VPN Zugriff mit Linux Notebook klappt nicht
Moderator: Lancom-Systems Moderatoren
VPN Zugriff mit Linux Notebook klappt nicht
Es soll eine VPN Verbindung über Mobilfunk aufgebaut werden.
In der Zentrale steht ein Lancom 1781VA. Das Notebook hat Linux Mint mit Strongswan.
Einrichtung nach entsprechenden Anleitungen im Internet habe ich gemacht (Presharedkey).
Allerdings kommt jedesmal bei einem Einwahlversuch die Meldung Die VPN-Verbindung konnte nicht hergestellt werden, weil die Netzwerkverbindung eine Zeitüberschreitung verursacht hat.
Um ein Problem mit der Mobilfunkverbindung auszuschliessen, habe ich das Notebook an einen anderen stationären Internet Zugang gehangen.
Die Meldung bleibt jedoch das gleiche.
Firewall am Notebook ist temporär ausgeschaltet.
Vielleicht hat ja jemand einen Tipp.
Anbei die Logdatei:
Mar 25 19:33:58 n10 NetworkManager[1264]: <info> [1679769238.3698] vpn[0x5578f9e86150,fc9a9b4d-2472-47f2-a310-edac11391b01,"VPN-Verbindung 1"]: starting strongswan
Mar 25 19:33:58 n10 NetworkManager[1264]: <info> [1679769238.3721] audit: op="connection-activate" uuid="fc9a9b4d-2472-47f2-a310-edac11391b01" name="VPN-Verbindung 1" pid=2246 uid=1000 result="success"
Mar 25 19:33:58 n10 charon-nm: 00[DMN] Starting charon NetworkManager backend (strongSwan 5.9.5)
Mar 25 19:33:58 n10 charon-nm: 00[LIB] providers loaded by OpenSSL: legacy default
Mar 25 19:33:58 n10 charon-nm: 00[KNL] unable to create IPv4 routing table rule
Mar 25 19:33:58 n10 charon-nm: 00[KNL] unable to create IPv6 routing table rule
Mar 25 19:33:58 n10 charon-nm: 00[LIB] created TUN device: tun0
Mar 25 19:33:58 n10 systemd-udevd[2888]: Using default interface naming scheme 'v249'.
Mar 25 19:33:58 n10 NetworkManager[1264]: <info> [1679769238.5149] manager: (tun0): new Tun device (/org/freedesktop/NetworkManager/Devices/5)
Mar 25 19:33:58 n10 charon-nm: 00[LIB] loaded plugins: nm-backend charon-nm aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 sshkey pem openssl fips-prf gmp agent xcbc hmac gcm drbg kernel-netlink socket-default bypass-lan eap-mschapv2
Mar 25 19:33:58 n10 charon-nm: 00[LIB] dropped capabilities, running as uid 0, gid 0
Mar 25 19:33:58 n10 charon-nm: 00[JOB] spawning 16 worker threads
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for 169.254.0.0/16
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for 192.168.87.0/24
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for ::1/128
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for 2a01:599:21d:c3f::/64
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for fe80::/64
Mar 25 19:33:59 n10 charon-nm: 06[CFG] received initiate for NetworkManager connection VPN-Verbindung 1
Mar 25 19:33:59 n10 charon-nm: 06[LIB] file coded in unknown format, discarded
Mar 25 19:33:59 n10 charon-nm: 06[LIB] building CRED_CERTIFICATE - X509 failed, tried 4 builders
Mar 25 19:33:59 n10 charon-nm: 06[CFG] loading CA certificate '/etc/ssl/certs/java/cacerts' failed
Mar 25 19:34:00 n10 charon-nm: 06[CFG] using gateway identity 'xyz'
Mar 25 19:34:00 n10 charon-nm: 06[IKE] initiating IKE_SA VPN-Verbindung 1[1] to 64:ff9b:ef9
Mar 25 19:34:00 n10 charon-nm: 06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mar 25 19:34:00 n10 charon-nm: 06[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:34:04 n10 charon-nm: 03[IKE] retransmit 1 of request with message ID 0
Mar 25 19:34:04 n10 charon-nm: 03[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:34:08 n10 systemd-resolved[1238]: Using degraded feature set UDP instead of UDP+EDNS0 for DNS server 192.168.87.52.
Mar 25 19:34:11 n10 charon-nm: 08[IKE] retransmit 2 of request with message ID 0
Mar 25 19:34:11 n10 charon-nm: 08[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:34:24 n10 charon-nm: 12[IKE] retransmit 3 of request with message ID 0
Mar 25 19:34:24 n10 charon-nm: 12[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:34:48 n10 charon-nm: 13[IKE] retransmit 4 of request with message ID 0
Mar 25 19:34:48 n10 charon-nm: 13[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:35:00 n10 NetworkManager[1264]: <warn> [1679769300.6484] vpn[0x5578f9e86150,fc9a9b4d-2472-47f2-a310-edac11391b01,"VPN-Verbindung 1"]: connect timeout exceeded
Mar 25 19:35:00 n10 charon-nm[2886]: Connect timer expired, disconnecting.
Mar 25 19:35:00 n10 charon-nm: 14[IKE] destroying IKE_SA in state CONNECTING without notification
In der Zentrale steht ein Lancom 1781VA. Das Notebook hat Linux Mint mit Strongswan.
Einrichtung nach entsprechenden Anleitungen im Internet habe ich gemacht (Presharedkey).
Allerdings kommt jedesmal bei einem Einwahlversuch die Meldung Die VPN-Verbindung konnte nicht hergestellt werden, weil die Netzwerkverbindung eine Zeitüberschreitung verursacht hat.
Um ein Problem mit der Mobilfunkverbindung auszuschliessen, habe ich das Notebook an einen anderen stationären Internet Zugang gehangen.
Die Meldung bleibt jedoch das gleiche.
Firewall am Notebook ist temporär ausgeschaltet.
Vielleicht hat ja jemand einen Tipp.
Anbei die Logdatei:
Mar 25 19:33:58 n10 NetworkManager[1264]: <info> [1679769238.3698] vpn[0x5578f9e86150,fc9a9b4d-2472-47f2-a310-edac11391b01,"VPN-Verbindung 1"]: starting strongswan
Mar 25 19:33:58 n10 NetworkManager[1264]: <info> [1679769238.3721] audit: op="connection-activate" uuid="fc9a9b4d-2472-47f2-a310-edac11391b01" name="VPN-Verbindung 1" pid=2246 uid=1000 result="success"
Mar 25 19:33:58 n10 charon-nm: 00[DMN] Starting charon NetworkManager backend (strongSwan 5.9.5)
Mar 25 19:33:58 n10 charon-nm: 00[LIB] providers loaded by OpenSSL: legacy default
Mar 25 19:33:58 n10 charon-nm: 00[KNL] unable to create IPv4 routing table rule
Mar 25 19:33:58 n10 charon-nm: 00[KNL] unable to create IPv6 routing table rule
Mar 25 19:33:58 n10 charon-nm: 00[LIB] created TUN device: tun0
Mar 25 19:33:58 n10 systemd-udevd[2888]: Using default interface naming scheme 'v249'.
Mar 25 19:33:58 n10 NetworkManager[1264]: <info> [1679769238.5149] manager: (tun0): new Tun device (/org/freedesktop/NetworkManager/Devices/5)
Mar 25 19:33:58 n10 charon-nm: 00[LIB] loaded plugins: nm-backend charon-nm aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 sshkey pem openssl fips-prf gmp agent xcbc hmac gcm drbg kernel-netlink socket-default bypass-lan eap-mschapv2
Mar 25 19:33:58 n10 charon-nm: 00[LIB] dropped capabilities, running as uid 0, gid 0
Mar 25 19:33:58 n10 charon-nm: 00[JOB] spawning 16 worker threads
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for 169.254.0.0/16
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for 192.168.87.0/24
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for ::1/128
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for 2a01:599:21d:c3f::/64
Mar 25 19:33:58 n10 charon-nm: 07[IKE] installed bypass policy for fe80::/64
Mar 25 19:33:59 n10 charon-nm: 06[CFG] received initiate for NetworkManager connection VPN-Verbindung 1
Mar 25 19:33:59 n10 charon-nm: 06[LIB] file coded in unknown format, discarded
Mar 25 19:33:59 n10 charon-nm: 06[LIB] building CRED_CERTIFICATE - X509 failed, tried 4 builders
Mar 25 19:33:59 n10 charon-nm: 06[CFG] loading CA certificate '/etc/ssl/certs/java/cacerts' failed
Mar 25 19:34:00 n10 charon-nm: 06[CFG] using gateway identity 'xyz'
Mar 25 19:34:00 n10 charon-nm: 06[IKE] initiating IKE_SA VPN-Verbindung 1[1] to 64:ff9b:ef9
Mar 25 19:34:00 n10 charon-nm: 06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Mar 25 19:34:00 n10 charon-nm: 06[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:34:04 n10 charon-nm: 03[IKE] retransmit 1 of request with message ID 0
Mar 25 19:34:04 n10 charon-nm: 03[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:34:08 n10 systemd-resolved[1238]: Using degraded feature set UDP instead of UDP+EDNS0 for DNS server 192.168.87.52.
Mar 25 19:34:11 n10 charon-nm: 08[IKE] retransmit 2 of request with message ID 0
Mar 25 19:34:11 n10 charon-nm: 08[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:34:24 n10 charon-nm: 12[IKE] retransmit 3 of request with message ID 0
Mar 25 19:34:24 n10 charon-nm: 12[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:34:48 n10 charon-nm: 13[IKE] retransmit 4 of request with message ID 0
Mar 25 19:34:48 n10 charon-nm: 13[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:35:00 n10 NetworkManager[1264]: <warn> [1679769300.6484] vpn[0x5578f9e86150,fc9a9b4d-2472-47f2-a310-edac11391b01,"VPN-Verbindung 1"]: connect timeout exceeded
Mar 25 19:35:00 n10 charon-nm[2886]: Connect timer expired, disconnecting.
Mar 25 19:35:00 n10 charon-nm: 14[IKE] destroying IKE_SA in state CONNECTING without notification
Re: VPN Zugriff mit Linux Notebook klappt nicht
Probier mal den VPN Aufbau über IPv4.rsielaff hat geschrieben: ↑27 Mär 2023, 16:44 Es soll eine VPN Verbindung über Mobilfunk aufgebaut werden.
In der Zentrale steht ein Lancom 1781VA. Das Notebook hat Linux Mint mit Strongswan.
Einrichtung nach entsprechenden Anleitungen im Internet habe ich gemacht (Presharedkey).
Allerdings kommt jedesmal bei einem Einwahlversuch die Meldung Die VPN-Verbindung konnte nicht hergestellt werden, weil die Netzwerkverbindung eine Zeitüberschreitung verursacht hat.
Um ein Problem mit der Mobilfunkverbindung auszuschliessen, habe ich das Notebook an einen anderen stationären Internet Zugang gehangen.
Die Meldung bleibt jedoch das gleiche.
Firewall am Notebook ist temporär ausgeschaltet.
Vielleicht hat ja jemand einen Tipp.
Mar 25 19:34:00 n10 charon-nm: 06[NET] sending packet: from 2a01:599:21d:c3f:5aa6:c629:6855:28d1[45586] to 64:ff9b:ef9[500] (844 bytes)
Mar 25 19:34:04 n10 charon-nm: 03[IKE] retransmit 1 of request with message ID 0
...
Mar 25 19:35:00 n10 charon-nm: 14[IKE] destroying IKE_SA in state CONNECTING without notification
(am besten IPv6 auf dem Notebook deaktivieren, es sei den Du brauchst es wirklich...)
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: VPN Zugriff mit Linux Notebook klappt nicht
Aktuelle Linux Distributionen bevorzugen genauso wie Windows 10/11 IPv6 vor IPv4.
Man muss IPv6 aber nicht gleich komplett deaktivieren um einzelne Probleme damit zu umgehen.
Erst mal würde es ausreichen wenn der VPN-Server keinen AAAA-Record im Nameservice hat. Dann gibt es keine IPv6-Adresse und folglich auch keinen Verbindungsaufbau über IPv6.
Eine weitere Möglichkeit die etwas weitreichender greift wäre die generelle Präferenz der IP-Versionenen umzukehren. Das geht unter Linux, indem man die Datei '/etc/gai.conf' editiert. Meist enthält sie genügend Erklärungen was zu tun ist und hat auch eine auskommentierte Zeile:
Code: Alles auswählen
#precedence ::ffff:0:0/96 100
Unter Windows 10 geht das Gleiche mit dem Registry-Key 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents' dem man den 'REG_DWORD' Wert '0x20' (Hex: 20, Dezimal 32) gibt um IPv4 zu bevorzugen.
(Zurücksetzen auf die standardmässige Bevorzugung von IPv6 mit dem Wert '0')
-
- Beiträge: 1061
- Registriert: 19 Aug 2014, 22:41
Re: VPN Zugriff mit Linux Notebook klappt nicht
Bevor man die Brechstange in die Hände nimmt und IPv6 ausschaltet, wäre es angebracht, mit dem Trace "IKE-VPN" und Wireshark+Packet Capture festzustellen, ob der LANCOM-Router das erste IKE-Telegramm (IKE_SA_INIT) vom VPN-Tunnelaufbau erhalten hat oder nicht. Siehe dazu:
alles-zum-lancom-advanced-vpn-client-f3 ... ml#p108170
Aus dem StrongSwan-Log ist ersichtlich, dass der VPN-Client das erste IKE-Telegramm (IKE_SA_INIT) versendet hat, aber keine Antwort in Form des zweiten IKE-Telegramms (IKE_SA_RESPONSE) erhalten hat.
alles-zum-lancom-advanced-vpn-client-f3 ... ml#p108170
Aus dem StrongSwan-Log ist ersichtlich, dass der VPN-Client das erste IKE-Telegramm (IKE_SA_INIT) versendet hat, aber keine Antwort in Form des zweiten IKE-Telegramms (IKE_SA_RESPONSE) erhalten hat.
Re: VPN Zugriff mit Linux Notebook klappt nicht
Also das Deaktivieren von IP6 hat leider keinen Erfolg gebracht.
-
- Beiträge: 2928
- Registriert: 12 Jan 2010, 14:10
Re: VPN Zugriff mit Linux Notebook klappt nicht
Also ich würde ja im Lancom Router anfangen mit einem Debug um zu kontrollieren, ob der VPN Tunnel sauber aufgebaut wurde.
Du loggst dich via SSH auf dem Lancom ein und startest die Debugs.
Alternativ mittels LanTracer im LanConfig. Nach Absetzen der Befehle lässt du den Client verbinden. Solltest du die Meldungen nicht Interpretieren können, einfach hier posten.
Du loggst dich via SSH auf dem Lancom ein und startest die Debugs.
Code: Alles auswählen
trace # vpn-status
trace # vpn-ike
trace # vpn-debug
Re: VPN Zugriff mit Linux Notebook klappt nicht
Das wird mir ausgegeben:
[VPN-Status] 2023/04/02 22:46:43,204
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 844 bytes
Gateways: 62.157.14.x:500<--80.187.73.x:26748
SPIs: 0x3F61AEC3882B5CB40000000000000000, Message-ID 0
-[ISAKMP-PEER-DEFAULT].VPN-ID is empty
Kann da jemand etwas mit anfangen?
VPN-ID is empty deutet ja daraufhin, dass irgendwo eine VPN-ID fehlt.
[VPN-Status] 2023/04/02 22:46:43,204
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 844 bytes
Gateways: 62.157.14.x:500<--80.187.73.x:26748
SPIs: 0x3F61AEC3882B5CB40000000000000000, Message-ID 0
-[ISAKMP-PEER-DEFAULT].VPN-ID is empty
Kann da jemand etwas mit anfangen?
VPN-ID is empty deutet ja daraufhin, dass irgendwo eine VPN-ID fehlt.
-
- Beiträge: 2928
- Registriert: 12 Jan 2010, 14:10
Re: VPN Zugriff mit Linux Notebook klappt nicht
Dann ist wohl deine Anleitung fehlerhaft. Im Client müsstest du eine Einstellung haben wie z.B. Local ID, Local Identifier. Diese musst du befüllen, und im Lancom Router bei der Clientverbindung als Remote Identifier eintragen.
Re: VPN Zugriff mit Linux Notebook klappt nicht
Also ich habe im Lancom folgende Einstelkungen:
Lokale Identität: abc.xyz
Lokales Passwort: lokales Passwort
Entfernte Identität: abc
Entferntes Passwort: entferntes Passwort
Im Client habe ich nur die folgenden Felder:
Server:
Adresse: xyz.de
Zertifikat: (keine)
Identität: abc.xyz
kein Passwort Feld
Client:
Authentifizierung: Pre-shared Key
Zertifikat: ausgegraut
Zertifikatsdatei: ausgegraut
Privater Schlüssel: ausgegraut
Identität: abc
Passwort: entferntes Passwort
Und unter Optionen: Innere IP-Adresse beziehen
Die Passwörter haben 20 Stellen mit Sonderzeichen, Gross- und Kleinschreibung und Sonderzeichen.
Lokale Identität: abc.xyz
Lokales Passwort: lokales Passwort
Entfernte Identität: abc
Entferntes Passwort: entferntes Passwort
Im Client habe ich nur die folgenden Felder:
Server:
Adresse: xyz.de
Zertifikat: (keine)
Identität: abc.xyz
kein Passwort Feld
Client:
Authentifizierung: Pre-shared Key
Zertifikat: ausgegraut
Zertifikatsdatei: ausgegraut
Privater Schlüssel: ausgegraut
Identität: abc
Passwort: entferntes Passwort
Und unter Optionen: Innere IP-Adresse beziehen
Die Passwörter haben 20 Stellen mit Sonderzeichen, Gross- und Kleinschreibung und Sonderzeichen.
-
- Beiträge: 2928
- Registriert: 12 Jan 2010, 14:10
Re: VPN Zugriff mit Linux Notebook klappt nicht
Da du im Client nur ein Feld für Passwort hast, setze im Lancom entferntes = lokales Passwort. Dann würde ich dir noch empfehlen, als Client ID sowas wie eine Domaine zu nehmen, also sowas wie du auch als lokale Identität im Lancom hast, cba.zyx. Als Typ gibst du im Lancom sowohl bei entfernt als auch lokal FQDN an.
Wenn es nicht klappt, erneut die drei Trace anwerfen und hier vollständig posten.
Wenn es nicht klappt, erneut die drei Trace anwerfen und hier vollständig posten.
Re: VPN Zugriff mit Linux Notebook klappt nicht
Die beiden Passwörter sind gleich. Es ist aber richtig, dass die Lancom Identität eine andere sein muss, wie die vom Client?
Es bleibt bei der gleichen Fehlermeldung.
Es bleibt bei der gleichen Fehlermeldung.
-
- Beiträge: 2928
- Registriert: 12 Jan 2010, 14:10
Re: VPN Zugriff mit Linux Notebook klappt nicht
Beispiel
Lancom Konfig:
Lokale Identität: lancom.router
Lok Typ: FQDN
Entfernte Identität: client1.router
Entf Typ: FQDN
Client Konfig:
Lokale Identität: client1.router
Lok Typ: FQDN
Entfernte Identität: lancom.router
Entf Typ: FQDN
Manche Clients können nur FQUN, d.h. du könntest mal mit einem Email-Adressformat probieren.
Lancom Konfig:
Lokale Identität: lancom.router
Lok Typ: FQDN
Entfernte Identität: client1@router.int
Entf Typ: FQUN
Client Konfig:
Lokale Identität: client1@router.int
Lok Typ: FQUN
Entfernte Identität: lancom.router
Entf Typ: FQDN
Lancom Konfig:
Lokale Identität: lancom.router
Lok Typ: FQDN
Entfernte Identität: client1.router
Entf Typ: FQDN
Client Konfig:
Lokale Identität: client1.router
Lok Typ: FQDN
Entfernte Identität: lancom.router
Entf Typ: FQDN
Manche Clients können nur FQUN, d.h. du könntest mal mit einem Email-Adressformat probieren.
Lancom Konfig:
Lokale Identität: lancom.router
Lok Typ: FQDN
Entfernte Identität: client1@router.int
Entf Typ: FQUN
Client Konfig:
Lokale Identität: client1@router.int
Lok Typ: FQUN
Entfernte Identität: lancom.router
Entf Typ: FQDN
Re: VPN Zugriff mit Linux Notebook klappt nicht
Ich habe es jetzt genauso gemacht, wie Du geschrieben hast.
Es bleibt bei der Fehlermeldung VPN-ID ist empty.
Es bleibt bei der Fehlermeldung VPN-ID ist empty.
-
- Beiträge: 2928
- Registriert: 12 Jan 2010, 14:10
Re: VPN Zugriff mit Linux Notebook klappt nicht
Dann bitte ich wie beschrieben um den ungekürzten VPN Mitschnitt.
Re: VPN Zugriff mit Linux Notebook klappt nicht
Gibt es irgendwie die Möglichkeit die Trace Ausgabe über die Weboberfläche des Lancom zu bekommen?
Aus dem SSH Client kann ich nicht alles rauskopieren.
Aus dem SSH Client kann ich nicht alles rauskopieren.