Hallo,
urplötzlich ist ein LANCOM-Router nicht mehr erreichbar und ich wüsste gerne warum nicht. Firmware ist 9.24.0115. Vor Ort macht der Router aber noch ganz normal Internet.
Folgende Fakten:
Alle 31 Sek. kommt im VPN-Status-Trace der Zentrale folgendes von dem LANCOM-Router an
[VPN-Status] 2016/10/13 21:09:51,250
IKE info: The remote server 93.227.25.253:500 (UDP) peer def-main-peer id <no_id> is Enigmatec IPSEC version 1.5.1
IKE info: The remote peer def-main-peer supports NAT-T in draft mode
IKE info: The remote peer def-main-peer supports NAT-T in draft mode
IKE info: The remote peer def-main-peer supports NAT-T in RFC mode
IKE info: The remote server 93.227.25.253:500 (UDP) peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2016/10/13 21:09:51,251
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1
Mehr passiert nicht. Das ist als Dynamic-VPN-Verbindung konfiguriert. Die Verbindung wird zur Zentrale hin aufgebaut.
bei Zugriff per LANconfig-Browser kommt
Failed to load URL https://93.227.25.253/?oldauth with error (-100).
bei Zugriff mit Firefox kommt
Ein Fehler ist während einer Verbindung mit 93.227.25.253 aufgetreten. Die SSL-Gegenstelle konnte keinen akzeptablen Satz an Sicherheitsparametern aushandeln. Fehlercode: SSL_ERROR_HANDSHAKE_FAILURE_ALERT
bei Zugriff per SSH kommt
Server unexpectedly closed network connection
Zugriff per SNMPv3 ist ohne Probleme möglich.
Wireshark-Traces für den SSH-Zugriff und den Firefox-Zugriff sind in der Anlage.
Vielen Dank und viele Grüße,
Jirka
LANCOM nicht mehr erreichbar, aber noch online
Moderator: Lancom-Systems Moderatoren
LANCOM nicht mehr erreichbar, aber noch online
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: LANCOM nicht mehr erreichbar, aber noch online
Inzwischen bin ich über TeamViewer auf die lokale Seite des LANCOMs gekommen.
Dort gleiches Bild: SSH und HTTPS gehen nicht. Zum Glück ist lokal auch HTTP erlaubt. Das geht.
Im Syslog findet sich kurz nach Eintritt der Störung folgendes (zu lesen von unten nach oben):
2206 2016-10-13 18:54:04 KERN Hinweis last message repeated 2 times
2207 2016-10-13 18:53:44 KERN Hinweis ipsec_get_keystate: no keystate in ISAKMP SA 04eaa980
2208 2016-10-13 18:53:24 LOCAL3 Alarm Dst: 93.227.25.253 {Router-WVG.intern}, Src: 31.16.17.30 (ESP): connection refused
2209 2016-10-13 18:52:19 LOCAL3 Alarm Dst: 93.227.25.253 {Router-WVG.intern}, Src: 31.16.17.30 (ESP): connection refused
Deutlich später dann folgendes (zu lesen von unten nach oben):
2106 2016-10-13 20:29:02 KERN Hinweis AddSIGNPayload: IKEv1 signing failed
2107 2016-10-13 20:29:00 AUTH Info Disconnected from peer ZENTRALE: VPN-no-channel
2108 2016-10-13 20:29:00 AUTH Alarm Login to peer ZENTRALE failed
2109 2016-10-13 20:29:00 LOCAL0 Fehler VPN: Error for peer ZENTRALE: IKE-I-General-failure
2111 2016-10-13 20:28:31 LOCAL0 Fehler VPN: Error for peer ZENTRALE: IKE-I-General-failure
2112 2016-10-13 20:28:31 KERN Hinweis AddSIGNPayload: IKEv1 signing failed
2113 2016-10-13 20:28:29 AUTH Info Disconnected from peer ZENTRALE: VPN-no-channel
2114 2016-10-13 20:28:29 LOCAL0 Fehler VPN: Error for peer ZENTRALE: IKE-I-DPD-Timeout
Mehr sieht man im Syslog nicht. Irgendwie recht spärlich. Die Fehlermeldungen von 20:28 bis 20:29 Uhr wiederholen sich natürlich regelmäßig (von da an).
Da scheint also ein Großteil der Sachen, die verschlüsselt sind, ausgefallen zu sein. Soweit ich das jetzt überblicke geht nur noch SNMPv3. Verschlüsseltes VoIP habe ich nicht geprüft.
Im VPN-Status-Trace ist vermutlich das hier das Problem:
[VPN-Status] 2016/10/14 00:35:55,286
IKE log: 003555.286605 Default AddSIGNPayload: IKEv1 signing failed
Dort gleiches Bild: SSH und HTTPS gehen nicht. Zum Glück ist lokal auch HTTP erlaubt. Das geht.
Im Syslog findet sich kurz nach Eintritt der Störung folgendes (zu lesen von unten nach oben):
2206 2016-10-13 18:54:04 KERN Hinweis last message repeated 2 times
2207 2016-10-13 18:53:44 KERN Hinweis ipsec_get_keystate: no keystate in ISAKMP SA 04eaa980
2208 2016-10-13 18:53:24 LOCAL3 Alarm Dst: 93.227.25.253 {Router-WVG.intern}, Src: 31.16.17.30 (ESP): connection refused
2209 2016-10-13 18:52:19 LOCAL3 Alarm Dst: 93.227.25.253 {Router-WVG.intern}, Src: 31.16.17.30 (ESP): connection refused
Deutlich später dann folgendes (zu lesen von unten nach oben):
2106 2016-10-13 20:29:02 KERN Hinweis AddSIGNPayload: IKEv1 signing failed
2107 2016-10-13 20:29:00 AUTH Info Disconnected from peer ZENTRALE: VPN-no-channel
2108 2016-10-13 20:29:00 AUTH Alarm Login to peer ZENTRALE failed
2109 2016-10-13 20:29:00 LOCAL0 Fehler VPN: Error for peer ZENTRALE: IKE-I-General-failure
2111 2016-10-13 20:28:31 LOCAL0 Fehler VPN: Error for peer ZENTRALE: IKE-I-General-failure
2112 2016-10-13 20:28:31 KERN Hinweis AddSIGNPayload: IKEv1 signing failed
2113 2016-10-13 20:28:29 AUTH Info Disconnected from peer ZENTRALE: VPN-no-channel
2114 2016-10-13 20:28:29 LOCAL0 Fehler VPN: Error for peer ZENTRALE: IKE-I-DPD-Timeout
Mehr sieht man im Syslog nicht. Irgendwie recht spärlich. Die Fehlermeldungen von 20:28 bis 20:29 Uhr wiederholen sich natürlich regelmäßig (von da an).
Da scheint also ein Großteil der Sachen, die verschlüsselt sind, ausgefallen zu sein. Soweit ich das jetzt überblicke geht nur noch SNMPv3. Verschlüsseltes VoIP habe ich nicht geprüft.
Im VPN-Status-Trace ist vermutlich das hier das Problem:
[VPN-Status] 2016/10/14 00:35:55,286
IKE log: 003555.286605 Default AddSIGNPayload: IKEv1 signing failed
Re: LANCOM nicht mehr erreichbar, aber noch online
Hallo zusammen,
ich habe das Analysieren der Fehlerursache gestern Abend abgebrochen und das Gerät neu gestartet, womit dann alles wieder lief.
Alfred hatte sich das angeschaut - danke dafür - und meinte, dass irgendetwas mit den Public-Key-Operationen nicht mehr funktionieren würde. Diese würden bei LANCOMs mit PowerPC auch über den Krypto-Beschleuniger in der CPU gehen und möglicherweise hätte sich da irgendetwas verfahren. Mit einer normalen Firmware hätte man aber keine Werkzeuge, das weiter zu untersuchen.
Viele Grüße,
Jirka
ich habe das Analysieren der Fehlerursache gestern Abend abgebrochen und das Gerät neu gestartet, womit dann alles wieder lief.
Alfred hatte sich das angeschaut - danke dafür - und meinte, dass irgendetwas mit den Public-Key-Operationen nicht mehr funktionieren würde. Diese würden bei LANCOMs mit PowerPC auch über den Krypto-Beschleuniger in der CPU gehen und möglicherweise hätte sich da irgendetwas verfahren. Mit einer normalen Firmware hätte man aber keine Werkzeuge, das weiter zu untersuchen.
Viele Grüße,
Jirka
Re: LANCOM nicht mehr erreichbar, aber noch online
Hallo zusammen,
ich habe eine interessante Feststellung gemacht. Wenn der Fehler auftritt (es passiert ja nur ca. alle 14 Tage), dann genau um 18:53 Uhr.
Nun fragt man sich natürlich, was das um 18:53 Uhr auslösen könnte. Einen Cron-Tabellen-Eintrag der auch nur annähernd in diesen Zeitpunkt fallen könnte, gibt es jedoch nicht. Auch wüsste ich nicht, dass vor Ort zu diesem Zeitpunkt eine gewisse Aktion ausgeführt wird.
Seltsam.
Viele Grüße,
Jirka
ich habe eine interessante Feststellung gemacht. Wenn der Fehler auftritt (es passiert ja nur ca. alle 14 Tage), dann genau um 18:53 Uhr.
Nun fragt man sich natürlich, was das um 18:53 Uhr auslösen könnte. Einen Cron-Tabellen-Eintrag der auch nur annähernd in diesen Zeitpunkt fallen könnte, gibt es jedoch nicht. Auch wüsste ich nicht, dass vor Ort zu diesem Zeitpunkt eine gewisse Aktion ausgeführt wird.
Seltsam.
Viele Grüße,
Jirka