANY zu arbeiten. Die grauen Haare werden schon wieder weniger. Die neuen Netzwerkregeln haben aber, soweit ich weiß, Priorität.

*** SUPER - TIP ***
Bin begeistert. Keine dösigen IFC-IKE-UKIP-IANA-IEEE-BLABLABLA - Meldungen mehr in den Logs.
Warum auch immer diese Scheiß-Automatik ? Schon beim Autofahren komplett gaga. Macht gute Autofahrer schlechter und schlechte noch schlechter.

Kann ich da auch "Transit-Regeln" festlegen, wenn ich ausnahmsweise von Filiale zu Filiale Traffic erlauben möchte ? In diesem Falle müßte die "Transit-Regel" natürlich in der Zentrale von zwei VPNs angezogen werden, was dank des Listenkonzeptes ja einfach zu verwirklichen ist.

*** NUR LEIDER ***
löst der Tip mein Problem nicht. ICMP von der Zentrale zur Filiale -- alles bestens. Umgekehrt: Wie abgeschnitten. Auch bei abgeschalteter "Firewall".

[Dr.Einstein]

Hi Koppelfeld,

Ping auf die Router IP und Clients dahinter geht nicht?

Gruß Dr.Einstein

[Koppelfeld]

Hi, es sind doch immer wieder die Gleichen ...

Ping auf die Router IP und Clients dahinter geht nicht?

Weder -- noch.

Ich frage mich, was das 10.12er Release mit den Routern gemacht hat.

[5624]

Warum auch immer diese Scheiß-Automatik ? Schon beim Autofahren komplett gaga. Macht gute Autofahrer schlechter und schlechte noch schlechter.

Bei mir hat das mal eben 6000 SAs eingespart zwischen Filialen und Zentrale. Früher dauerte es immer so 3-4 Stunden, bis alle Filialen wieder verbunden waren, heute sind es 80 Verbindungen in etwa einer Minute. Trotzdem werde ich weiterhin meine VW Erdgasheizung mit DSG fahren

Mir sind im VPN-Bereich aber keine Probleme mit der 10.12 aufgefallen. Ich hab die SU3 in allen Filialen in Betrieb, eine Filiale hat die RU5 bekommen und keinerlei Probleme. Hast du schonmal über ein Trace geschaut, welche der beiden Seiten die Pakete verliert?

[Koppelfeld]

Warum auch immer diese Scheiß-Automatik ? Schon beim Autofahren komplett gaga. Macht gute Autofahrer schlechter und schlechte noch schlechter.

Bei mir hat das mal eben 6000 SAs eingespart zwischen Filialen und Zentrale. Früher dauerte es immer so 3-4 Stunden, bis alle Filialen wieder verbunden waren, heute sind es 80 Verbindungen in etwa einer Minute.

Der helle Wahnsinn. Was für ein unglaubliches Ressourcenproblem entsteht, bloß weil viele meinen, man muß dem Anwender helfen. Das Gegenteil kommt dabei heraus.
Man kann das gut sehen bei Technologieen, die nicht weiterentwickelt wurden, beispielsweise bei Dampfloks. Die sind sehr anspruchsvoll (und auch nur von zwei Leuten) zu fahren, benötigen hochqualifizierte Wartung und (vor allem wenn so eine Heinl-Mischvorwärmanlage oder eine Riggenbach-Gegendruckbremse dabei ist) und auch schon die kleinste Fehlbedienung kann größte Schäden anrichten.
Totzdem fahren gerade in Afrika noch Dampfloks, und die Personale fahren ausgezeichnet (ich kann das beurteilen, denn ich habe das bei der vormehdornigen ehemaligen Bundesbahn gelernt). Die jungen Afrikaner schaffen das, was ein moderner Informatiker NIE hinbekäme. Denn eben weil die Maschine NICHTS vergibt, lernst Du Respekt -- oder sie tötet Dich. Und weil sie möchte, daß Du ihr viele Dinge abnimmst, verstehst Du auch ihre Arbeitsweise.
Die "moderne" IT-Welt, die bei allen Proukten mit dem Hinweis "kinderleicht zu installieren" prahlt, versucht, "idiotensichere" Firmware zu bauen -- aber in Wirklichkeit ist es Firmware für Idioten.
Was passiert, wenn man Menschen mit der falschen Technik ausstattet, sieht man an den "Freifunk"-Idioten, die meinen, sie sozialisieren einen Afrikaner, indem sie diesen auf einem "Eiphon" herumdaddeln lassen. Was dabei herauskommt, ist hinlänglich bekannt.

Naja, es ist schön, daß LANCOM im Nachhinein zu diesen Regeln gefunden hat.

Trotzdem werde ich weiterhin meine VW Erdgasheizung mit DSG fahren

Das *ist* ja ein Schaltgetriebe. Bei meinem Gemeckere dachte ich an die komplexitätsstrotzenden hydrodynamischen Getriebe mit variabler Wandlerüberbrückung und nachgeschalteten Planetengetrieben.

Mir sind im VPN-Bereich aber keine Probleme mit der 10.12 aufgefallen. Ich hab die SU3 in allen Filialen in Betrieb, eine Filiale hat die RU5 bekommen und keinerlei Probleme.

Ich hatte auch keine. Bis auf einmal die Zielrufnummern im VCM einer gewissen Schwankungsbandbreite unterlagen. Da wollte ich es mir "einfach" machen und dachte, "das 10.12er Release wird es schon richten und soooo schlecht wird es auch nicht mehr sein". Falsch gedacht.

Hast du schonmal über ein Trace geschaut, welche der beiden Seiten die Pakete verliert?

Ja. Sie werden vom 'trace VPN' im Filialrouter erfaßt, kommen aber nicht am Ziel an.

[Jirka]

Koppelfeld, ich habe jetzt nicht alles gelesen, gerade selber zu tun. Aber hast Du nun nach Korrektur der Netzbeziehungen die Router auch mal neu gestartet? Früher hätte ich das auch nicht für nötig gehalten, aber wenn man zu viel an den VPNs ändert und rumfummelt, dann brauchen die leider manchmal auch einen Neustart.
Im Übrigen vermute ich, dass Du keine Konfigsicherung der 9.24 eingespielt hast, nachdem Du wieder zurückgegangen bist. Sowas kann man auch nicht machen. Da entstehen inkonsistente Zustände.

[Koppelfeld]

Im Übrigen vermute ich, dass Du keine Konfigsicherung der 9.24 eingespielt hast, nachdem Du wieder zurückgegangen bist.

Grrrrrrrrrrrrrr.
Ich hatte eine Sicherung. Als LCS-Script, das andere Format explodiert gern beim Neuladen.
Wurde aber überschrieben, bevor der Fehler (natürlcih wieder von der Chefin) entdeckt wurde.

[tom63]

auch keine sicherung mehr in der 1. oder 2. bootkonfiguration? sonst koennte man doch auch vielleicht probieren die sicherung der 10.12 nochmal in die 10.12 einzuspielen -> als script exportieren -> 9.24 aktivieren -> auf auslieferzustand zuruecksetzen -> konfigscript einspielen?!?

[Koppelfeld]

auch keine sicherung mehr in der 1. oder 2. bootkonfiguration? sonst koennte man doch auch vielleicht probieren die sicherung der 10.12 nochmal in die 10.12 einzuspielen -> als script exportieren -> 9.24 aktivieren -> auf auslieferzustand zuruecksetzen -> konfigscript einspielen?!?

Wie schon erwähnt, man kann nur davor warnen, eine Konfig "einzuspielen". Wenn es dieses blöde ".lcf"-Format ist, sowieso.
Dann hat der Kunde aber Spaß.

Ich habe aber noch folgendes getan:
- Kaltstart beider Router
- heute morgen um 05:45 'mal nachgeguckt:
- gleiches Fehlerbild,
- VPN baut sich auf Filialseite nicht auf
- Ziel-Gateway ist jedoch erreichbar
- Filial-Router meint "IKE-Timeout"
- Keinerlei Logs in der Zentrale
- VPN läßt sich jedoch problemlos von der Zentrale aus starten
- VPN - Zugriff auf Filialengeräte top
- Keinerlei Erreichbarkeit jedoch von der Filialseite aus in Richtung Zentrale.

Dann habe ich auf beide Router nochmal das Horrorrelease installiert und beide Geräte kalt neu gestartet.

Gleiches Fehlerbild.
Wir hatten dieses Phänomen schon einmal mit einem kaputten Switch, der manche Pakete nur in eine Richtung transportieren wollte.

[Bernie137]

Moin,

- VPN baut sich auf Filialseite nicht auf
- Ziel-Gateway ist jedoch erreichbar
- Filial-Router meint "IKE-Timeout"
- Keinerlei Logs in der Zentrale
- VPN läßt sich jedoch problemlos von der Zentrale aus starten

Das kommt mir bekannt vor und damit hatte ich bereits in der 9.24 zu kämpfen. Ich habe in beiden Routern alles zu diesen Verbindungen gelöscht, neu eingerichtet, Neustart und siehe da

Gruß Bernie

[Koppelfeld]

Moinsen !

Das kommt mir bekannt vor und damit hatte ich bereits in der 9.24 zu kämpfen. Ich habe in beiden Routern alles zu diesen Verbindungen gelöscht, neu eingerichtet, Neustart und siehe da

Schon versucht, aber ich befürchte, da versehentlich ein paar faule Zahnwurzeln stehengelassen zu haben. Probiere ich gleich nochmal. Aber nicht vom "ICE-WLAN" aus.