vpnc bricht sporadisch ab

15/06/2008 - 12:38 von Patric Urbaneck | Report spam
Hallo!

In meiner Verzweiflung werfe ich das Thema erneut auf (habe vor wenigen
Monaten schon einmal das Thema eröffnet, jedoch hat sich »damals« keine
Lösung des Problems gefunden).

Das Problem besteht darin, dass ich die zur Universitàt aufgebaute
VPN-Verbindung (per vpnc) nur einen kurzen Zeitraum nutzen kann. Nach
ungefàhr 5-7 Minuten bricht die Verbindung einfach sporadisch ab.

Die beiden Lösungsansàtze von damals, nàmlich

1. im Hintergrund einen Server anpingen in kurzen Intervallzeiten, um
die Verbindung nicht leerlaufen zu lassen und
2. zu forschen, ob es an der eventuellen Kurzlebigkeit der DHCP-Leases
liegen könnte

waren ergebnislos (Nr. 2 konnte ich natürlich nicht eigenhàndig prüfen,
jedoch war das die Antwort nachdem ich Mitarbeiter des
Uni-Rechenzentrums diesbezüglich gefragt hatte).

Ich habe auch eine Anfrage an unser Rechenzentrum geschickt, ob es
eventuell daran liegen könnte, dass meine Konfigurationen falsch sind,
doch die Antwort lautete im Original:

»[...] sind keine Probleme mit dem vpnc bekannt, spezielle Einstellungen
sind nicht notwendig. Die Konfigurationsdatei sieht ok aus. Zu
Verbindungsabbrüchen sollte es normalerweise nicht kommen.«

Weiter in der Mail hieß es, dass es eventuell zu Problemen kommen kann,
wenn zwei Rechner, die hinter der selben IP hàngen, eine Verbindung
aufzubauen versuchen. Das ist jedoch nicht der Fall.

Gibt es allgemein noch Dinge zu beachten, wenn man hinter einem Router
sitzt? Müssen eventuell spezielle Ports freigeschaltet werden? Diese
Fehlerquelle hielt ich in meinem Halbwissen bis dato für nicht evident,
weil ja die Verbindung anfànglich sauber aufgebaut wird und ich auch die
ersten paar Minuten im VPN arbeiten kann.

Vielleicht würde es ja dienen, wenn ich Logdateien bereitstellen könnte.
Allerdings weiß ich nicht, wie ich vpnc dazu bringen kann, penibel zu
loggen.
Das einzige was ich sehe ist ein »VPNC started in background (pid: xxxx)...«
Wenn die Verbindung abbricht, meldet sich vpnc gar nicht.

Ich benutze übrigens Debian lenny/testing mit einem 2.6.22'er original
Kernel aus den repos.

Hier einmal die Anzeige von vpnc --version

patric@laptop:~/Studium/Strafrecht/BesTeil_2$ sudo vpnc --version
vpnc version 0.5.1
Copyright (C) 2002-2006 Geoffrey Keating, Maurice Massar, others
vpnc comes with NO WARRANTY, to the extent permitted by law.
You may redistribute copies of vpnc under the terms of the GNU General
Public License. For more information about these matters, see the files
named COPYING.
Built without openssl (certificate) support.

Supported DH-Groups: nopfs dh1 dh2 dh5
Supported Hash-Methods: md5 sha1
Supported Encryptions: null des 3des aes128 aes192 aes256
Supported Auth-Methods: psk psk+xauth

Viele Grüße und schon einmal vielen Dank im Voraus
Patric
 

Lesen sie die antworten

#1 Heiko Nocon
15/06/2008 - 14:54 | Warnen spam
Patric Urbaneck wrote:

Das Problem besteht darin, dass ich die zur Universitàt aufgebaute
VPN-Verbindung (per vpnc) nur einen kurzen Zeitraum nutzen kann. Nach
ungefàhr 5-7 Minuten bricht die Verbindung einfach sporadisch ab.



Worüber genau baust du die Verbindung denn auf? Per WLAN oder Internet?
Wenn Internet, dann wie genau (DSL/UMTS/wasauchimmer)? Welcher Provider?

Weiter in der Mail hieß es, dass es eventuell zu Problemen kommen kann,
wenn zwei Rechner, die hinter der selben IP hàngen, eine Verbindung
aufzubauen versuchen. Das ist jedoch nicht der Fall.



Das wàre noch zu hinterfragen. Siehe Fragen oben...

Gibt es allgemein noch Dinge zu beachten, wenn man hinter einem Router
sitzt? Müssen eventuell spezielle Ports freigeschaltet werden?



Soweit ich das sehe, handelt es sich im Kern um eine
IPSec-Implementierung. Und da ist oft eine passende Routerkonfiguration
nötig. Und zwar Forwards für Port 500 UDP, Port 4500 UDP und u.U. auch
noch für das Protokoll ESP.

Das trifft insbesondere dann zu, wenn der Router seine Probleme mit dem
stateful Handling von UDP-"Verbindungen" hat, was gerade bei
Consumer-Routern nicht gerade selten ist. Allerdings ist die Fàhigkeit,
das Protokoll ESP zu forwarden, in diesem Segment auch nicht gerade weit
verbreitet...

Fehlerquelle hielt ich in meinem Halbwissen bis dato für nicht evident,
weil ja die Verbindung anfànglich sauber aufgebaut wird und ich auch die
ersten paar Minuten im VPN arbeiten kann.


[...]
Vielleicht würde es ja dienen, wenn ich Logdateien bereitstellen könnte.
Allerdings weiß ich nicht, wie ich vpnc dazu bringen kann, penibel zu
loggen.



Das steht, wenig überraschend, in der Manpage. Auch sehr interessant:
Die Homepage des Projektes. Da findet man dann unter Bugs/TODO u.a.
folgende interessante Anmerkungen:

# vpnc looses connection with some targets, even before the rekey-timer
expires most probably due bugs with keepalive, dead-peer-detection or
something else...
# certificate support (Pre-Shared-Key + XAUTH is known to be insecure!)

Was beides die die Konfiguration an sich und auch die Aussagen des
RZ-Mitarbeiters als reichlich inkompetent erscheinen làßt. Das mindeste,
was man verlangen kann, ist doch wohl, daß die die Doku der verwendeten
Software gelesen haben, bevor sie sie einsetzen...

Ich verstehe nicht, wozu man überhaupt diesen vpnc-Kram benötigt. Alle
modernen OS können von Hause aus IPSec und zwar mit Zertifikaten. Es
gibt eigentlich keinen Grund, da so einen Quatsch mit einem Client im
Alpha-Stadium und obendrein in einer bekannt unsicheren Betriebsart zu
verwenden.

Ähnliche fragen