Fragen zu DNS-Problemen im VPN-Modul (9.24)

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Fragen zu DNS-Problemen im VPN-Modul (9.24)

Beitrag von Jirka »

Hallo zusammen, hallo Backslash, hallo Marius,

so ab und an erlebt man mit dem DNS im VPN milde ausgedrückt ein paar Ungereimtheiten. Ich weiß nicht, wieso das so ist. Hier mal zwei Fälle zum Nachdenken:

1) 1781VA mit 9.24.0330-RU8. Gerät hat zwei VPN-Verbindungen zu anderen LANCOMs und eine Einwahlverbindung für meinen LANCOM VPN-Client (jeweils ohne Zertifikate, IKEv1). Es funktioniert alles bestens. Soweit so gut. Nun wollte der Kunde eine VPN zu einer FRITZ!Box haben, weil eine Mitarbeiterin auch von zu Hause arbeiten können soll. Dann habe ich die VPN im LANCOM soweit fertig konfiguriert (Aggressive Mode), auf die FRITZ!Box kam ich noch nicht, weil da noch kein Fernzugriff und DynDNS eingerichtet war. DynDNS für die FRITZ!Box hatte ich aber schon vorbereitet. Beim Anlegen des DynDNS-Namens passiert es, wenn man nicht manuell eingreift, dass er die eigene WAN-IP als IP-Adresse für den neu angelegten DynDNS-Namen zuweist. Die DynDNS-Adresse, die also zukünftig für die FRITZ!Box verwendet werden soll, zeigte nun auf meine WAN-IP. Nun wollte ich mich per VPN-Client wieder mit dem LANCOM verbinden, aber es ging nicht. Nach einigem Rumgetrace auf dem LANCOM-Router sah ich, dass meine eingehende VPN-Anfrage der FRITZ!Box-VPN-Verbindung zugewiesen wurde. Ah, weil meine WAN-IP die IP-Adresse des DynDNS-Namens ist, der dieser VPN-Verbindung zugewiesen ist. Na dann ändern wir diesen... Gesagt, getan. 5 Min. später geschaut, ich konnte mich immer noch nicht per VPN-Client einwählen. Eine Stunde später, ein Tag später, fünf Tage später - es ging nicht. Intern im VPN-Modul löste der LANCOM-Router die DynDNS-Adresse immer noch auf meine WAN-IP auf, es führte kein Weg rein, das zu ändern. Ein Ping auf der Konsole vom LANCOM, ein nslookup mit Angabe des LANCOMs als DNS-Server - in allen Fällen wurde der DynDNS-Name auf die geänderte IP aufgelöst, aber im VPN-Modul nicht. Es half letztlich nur noch ein Neustart des LANCOMs. Danach ging auf Anhieb die VPN-Client-Verbindung.

2) 7100+ mit 9.24.0330-RU8. In der Routing-Tabelle sind 3 Default-Routen: T-DSLBIZ, T-DSLBIZ-ADSL, LOADBALANCER. T-DSLBIZ wurde vom Gerät nicht mehr aufgebaut (dem werde ich an anderer Stelle nachgehen), war somit ausgefallen. Jetzt zeigte der VPN-Status-Trace bei der einzigen VPN-Verbindung, die nicht mit fester IP-Adresse konfiguriert ist, dass er den DynDNS-Namen nicht auflösen konnte. Ein Ping auf der Konsole des LANCOMs an die DynDNS-Adresse war kein Problem, aber im VPN-Modul keine Auflösung. Der LANCOM nutzt die Default-DNS-Server der Telekom. Für die VPN-Verbindung sind auch zwei Routing-Tags hinterlegt (für T-DSLBIZ (Standard, weil 25-er VDSL) und T-DSLBIZ-ADSL (Eintrag in 'Weitere entfernte Gateways')). Auch hier half nur ein Neustart, um die VPN wieder aufzubauen. Ein Test, ob die VPN über die zweite Gegenstelle auch aufgebaut werden kann, war erfolgreich, das war jetzt kein Problem. (VPN-Verbindung auch hier mit IKEv1.)

Vielen Dank und viele Grüße,
Jirka

EDIT: IKEv1 ergänzt
Zuletzt geändert von Jirka am 22 Nov 2017, 10:40, insgesamt 1-mal geändert.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Fragen zu DNS-Problemen im VPN-Modul (9.24)

Beitrag von GrandDixence »

VPN-Tunneln mit IKEv2/IPSec und dynamischen DNS (z.B. DynDNS) sollten nicht mit LANCOM-Geräten mit LCOS < 10.12Rel realisiert werden. LCOS vor 10.12Rel leidet unter zahlreichen Kinderkrankheiten im Bereich "IKEv2/IPSec und dynamisches DNS". Mit LCOS < 10.12Rel funktionierte kein VPN-Tunnel länger als eine Woche. Meine aktuell laufenden, mehrwöchigen Tests zeigen, dass diese Kinderkrankheiten (wahrscheinlich) mit 10.12Rel behoben wurden (gemäss Aussage LANCOM-Hotline). Ich rede von Kinderkrankheiten wie Problem Nr. 1 (kenne ich aus eigener Erfahrung) oder:

http://www.lancom-forum.de/fragen-zum-t ... 16338.html

Auch ignorierte LCOS < 10.12Rel die Gültigkeitsdauer (TTL) der Antworten auf DNS-Anfragen für die dynamischen DNS-Adressen (hier SPDNS.de => 60 Sekunden Gültigkeitsdauer (TTL) gemäss http://www.lancom-forum.de/fragen-zum-t ... 15356.html). Was dazu führte, dass das LANCOM-Gerät kein IKE_SA_INIT-REQUEST vom VPN-Client mit der neuen IPv4-Adresse akzeptierte (nur IKE-Pakete mit der alten IPv4-Adresse als Quelladresse wurden akzeptiert) und somit der VPN-Tunnel nicht mehr aufgebaut werden konnte, bis das LANCOM-Gerät neugestartet wurde (könnte Problem Nr. 2 sein).
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Fragen zu DNS-Problemen im VPN-Modul (9.24)

Beitrag von MariusP »

Hi,
Zum Fall 1: Was ist die TTL deines DNS Eintrags?
Wenn die TTL ausläuft sieht der Code vor die VPN Regel neu zu berechnen.
Erst wenn das passiert kann IKE von der neuen IP-Adresse wissen.
Was die DNS-Cascade genau macht weis ich nicht, das wäre etwas für Backslash.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Fragen zu DNS-Problemen im VPN-Modul (9.24)

Beitrag von Jirka »

Hallo Marius,

vielen Dank für Deine Antwort.
MariusP hat geschrieben:Zum Fall 1: Was ist die TTL deines DNS Eintrags?
60 Sekunden.
MariusP hat geschrieben:Wenn die TTL ausläuft sieht der Code vor die VPN Regel neu zu berechnen.
Da gibt es aber Außnahmen, die ich Backslash auch gerne zugestehe, weil 60 Sekunden nun wirklich sehr wenig sind. Aber dass es selbst nach Tagen dann wie geschreiben immer noch falsch war, das hat mich dann schon entsetzt.
MariusP hat geschrieben:Erst wenn das passiert kann IKE von der neuen IP-Adresse wissen.
Vielleicht spielt da ja auch rein, dass die VPN ja noch nicht in Verwendung war, zwar aktiv und bereit, aber mit Haltezeit von 0 Sekunden, also auch ohne aktiven Aufbau. Aber die richtige Gegenseite müsste ja auch irgendwie identifiziert werden. An der Stelle weiß ich eben auch nicht mehr weiter, vielleicht fällt Backslash da ja noch was zu ein. Ansonsten muss ich das wohl noch mal ausführlicher darlegen.

Vielen Dank und viele Grüße,
Jirka
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Fragen zu DNS-Problemen im VPN-Modul (9.24)

Beitrag von MariusP »

Hi,
Die DNS-Aktuallisierung greift nur dann wenn die Verbindung down ist.

Hast du mal einen ping auf die DNS ausprobiert ob die IP sich erneuert?

Ansonsten kann man vielleicht mit einer Debug Firmware das analysieren.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Fragen zu DNS-Problemen im VPN-Modul (9.24)

Beitrag von GrandDixence »

Auszug aus der LANCOM-Hotline-Kommunikation zu diesem "IKEv2/IPSec und dynamische DNS-Adressen"-Problem:

Code: Alles auswählen

Wie aus der Logdatei ersichtlich, erhielt das Gerät nach einem Geräte-Neustart 
(inklusive EuroDOCSIS-Kabelmodem-Neustart) eine neue öffentliche IPv4-Adresse:

neu: 77.58.186.133
alt: 77.58.186.30

Code: Alles auswählen

[VPN-Status] 2017/09/01 22:32:02,035
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 750 bytes
Gateways: 77.56.22.248:500<--77.58.186.133:500
SPIs: 0x82998D347A7739440000000000000000, Message-ID 0
-Could not assign message from 77.58.186.133 to any existing peer.
  -Either Peer's remote gateway is unspecified/unresolved by DNS, or
  -IKEv2 message came through unexpected interface, or
  -DEFAULT peer is not active
-Message could not be validated => dropping

[VPN-Status] 2017/09/01 22:32:06,110
suppress DNS resolution for GRANDDIXENCE
IpStr=>granddixence.spdns.de<, IpAddr=77.58.186.30, IpTtl=60s
Die erste VPN-Status-Meldung wird noch stundenlang in den Aufzeichnungen wiederholt! Das Lancom-Gerät verwendet die neue IP-Adresse (77.58.186.133) auch nach Tagen nicht, nur ein Neustart des Lancom-Geräts half weiter. Obwohl der VPN-Tunnel schon stundenlang tod war und keine DPD-Pakete mehr durchkamen, wurde in den Status-Anzeigen des LANCOM-Geräts der VPN-Tunnel weiterhin als "aktiv/verbunden" mit der alten IP-Adresse gemeldet!

Die Software-Qualität von LCOS begeistert mich immer mehr: http://www.lancom-forum.de/aktuelle-lan ... 16421.html
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Fragen zu DNS-Problemen im VPN-Modul (9.24)

Beitrag von GrandDixence »

Musste heute nach einem Internetverbindungsausfall feststellen, dass die Dead Peer Detection (DPD) auch unter LCOS 10.12 SU3 immer noch nicht korrekt funktioniert:
Screenshot_LCOS_v10.12.png
Weshalb der LANCOM-Router die IP-Adresse des VPN-Endpunktes des zweiten VPN-Tunnels nicht per (dynamische) DNS-Anfrage auflösen konnte, ist mir schleierhaft.

Die Mühe der Fehlersuche mit "Trace" erspare ich mir. Weil der Hersteller LANCOM kein Interesse zeigt, den Mangel im Betriebssystem LCOS beheben zu wollen (schliesslich warte ich schon seit über 4 Monate auf eine Lösung von der LANCOM-Hotline).
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Antworten