VPN Zugriff mit Linux Notebook klappt nicht

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

rsielaff
Beiträge: 19
Registriert: 27 Mär 2023, 06:56

VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von rsielaff »

Es soll eine VPN Verbindung über Mobilfunk aufgebaut werden.
In der Zentrale steht ein Lancom 1781VA. Das Notebook hat Linux Mint mit Strongswan.
Einrichtung nach entsprechenden Anleitungen im Internet habe ich gemacht (Presharedkey).
Allerdings kommt jedesmal bei einem Einwahlversuch die Meldung Die VPN-Verbindung konnte nicht hergestellt werden, weil die Netzwerkverbindung eine Zeitüberschreitung verursacht hat.
Um ein Problem mit der Mobilfunkverbindung auszuschliessen, habe ich das Notebook an einen anderen stationären Internet Zugang gehangen.
Die Meldung bleibt jedoch das gleiche.
Firewall am Notebook ist temporär ausgeschaltet.
Vielleicht hat ja jemand einen Tipp.

Anbei die Logdatei:
Mar 25 19:33:58 n10 NetworkManager[1264]: <info> [1679769238.3698] vpn[0x5578f9e86150,fc9a9b4d-2472-47f2-a310-edac11391b01,"VPN-Verbindung 1"]: starting strongswan
Mar 25 19:33:58 n10 NetworkManager[1264]: <info> [1679769238.3721] audit: op="connection-activate" uuid="fc9a9b4d-2472-47f2-a310-edac11391b01" name="VPN-Verbindung 1" pid=2246 uid=1000 result="success"
Mar 25 19:33:58 n10 charon-nm: 00[DMN] Starting charon NetworkManager backend (strongSwan 5.9.5)
Mar 25 19:33:58 n10 charon-nm: 00[LIB] providers loaded by OpenSSL: legacy default
Mar 25 19:33:58 n10 charon-nm: 00[KNL] unable to create IPv4 routing table rule
Mar 25 19:33:58 n10 charon-nm: 00[KNL] unable to create IPv6 routing table rule
Mar 25 19:33:58 n10 charon-nm: 00[LIB] created TUN device: tun0
Mar 25 19:33:58 n10 systemd-udevd[2888]: Using default interface naming scheme 'v249'.
Mar 25 19:33:58 n10 NetworkManager[1264]: <info> [1679769238.5149] manager: (tun0): new Tun device (/org/freedesktop/NetworkManager/Devices/5)
Mar 25 19:33:58 n10 charon-nm: 00[LIB] loaded plugins: nm-backend charon-nm aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 sshkey pem openssl fips-prf gmp agent xcbc hmac gcm drbg kernel-netlink socket-default bypass-lan eap-mschapv2
Mar 25 19:33:58 n10 charon-nm: 00[LIB] dropped capabilities, running as uid 0, gid 0
Mar 25 19:33:58 n10 charon-nm: 00[JOB] spawning 16 worker threads
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for 169.254.0.0/16
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for 192.168.87.0/24
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for ::1/128
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for 2a01:599:21d:c3f::/64
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for fe80::/64
Mar 25 19:33:59 n10 charon-nm: 06[CFG] received initiate for NetworkManager connection VPN-Verbindung 1
Mar 25 19:33:59 n10 charon-nm: 06[LIB] file coded in unknown format, discarded
Mar 25 19:33:59 n10 charon-nm: 06[LIB] building CRED_CERTIFICATE - X509 failed, tried 4 builders
Mar 25 19:33:59 n10 charon-nm: 06[CFG] loading CA certificate '/etc/ssl/certs/java/cacerts' failed
Mar 25 19:34:00 n10 charon-nm: 06[CFG] using gateway identity 'xyz'
Mar 25 19:34:00 n10 charon-nm: 06[IKE] initiating IKE_SA VPN-Verbindung 1[1] to 64:ff9b::3e9d:ef9
Mar 25 19:34:00 n10 charon-nm: 06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mar 25 19:34:00 n10 charon-nm: 06[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b::3e9d:ef9[500] (844 bytes)
Mar 25 19:34:04 n10 charon-nm: 03[IKE] retransmit 1 of request with message ID 0
Mar 25 19:34:04 n10 charon-nm: 03[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b::3e9d:ef9[500] (844 bytes)
Mar 25 19:34:08 n10 systemd-resolved[1238]: Using degraded feature set UDP instead of UDP+EDNS0 for DNS server 192.168.87.52.
Mar 25 19:34:11 n10 charon-nm: 08[IKE] retransmit 2 of request with message ID 0
Mar 25 19:34:11 n10 charon-nm: 08[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b::3e9d:ef9[500] (844 bytes)
Mar 25 19:34:24 n10 charon-nm: 12[IKE] retransmit 3 of request with message ID 0
Mar 25 19:34:24 n10 charon-nm: 12[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b::3e9d:ef9[500] (844 bytes)
Mar 25 19:34:48 n10 charon-nm: 13[IKE] retransmit 4 of request with message ID 0
Mar 25 19:34:48 n10 charon-nm: 13[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b::3e9d:ef9[500] (844 bytes)
Mar 25 19:35:00 n10 NetworkManager[1264]: <warn> [1679769300.6484] vpn[0x5578f9e86150,fc9a9b4d-2472-47f2-a310-edac11391b01,"VPN-Verbindung 1"]: connect timeout exceeded
Mar 25 19:35:00 n10 charon-nm[2886]: Connect timer expired, disconnecting.
Mar 25 19:35:00 n10 charon-nm: 14[IKE] destroying IKE_SA in state CONNECTING without notification
tstimper
Beiträge: 979
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von tstimper »

rsielaff hat geschrieben: 27 Mär 2023, 16:44 Es soll eine VPN Verbindung über Mobilfunk aufgebaut werden.
In der Zentrale steht ein Lancom 1781VA. Das Notebook hat Linux Mint mit Strongswan.
Einrichtung nach entsprechenden Anleitungen im Internet habe ich gemacht (Presharedkey).
Allerdings kommt jedesmal bei einem Einwahlversuch die Meldung Die VPN-Verbindung konnte nicht hergestellt werden, weil die Netzwerkverbindung eine Zeitüberschreitung verursacht hat.
Um ein Problem mit der Mobilfunkverbindung auszuschliessen, habe ich das Notebook an einen anderen stationären Internet Zugang gehangen.
Die Meldung bleibt jedoch das gleiche.
Firewall am Notebook ist temporär ausgeschaltet.
Vielleicht hat ja jemand einen Tipp.
Mar 25 19:34:00 n10 charon-nm: 06[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b::3e9d:ef9[500] (844 bytes)
Mar 25 19:34:04 n10 charon-nm: 03[IKE] retransmit 1 of request with message ID 0
...
Mar 25 19:35:00 n10 charon-nm: 14[IKE] destroying IKE_SA in state CONNECTING without notification
Probier mal den VPN Aufbau über IPv4.
(am besten IPv6 auf dem Notebook deaktivieren, es sei den Du brauchst es wirklich...)

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
geppi
Beiträge: 149
Registriert: 05 Mär 2009, 18:05

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von geppi »

tstimper hat geschrieben: 27 Mär 2023, 20:45 Probier mal den VPN Aufbau über IPv4.
(am besten IPv6 auf dem Notebook deaktivieren, es sei den Du brauchst es wirklich...)
Aktuelle Linux Distributionen bevorzugen genauso wie Windows 10/11 IPv6 vor IPv4.
Man muss IPv6 aber nicht gleich komplett deaktivieren um einzelne Probleme damit zu umgehen.

Erst mal würde es ausreichen wenn der VPN-Server keinen AAAA-Record im Nameservice hat. Dann gibt es keine IPv6-Adresse und folglich auch keinen Verbindungsaufbau über IPv6.

Eine weitere Möglichkeit die etwas weitreichender greift wäre die generelle Präferenz der IP-Versionenen umzukehren. Das geht unter Linux, indem man die Datei '/etc/gai.conf' editiert. Meist enthält sie genügend Erklärungen was zu tun ist und hat auch eine auskommentierte Zeile:

Code: Alles auswählen

#precedence ::ffff:0:0/96  100
an der man lediglich den Kommentar entfernen muss. Dann zur Sicherheit ein reboot und der Rechner bevorzugt IPv4 vor IPv6.

Unter Windows 10 geht das Gleiche mit dem Registry-Key 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents' dem man den 'REG_DWORD' Wert '0x20' (Hex: 20, Dezimal 32) gibt um IPv4 zu bevorzugen.
(Zurücksetzen auf die standardmässige Bevorzugung von IPv6 mit dem Wert '0')
GrandDixence
Beiträge: 1063
Registriert: 19 Aug 2014, 22:41

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von GrandDixence »

Bevor man die Brechstange in die Hände nimmt und IPv6 ausschaltet, wäre es angebracht, mit dem Trace "IKE-VPN" und Wireshark+Packet Capture festzustellen, ob der LANCOM-Router das erste IKE-Telegramm (IKE_SA_INIT) vom VPN-Tunnelaufbau erhalten hat oder nicht. Siehe dazu:
alles-zum-lancom-advanced-vpn-client-f3 ... ml#p108170

Aus dem StrongSwan-Log ist ersichtlich, dass der VPN-Client das erste IKE-Telegramm (IKE_SA_INIT) versendet hat, aber keine Antwort in Form des zweiten IKE-Telegramms (IKE_SA_RESPONSE) erhalten hat.
rsielaff
Beiträge: 19
Registriert: 27 Mär 2023, 06:56

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von rsielaff »

Also das Deaktivieren von IP6 hat leider keinen Erfolg gebracht.
Dr.Einstein
Beiträge: 2950
Registriert: 12 Jan 2010, 14:10

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von Dr.Einstein »

Also ich würde ja im Lancom Router anfangen mit einem Debug um zu kontrollieren, ob der VPN Tunnel sauber aufgebaut wurde.

Du loggst dich via SSH auf dem Lancom ein und startest die Debugs.

Code: Alles auswählen

trace # vpn-status
trace # vpn-ike
trace # vpn-debug
Alternativ mittels LanTracer im LanConfig. Nach Absetzen der Befehle lässt du den Client verbinden. Solltest du die Meldungen nicht Interpretieren können, einfach hier posten.
rsielaff
Beiträge: 19
Registriert: 27 Mär 2023, 06:56

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von rsielaff »

Das wird mir ausgegeben:

[VPN-Status] 2023/04/02 22:46:43,204
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 844 bytes
Gateways: 62.157.14.x:500<--80.187.73.x:26748
SPIs: 0x3F61AEC3882B5CB40000000000000000, Message-ID 0
-[ISAKMP-PEER-DEFAULT].VPN-ID is empty

Kann da jemand etwas mit anfangen?

VPN-ID is empty deutet ja daraufhin, dass irgendwo eine VPN-ID fehlt.
Dr.Einstein
Beiträge: 2950
Registriert: 12 Jan 2010, 14:10

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von Dr.Einstein »

Dann ist wohl deine Anleitung fehlerhaft. Im Client müsstest du eine Einstellung haben wie z.B. Local ID, Local Identifier. Diese musst du befüllen, und im Lancom Router bei der Clientverbindung als Remote Identifier eintragen.
rsielaff
Beiträge: 19
Registriert: 27 Mär 2023, 06:56

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von rsielaff »

Also ich habe im Lancom folgende Einstelkungen:

Lokale Identität: abc.xyz
Lokales Passwort: lokales Passwort

Entfernte Identität: abc
Entferntes Passwort: entferntes Passwort

Im Client habe ich nur die folgenden Felder:

Server:
Adresse: xyz.de
Zertifikat: (keine)
Identität: abc.xyz
kein Passwort Feld

Client:
Authentifizierung: Pre-shared Key
Zertifikat: ausgegraut
Zertifikatsdatei: ausgegraut
Privater Schlüssel: ausgegraut
Identität: abc
Passwort: entferntes Passwort

Und unter Optionen: Innere IP-Adresse beziehen

Die Passwörter haben 20 Stellen mit Sonderzeichen, Gross- und Kleinschreibung und Sonderzeichen.
Dr.Einstein
Beiträge: 2950
Registriert: 12 Jan 2010, 14:10

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von Dr.Einstein »

Da du im Client nur ein Feld für Passwort hast, setze im Lancom entferntes = lokales Passwort. Dann würde ich dir noch empfehlen, als Client ID sowas wie eine Domaine zu nehmen, also sowas wie du auch als lokale Identität im Lancom hast, cba.zyx. Als Typ gibst du im Lancom sowohl bei entfernt als auch lokal FQDN an.

Wenn es nicht klappt, erneut die drei Trace anwerfen und hier vollständig posten.
rsielaff
Beiträge: 19
Registriert: 27 Mär 2023, 06:56

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von rsielaff »

Die beiden Passwörter sind gleich. Es ist aber richtig, dass die Lancom Identität eine andere sein muss, wie die vom Client?

Es bleibt bei der gleichen Fehlermeldung.
Dr.Einstein
Beiträge: 2950
Registriert: 12 Jan 2010, 14:10

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von Dr.Einstein »

Beispiel

Lancom Konfig:

Lokale Identität: lancom.router
Lok Typ: FQDN
Entfernte Identität: client1.router
Entf Typ: FQDN

Client Konfig:

Lokale Identität: client1.router
Lok Typ: FQDN
Entfernte Identität: lancom.router
Entf Typ: FQDN

Manche Clients können nur FQUN, d.h. du könntest mal mit einem Email-Adressformat probieren.

Lancom Konfig:

Lokale Identität: lancom.router
Lok Typ: FQDN
Entfernte Identität: client1@router.int
Entf Typ: FQUN

Client Konfig:

Lokale Identität: client1@router.int
Lok Typ: FQUN
Entfernte Identität: lancom.router
Entf Typ: FQDN
rsielaff
Beiträge: 19
Registriert: 27 Mär 2023, 06:56

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von rsielaff »

Ich habe es jetzt genauso gemacht, wie Du geschrieben hast.

Es bleibt bei der Fehlermeldung VPN-ID ist empty.
Dr.Einstein
Beiträge: 2950
Registriert: 12 Jan 2010, 14:10

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von Dr.Einstein »

Dann bitte ich wie beschrieben um den ungekürzten VPN Mitschnitt.
rsielaff
Beiträge: 19
Registriert: 27 Mär 2023, 06:56

Re: VPN Zugriff mit Linux Notebook klappt nicht

Beitrag von rsielaff »

Gibt es irgendwie die Möglichkeit die Trace Ausgabe über die Weboberfläche des Lancom zu bekommen?
Aus dem SSH Client kann ich nicht alles rauskopieren.
Antworten