[Gelöst] VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

[Gelöst] VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von tbc233 »

Sorry für die mittelmäßige Betreffzeile, ich wusste es nicht besser auszudrücken.

Bin im Moment etwas verzweifelt. Habe eine Homeworkerin in der Schweiz, die sich seit Jahren relativ standardmäßig mit dem AVC bei einem 1781EF in Österreich einwählt. Einzige Besonderheit bei der Konfiguration vielleicht ein N:N Mapping gemäß https://www2.lancom.de/kb.nsf/1275/51DF ... enDocument - da sie in Ihrem Heimnetzwerk den selben IP Adressbereich hat wie das Zielnetz. Aber wie gesagt, war alles jahrelang stabil. Der VPN-Zugang besteht wie gesagt schon sehr lange (daher IKEv1) und wurde auch schon bei einem Wechsel des Routers "migenommen". Stets problemlos.

Vor kurzem ist die Dame umgezogen, gleicher ISP, lediglich anderes Produkt. Routing und NAT macht wie vorher das Endgerät vom ISP. Dann nach Abschluss des Umzugs gleich das Phänomen, dass die Verbindung steht, aber kein Traffic durch geht. Bei einem Ping gibt es Antworten für die ersten 2-3 Pakete, dann wars das für die restliche Session. Baut man die Verbindung neu auf, gehen unter Umständen wieder ein, zwei Pings durch.
Die Verbindung bleibt aber weiterhin "grün" auch im Lanmonitor auf dem Zielrouter scheint alles in Ordnung. Per AVC Logbuch sehe ich auch, dass sich Client und Router weiterhin munter und erfolgreich ARE_U_THERE Pakete zuschicken. Aber kein Traffic zu irgendeinem Rechner im Zielnetz außer den ersten paar Pings.

Da ich selbst weit entfernt bin, war die erste Idee, sie soll mich mal auf einem anderen Rechner die Verbindung probieren lassen. Sie also hängt mir ein Notebook an den Router, Fernwartung, ich installiere AVC mit Ihrem Profil darauf, Verbindung funktioniert sofort stabil. Ebenfalls funktioniert Ihr Profil auf meinem Rechner problemlos.

Wir grenzen das Problem also auf Ihren Rechner ein. An der Stelle erwähne ich noch, dass wir natürlich mehrmals AVC deinstalliert, rebootet, neu installiert haben, ebenfalls haben wir die Verbindung mehrmals am Router und am AVC neu eingerichtet - ohne Erfolg.

Zufällig passt das ganze mit einem geplanten Rechnerwechsel zusammen, also entschließen wir uns vorerst nichts zu tun und zu hoffen dass es auf dem nagelneuen PC dann funktionieren wird. Gestern war es soweit, neuer jungfräulicher Windows 10 PC ist da, ich richte alles ein --> selbes Phänomen wie vorher. Verbindung baut sich auf, ein paar Pakete gehen durch, dann war es das. Verbindung steht aber weiterhin stabil, keepalive Pakete laufen durch. Keinerlei Fehlermeldungen im AVC Logbuch und auch mit diversen VPN Traces konnte ich nichts ungewöhnliches finden. Andere Clients auf dem selben Router laufen btw völlig stabil, darunter ebenfalls einer mit N:N Mapping.

Ich weiß jetzt nicht mehr weiter, was ich noch versuchen könnte. Irgendwie muss es mit Ihrem Internetzugang nach dem Wohnungswechsel zusammenhängen, da das der einzig signifikante Parameter ist, der verändert wurde. Irgendwie aber auch nicht, weil es ja testweise auf dem anderen Rechner am selben Router funktioniert hat.

Hat vielleicht jemand eine Idee wie ich hier noch vorankommen könnte?
Zuletzt geändert von tbc233 am 18 Feb 2019, 12:52, insgesamt 1-mal geändert.
Liebe Grüße,
michael
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von MariusP »

Hi,
tbc233 hat geschrieben: 14 Feb 2019, 06:39 Vor kurzem ist die Dame umgezogen, gleicher ISP, lediglich anderes Produkt.
Ist damit der Internetanschluss gemeint? DSL 6Mbit zu VDSL 50Mbit?
tbc233 hat geschrieben: 14 Feb 2019, 06:39 Sie also hängt mir ein Notebook an den Router
Ist der Laptop also anderes angeschlossen als der Hauptrechner?
tbc233 hat geschrieben: 14 Feb 2019, 06:39 diversen VPN Traces
Mach am besten mal einen Wireshark trace dazu auch an.
Verfolg am besten den Ping vom Centralsite Gerät ausgehend in den VPN-Packettrace über den IP-Router-Trace zum Wireshark auf dem Userrechner, aus dem User-Rechner raus, wieder über den IP-Router-Trace und dann wieder im VPN-Packettrace.
Irgendwo auf dem Weg sollte der Ping verloren gehen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von ua »

Hi,

wurde beim Umzug ggf. eine WLAN-Verbindung mit aktiviert?
Bei Insatlaltionspaketen wird vom Providertechniker/in (oder heißt es jetzt technikende :M :mrgreen: ) auch gerne mal das WLAN mit eingerichtet.
Schalte im AVC mal die Medienerkennung aus, bzw. prügle diese auf LAN o. WLAN).

VG aus OBC

Udo

PS Riecht so Richtung Bodensee?
... das Netz ist der Computer ...
n* LC und vieles mehr...
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von GrandDixence »

Könnte ein Problem im Bereich "Replay Detection" oder "IP-/UDP-Fragmentierung" sein.
fragen-zum-thema-firewall-f15/vpn-verbi ... 15955.html

Die "Replay Detection" könnte wegen Paketüberholungen ansprechen. Die Paketüberholungen könnten durch zu langsame Netzwerkkomponenten im Heimnetzwerk verursacht werden. Die ISP-Geräte (Router/Modem) der beiden grossen Schweizer ISP Swisscom und UPC Cablecom sind anfällig für grosse UDP-Pakete (UDP-Fragmentierung; > MTU). Falls möglich, sollte das NAT+Firewall auf dem ISP-Gerät ausgeschaltet werden. Siehe auch:
aktuelle-lancom-router-serie-f41/intrus ... tml#p98383

Aber eben, alles Vermutungen aus der Luft. => Es ist der von Marius vorgeschlagene (zeitaufwendige) Fehlersuchweg für die Fehlereingrenzung einzuhalten!
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von tbc233 »

Ich danke euch ganz herzlich für eure Tipps.

Schweizerische Bodenseeregion kommt tatsächlich hin. Das genaue Zugangsprodukt hab ich nicht hinterfragt, kann ich aber noch machen. ich nehme an es ist ein VDSL. Die Zugangsdaten für das Provider Endgerät, das auch das NAT macht, liegen mir vor. Ich war drauf eingeloggt, von der Marke hab ich noch nie was gehört, hab sie mir leider auch nicht gemerkt. Das Webinterface von dem Ding war sehr rudimentär und langsam, es gab mit Ausnahme der Netzwerkparameter und Portforwardings nichts interessantes zum Einstellen, einen "Advanced" Modus oder so suchte ich vergeblich.

Das Test Notebook, auf dem es funktioniert hat, wurde ebenfalls mit LAN Kabel am ISP Endgerät angesteckt, genau wie der alte und neue problematische Rechner.

Rein vom Gefühl her kam mir auch immer wieder in den Sinn, dass es vielleicht ein UDP Fragementierungs Problem ist. Wobei das nicht erklärt warum es dann auf dem Test Notebook ging. Bin aber unsicher wie ich mit dem derzeitigen Setting an der UDP Paketgröße schrauben könnte. Auf dem ISP Endgerät kann ich dahingehend nichts einstellen, wenn ich das Problem richtig erfasse müsste ich die UDP Paketgröße direkt auf Ihrem Windows Rechner senken, oder?

Verbindungsmedium im AVC stelle ich btw immer auf "LAN (over IP)".

Rein wirtschaftlich muss ich aufpassen, dass die Fehlersuche aufwandsmäßig nicht die Kosten eines neues Lancom Routers übersteigt. Will sagen: Ich liebäugle derzeit mit dem Gedanken die Fehlersuche gut sein zu lassen, der Dame einen vorkonfigurierten 1781EF zu schicken (der künftig die VPN Verbindung site-to-site stemmen soll) und den Provider zu ersuchen sein Endgerät auf Bridge umzustellen, sodass das komplette Routing/NAT der Lancom macht.
Liebe Grüße,
michael
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von ua »

Hi,
noch ein quick and dirty Test:
Sollte Dein Client neu genug sein, stelle den Tunnel doch mal auf IPSEC via https.
Dann sind die Pakete schon mal über tcp sortiert.
Macht der Provider CGN?

VG aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von GrandDixence »

Der 1781EF ist schon lange "End-of-Life" und sollte aus Sicherheitsgründen nicht mehr als VPN-Endpunkt eingesetzt werden. Auch IKEv1 sollte auch Sicherheitsgründen durch IKEv2 ersetzt werden. Siehe auch:
viewtopic.php?f=14&t=17233&p=97903#p97903

https://www.lancom-systems.de/produkte/ ... ttabellen/
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von Dr.Einstein »

Hey,

kann es vielleicht sein, dass du vorher IPv4 hattest, und durch das neue Produkt Dual Stack Light (sprich IPv4 private / IPv6 nativ)? Gibt die lustigsten Probleme und könnte deins zumindest erklären, siehe Udos Aussage.

Gruß Dr.Einstein
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von Jirka »

Hallo,

welche Version des LANCOM AVC ist denn lizenziert und welche installiert? Irgendwie liest sich das für mich so, als ob hier eine sehr alte Version und Lizenz unter Windows 10 installiert wurde.

Viele Grüße,
Jirka
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von tbc233 »

Um Probleme seitens des Clients auszuschließen, wurde auch die neueste Version installiert. In dem Fall die "LC-Advanced-VPN-Client-Win-414-Rel-x86-64.exe".
Eine Verbindung per https aufzubauen habe ich glaube ich bei meinen vielen Versuchen mal probiert, werde ich mir aber nochmal ansehen. Wenn die Verbindung auf dem https Weg zustande kommt und das Problem weiterhin besteht, kann man MTU Issues wohl eher ausschließen, oder?
Macht der Provider CGN?
Mir ist grad nicht geläufig was Du mit CGN meinst?

EDIT:
Jetzt ist mir klar - Carrier Grade NAT. Nein, danach sieht es nicht aus. Provider Endgerät machte NAT, aber dann kommt gleich die öffentliche ipv4 Adresse (die sogar fix ist).
Zuletzt geändert von tbc233 am 18 Feb 2019, 13:33, insgesamt 1-mal geändert.
Liebe Grüße,
michael
Benutzeravatar
tbc233
Beiträge: 343
Registriert: 01 Feb 2005, 21:56

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von tbc233 »

Danke nochmal für all eure Hilfe und eure Tipps. Hier ein kleines Update:

Die Verbindung läuft nun stabil - mit erzwungener SSL Kapselung. Das wesentliche Problem war, dass ich zwar der Meinung war, SSL getestet zu haben, hatte ich aber nicht. Da die Verbindung über 500/ucp grundsätzlich zustande kam, sah der Client anscheinend nie einen Bedarf, es überhaupt über SSL zu probieren. Es funktionierte erst, als ich die SSL Verbindung erzwungen habe - gemäß letztem Screenshot hier https://www2.lancom.de/kb.nsf/1275/DD26 ... enDocument
Hier wird anscheinend ein Dummy Zielport eingegeben um den Client zu zwingen, sich über SSL zu verbinden.

Mein Fehler war, dass ich in der VPN Tabelle am Zielort nicht kontrolliert habe, ob die SSL Kapselung für diese Verbindung wirklich zugeschlagen hat. Ich ging bisher davon aus, dass der Client, wenn "ipsec over https" aktiviert ist, es ohnehin zuerst auf diesem Weg probiert. Möglicherweise gibt es hier auch Versionsunterschiede.
Liebe Grüße,
michael
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: [Gelöst] VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von GrandDixence »

SSL-Kapselung ist nur eine Notlösung für von fremden Administratoren "verpfuschte", fremde Netzwerkumgebungen, wie zum Beispiel Hotel-WLAN. Aus Performancegründen sollte ein VPN möglichst ohne dazwischen liegende NAT-Netzwerkkomponenten realisiert werden (ESP => IP-Paketnummer 50) oder bei nicht einfach so wegzubringenden NAT-Netzwerkkomponenten (zum Beispiel Mobilfunknetz, Firewall) mit NAT-Traversal (UDP-Zielport 4500).

TCP-Pakete innerhalb eines TCP-basierenden VPN-Tunnels (wie SSL-VPN, SSL-Kapselung) ist einfach "pfui"! Stichwort: "Mechanismus zur Wahl des TCP Receive Window". Siehe auch:
viewtopic.php?f=41&t=17271&p=98087&hili ... dow#p98087

Hier macht entweder CGN Ärger (wie bereits mitgeteilt) oder die Funktion "VPN Passthrough", auch "IPSec Passthrough" genannt, von älteren Netzwerkkomponenten. Siehe auch:
viewtopic.php?f=14&t=17233&p=97796#p97903
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN Client Verbindung jahrelang stabil, nun tot nach wenigen Paketen

Beitrag von Dr.Einstein »

Hey tbc233,

ich bin der gleichen Meinung wie GrandDixence, dass Problem ist nicht wirklich gelöst. IPsec over HTTPs ist nicht wirklich performant und kann zu ganz anderen Problemen führen.
tbc233 hat geschrieben: 18 Feb 2019, 07:44 EDIT:
Jetzt ist mir klar - Carrier Grade NAT. Nein, danach sieht es nicht aus. Provider Endgerät machte NAT, aber dann kommt gleich die öffentliche ipv4 Adresse (die sogar fix ist).
Hast die diese Providerbox, die zwischen Lancom und Anschluss hängt neu zum Anschluss bekommen? Verstehe ich das richtig, dass du zwischen Lancom und Box ein privates Transfernetz hast? Dann hängt die WAN IP nicht auf dem Lancom Router direkt, sondern auf dem vorgeschalteten Router. Und der hat dann wohl Probleme mit 500/4500 VPN Passthrough. Du kannst ja mal etwas googln zu dem Modell und VPN Passthrough, meisten findet man direkt einen Foreneintrag mit zig Usern mit dem gleichen Problem und hoffentlich einer Lösung alá geh in Menüpunkt x und setz Häkchen y.

Gruß Dr.Einstein
Antworten