zzaaiiggaa
Goto Top

VPN - gebrickt durch User? - Lancom

Hallo zusammen,

es gibt ein Lancom Router auf diesem läuft noch (bitte nicht steinigen) PPTP VPN - wird umgestellt.

Jedenfalls gibts einen User der am SQL arbeitet und irgendwas macht, Verbindung nicht richtig beendet - keine Ahnung.
Jedenfalls anschließend funktioniert die vom User verwendete Verbindung nicht mehr, welche er benutzt hat - bis ich den Router restarte?

Im Syslog sehe ich nur anschließend (wenn ich mich zb. verbinden will - was auch nicht funktioniert):
User XXXXX logged out: Remote-doubled

und kriege keine Verbindung mehr hin?
Hat jemand vlt. nur eine Idee wo ich weiter nachsehen kann?

Danke Gruß!

Content-ID: 83834712674

Url: https://administrator.de/contentid/83834712674

Ausgedruckt am: 24.11.2024 um 10:11 Uhr

Visucius
Visucius 06.01.2024 aktualisiert um 20:14:53 Uhr
Goto Top
Bin kein VPN-Experte, klingt in meinen Augen aber doch so, als ob ein zweiter Account mit gleichen Credentials zugreift (altern. Session nicht geschlossen). Bei einem - seit über 12 Jahren - bekannt unsicheren VPN gibts da aber bestimmt auch andere Gründe, bzw. Szenarien. Ich würde verm. mal mit neuen Zugangsdaten starten.


Aber warum denn Aufwand in der Fehlerbehebung versenken, wenn man einfach ein neues VPN ggfs. erstmal nur für diesen User aufsetzen kann? Haste gleich nen "Beta-Tester". Gibt Dir nen Ruck ... ist gerade Jahresanfang face-wink
DivideByZero
Lösung DivideByZero 06.01.2024 um 20:15:58 Uhr
Goto Top
Guten Abend,

natürlich, steinigen! PPTP...

Nur eine Einschätzung dazu aus den Weiten des Web:

Wie sicher ist PPTP VPN?
Seine zugrundeliegenden Authentifizierungsprotokolle, in der Regel MS-CHAP-v1/v2, sind grundsätzlich unsicher und konnten seit ihrer Einführung wiederholt im Rahmen von Sicherheitsanalysen geknackt werden. Aus diesem Grund wird PPTP NICHT empfohlen, außer in Fällen, in denen die Sicherheit vollkommen unwichtig ist.


Wenn aber jemand am SQL arbeitet, wird es wohl nicht vollkommen unwichtig sein.
Und ehrlich, wer das noch einsetzt oder nur 1 Sekunde an der Fehlerbehebung arbeitet, der setzt sich als Admin dem Verdacht hartnäckiger Arbeitsverweigerung aus. Da kann man sich das VPN auch gleich ganz sparen.

Lancom arbeitet z.B. einwandfrei mit dem Shrew-Client unter Windows zusammen, Anleitung Schritt für Schritt: it-beratung-koch.de/kb/vpn-verbindung-mit-shrew-vpn-client-zu-lancom-router/. Das kann bei der Ersteinrichtung nicht länger als 20 Minuten dauern.

Da Du aber 2020 schon Shrew und Lancom gepaart hast, sollte das doch nur ein Fingerschnipp sein.

Also: wie @Visucius schon sagt, einfach neu einrichten, fertig.

Gruß

DivideByZero
orcape
orcape 07.01.2024 um 11:51:12 Uhr
Goto Top
Hi,
PPTP VPN
Damit kenne ich mich zwar nicht aus, weil ich mich, auf Grund der Sicherheitsproblematik, gar nicht erst damit beschäftigt habe, aber...
Remote-doubled
...erinnert mich zumindest daran, das man einen Tunnel, zumindest ist das bei OpenVPN der Fall, auch händisch ein weiteres mal starten kann, was dann natürlich zu keiner funktionierenden Verbindung führt.
Gruß orcape
leisefuxX
leisefuxX 07.01.2024 um 13:45:07 Uhr
Goto Top
in welchem Modus ist das ganze aufgebaut? dynamisch/dynamisch? also haben beide eine dynamische IP? oder statisch/dynamisch?

wie hoch ist die Haltezeit gesetzt? die Standard-300?

MPPE aktiviert? gibt es Internet Routing-Regeln durch ein Routing-Tag?

IPv6?

meine Vermutung hier ist, das die Haltezeit gesetzt ist und der User versucht einen NEUEN Tunnel innerhalb der Haltezeit aufzubauen, anstatt (wie laut Protokoll vorgeschrieben) die alte Verbindung wieder aufzunehmen... deswegen wird die neue Verbindung terminiert mit dem Fehler "remote-doubled". klar. zwei identische Gegenstellen sind kacke. deswegen nein.

setz die Haltezeit mal auf 9999, damit ist ausgeschaltet und ein Tunnel-Abbruch führt auch zum entfernen der remote Gegenstellen. Haltezeit von 0 bedeutet hier UNENDLICH!!!
ipv6 bitte auf default/default und wenn der Client es kann schalte bitte MPPE in den configs ein... wobei das Protokoll auch mit "Security" komplett unsicher und broken ist...

vielleicht machst mal komplett neu auf ikev2 (: wobei LANCOM angeblich bald auch Chacha (=wireguard) können soll... Gerüchteküche...
leisefuxX
leisefuxX 07.01.2024 um 13:47:30 Uhr
Goto Top