VPN-Regeln löschen

[daniel337PVS]

Guten Tag,

ich kämpfe seit Tagen immer wieder mit der VPN-Konfiguration auf dem 1781 bei uns im Büro. Ich kome außerhalb des WLAN partout nicht via VPN dort ran. Egal ob Smartphone oder Notebook, da kommt nicht mal eine Anfrage im Trace des Routers zum Vorschein. Sehr seltsam.

Bei einer fast vergleichbaren Konfiguration auf dem 1781 bei mir zuhause läuft das problemlos. Einziger Unterschied ist, dass der Router dort via DynDNS angebunden ist. Aber hier in der Firma mit fester IP-Adresse - keine Chance ...

Gerade eben habe ich noch mal via "show vpn" hier auf dem Router geschaut. Da sind etliche Einträge doppelt drin. Ich habe den Eindruck, dass dort die Einträge nicht ganz korrekt sind.

Wo und wie kann ich diese Einträge dort alle komplett löschen??

Daniel

[MariusP]

Hi,
Zu dem show vpn:
Ich schätze mal das du IKEv1 machst. Verwendest du automatische Regelerzeugung?
Du kannst dir mal VPN/Networks anschauen, da kannst du die Regeln etwas einfacher erzeugen.

Zum nicht erreichen:
Du versuchst vom Smartphone aus eine VPN Verbindung aufzubauen und siehst im VPN-IKE Trace auf der Gegenstelle keine Pakete?

Gruß

[daniel337PVS]

Ich verwende ausschließlich IKEv2. Ja, sowohl beim VPN Verbindungsaufbau vom Notebook wie auch vom Smartphone aus via LTE oder via WLAN von zuhause aus - nix im VPN–Trace zu sehen, null!

Ich habe schon manuelle und automatische Regelerzeugung ausprobiert, mit LCOS 10.12 und danach mit 10.20 RC2 und dann auch mit der aktuellsten 161er Beta, es bringt alles keine Änderung. Den Trace der Firewall hab ich zusätzlich schon dazugezogen, auch dort: nix zu sehen.

Lediglich im (Gäste) WLAN in der Firma, da kommt die VPN Verbindung sofort zustande. Sowohl WLAN-Router (der die WLAN-Clients direkt ins Internet leitet) als auch LANCOM-Router haben jeweils eine feste IP-Adresse im Pool unseres Providers.

Der Vollständigkeit sei noch erwähnt, dass dort nach dem erfolgreichen VPN-Aufbau kein Zugriff ins Internet möglich ist, auch kein Ping oder der Zugriff auf interne Ressourcen der Firma funktionieren. Auch das ist seltsam, und ich habe noch keine Idee, warum es da nicht weitergeht, immerhin werden via IKE Config die korrekten IP-Daten an den Client gereicht.

Das ist dann aber vermutlich erst der zweite Schritt. Erst einmal muss ja die eigentliche VPN-Verbindung außerhalb des Firmen-WLAN möglich sein. (Übrigens klappt das auch nicht, wenn ich das Profil über den Wizard des Routers erstelle und die Konfiguration dann auf dem Notebook im LANCOM Advanced VPN Client importiere.)

Ich habe wirklich keine Idee mehr, was und wie hier weiter zu verfahren ist oder was ich noch prüfen könnte. Die inhaltlich gleiche Verbindung zum LANCOM hier bei mir zuhause war zuvor problemlos aufzubauen und funktioniert.

Gruß Daniel

[backslash]

Hi daniel337PVS

Ja, sowohl beim VPN Verbindungsaufbau vom Notebook wie auch vom Smartphone aus via LTE oder via WLAN von zuhause aus - nix im VPN–Trace zu sehen, null!

also, wenn im VPN-Status-Trace rein gar nichts zu sehen ist, dann kommen schon die IKE-Pakete wahrscheinlich gar nicht erst beim VPN deines LANCOMs an - da ist dann auch erstmal egal, welche VPN-Regeln existieren und ob irgendwelche doppelt sind.

Daher solltest du jetzt erstmnal prüfen, ob die Pakete überhaupt am Gerät ankommen. Dazu wäre dann je nach Interanbindung ein Ethernet- oder ein ADSL-Data- oder VDSL-Data-Trace bzw. beim WLAN ein WLAN-Data-Trace der Startpunkt. Dort sollten UDP-Pakete mit dem Zielport 500 ankommen - aber achte darauf, daß du sonst keinen Traffic hast, denn sonst siehst du den Wald vor lauter Bäumen nicht. Wenn die Pakete dort schon nicht ankommen, liegt das Problem nicht am LANCOM...

Gruß
Backslash

[MariusP]

Hi, was für einen Trace machst du denn genau?
> tr # vpn
VPN-Debug ON
VPN-Status ON
VPN-IKE ON
?

Zu den zweitrangingen Problemen:
Da du schreibst du hättest Einträge doppelt drin. Hast du bei der manuellen Regelerzeugung das VPN/Networks Menü verwendet?
Hast du eine Beispiel von zwei doppelt vorkommenden Einträgen?

Zu dem Internetzugriff:
Was hast du denn in der IP-Routing-Tabelle konfiguriert? Wie sieht der Default-Routeneintrag aus?
Gruß

[daniel337PVS]

also, wenn im VPN-Status-Trace rein gar nichts zu sehen ist, dann kommen schon die IKE-Pakete wahrscheinlich gar nicht erst beim VPN deines LANCOMs an - da ist dann auch erstmal egal, welche VPN-Regeln existieren und ob irgendwelche doppelt sind.

Daher solltest du jetzt erstmnal prüfen, ob die Pakete überhaupt am Gerät ankommen. Dazu wäre dann je nach Interanbindung ein Ethernet- oder ein ADSL-Data- oder VDSL-Data-Trace bzw. beim WLAN ein WLAN-Data-Trace der Startpunkt. Dort sollten UDP-Pakete mit dem Zielport 500 ankommen - aber achte darauf, daß du sonst keinen Traffic hast, denn sonst siehst du den Wald vor lauter Bäumen nicht. Wenn die Pakete dort schon nicht ankommen, liegt das Problem nicht am LANCOM...

Gruß
Backslash

In der Tat, dort kommt überhaupt nichts an. Hab gerade eben auch noch mal testweise eine IKEv1 VPN-Verbindung angelegt, das Gleiche, kein einziges Paket findet zum Router.

[daniel337PVS]

Hi, was für einen Trace machst du denn genau?
> tr # vpn
VPN-Debug ON
VPN-Status ON
VPN-IKE ON
?

Zu den zweitrangingen Problemen:
Da du schreibst du hättest Einträge doppelt drin. Hast du bei der manuellen Regelerzeugung das VPN/Networks Menü verwendet?
Hast du eine Beispiel von zwei doppelt vorkommenden Einträgen?

Zu dem Internetzugriff:
Was hast du denn in der IP-Routing-Tabelle konfiguriert? Wie sieht der Default-Routeneintrag aus?
Gruß

Im Menü IPv4-Netzwerk-Regeln / IPv4-Regelliste steht aktuell gar nichts (mehr) drin - und trotzdem erhalte ich auf der Konsole folgende Meldungen:



show vpn

VPN SPD and IKE configuration:

# of rules = 8

Rule #1 ikev2 192.168.0.0/255.255.255.0:0 <-> 0.0.0.0/255.255.255.255:0 any

Name: NOTEBOOK
Unique Id: ipsec-1-NOTEBOOK-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.255.0)
Local Gateway: unspecified
Remote Gateway: unspecified
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/255.255.255.255)

Rule #2 ikev2 192.168.0.0/255.255.255.0:0 <-> 0.0.0.0/255.255.255.255:0 any

Name: IPHONE
Unique Id: ipsec-1-IPHONE-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.255.0)
Local Gateway: unspecified
Remote Gateway: unspecified
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/255.255.255.255)

Rule #3 ikev2 192.168.0.0/255.255.255.0:0 <-> 0.0.0.0/255.255.255.255:0 any

Name: IPAD
Unique Id: ipsec-1-IPAD-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.255.0)
Local Gateway: unspecified
Remote Gateway: unspecified
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/255.255.255.255)

Rule #4 ikev2 192.168.0.0/255.255.255.0:0 <-> 192.168.0.0/255.255.255.0:0 any

Name: HOME
Unique Id: ipsec-1-HOME-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.255.0)
Local Gateway: unspecified
Remote Gateway: unspecified
Remote Network: IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.255.0)

Rule #5 ikev2 0.0.0.0/0.0.0.0:0 <-> 0.0.0.0/0.0.0.0:0 any

Name: NOTEBOOK
Unique Id: ipsec-0-NOTEBOOK-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
Local Gateway: unspecified
Remote Gateway: unspecified
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)

Rule #6 ikev2 0.0.0.0/0.0.0.0:0 <-> 0.0.0.0/0.0.0.0:0 any

Name: IPHONE
Unique Id: ipsec-0-IPHONE-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
Local Gateway: unspecified
Remote Gateway: unspecified
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)

Rule #7 ikev2 0.0.0.0/0.0.0.0:0 <-> 0.0.0.0/0.0.0.0:0 any

Name: IPAD
Unique Id: ipsec-0-IPAD-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
Local Gateway: unspecified
Remote Gateway: unspecified
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)

Rule #8 ikev2 0.0.0.0/0.0.0.0:0 <-> 0.0.0.0/0.0.0.0:0 any

Name: HOME
Unique Id: ipsec-0-HOME-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
Local Gateway: unspecified
Remote Gateway: unspecified
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)




Und aus dem Trace immer wieder dann das hier:


[VPN-Status] 2018/09/27 16:36:03,932
-No policy for ipsec-0-HOME-pr0-l0-r0. Remote-address is unspecified or zero
-No policy for ipsec-1-HOME-pr0-l0-r0. Remote-address is unspecified or zero
-No policy for ipsec-0-IPAD-pr0-l0-r0. Remote-address is unspecified or zero
-No policy for ipsec-1-IPAD-pr0-l0-r0. Remote-address is unspecified or zero
-No policy for ipsec-0-IPHONE-pr0-l0-r0. Remote-address is unspecified or zero
-No policy for ipsec-1-IPHONE-pr0-l0-r0. Remote-address is unspecified or zero
-No policy for ipsec-0-NOTEBOOK-pr0-l0-r0. Remote-address is unspecified or zero
-No policy for ipsec-1-NOTEBOOK-pr0-l0-r0. Remote-address is unspecified or zero


Also entweder stelle ich mich zu blöd an oder ich habe irgendwo noch nicht ganz das Konzept der ganzen Geschichte verstanden.
Denn wie gesagt, zuhause auf meinem 1781VAW klappt die VPN-Einwahl (sowohl mit IKEv1 als auch mit IKEv2 mit Smartphone, Tablet und Windows-Notebook) absolut problemlos!

Der einzige Unterschied eben, dass ich dort eine dynamische IP-Adresse erhalte, die ich per DynDNS erreiche.
Hier in der Firma hat der Router (1781EF+) eine feste IP-Adresse. Vor dem LANCOM-Router ist noch ein bintec-Router bei uns vorgeschaltet, dessen IP-Adresse, natürlich ebenfalls fest, als Default-Route eingetragen ist. Über diesen laufen unsere Verbindungen nach draußen ins MPLS-Netz unseres Providers und dann weiter ins Internet. Dort wird allerdings nichts geblockt, denn über den gleichen Router laufen auch auf anderen bintec-Routern (die ich gerne zukünftig durch LANCOM-Geräte ersetzen möchte) sämtliche VPN-Tunnel bei uns auf. So sieht's das dann auch:

router.jpg

Wo ist der Denkfehler??? Vorsichtshalber, obwohl ich meine, dort bisher nie etwas an in dieser Hinsicht Speziellem gesehen zu haben,werde ich noch mal auf dem anderen Router (der den Weg ins Internet bahnt) nachschauen, ob dort was auffällt.

Daniel

[daniel337PVS]

Wenn man denkt, alles schon komplett geprüft zu haben ...

Nun, der Hinweis mit dem Trace auf Ethernet-Ebene hat aufgrund der dort überhaupt nicht auftauchenden 500er Paketanfragen dann doch ziemlich klar gezeigt, dass das Problem offensichtlich vorher entstehen muss.

Gestern Abend habe ich nach intensiver Rechereche und Debuggen auf dem bintec-Router - der vor dem LANCOM den Weg vai MPLS ins Internet bahnt - endlich den entscheidenen Hinweis aus dem Log ziehen können, ein einzelnes Paket wurde dort geblockt. Richtig, UDP 500 ... Fieserweise wurde das Ganze dort in einem speziellen Access Filter geblockt, außerhalb der Router-Firewall, und vor allem gab es dort eine Überschneidung mit einem kleinen Netz, einer dadurch reservierten Broadcast-Adresse des Netztes, welches dort eingetragen war, und dadurch kam dieses ganze Problem zustande ...

Okay, jetzt klappt es endlich mit dem VPN-Verbindungsaufbau von Smartphone und Notebook auf den LANCOM, unabhängig von LTE oder WLAN etc. Der Zugriff vom Windows-Notebook ist nun auch komplett funktionsfähig, alles prima. Aber vom Smartphone und Tablet (beides iOS) gibt es immer noch das Problem: Obwohl der VPN-Tunnel aufgebaut wird, komme ich dort nicht raus, weder ins Intranet der Firma noch ins Internet - obwohl show vpn sadb die korrekte Zuordnung der dortigen DNS-Server anzeigt.

Gleichzeitig taucht ständig die folgende Meldung auf der Konsole im trace # vpn auf:

[VPN-Status] 2018/09/29 18:40:46,499
IKE info: Delete Notification for Phase-2 SA spi [0xbc9173a4] could not be sent: no phase-1 sa exists to peer 91.48.240.26:0

Hat jemand einen Tipp für mich?

Daniel

[GrandDixence]

[VPN-Status] 2018/09/29 18:40:46,499
IKE info: Delete Notification for Phase-2 SA spi [0xbc9173a4] could not be sent: no phase-1 sa exists to peer 91.48.240.26:0

Hat jemand einen Tipp für mich?

Ja, DPD (Dead Peer Detection). Siehe Beitrag vom "25 Jul 2018, 22:00":
viewtopic.php?f=14&t=16957&p=96189&hili ... ion#p96189

und meine Beiträge unter:
fragen-zum-thema-vpn-f14/fast-kein-traf ... 16434.html

Ich empfehle den LANCOM-Router vor der Fehlersuche neuzustarten.

[daniel337PVS]

Hi und Danke für die Links.

Ich hab die Einträge dort durchgelesen - aber irgendwie habe ich gerade keinen Plan, an welcher Stelle und wo jetzt die Fehlerursache liegen könnte. Diese Fehlermeldung müsste, so meine Hoffnung, vielleicht ziemlich konkret etwas aussagen, an welcher Stelle der Fehler sitzen könnte, und da steige ich bei den ganzen Beiträgen und Verlinkungen inhaltlich gerade nicht durch - leider.

Daniel