berrynson
Goto Top

VPN Logdatei

Hallo

Hi,
habe eine VPN eingerichtet die auch zustandegekommen ist .
Ich habe mir die Logdatei einmal angesehen und festgestellt das da Fehler in der Verbindung oder bei der Verschlüsselung sind .

Dies ist ein ausschnitt der Logdatei VPN

Wed, 2010-09-01 11:46:50 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:47:10 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:47:50 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:48:00 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:48:20 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:49:00 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:49:10 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:49:30 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:50:10 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:50:20 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:50:40 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:51:20 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:51:30 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:51:50 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:52:30 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:52:40 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:53:00 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:53:40 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:53:50 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:54:10 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:54:50 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:55:00 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:55:20 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:56:00 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:56:10 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:56:30 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response


kan leider nicht viel Damit anfagen .Hat jemand einen Tip ob da alles richtig ist b.z.w. was die ursache für diesen log ist ???
Danke
LG
berrynson

Content-ID: 150117

Url: https://administrator.de/contentid/150117

Ausgedruckt am: 23.11.2024 um 01:11 Uhr

aqui
aqui 01.09.2010 um 18:49:49 Uhr
Goto Top
Eine Antwort ist sehr schwer da du leider sehr sehr oberflächlich bleibst mit der Beschreibung und es ja noch nicht mal geschafft hast wenigstens die Art des VPN Protokolls uns mitzuteilen. Ein paar mehr Infos wie:
  • Art des VPN Protokolls (PPTP, IPsec AH, ESP, L2TP, SSL...etc) ?
  • Von WO kommt das Log ? VPN Server oder Client
  • Welcher Art ist das VPN Gerät ? (Router, Server, OS ?)
wären sehr hilfreich um nicht hier zu landen face-sad
Grob lässt sich sagen das dort zuviel Retranssmissions (TCP ?) also Sendewiederholungen von Paketen auf der Leitung sind. Vermutlich ist die Leitung erheblich gestört oder hat sonst irgendwelche Probleme.
Normal und sauber ist es jedenfalls nicht !
berrynson
berrynson 02.09.2010 um 07:17:09 Uhr
Goto Top
Danke für die Antwort
Es ist eine Site to Site VPN auf der einen Seite ist ein Netgear Router und auf der anderen ein Allnet Modem mit VPN Router dahinter .
1.Es handelt sich um eine IPSec VPN.
2.Das Log stammt von dem Netgear Router
3. Netgear Router (DG 834GB) auf der einen Site und auf der Anderen Allnet modem und VPN Router Dahinter

kan es sein das der Fehler daran liegt das ich beim Pre Share Key 1 Grosbuchstaben benutzt habe ? natürlich auf beiden Seiten Gleich.

zuerst waren auf beiden Seiten Allnet Modem und dahinter Allnet VPN Router aber das ALLnet Modem hatte aussetzer und es ging uregelmäsig die leitunge verloren .nach langzeit test unseres Providers leitung OK
also tauschte ich das Allnet gespan gegen den Netgear Router (vorgabe vom Chef)und nun habe ich dieses Log.
Die Verbindung Steht aber dieses Log macht mir sorgen /Sicherheit und so .


Das ist der Log von dem Allnet VPN Router


[07:05:57][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[07:05:57] RECEIVED FIRST MESSAGE OF QUICK MODE
[07:05:57] FOUND IDs,EXTRACE ID INFO
[07:05:57]<Initiator IPADDR=192.168.xxx.xxx MASK=255.255.255.0>
[07:05:57]<Responder IPADDR=192.168.xxx.xxx MASK=255.255.255.0>

Dieser Log wiederholt sich immer wieder.


Dies ist der Log des Netgear Routers

Thu, 2010-09-02 08:08:05 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 08:08:15 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 08:08:18 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Thu, 2010-09-02 08:08:35 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Thu, 2010-09-02 08:08:58 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 08:09:08 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 08:09:15 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 08:09:25 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 08:09:28 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response

Lg
berrynson
berrynson
berrynson 02.09.2010 um 11:54:34 Uhr
Goto Top
habe den Pre share Key vom Grosbuchstaben geändert


Log vom Netgear schaut nun so aus

Thu, 2010-09-02 11:38:20 - added connection description "H-A"
Thu, 2010-09-02 11:38:21 - [H-A] initiating Main Mode
Thu, 2010-09-02 11:38:32 - [H-A] STATE_MAIN_I3: retransmission; will wait 20s for response
Thu, 2010-09-02 11:38:44 - [H-A] responding to Main Mode
Thu, 2010-09-02 11:38:45 - [H-A] sent MR3, ISAKMP SA established
Thu, 2010-09-02 11:38:45 - [H-A] Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
Thu, 2010-09-02 11:38:46 - [H-A] responding to Quick Mode {msgid:xxxxxxxxxxx}
Thu, 2010-09-02 11:38:47 - [H-A] Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
Thu, 2010-09-02 11:38:47 - [H-A] IPsec SA established
Thu, 2010-09-02 11:38:52 - [H-A] STATE_MAIN_I3: retransmission; will wait 40s for response
Thu, 2010-09-02 11:39:32 - [H-A] max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
Thu, 2010-09-02 11:39:32 - [H-A] initiating Main Mode to replace #xxx
Thu, 2010-09-02 11:39:33 - [H-A] ISAKMP SA established
Thu, 2010-09-02 11:39:33 - [H-A] Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
Thu, 2010-09-02 11:39:43 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 11:40:03 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Thu, 2010-09-02 11:40:43 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 11:40:54 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 11:41:14 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Thu, 2010-09-02 11:41:54 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 11:42:04 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 11:42:24 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Thu, 2010-09-02 11:43:04 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 11:43:14 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 11:43:34 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response


und das von dem anderen Router so Allnet VPN

[10:45:32]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:45:32]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:45:52][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[10:45:52] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:45:52] FOUND IDs,EXTRACE ID INFO
[10:45:52]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:45:52]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:46:32][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[10:46:32] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:46:32] FOUND IDs,EXTRACE ID INFO
[10:46:32]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:46:32]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:46:42][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[10:46:42] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:46:42] FOUND IDs,EXTRACE ID INFO
[10:46:42]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:46:42]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:02][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[10:47:02] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:47:02] FOUND IDs,EXTRACE ID INFO
[10:47:02]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:02]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:42][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[10:47:42] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:47:42] FOUND IDs,EXTRACE ID INFO
[10:47:42]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:42]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:52][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[10:47:52] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:47:52] FOUND IDs,EXTRACE ID INFO
[10:47:52]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:52]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:48:12][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[10:48:12] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:48:12] FOUND IDs,EXTRACE ID INFO
[10:48:12]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:48:12]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0
[10:48:52][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[10:48:52] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:48:52] FOUND IDs,EXTRACE ID INFO
[10:48:52]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:48:52]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:49:02][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[10:49:02] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:49:02] FOUND IDs,EXTRACE ID INFO
[10:49:02]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:49:02]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
aqui
aqui 02.09.2010 um 21:20:46 Uhr
Goto Top
Der SA Exchange scheitert weil die eine Seite die andere nicht mehr sieht bzw. nicht antwortet. (Retransmission) Sehr ungewöhnlich aber bei Billigstheimern wie NetGear und deren üblen IPsec Implementation nicht unüblich ! Leider... (siehe die zahllosen Threads hier)
Bei Geräten unterschiedlicher Hersteller solltest du niemals den "Main Mode" verwenden sondern immer den "Agressive Mode"

Änder also bei beiden Maschine den Mode auf "Agressive" und teste nochmal. Das sollte ggf. dein Problem lösen. Benutzt du feste IPs für die Tunnelendpoints oder FQDNs ??
Wenns nicht hilft dann sieh dir mitr Wireshark den Verbindungsaufbau mal an.
Da sieht man dann meist sofort wo das Problem ist !
berrynson
berrynson 03.09.2010 um 07:11:02 Uhr
Goto Top
Kan bei dem Netgear leider nur den Haupmodus aktivieren habe da keine andere möglichkeit .Ich weis das Netgear nich besonders bzw eher schlechter dafür geeignet ist aber bin noch nicht so lange in der Firma und hatte da wenig zu melden ,mir währe da auch Lancom ,Linksys oder Cisco lieber gewesen aber naja nun muss ich mich damit rumschlagen Danke.
Ich verwende Feste IPs aber keine Standleitung.
Werde das mit Wireshark mal testen und protokollieren.
Die VPN Verbindung steht ,sogar stabiel die letzten 2 Tage .
Ist die Sicherheit gegeben bzw währe es sehr schlimm wen ich es so lassen würde ?
aqui
aqui 03.09.2010 um 11:29:50 Uhr
Goto Top
Draytek wäre noch die vernüftigere Wahl bei VPN wenn man sich im NetGear Preissegment bewegen will !!
Wenn die Verbindung steht ist doch alles gut ! Dann Hoffen, Daumen drücken und nix machen ! "Never touch a running System !"
Die Retransmissions sagen aber schon das da was mau ist mit der Leitungsqualität. Wenn du aber damit arbeiten kannst...who cares ?!

Wie kann ich einen Beitrag als gelöst markieren?
berrynson
berrynson 03.09.2010 um 12:08:06 Uhr
Goto Top
Danke für die Antwort


ich glaube ich habe es hinbekommen

und zwar habe ich auf dem Netgear Router
PFS (Perfect Forward Secrecy) verwenden angehakt und bei nun bei VPN Status das der Nunnel steht und das Log Fenster ist leer (Netgear)


Das ist die Logdatei von der gegenseite Allnet Router VPn
das schaut doch gut aus oder??????????


[09:44:45] MAIN MODE COMPLETED
[09:44:45][==== IKE PHASE 1 ESTABLISHED====]
[09:44:45][==== IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder) ====]
[09:44:45] RECEIVED FIRST MESSAGE OF QUICK MODE
[09:44:45] FOUND IDs,EXTRACE ID INFO
[09:44:45]<Initiator IPADDR=192.168.xxxx.xxx MASK=255.255.255.0>
[09:44:45]<Responder IPADDR=192.xxx.xxx.0 MASK=255.255.255.0>
[09:44:45] SENT OUT SECOND MESSAGE OF QUICK MODE
[09:44:45][==== IKE PHASE 2(to xxx.xxx.xxx.xxx) START (initiator) ====]
[09:44:45] SENT OUT FIRST MESSAGE OF QUICK MODE
[09:44:45]<Initiator IPADDR=192.168.xxx.xxx,PORT=0>
[09:44:45]<Responder IPADDR=192.168.xxx.xxx,PORT=0>
[09:44:46] RECEIVED THIRD MESSAGE OF QUICK MODE
[09:44:46]<POLICY: A-H> PAYLOADS: HASH
[09:44:46] QUICK MODE COMPLETED
[09:44:46][==== IKE PHASE 2 ESTABLISHED====]
[09:44:46] RECEIVED SECOND MESSAGE OF QUICK MODE
[09:44:46]<POLICY: A-H> PAYLOADS: HASH,SA,PROP,TRANS,NONCE,KE,ID,ID
[09:44:46] SENT OUT THIRD MESSAGE OF QUICK MODE
[09:44:47] QUICK MODE COMPLETED
[09:44:47][==== IKE PHASE 2 ESTABLISHED====]
aqui
aqui 03.09.2010 um 19:09:07 Uhr
Goto Top
Ja, das sieht gut aus !

Wenns das denn war bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !