Horror-Release 10.12: VPN mit "Rückschlagventil"

[Koppelfeld]

... sozusagen.

Hallo,
um die Interoperabilität mit der Telekom besser zu gestalten, habe ich zwei per VPN verbundene Router auf die 10.12 angehoben.

Nun funktioniert dieses VPN nur noch in eine Richtung. ping a --> b klappt, aber b --> a klappt nicht.

Alle traces sind unauffäällig.


Was könnte das sein ?

[GrandDixence]

Die Angaben sind sehr dürftig. Das wird nur eine unseriöse Fehlersuche mit der Methode "Kristallkugel"!

Wurden die LANCOM-Router gemäss:
http://www.lancom-forum.de/fragen-zum-t ... tml#p91268
konfiguriert?

Sind die Ping's und Pong's in den VPN-Traces ersichtlich?
http://www.lancom-forum.de/fragen-zum-t ... tml#p86777

Sind die Ausgaben der "show vpn"-Befehle in Ordnung?
http://www.lancom-forum.de/fragen-zum-t ... tml#p86777

Sind die Angaben auf den VPN-Statusseiten in Ordnung?
http://www.lancom-forum.de/fragen-zum-t ... tml#p92853

[Koppelfeld]

Hi,
ich kann nur tracen, was da ist.

Die Angaben sind sehr dürftig. Das wird nur eine unseriöse Fehlersuche mit der Methode "Kristallkugel"!

Wurden die LANCOM-Router gemäss:

Wizard (site-to-site) konfiguriert, schon vor Jahren.

Sind die Ping's und Pong's in den VPN-Traces ersichtlich?
http://www.lancom-forum.de/fragen-zum-t ... tml#p86777

Sind die Ausgaben der "show vpn"-Befehle in Ordnung?
http://www.lancom-forum.de/fragen-zum-t ... tml#p86777

Sind die Angaben auf den VPN-Statusseiten in Ordnung?
http://www.lancom-forum.de/fragen-zum-t ... tml#p92853

Alles bestens - und von der einen zur anderen Seite funktioniert auch alles fluffig.

Natürlich habe ich ausch schonmal testweise die "Firewalls" ausgeschaltet.

[tom63]

bei uns (2 x 1781ef+ mit site-to-site wizzard vor 10 jahren mal konfiguriert auf 1711) laeuft auch unter 10.12 alles unveraendert incl. ping in beiden richtungen (50ms)
irgendwelche firewall regeln vielleicht ???

[Jirka]

Hallo Koppelfeld,

hast Du denn schon auf beiden Seiten ein Coldboot durchgeführt?
Ansonsten muss man halt im Trace schauen, bis wohin die Pakete kommen.

Viele Grüße,
Jirka

[Koppelfeld]

Moin Jirke

hast Du denn schon auf beiden Seiten ein Coldboot durchgeführt?

Bewirkt der einen bad-karma-drain ?

Ich habe do /o/boot-system durchgeführt. Ohne in Richtung Mekka zu spucken und mit hinter dem Rücken gekreutzten Fingern. Die Besitzerin ist Jägerin, ich kann sie fragen, ob sie das Gerät mit Ochsenblut einreibt.

[qoute]Ansonsten muss man halt im Trace schauen, bis wohin die Pakete kommen.[/quote]
In den Tunnel gehen sie noch 'rein, kommen aber nicht mehr auf der Gegenseite an.
Was mich aber wundert: Ist die VPN-Verbindung getrennt, wird sie von der "defekten" Seite nicht wieder aufgebaut, wenn pakete geschickt werden.

Andersherum gefragt:
Kann man gefahrlos zurück auf 9.24 ?

[daniel337]

Eine dramatischere Überschrift hierzu ist dir nicht eingefallen, oder???



Gruß Daniel

[tom63]

Eine dramatischere Überschrift hierzu ist dir nicht eingefallen, oder???

wie waers mit 'merkel jetzt kanzlerin auf lebenszeit - durch fehler in software release'

[Koppelfeld]

Eine dramatischere Überschrift hierzu ist dir nicht eingefallen, oder???

wie waers mit 'merkel jetzt kanzlerin auf lebenszeit - durch fehler in software release'

Dann gibt es ja noch immer Artikel 21 GG.

Das Erschreckende ist nur, daß der Deutsche dermaßen leidensfähig, abgestumpft und apathisch ist, daß er sich selbst mit Ungeheuerlichkeiten wie "Frau" M. abfindet. Was will man erwarten nach 14 Jahren Kohl? Insofern wäre Deine Zeile nicht "reißerisch" genug.

Wie wäre es denn hiermit:

"Rassistisches Orbàn - Release sperrt arme Flüchtlingspakete aus !!!1!"

[tom63]

yep https://www.youtube.com/watch?v=AIrMNEF ... e&t=11m21s (bis 13:12)

[Koppelfeld]

Zurückmigriert zum schönen 9.24-334.

Und nun ...

Code: Alles auswählen

Idx.	Zeit	Quelle	Level	Meldung
1	2018-02-11 13:58:42	LOCAL0	Fehler	last message repeated 4 times
2	2018-02-11 13:57:42	LOCAL0	Fehler	VPN: Error for peer KCB: IPSEC-I-No-proposal-matched
3	2018-02-11 13:57:42	AUTH	Hinweis	Successfully connected to peer KCB
4	2018-02-11 13:57:29	AUTH	Info	Disconnected from peer KCB: 017 006

VPN-Verbindung wird aufgebaut, im Status auch als 'aufgebaut' ausgewiesen -- aber eine Seite klagt umgehend: "IPSEC-I-No-proposal-matched".

In die eine Richtung funktioniert alles, in die andere nicht.

[tom63]

nur so eine laien-idee: vor der umstellung auf 10.12 die konfiguration gesichert gehabt? die dann auch wieder eingespielt nach der rueckkehr von 10.12 auf 9.24?

[Koppelfeld]

nur so eine laien-idee: vor der umstellung auf 10.12 die konfiguration gesichert gehabt? die dann auch wieder eingespielt nach der rueckkehr von 10.12 auf 9.24?

Der Fehler fiel erst Tage später auf, in der Zwischenzeit hatte ich die natürlich gesicherte Konfig mit der aus 10.12 überschrieben ...
Bald wird Jirka wach sein, vllt. hat jener einen Tip.

[tom63]

ja - sorry - fuer wirklich hilfreiche ideen haengt mir hier einfach der arsch drei nummern zu tief ...

p.s. das einzige was mir noch einfaellt is dass dieser wizzard damals jede menge solche proposals die mit 'WIZ' beginnen angelegt hatte. vielleicht auf bloed mal vergleichen ob da an allen stellen in beiden routern die gleichen noch gespeichert sind oder es bei der umstellerei irgendwo einen rausgehauen hatte ...

[Jirka]

Hallo Koppelfeld,

Dir ist mitunter schwer zu helfen...
Im Normalfall stimmen bei sowas die Netzbeziehungen nicht. Oben schreibst Du zwar, das hättest Du überprüft, aber ich traue dem nicht so ganz.
Hast Du denn je Router nur ein lokales Netz (Intranet) und mehr nicht, oder gibt es mehrere lokale Netze?
Verwendest Du manuelle oder automatische Regelerstellung? Stimmt da auch alles?

Viele Grüße,
Jirka