Hallo Zusammen,
ich habe derzeit ein sehr seltsames Problem mit vpnc.
Ich nutze vpnc, um mich mit meinem Firmennetzwerk zu verbinden. Die Verbindung klappt auch problemlos,
nur kann ich keine Verbindung zu den im Netz befindlichen Rechnern herstellen. Besser gesagt zu keinem außer den DNS-Servern.
Trenne ich die VPN-Verbindung und verbinde mich neu, dann kann nach wiederholen dieser Prozedur (ca. 3 mal) plötzlich
auch eine Verbindung zu allen Rechnern hergestellt werden.
Wenn ich die Ausgabe von "vpnc --debug 2" Vergleiche, dann ist mir folgendes aufgefallen.
Jedesmal wenn es nicht wie gewünscht funktioniert existiert die Zeile "got 0 acls for split include" im Abschnitt "S6.2 phase2_config receive modecfg".
Funktioniert alles wie gewünscht, fehlt die Zeile.
Ach ja, ich nutze Debian 6.0.3 mit Kernel 2.6.32, vpnc 0.5.3.
Habt ihr eine Idee, woran das liegen könnte, braucht ihr noch zusätzliche Info?
Vielen Dank schon mal im Voraus.
Gruß
vpnc: trotz Verbindung keine Verbindung
vpnc: trotz Verbindung keine Verbindung
Zuletzt geändert von juduroe am 24.11.2011 11:10:59, insgesamt 1-mal geändert.
Re: vpnc: trotz Verbindung keine Verbindung
Wie läuft die Authentifizierung ab? Es riecht ein wenig nach einem spät reagierenden LDAP/RADIUS/whatever-Server.
Wie unterscheiden sich die DNS-Server von den Clients? Wo liegen sie im Netz? IPs? Routing dazwischen? Wer ist der VPN-Endpoint?
Gruß Cae
Wie unterscheiden sich die DNS-Server von den Clients? Wo liegen sie im Netz? IPs? Routing dazwischen? Wer ist der VPN-Endpoint?
Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: vpnc: trotz Verbindung keine Verbindung
Danke für die schnelle Antwort.
Leider kann ich die meisten Fragen nicht genau beantworten, da ich serverseitig keine Kenntnisse bzw. keinen Einfluss besitze.
Die IPs kann ich aber sagen:
DNS-Server 1: 192.168.10.15
DNS-Server 2: 192.168.10.16
Exchange-Server: 192.168.10.12
File-Server: 192.168.10.19
Client-IP-Bereich: 172.19.12.xxx
Da die IPs ja alle bis auf die Clients im selben Subnetz liegen ist das Problem ja schon sehr seltsam. Wobei ich noch erwähnen muss, dass die Verbindung zu den
DNS-Servern nur meistens geht. Ich hatte auch trotz bestehender VPN-Verbindung auch auf diese ab und zu keinen "Zugriff".
In ca. 95% der Fälle klappt aber die Verbindung mit den DNS-Servern, der Rest aber nicht.
Die VPN-Verbindung läuft über IPSec mit Xauth. Hier mal meine vpnc-config, mehr kann ich dazu nicht sagen:
IPSec gateway xxx.xxx.xxx.xxx
IPSec ID XYZ
IPSec secret geheim
#IKE Authmode psk
Xauth username User1
Xauth password Pwd1
DNSUpdate Yes
Denkst du, dass das ein serverseitiges Problem sein kann? Oder ist an meiner Konfiguration was faul?
Ich habe noch vergessen zu erwähnen, dass es keine Probleme bei den Windows-Clients gibt. Da wird
der Standard-Cisco-Client verwendet und es klappt alles reibungslos. Leider hat die EDV-Abteilung nicht so die Ahnung, und schon gar nicht von Linux.
Würden Infos über VPN-Endpoint, Routing und Co. weiter helfen? Dann könnte ich ja mal die EDVler fragen, mal sehen, ob die das wissen.
Leider kann ich die meisten Fragen nicht genau beantworten, da ich serverseitig keine Kenntnisse bzw. keinen Einfluss besitze.
Die IPs kann ich aber sagen:
DNS-Server 1: 192.168.10.15
DNS-Server 2: 192.168.10.16
Exchange-Server: 192.168.10.12
File-Server: 192.168.10.19
Client-IP-Bereich: 172.19.12.xxx
Da die IPs ja alle bis auf die Clients im selben Subnetz liegen ist das Problem ja schon sehr seltsam. Wobei ich noch erwähnen muss, dass die Verbindung zu den
DNS-Servern nur meistens geht. Ich hatte auch trotz bestehender VPN-Verbindung auch auf diese ab und zu keinen "Zugriff".
In ca. 95% der Fälle klappt aber die Verbindung mit den DNS-Servern, der Rest aber nicht.
Die VPN-Verbindung läuft über IPSec mit Xauth. Hier mal meine vpnc-config, mehr kann ich dazu nicht sagen:
IPSec gateway xxx.xxx.xxx.xxx
IPSec ID XYZ
IPSec secret geheim
#IKE Authmode psk
Xauth username User1
Xauth password Pwd1
DNSUpdate Yes
Denkst du, dass das ein serverseitiges Problem sein kann? Oder ist an meiner Konfiguration was faul?
Ich habe noch vergessen zu erwähnen, dass es keine Probleme bei den Windows-Clients gibt. Da wird
der Standard-Cisco-Client verwendet und es klappt alles reibungslos. Leider hat die EDV-Abteilung nicht so die Ahnung, und schon gar nicht von Linux.
Würden Infos über VPN-Endpoint, Routing und Co. weiter helfen? Dann könnte ich ja mal die EDVler fragen, mal sehen, ob die das wissen.
Re: vpnc: trotz Verbindung keine Verbindung
Hier vermute ich das Problem. Oben in der Fehlermeldung ist von ACL die Rede, also Access Controll Lists. Da ich noch nie mit dieser Kombination gearbeitet habe, weiß ich nicht so, woran es klemmen kann.juduroe hat geschrieben:Die VPN-Verbindung läuft über IPSec mit Xauth.
Mit dem VPN-Endpoint meinte bloß, was der VPN-Server ist, also ob jeder Client selbst ein VPN nach außen aufspannt oder so. Tun sie ja nicht, es gibt nur einen. Sprechen wir eigentlich von diesem
xauth? Das würde mich wundern, weil es ein kleines GUI-Töölchen zur Verwaltung von Monitorzugriffen ist.Die DNS-Server sind wie erreichbar? Pingen? Fernwartung? Evtl. könnte man sich mit tcpdump, ngrep oder Wireshark hinsetzen und mal im Netz mitschneiden, ob der VPN-"Inhalt" bei den Clients ankommt.
Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: vpnc: trotz Verbindung keine Verbindung
Ich denke auch, dass es irgendwie ein Problem mit den Zugriffsrechten sein könnte (access control).
Mit "erreichbar" meine ich, ich kann diese anpingen, bzw. die DNS-Auflösung funktioniert.
Der Exchange-Server heißt bspw. "ex01", die Namensauflösung funktioniert dann. Jedoch wird der Exchange-Server halt nicht erreicht, kein Ping und keine Verbindung.
XAUTH ist eine Zertifizierungserweiterung für Server. Scheinbar was Cisco-Eigenes, wurde jedenfalls nicht in die IPSec Drafts aufgenommen.
Hier gibt's ein paar Infos dazu, vielleicht helfen die weiter: http://www.ciscopress.com/articles/article.asp?p=421514
Ich bin leider auf dem VPN-Gebiet nicht so versiert, nach was sollte ich denn mit den Tools suchen?
Danke für deine Hilfe.
Mit "erreichbar" meine ich, ich kann diese anpingen, bzw. die DNS-Auflösung funktioniert.
Der Exchange-Server heißt bspw. "ex01", die Namensauflösung funktioniert dann. Jedoch wird der Exchange-Server halt nicht erreicht, kein Ping und keine Verbindung.
XAUTH ist eine Zertifizierungserweiterung für Server. Scheinbar was Cisco-Eigenes, wurde jedenfalls nicht in die IPSec Drafts aufgenommen.
Hier gibt's ein paar Infos dazu, vielleicht helfen die weiter: http://www.ciscopress.com/articles/article.asp?p=421514
Ich bin leider auf dem VPN-Gebiet nicht so versiert, nach was sollte ich denn mit den Tools suchen?
Danke für deine Hilfe.