visucius
Sep 28, 2021, updated at 10:48:24 (UTC)
view1388
view8
0
Goto Top

L2tp-IPSec: rdp-Abbruch

GermanQuestionRouters, RoutingNetworks
Hallo in die Runde,

vielleicht habt Ihr ja eine Idee. Ich dachte eigentlich hier auch schon ähnliches gelesen zu haben, finde es nur nicht mehr.

Es wird über eine VPN-Verbindung eine Remote-Desktop-Session zu einem Win10Pro Host initiiert, die auch problemlos und schnell startet, dann aber nach einigen Sekunden ...

a) auf einem MacOS-Client mit dem Fehler 0x407 "data encryption error" disconnected

b) auf einem Windows-Client schlicht kommentarfrei "einfriert"

der VPN-Tunnel bleibt danach scheinbar bestehen.

Ich habe das Gefühl, dass hängt mit IPSec zusammen. Als wenn eine Schlüsselerneuerung Probleme hat?! Aber dann müsste ja der Tunnel eigentlich auch einbrechen?!

Der Fehler ist mir sowohl bei einer Fritzbox als VPN-Server mit Shrewsoft auf Client-Seite als auch bei EdgeOS (l2tp/IPSec) mit dem Windowseigenen VPN-Client untergekommen. Über ein Wireguard-VPN tritt er nicht auf. Auf dem RDP-Host habe ich in den Gruppenrichtlinien Authentifikation auf Netzwerkebene schon deaktiviert und RDP auf TCP beschränkt, der Rest dürfte "Standard" sein, bzw. ist in den Host-Settings nicht konfiguriert.

Viele Grüße und Dank im Voraus

PS: Windows (alles 21H1)

EDIT: Ebenso 0x607
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 1317563866

Url: https://administrator.de/contentid/1317563866

Printed on: April 26, 2024 at 05:04 o'clock

8 Comments
Latest comment
Goto Top
Mitglied: 149569
149569 Sep 28, 2021 updated at 10:34:23 (UTC)
Goto Top
MTU? PMTU discovery blockiert? Mach mal mit Wireshark nen Mitschnitt beim Abbruch und checke auf Fragmentierung.
Member: Visucius
Visucius Sep 28, 2021 updated at 11:08:07 (UTC)
Goto Top
Zunächst das Protokoll der VPN-Verbindung
starten > dann rdp-Verbindung inkl. Abbruch > trennen

Da kann ich explizit mit der "remote IP address 10.255.255.0" nix anfangen?! Ist das normal?


verbinden:

Tue Sep 28 12:59:43 2021 : publish_entry SCDSet() failed: Success!
Tue Sep 28 12:59:43 2021 : publish_entry SCDSet() failed: Success!
Tue Sep 28 12:59:43 2021 : l2tp_get_router_address
Tue Sep 28 12:59:43 2021 : l2tp_get_router_address 192.168.66.1 from dict 1
Tue Sep 28 12:59:44 2021 : L2TP connecting to server 'xxxxx.goip.de' (xxx.xxx.xxx.206)...  
Tue Sep 28 12:59:44 2021 : IPSec connection started
Tue Sep 28 12:59:44 2021 : IPSec phase 1 client started
Tue Sep 28 12:59:44 2021 : IPSec phase 1 server replied
Tue Sep 28 12:59:45 2021 : IPSec phase 2 started
Tue Sep 28 12:59:45 2021 : IPSec phase 2 established
Tue Sep 28 12:59:45 2021 : IPSec connection established
Tue Sep 28 12:59:45 2021 : L2TP sent SCCRQ
Tue Sep 28 12:59:46 2021 : L2TP received SCCRP
Tue Sep 28 12:59:46 2021 : L2TP sent SCCCN
Tue Sep 28 12:59:46 2021 : L2TP sent ICRQ
Tue Sep 28 12:59:46 2021 : L2TP received ICRP
Tue Sep 28 12:59:46 2021 : L2TP sent ICCN
Tue Sep 28 12:59:46 2021 : L2TP connection established.
Tue Sep 28 12:59:46 2021 : L2TP set port-mapping for en0, interface: 5, protocol: 0, privatePort: 0
Tue Sep 28 12:59:46 2021 : using link 0
Tue Sep 28 12:59:46 2021 : Using interface ppp0
Tue Sep 28 12:59:46 2021 : Connect: ppp0 <--> socket[34:18]
Tue Sep 28 12:59:46 2021 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x75231f62> <pcomp> <accomp>]
Tue Sep 28 12:59:46 2021 : rcvd [LCP ConfReq id=0x1 <asyncmap 0x0> <auth eap> <magic 0x692f570d>]
Tue Sep 28 12:59:46 2021 : lcp_reqci: returning CONFNAK.
Tue Sep 28 12:59:46 2021 : sent [LCP ConfNak id=0x1 <auth chap MS-v2>]
Tue Sep 28 12:59:46 2021 : rcvd [LCP ConfReq id=0x2 <asyncmap 0x0> <auth chap MS-v2> <magic 0x692f570d>]
Tue Sep 28 12:59:46 2021 : lcp_reqci: returning CONFACK.
Tue Sep 28 12:59:46 2021 : sent [LCP ConfAck id=0x2 <asyncmap 0x0> <auth chap MS-v2> <magic 0x692f570d>]
Tue Sep 28 12:59:47 2021 : L2TP failed to set port-mapping for en0, errorCode: -65564
Tue Sep 28 12:59:47 2021 : L2TP port-mapping for en0 became invalid. is Connected: 1, Protocol: None, Private Port: 0, Previous publicAddress: (0), Previous publicPort: (0)
Tue Sep 28 12:59:47 2021 : L2TP clearing port-mapping for en0
Tue Sep 28 12:59:49 2021 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x75231f62> <pcomp> <accomp>]
Tue Sep 28 12:59:49 2021 : rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x75231f62> <pcomp> <accomp>]
Tue Sep 28 12:59:49 2021 : sent [LCP EchoReq id=0x0 magic=0x75231f62]
Tue Sep 28 12:59:49 2021 : rcvd [CHAP Challenge id=0x20 <245fa958dde22a9c8060bb65e8f911fd>, name = "xl2tpd"]  
Tue Sep 28 12:59:49 2021 : sent [CHAP Response id=0x20 <xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>, name = "VPNname"]  
Tue Sep 28 12:59:49 2021 : rcvd [LCP EchoRep id=0x0 magic=0x692f570d]
Tue Sep 28 12:59:49 2021 : rcvd [CHAP Success id=0x20 "S=033778561CFCF7E6E10DDF743DC82BC7424B05F7 M=Access granted"]  
Tue Sep 28 12:59:49 2021 : sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
Tue Sep 28 12:59:49 2021 : sent [IPV6CP ConfReq id=0x1 <addr fe80::8e85:90ff:fec8:8a12>]
Tue Sep 28 12:59:49 2021 : rcvd [IPCP ConfReq id=0x1 <addr 10.255.255.0>]
Tue Sep 28 12:59:49 2021 : ipcp: returning Configure-ACK
Tue Sep 28 12:59:49 2021 : sent [IPCP ConfAck id=0x1 <addr 10.255.255.0>]
Tue Sep 28 12:59:49 2021 : rcvd [IPCP ConfNak id=0x1 <addr 10.98.100.10> <ms-dns1 10.98.100.1> <ms-dns3 9.9.9.9>]
Tue Sep 28 12:59:49 2021 : sent [IPCP ConfReq id=0x2 <addr 10.98.100.10> <ms-dns1 10.98.100.1> <ms-dns3 9.9.9.9>]
Tue Sep 28 12:59:49 2021 : rcvd [LCP ProtRej id=0x3 80 57 01 01 00 0e 01 0a 8e 85 90 ff fe c8 8a 12]
Tue Sep 28 12:59:49 2021 : rcvd [IPCP ConfAck id=0x2 <addr 10.98.100.10> <ms-dns1 10.98.100.1> <ms-dns3 9.9.9.9>]
Tue Sep 28 12:59:49 2021 : ipcp: up
Tue Sep 28 12:59:49 2021 : local  IP address 10.98.100.10
Tue Sep 28 12:59:49 2021 : remote IP address 10.255.255.0
Tue Sep 28 12:59:49 2021 : primary   DNS address 10.98.100.1
Tue Sep 28 12:59:49 2021 : secondary DNS address 9.9.9.9
Tue Sep 28 12:59:49 2021 : Received protocol dictionaries
Tue Sep 28 12:59:49 2021 : l2tp_wait_input: Address added. previous interface setting (name: en0, address: 192.168.66.16), current interface setting (name: ppp0, family: PPP, address: 10.98.100.10, subnet: 255.0.0.0, destination: 10.255.255.0).
Tue Sep 28 12:59:49 2021 : Committed PPP store on install command

rdp - inkl. Abbruch

trennen: 

Tue Sep 28 13:01:45 2021 : [TERMINATE]
Tue Sep 28 13:01:45 2021 : Terminating on signal 15.
Tue Sep 28 13:01:45 2021 : ipcp: down
Tue Sep 28 13:01:45 2021 : sent [LCP TermReq id=0x2 "User request"]  
Tue Sep 28 13:01:45 2021 : Connection terminated.
Tue Sep 28 13:01:45 2021 : Connect time 2.0 minutes.
Tue Sep 28 13:01:45 2021 : Sent 241815 bytes, received 771564 bytes.
Tue Sep 28 13:01:45 2021 : L2TP disconnecting...
Tue Sep 28 13:01:45 2021 : L2TP sent CDN
Tue Sep 28 13:01:45 2021 : L2TP sent StopCCN
Tue Sep 28 13:01:45 2021 : L2TP clearing port-mapping for en0
Tue Sep 28 13:01:45 2021 : L2TP disconnected
Mitglied: 149569
149569 Sep 28, 2021 updated at 11:17:07 (UTC)
Goto Top
Da kann ich explizit mit der "remote IP address 10.255.255.0" nix anfangen?! Ist das normal?
rcvd [IPCP ConfReq id=0x1 <addr 10.255.255.0>]
Da hat wohl der Server in der L2TP via Mode Conf nen falsches Setting an den Client übermittelt. Also mal am Server die Settings dazu prüfen.
Member: Visucius
Visucius Sep 28, 2021 updated at 12:18:39 (UTC)
Goto Top
Da hat wohl der Server in der L2TP via Mode Conf nen falsches Setting an den Client übermittelt. Also mal am Server die Settings dazu prüfen.
Klingt plausibel. Nur habe ich das nicht hinterlegt und ich kanns auch in den Einstellungen des Routers nicht finden.

Im Wireshark (client-seitig) scheint er einfach abzubrechen. Die letzte ESP-Zeile sieht genauso aus, wie die davor. Interessant ist, dass er offenbar auf UDP sendet. Deshalb habe ich am Host UDP und TCP aktiviert und - wegen "nutzlosigkeit" wieder die netzwerkauthentifizierung und andere "übliche" Einstellungen aktiviert. Mit dem Ergebnis, dass die Fehlermeldung jetzt schon mit dem Öffnen des "Standbildes" erscheint 😏

wireshark

Scheint deutlich einfacher, ich aktiviere zusätzliche Wireguard-Tunnel - watt nen "###".

Danke trotzdem für Deine Mühen!
Mitglied: 149569
149569 Sep 28, 2021 updated at 12:49:21 (UTC)
Goto Top
Zitat von @Visucius:
Im Wireshark (client-seitig) scheint er einfach abzubrechen. Die letzte ESP-Zeile sieht genauso aus, wie die davor. Interessant ist, dass er offenbar auf UDP sendet.
Nee, das sind die Encapsulation Packets von der IPSec Verbindung (ESP über 4500(NAT-T)), das hat nichts mit der RDP Verbindung zu tun, du snifferst die Verbindung von außerhalb, nicht innerhalb des Tunnels, da ist klar das du von der RDP-Verbindung nichts siehst, ist alles verschlüsselt, man sollte da schon innerhalb des Tunnels sniffern von außerhalb bringt das nüx face-smile.
Member: Visucius
Visucius Sep 28, 2021 at 13:08:31 (UTC)
Goto Top
Nee, das sind die Encapsulation Packets von der IPSec Verbindung (ESP über 4500(NAT-T))
Ich als alter Wireshark-Profi 😂

Ich hatte eigentlich gehofft, ich würde bei den Interfaces ein "zusätzliches" sehen, nach aktivieren der VPN. Das ist aber ganz offenbar nicht der Fall und dann habe halt das aktive Netzwerk-Interface genutzt (Wifi). Gibts da nen Trick, in die VPN vom Endpunkt aus "reinzuschauen"?!
Mitglied: 149569
149569 Sep 28, 2021 at 13:10:24 (UTC)
Goto Top
Sniffer direkt am RDP-Server.
Member: Visucius
Visucius Sep 28, 2021 at 14:44:12 (UTC)
Goto Top
... Du meinst dem, auf den ich nicht stabil connecten kann? face-wink

ncap und Wireshark installiert. Bei nächster Gelegenheit wird das probiert.

Danke!
GermanQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 Comments