Integrierter VPN Client (Cisco) MAC trennt sofort wieder

[TschungTschung]

Hi Leute,

wir haben ca 10 MacBooks mit dem integrierten CISCO SSL VPN Client (gem. Anleitung von der KB) angebunden. Seit 2 Tagen haben wir wohl das Problem, dass diese kurzzeitig aufbauen (erfolgreich) und nach 2-3 sekunden der Tunnel ohne Fehlermeldung abbricht. (Im LanMonitor ist Nichts zu sehen)

Habe noch LCOS 9.04 auf einem 1781EF+ drauf mit VPN-Option...

Wie kann ich denn weiter auf Ursachenforschung gehen?!? Gabs evtl. irgendwelche Updates beim MAC OS X die diesbzgl. was geändert haben und ihr kennt?

Vielen Dank

Edit: Achso, LANCOM Advanced VPN Client funktioniert problemlos und auch Site to Site Verbindungen stehen

Und hier noch der Trace:

Code: Alles auswählen

Used config:
# Trace config
trace + VPN-Status @ USERNAME

[Sysinfo] 2015/07/23 09:57:08,813
Result of command: "sysinfo"

DEVICE:           LANCOM 1781EF+
HW-RELEASE:       B
SERIAL-NUMBER:    xxxx
MAC-ADDRESS:      000000000000
IP-ADDRESS:       192.168.x.x
IP-NETMASK:       255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK:     0.0.0.0
LANCAPI-PORT:     75
VERSION:          9.04.0184RU4 / 23.03.2015
NAME:             Name
CONFIG-STATUS:    1056;0;e3c512e2cdf75880246473aa3a5786a2f08c5029.14282222072015.400
FIRMWARE-STATUS:  1;1.11;1.1;9.04.0084RU2.04122014.9;9.04.0184RU4.23032015.11
HW-MASK:          00000000000000000000000000000011
FEATUREWORD:      00000000001000000000001000011100
REGISTERED-WORD:  00000000001000000000001100011100
FEATURE-LIST:     02/F
FEATURE-LIST:     03/F
FEATURE-LIST:     04/F
FEATURE-LIST:     08/H
FEATURE-LIST:     09/F
FEATURE-LIST:     15/F
FEATURE-LIST:     23/F/dc3a5200/0001/00000019
FEATURE-LIST:     27/F/00000000/0001/00000006
FEATURE-LIST:     2b/F
FEATURE-LIST:     30/F
TIME:             09570923072015

[VPN-Status] 2015/07/23 09:57:17,347  Devicetime: 2015/07/23 09:57:17,554
IKE info: Phase-1 [responder] for peer VPN_USERNAME initiator id VPN_USERNAME, responder id VPN_USERNAME
IKE info: initiator cookie: 0x94890129d4ad19a0, responder cookie: 0x30724ca9dd816072
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is  behind a nat
IKE info: SA ISAKMP for peer VPN_USERNAME encryption aes-cbc authentication SHA1
IKE info: life time ( 3600 sec/ 0 kb)

[VPN-Status] 2015/07/23 09:57:17,347  Devicetime: 2015/07/23 09:57:17,554
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer VPN_USERNAME set to 3240 seconds (Responder)

[VPN-Status] 2015/07/23 09:57:17,347  Devicetime: 2015/07/23 09:57:17,554
IKE info: Phase-1 SA Timeout (Hard-Event) for peer VPN_USERNAME set to 3600 seconds (Responder)

[VPN-Status] 2015/07/23 09:57:17,347  Devicetime: 2015/07/23 09:57:17,591
IKE info: IKE-CFG:   Attribute XAUTH_USER_NAME          len 9 value VPN_USERNAME received

[VPN-Status] 2015/07/23 09:57:17,347  Devicetime: 2015/07/23 09:57:17,619
IKE info: IKE-CFG: Received REQUEST message with id 42996 from peer VPN_USERNAME
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_ADDRESS     len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_NETMASK     len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_DNS         len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_NBNS        len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_ADDRESS_EXPIRY  len 0 value (none) received
IKE info: IKE-CFG:   Attribute APPLICATION_VERSION      len 41 value Cisco Systems VPN Client 10.10.3:Mac OS X received
IKE info: IKE-CFG:   Attribute <Unknown 28672>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28674>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28675>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28676>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28678>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28679>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28673>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28680>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28681>          len 0 is private -> ignore
IKE info: IKE-CFG:   Attribute <Unknown 28683>          len 0 is private -> ignore


[VPN-Status] 2015/07/23 09:57:17,347  Devicetime: 2015/07/23 09:57:17,620
VPN: set local server addresses for VPN_USERNAME (0.0.0.0)
   DNS:  192.168.x.x, 0.0.0.0
   NBNS: 0.0.0.0, 0.0.0.0

[VPN-Status] 2015/07/23 09:57:17,347  Devicetime: 2015/07/23 09:57:17,620
IKE info: IKE-CFG: Creating REPLY message with id 42996 for peer VPN_USERNAME
IKE info: IKE-CFG:   Attribute APPLICATION_VERSION      len 0 skipped
IKE info: IKE-CFG:   Attribute INTERNAL_ADDRESS_EXPIRY  len 4 value 1200 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_NBNS        len 4 value 192.168.115.119 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_DNS         len 4 value 192.168.115.119 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_NETMASK     len 0 skipped
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_ADDRESS     len 4 value 192.168.115.56 added
IKE info: IKE-CFG: Sending message

[VPN-Status] 2015/07/23 09:57:17,410  Devicetime: 2015/07/23 09:57:17,672
IKE info: Phase-2 remote proposal 1 for peer VPN_USERNAME matched with local proposal 1

[VPN-Status] 2015/07/23 09:57:17,485  Devicetime: 2015/07/23 09:57:17,701
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer VPN_USERNAME set to 3240 seconds (Responder)

[VPN-Status] 2015/07/23 09:57:17,485  Devicetime: 2015/07/23 09:57:17,701
IKE info: Phase-2 SA Timeout (Hard-Event) for peer VPN_USERNAME set to 3600 seconds (Responder)

[VPN-Status] 2015/07/23 09:57:17,485  Devicetime: 2015/07/23 09:57:17,701
IKE info: Phase-2 [responder] done with 2 SAS for peer VPN_USERNAME rule ipsec-0-VPN_USERNAME-pr0-l0-r0
IKE info: rule:' ipsec 0.0.0.0/0.0.0.0 <-> 192.168.x.56/255.255.255.255 '
IKE info: SA ESP [0x08124a55]  alg AES_CBC keylength 256 +hmac HMAC_SHA outgoing
IKE info: SA ESP [0xa0de6ae4]  alg AES_CBC keylength 256 +hmac HMAC_SHA incoming
IKE info: life soft( 3240 sec/0 kb) hard (3600 sec/0 kb)
IKE info: tunnel between src: 22.23.24.25 dst: 11.22.33.44  

[VPN-Status] 2015/07/23 09:57:17,485  Devicetime: 2015/07/23 09:57:17,703
VPN: WAN state changed to WanCalled for VPN_USERNAME (11.22.33.44), called by: 009d4a00

[VPN-Status] 2015/07/23 09:57:17,485  Devicetime: 2015/07/23 09:57:17,703
vpn-maps[27], remote: VPN_USERNAME, nego, static-name, connected-by-name

[VPN-Status] 2015/07/23 09:57:17,485  Devicetime: 2015/07/23 09:57:17,703
VPN: wait for IKE negotiation from VPN_USERNAME (11.22.33.44)

[VPN-Status] 2015/07/23 09:57:17,485  Devicetime: 2015/07/23 09:57:17,703
VPN: WAN state changed to WanProtocol for VPN_USERNAME (11.22.33.44), called by: 009d4a00

[VPN-Status] 2015/07/23 09:57:18,483  Devicetime: 2015/07/23 09:57:18,705
VPN: VPN_USERNAME connected

[VPN-Status] 2015/07/23 09:57:18,483  Devicetime: 2015/07/23 09:57:18,705
VPN: WAN state changed to WanConnect for VPN_USERNAME (11.22.33.44), called by: 009d4a00

[VPN-Status] 2015/07/23 09:57:18,483  Devicetime: 2015/07/23 09:57:18,705
vpn-maps[27], remote: VPN_USERNAME, connected, static-name, connected-by-name

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,007
VPN: disconnecting VPN_USERNAME (11.22.33.44)

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,009
VPN: WAN state changed to WanDisconnect for VPN_USERNAME (11.22.33.44), called by: 009d4a00

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,011
IKE info: Delete Notification sent for Phase-2 SA ipsec-0-VPN_USERNAME-pr0-l0-r0 to peer VPN_USERNAME, spi [0xa0de6ae4]

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,011
IKE info: Phase-2 SA removed: peer VPN_USERNAME rule ipsec-0-VPN_USERNAME-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [08124a55  ] [a0de6ae4  ]

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,013
IKE info: Delete Notification sent for Phase-1 SA to peer VPN_USERNAME, cookies [0x94890129d4ad19a0 0x30724ca9dd816072]

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,013
IKE info: Phase-1 SA removed: peer VPN_USERNAME rule VPN_USERNAME removed

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,034
VPN: VPN_USERNAME (11.22.33.44)  disconnected

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,034
vpn-maps[27], remote: VPN_USERNAME, idle, static-name

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,036
selecting first remote gateway using strategy eFirst for VPN_USERNAME
     => no remote gateway selected

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,036
VPN: installing ruleset for VPN_USERNAME (0.0.0.0)

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,037
VPN: WAN state changed to WanIdle for VPN_USERNAME (0.0.0.0), called by: 009d4a00

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,038
VPN: VPN_USERNAME (0.0.0.0)  disconnected

[VPN-Status] 2015/07/23 09:57:19,759  Devicetime: 2015/07/23 09:57:20,047
VPN: ruleset not installed yet for VPN_USERNAME

[VPN-Status] 2015/07/23 09:57:19,907  Devicetime: 2015/07/23 09:57:20,120
VPN: local reconnect lock active for VPN_USERNAME

[Dr.Einstein]

Hallo TschungTschung,

[VPN-Status] 2015/07/23 09:57:19,759 Devicetime: 2015/07/23 09:57:20,007
VPN: disconnecting VPN_USERNAME (11.22.33.44)

Hier ran sieht man, dass der Lancom aktiv trennt. Ursache unbekannt. Hast du mal ein neues Profil mit einer anderen internen IP versucht?

[TschungTschung]

Hallo Dr. Einstein,

vielen Dank,.. leider kein Erfolg! Gleiches Spiel!

[MariusP]

Hi,
Probier mal "tr # dis" und zusätzlich das Syslog.
Verwendest du mit dem ACV auch Config-Payloads?
Gruß

[TschungTschung]

Hi,
Verwendest du mit dem ACV auch Config-Payloads?
Gruß

Wie bitte was

Hier Syslog:

Code: Alles auswählen

4380	2015-07-23 09:57:20	AUTH	Info	User VPN_USERNAME logged out
4381	2015-07-23 09:57:18	AUTH	Hinweis	User VPN_USERNAME successfully logged in

[MariusP]

Hi,

Wie bitte was

IKE info: IKE-CFG:

Ergab der "dis" trace etwas?
Gruß

[TschungTschung]

Kein Ergebnis!

Aber nun hab ich es....
Die Firewall blockt aufgrund von DoS-Protection (diese ist auf 50 halboffene Verbindungen definiert und "Verbindung trennen)
Versteh ich zwar nicht ganz warum er mehr wie 50 halboffene Verbindungen benötigt,.... (Wird auch nicht angezeigt)

Quell: 192.168.x.51
Ziel: 192.168.x.51
Protokoll: 17 (UDP)
QuellPort: 137
ZielPort: 137
Firewall-Regel: DoS-Protection
Limit: Sofort
Aktion: Paket verworfen, Verbindung getrennt, SNMP gesendet

U.a. iPhone läuft auch ohne Probleme....

Kann mir das jemand verständlich erklären?

Vielen Dank und die besten Grüße

[backslash]

Hi TschungTschung,

Die Firewall blockt aufgrund von DoS-Protection (diese ist auf 50 halboffene Verbindungen definiert und "Verbindung trennen)

und das zeigt uns wieder mal, daß diese Option völlig überflüssig - oder besser gesagt: schädlich - ist...

Wieso machen alle Leute das? Nur weil die selbsternannten Experten diverser Computerzeitschriften das als tolles Sicherheitsfeature sehen? Das Gegenteil ist der Fall: Portsperren, Hostsperren und Verbindungstrennungen führen im Erstfall erst zu einem erfolgreichen DoS-Angriff. Ich kann immer wieder nur davor warnen, derartige Features zu nutzen - sie haben keinerlei Nutzen, führen aber immer nur zu komischem Fehlverhalten...

Das gleiche gilt i.Ü. auch für Ping-Blocking und den ach so beliebten Stealth-Mode (aka: "versteckte" Ports)... Ein blockiertes Ping oder ein "versteckter" Port deutet nämlich mitnichten darauf hin, daß dort niemand ist... Im Gegenteil: Es ist ein roter blinkender Pfeil, der auf jemanden deutet, der sich quasi die Augen zuhält und sagt "ich kann mich nicht sehen, also könnt ihr es auch nicht" und sich so für einen Angreifer erst recht interressant macht... Wäre da wirklich niemand, dann würde der Router davor schon sagen "host unreachable"...

Gruß
Backslash

[Koppelfeld]

Wieso machen alle Leute das? Nur weil die selbsternannten Experten diverser Computerzeitschriften das als tolles Sicherheitsfeature sehen? Das Gegenteil ist der Fall: Portsperren, Hostsperren und Verbindungstrennungen führen im Erstfall erst zu einem erfolgreichen DoS-Angriff.

Da kannst Du predigen, wie Du willst:
Die Alpha-Kevins werfen Dir dann sowas http://www.onlamp.com/pub/a/security/20 ... ssess.html
vor die Füße, und was bei O'reilly steht, das muß ja schließlich stimmen.

Es ist wie mit den "Viren-Scannern": Den Unrat wird man nicht los, was früher die gnostische Gemme, sind heute die "Security Suiten". Und wenn Du den Leuten das ausredest, dann sägst Du am Glauben.
Und Du weißt, wozu religiöse Fanatiker imstande sind.

[MariusP]

Hi,
Der Author heißt nicht wirklich McNab oder?
Gruß

[ua]

Hallo Koppelfeld,

schau mal auf das Datum des verlinkten Artikels, das Ding ist fast so alt wie die anderen gnostischen Schriften.
... siehst Du jetzt die Gemeinsamkeiten ....

VG aus OBC

Udo

[Koppelfeld]

schau mal auf das Datum des verlinkten Artikels, das Ding ist fast so alt wie die anderen gnostischen Schriften.
... siehst Du jetzt die Gemeinsamkeiten ....

Wieso?
Es geht doch um IP, ist also taufrisch.
Ich habe hier noch Unterlagen über KINET, TRANSDATA, SNATCH,
ARCNET...
Naja, und SNA ernährt auch heute noch seinen Mann.
DLC und APPC/APPN kommen mir auch heute noch oft unter die Finger.

Der Tip, ICMP abzuschalten, war auch schon in der prä-security - Ära eine Scheißidee, weil damit auch gleich die MTU Path Discovery wirksam verhindert ist.

Damals war das aber nicht so schlimm, da kamen die MCSEs gar nicht ins Rechenzentrum.

[ua]

Hi,

Arcnet war gut, wenn die User mal wieder "Coax ist Coax" spielten und das Yellow-Net für`s Gasrohr hielten ....
Anscheinend auch schon länger im Geschäft, da kann ich noch Mit Muxern und SK12-Kanalteilern aufwarten ...

VG

[marsbewohner]

Die Firewall blockt aufgrund von DoS-Protection (diese ist auf 50 halboffene Verbindungen definiert und "Verbindung trennen)

und das zeigt uns wieder mal, daß diese Option völlig überflüssig - oder besser gesagt: schädlich - ist...
Wieso machen alle Leute das? Nur weil die selbsternannten Experten diverser Computerzeitschriften das als tolles Sicherheitsfeature sehen? Das Gegenteil ist der Fall: Portsperren, Hostsperren und Verbindungstrennungen führen im Erstfall erst zu einem erfolgreichen DoS-Angriff. Ich kann immer wieder nur davor warnen, derartige Features zu nutzen - sie haben keinerlei Nutzen, führen aber immer nur zu komischem Fehlverhalten...

Hi backslash,

sorry für leichtes off-Topic, aber was wäre deine Empfehlung für das DoS Feature hier? Zurückweisen oder Übertragen stattdessen?

Danke & Gruß,