vpnc bricht nach 10 - 15 sec. ab (gelöst)

Mr-Ferret · Beitrag von **Mr-Ferret** » 30.06.2007 01:20:40

Ja hallo erstmal,
ich hab da ein kleines Problem und komme leider nicht weiter.

Auf meinem Rechner hab ich Debian Etch am laufen, um ins Firmennetz zu kommen hab ich mir dann noch VPNC installiert.
nach kleinen Startschwirigkeiten hat das dann ganz gut geklappt, bis auf die Kleinigkeit, das der Tunnel nach etwa 15 sec. abbricht.
Erst kommt die Meidung
VPNC started in background (pid: 3949)...
dann starte ich z. B. die X3270 session, kann da noch ein paar Sekunden blättern und dann ist der Process weg.

ich such schon eine Weile im Nezt, hab aber leider keinen passenden Eintrag gefunden.

Hat jemand eine Idee???
Bin für jeden Vorschlag dankbar!

Viele Gruesse
Manfred

mcdikki · Beitrag von **mcdikki** » 30.06.2007 11:46:31

Um was für ein VPN hadelt es sich denn?

Hast du denn wirklich ne Verbindung in den ersten Sekunden? Oder bricht er bei dem ersten Versuche Pakete zu senden und zu empfangen am.

Veilleicht stimmt was an der config nicht oder es ist ein IPv6 Problem.

Mr-Ferret · Beitrag von **Mr-Ferret** » 30.06.2007 14:36:41

In der Firma ist ein CISCO VPN,

Ja, ich kann mich wie schon erwähnt auf unserem Großrechner anmelden. (x3270)
Ohne Verbindung würde das nicht funktionieren.

Die Frage ob was mit der Config nicht stimmt ist gut, aber da stehen doch nur die Verbindungsdaten drin.
oder meinst du eine andere Conf. ?
Was für ein Prob. könnte es sein mit der IPV6 ?

Danke
Manfred

Duff · Beitrag von **Duff** » 30.06.2007 15:03:22

Habe das gleich vor und mein Problem hier aufgeführt: http://www.debianforum.de/forum/viewtop ... highlight=

Bei mir scheint es wohl daran zu liegen, dass wohl von vpnc (oder kvpnc) keine Zertifikate unterstützt werden. Zumindestens noch nicht.

Benutzt du eventuell auch Zertifikate???

Mr-Ferret · Beitrag von **Mr-Ferret** » 30.06.2007 20:34:39

Nein, bei uns gibt es kein Zertifikat. Die Verbindung steht ja für ein paar sekunden.

Nun hab ich eine Verbindung zum Firmennetz aufgebaut und einen Ping auf einen Server in der Fa. aufgesetzt.
Nach dem 25sten Ping ist die Verbindung wieder abgebrochen.

Ich bin langsam aber sicher am Verzweifeln.

mcdikki · Beitrag von **mcdikki** » 01.07.2007 11:49:14

Das hört sich nach einem Timeout an.

Wegen der Config, ich musste mal bei einem OpenVPN CLient optionen in die Config einfügen damit es geht, weiß aber nicht wie es bei vpnc ist.

Mr-Ferret · Beitrag von **Mr-Ferret** » 01.07.2007 18:33:11

Timeout heist doch, das wenn zu einer definierten Zeit keine Aktion geschieht die Verbindung unterbrochen wird.
Bie einem Ping wird aber trafic produziert, somit kann das doch nciht sein.

gms · Beitrag von **gms** » 01.07.2007 19:41:21

Zum "Debuggen" kannst du die folgenden Optionen in deine Config ergänzen:

Code: Alles auswählen

Debug 3
No Detach

und den vpnc dann in einer eigenen Shell starten ( mit der Config als Argument ) und nochmals den Ping-Test laufen lassen.
Werden dir bei "ifconfig" eigentlich Fehler angezeigt ?

Ich verwende VPNC eher selten, da ich mich meistens über SSH verbinde. Wenn ich aber doch den VPNC einsetze, sind die Verbindungsabbrüche immer in einem erträglichen Rahmen geblieben ( in einer ähnlichen Größenordnung, wie es auch von den Windows-Kollegen berichtet wird ).

Gruß
gms

Mr-Ferret · Beitrag von **Mr-Ferret** » 02.07.2007 22:26:02

Hallo,
@ gms, habe deinen Rat befolgt:
folgendes kam dabei raus:
Die Admins mögen mit mir gnädig sein wenn ich so einen Trace hier rein kopiere.

______________________________________________________________________________________
sending: ========================>

BEGIN_PARSE
i_cookie: 8ad3b6f7 74a79bde
r_cookie: bcab5c51 48163212
payload: 0b (ISAKMP_PAYLOAD_N)
isakmp_version: 10
exchange_type: 05 (ISAKMP_EXCHANGE_INFORMATIONAL)
flags: 01
message_id: 03b50446
len: 0000003c
PARSING PAYLOAD type: 0b (ISAKMP_PAYLOAD_N)
next_type: 00 (ISAKMP_PAYLOAD_NONE)
length: 0020
n.doi: 00000001 (ISAKMP_DOI_IPSEC)
n.protocol: 01 (ISAKMP_IPSEC_PROTO_ISAKMP)
n.spi_length: 10
n.type: 8d28 (ISAKMP_N_R_U_THERE)
n.spi: 8ad3b6f7 74a79bde bcab5c51 48163212
n.data: c3492572
DONE PARSING PAYLOAD type: 0b (ISAKMP_PAYLOAD_N)
PARSING PAYLOAD type: 00 (ISAKMP_PAYLOAD_NONE)
PARSE_OK

NAT-T mode, adding non-esp marker
lifetime status: 66 of 7200 seconds used, 0|0 of 0 kbytes used
dead peer detected, terminating
lifetime status: 71 of 7200 seconds used, 0|0 of 0 kbytes used
size = 32, blksz = 8, padding = 0

sending: ========================>

BEGIN_PARSE
i_cookie: 8ad3b6f7 74a79bde
r_cookie: bcab5c51 48163212
payload: 0b (ISAKMP_PAYLOAD_N)
isakmp_version: 10
exchange_type: 05 (ISAKMP_EXCHANGE_INFORMATIONAL)
flags: 01
message_id: b5043d63
len: 0000003c
PARSING PAYLOAD type: 0b (ISAKMP_PAYLOAD_N)
next_type: 00 (ISAKMP_PAYLOAD_NONE)
length: 0020
n.doi: 00000001 (ISAKMP_DOI_IPSEC)
n.protocol: 01 (ISAKMP_IPSEC_PROTO_ISAKMP)
n.spi_length: 10
n.type: 8d28 (ISAKMP_N_R_U_THERE)
n.spi: 8ad3b6f7 74a79bde bcab5c51 48163212
n.data: c3492572
DONE PARSING PAYLOAD type: 0b (ISAKMP_PAYLOAD_N)
PARSING PAYLOAD type: 00 (ISAKMP_PAYLOAD_NONE)
PARSE_OK

NAT-T mode, adding non-esp marker
S7.10
size = 72, blksz = 8, padding = 0

sending: ========================>

BEGIN_PARSE
i_cookie: 8ad3b6f7 74a79bde
r_cookie: bcab5c51 48163212
payload: 08 (ISAKMP_PAYLOAD_HASH)
isakmp_version: 10
exchange_type: 05 (ISAKMP_EXCHANGE_INFORMATIONAL)
flags: 01
message_id: 54000000
len: 00000064
PARSING PAYLOAD type: 08 (ISAKMP_PAYLOAD_HASH)
next_type: 0c (ISAKMP_PAYLOAD_D)
length: 0018
ke.data: 04a5f3c3 7bf4ee8e 7d1eb629 08e9b7fc b03246d1
DONE PARSING PAYLOAD type: 08 (ISAKMP_PAYLOAD_HASH)
PARSING PAYLOAD type: 0c (ISAKMP_PAYLOAD_D)
next_type: 0c (ISAKMP_PAYLOAD_D)
length: 0014
d.doi: 00000001 (ISAKMP_DOI_IPSEC)
d.protocol: 03 (ISAKMP_IPSEC_PROTO_IPSEC_ESP)
d.spi_length: 04
d.num_spi: 0002
d.spi: ec341e71
d.spi: bb2216a8
DONE PARSING PAYLOAD type: 0c (ISAKMP_PAYLOAD_D)
PARSING PAYLOAD type: 0c (ISAKMP_PAYLOAD_D)
next_type: 00 (ISAKMP_PAYLOAD_NONE)
length: 001c
d.doi: 00000001 (ISAKMP_DOI_IPSEC)
d.protocol: 01 (ISAKMP_IPSEC_PROTO_ISAKMP)
d.spi_length: 10
d.num_spi: 0001
d.spi: 8ad3b6f7 74a79bde bcab5c51 48163212
DONE PARSING PAYLOAD type: 0c (ISAKMP_PAYLOAD_D)
PARSING PAYLOAD type: 00 (ISAKMP_PAYLOAD_NONE)
PARSE_OK

NAT-T mode, adding non-esp marker
S8
P15G:~#
__________________________________________________________________________________________

leider kann ich hier keinen Hinweis auf eine Fehler sehen

Jedoch hab ich auch keine Erfahrungen mit Trace von Linux.
ifconfig ergibt keine Fehler.

Danke
Manfred

gms · Beitrag von **gms** » 02.07.2007 23:05:20

wenn ich das richtig sehe, ist das nur das Trace vom Verbindungsaufbau, danach sollten eigentlich solche Logmeldungen kommen

Code: Alles auswählen

receiving ESP packet (before decrypt):
... hexdump
receiving ESP packet (after decrypt):
... hexdump
Tx pkt:
... hexdump
lifetime status: 39 of 28800 seconds used, 0|0 of 0 kbytes used
lifetime status: 48 of 28800 seconds used, 0|0 of 0 kbytes used
...

diese Meldungen sind auch noch relativ uninteressant, interessant wäre es, wenn zum Zeitpunkt, wenn die Verbindung abbricht, eine Fehlermeldung kommen würde

Mr-Ferret hat geschrieben: Die Admins mögen mit mir gnädig sein wenn ich so einen Trace hier rein kopiere.

wenn du die Admins nicht erzürnen möchtest, beachte bitte diesen Punkt:

df.de hat geschrieben: - Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

steht unter "wichtiger Hinweis", wenn du einen neuen Beitrag erstellst

Gruß
gms

Mr-Ferret · Beitrag von **Mr-Ferret** » 03.07.2007 21:04:04

Ich hab das Log so erzeugt wie du beschriben hast:

gms hat geschrieben: Debug 3
No Detach

und bricht immer ab bei:

Mr-Ferret hat geschrieben: NAT-T mode, adding non-esp marker
S8

da kommt nix mit Fehler oder Error oder ähnliches.
S8 ist die letzte Zeile,
dann bricht die Verbindung ab.

Ich werde den Punkt mit den Admins beim nächsten mal beachten, versprochen.
Gruss
Manfred

gms · Beitrag von **gms** » 03.07.2007 21:57:55

Mr-Ferret hat geschrieben:und bricht immer ab bei:
Code: Alles auswählen
NAT-T mode, adding non-esp marker
S8 
da kommt nix mit Fehler oder Error oder ähnliches.
S8 ist die letzte Zeile,
dann bricht die Verbindung ab.

aja, ich hatte dich so verstanden, daß die Verbindung mitten unter der Datenübertragung abbricht ( siehe Ping-Versuch ), hier wurden allerdings überhaupt keine Daten übertragen. Daher habe ich zuerst nur ganz am Ende nach Fehlermeldungen gesucht und die Fehlermeldung weiter oben übersehen:

Code: Alles auswählen

NAT-T mode, adding non-esp marker 
lifetime status: 66 of 7200 seconds used, 0|0 of 0 kbytes used 
dead peer detected, terminating

Welche vpnc Version verwendest du eigentlich ? Vielleicht trifft dieser Bug auf dich zu:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=416180

eventuall auch einmal

Code: Alles auswählen

vpnc-connect --dpd-idle 0 yourconfig.conf

versuchen

Gruß
gms

Mr-Ferret · Beitrag von **Mr-Ferret** » 04.07.2007 21:19:34

ja wie soll ich das jetzt sagen,
ich möchte mich bei allen ganz herzlich bedanken, ganz besonders bei gms!

das war die lösung!

vpnc-connect --dpd-idle 0 yourconfig.conf

kein Abbruch der Verbindung mehr, ich kann jetzt ganz normal arbeiten.

Vielen Dank !

Gruss
Manfred