16
VPN Verbindung funktioniert nicht mehr
Hallo,
seit ca. 2 Wochen haben wir bei uns in der Firma ein kleines Problem mit unserer VPN-Verbindung. Von einem Tag auf den anderen konnten wir keine Verbindung zum VPN aufbauen. Das mysteriöse war, dass ein Kollege (insgesamt sind wir 5 Personen, die das VPN benutzen) sich verbinden kann. Von den Einstellungen hat sich in der Zeit nichts geändert, keine zusätzlichen Firewallregelungen und auch keine neue Hardware. Die Einstellungen bei dem Kollegen, wo die Verbindung funktioniert, ist identisch (abgesehen von Benutzernamen und Passwort) mit der unserer. Ich habe zur Sicherheit auch die ganzen Daten (via Programm-Export) zukommen lassen. Auch hier hat es nicht funktioniert.
Verwendet wird der IPsec Client von Bintec und die Standard-App von Android (unter den Einstellungen). Bintec gibt folgendes im Log aus:
der Benutzer, LocIpa und EndPoint wurden nachträglich im Log editiert. Derzeit stehe ich vor einem Rätsel und hoffe, dass mir jemand kurz helfen kann oder mir einen Tipp geben könnte.
Beste Grüße,
Werner
seit ca. 2 Wochen haben wir bei uns in der Firma ein kleines Problem mit unserer VPN-Verbindung. Von einem Tag auf den anderen konnten wir keine Verbindung zum VPN aufbauen. Das mysteriöse war, dass ein Kollege (insgesamt sind wir 5 Personen, die das VPN benutzen) sich verbinden kann. Von den Einstellungen hat sich in der Zeit nichts geändert, keine zusätzlichen Firewallregelungen und auch keine neue Hardware. Die Einstellungen bei dem Kollegen, wo die Verbindung funktioniert, ist identisch (abgesehen von Benutzernamen und Passwort) mit der unserer. Ich habe zur Sicherheit auch die ganzen Daten (via Programm-Export) zukommen lassen. Auch hier hat es nicht funktioniert.
Verwendet wird der IPsec Client von Bintec und die Standard-App von Android (unter den Einstellungen). Bintec gibt folgendes im Log aus:
29.02.2016 09:53:39 IPSec: Start building connection
29.02.2016 09:53:39 IpsDial: Generate available provider links - media available is = 4000
29.02.2016 09:53:39 IpsDial: Created the following list of provider links:
29.02.2016 09:53:39 IpsDial: connection time interface choice,LocIpa=192.168.7.100,AdapterIndex=202
29.02.2016 09:53:39 Ike: Outgoing connect request MAIN mode - gateway=111.22.33.179 : VPN_Test
29.02.2016 09:53:39 Ike: XMIT_MSG1_MAIN - VPN_Test
29.02.2016 09:53:40 INFO - MONITOR: Communication Medium changed - Automatisch => WLAN
29.02.2016 09:53:40 Ike: RECV_MSG2_MAIN - VPN_Test
29.02.2016 09:53:40 Ike: IKE phase I: Setting LifeTime to 86400 seconds
29.02.2016 09:53:40 Ike: Turning on XAUTH mode - VPN_Test
29.02.2016 09:53:40 Ike: IkeSa negotiated with the following properties -
29.02.2016 09:53:40 Authentication=XAUTH_INIT_PSK,Encryption=AES,Hash=SHA,DHGroup=2,KeyLen=128
29.02.2016 09:53:40 Ike: VPN_Test->Support for NAT-T version - 9
29.02.2016 09:53:40 IPSec: Final Tunnel EndPoint is=111.22.33.179
29.02.2016 09:53:40 Ike: XMIT_MSG3_MAIN - VPN_Test
29.02.2016 09:53:40 Ike: RECV_MSG4_MAIN - VPN_Test
29.02.2016 09:53:40 Ike: XMIT_MSG5_MAIN - VPN_Test
29.02.2016 09:53:40 Ike: RECV_MSG6_MAIN - VPN_Test
29.02.2016 09:53:40 Ike: IkeSa negotiated with the following properties -
29.02.2016 09:53:40 Authentication=XAUTH_INIT_PSK,Encryption=AES,Hash=SHA,DHGroup=2,KeyLen=128
29.02.2016 09:53:40 Ike: Turning on DPD mode - VPN_Test
29.02.2016 09:53:40 Ike: phase1:name(VPN_Test) - connected
29.02.2016 09:53:40 SUCCESS: IKE phase 1 ready
29.02.2016 09:53:40 IPSec: Phase1 is Ready,AdapterIndex=202,IkeIndex=19,LocTepIpAdr=192.168.7.100,AltRekey=1
29.02.2016 09:53:40 IkeXauth: RECV_XAUTH_REQUEST
29.02.2016 09:53:40 IkeXauth: XMIT_XAUTH_REPLY
29.02.2016 09:53:40 IkeXauth: RECV_XAUTH_SET
29.02.2016 09:53:40 IkeXauth: XMIT_XAUTH_ACK
29.02.2016 09:53:40 IkeCfg: name <VPN_Test> - IkeXauth: enter state open
29.02.2016 09:53:40 SUCCESS: Ike Extended Authentication is ready
29.02.2016 09:53:41 IkeCfg: XMIT_IKECFG_REQUEST - VPN_Test
29.02.2016 09:53:57 INFO - MONITOR: Communication Medium changed - WLAN => Automatisch
29.02.2016 09:53:57 IPSec: AUTOMEDIA DETECT - Tried all available media types
29.02.2016 09:53:57 IPSec: Disconnected from VPN_Teston channel 1.der Benutzer, LocIpa und EndPoint wurden nachträglich im Log editiert. Derzeit stehe ich vor einem Rätsel und hoffe, dass mir jemand kurz helfen kann oder mir einen Tipp geben könnte.
Beste Grüße,
Werner
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 297689
Url: https://administrator.de/contentid/297689
Printed on: April 20, 2024 at 00:04 o'clock
16 Comments
Latest comment
Moin,
Zertifikate alle vorhanden und gültig?
Gruß
Looser
Zertifikate alle vorhanden und gültig?
Gruß
Looser
Wahrscheinlich die blödeste Frage überhaupt, aber wo finde ich die Zertifikate und wie erstelle ich ggf. ein neues?
Dazu müssten wir aber wissen, welche Firewall ihr einsetzt....
Verwendet wird Clavister ist soweit ich weiss, eine Hardware-Firewall. Hier mal die Systeminformationen:
Model: SG 3200
System Time: 2016-02-29 11:39:55
Uptime: 181 days, 03:59:20
Configuration: Local version 430; Remote version 136;
Ich wurde leider in das Thema hier so rein geschmissen und habe von Netzwerken nicht so die Ahnung. Mittlerweile funktioniert das VPN bei dem einen Kollegen auch nicht mehr.
Model: SG 3200
System Time: 2016-02-29 11:39:55
Uptime: 181 days, 03:59:20
Configuration: Local version 430; Remote version 136;
Ich wurde leider in das Thema hier so rein geschmissen und habe von Netzwerken nicht so die Ahnung. Mittlerweile funktioniert das VPN bei dem einen Kollegen auch nicht mehr.
Sorry, die Firewall kenne ich nicht. Aber noch etwas grundsätzliches: Auf der Homepage des Herstellers steht, dass das Modell EOL 2015 hatte. Also keine Updates, keine Ersatzteile, etc.....Vielleicht denkt ihr mal über eine Alternative zusätzlich zum akuten Problem nach.
Gruß
Looser
Gruß
Looser
D.h. ihr arbeitet mit einem Bintec Client auf eine Clavista Firewall ?? Terminiert die FW die VPN Sessions der Clients ?
Ihr arbeitet vermutlich mit PSKs beim IPsec, oder ? Das Thema mit den Zertifikaten wäre dann obsolet ?!
Fakt ist aber das an den Clients etwas verändert wurde. Du solltest also dort besser suchen und nicht auf dem VPN Server, denn wenn einer weiterhin arbeiten kann nur andere nicht ist das zu 98% ein Clientproblem.
Das Log zeigt auch keine IPsec Fehler, wenn man mal von dem Autodetection Interface absieht.
Ihr arbeitet vermutlich mit PSKs beim IPsec, oder ? Das Thema mit den Zertifikaten wäre dann obsolet ?!
Fakt ist aber das an den Clients etwas verändert wurde. Du solltest also dort besser suchen und nicht auf dem VPN Server, denn wenn einer weiterhin arbeiten kann nur andere nicht ist das zu 98% ein Clientproblem.
Das Log zeigt auch keine IPsec Fehler, wenn man mal von dem Autodetection Interface absieht.
Jop, CLient ist von Bintec (ehemals Funkwerk).
Wo kann ich das sehen, ob die Firewall die VPN Session terminiert?
Kurz zu den Einstellungen des Clients:
Verbindungstyp: VPN zu IPsec-Gegenstelle
Verbindungsmedium: automatische Medienerkennung
Verbindungsaufbau: manuell
Timeout(Sek): 100
Gateway (Tunnel-Endpunkt): 111.22.33.179 //Geänderter Wert
Austausch-Modus: Main Mode (IKEv1)
IKE-Richtlinie: Pre-shared Key
IKE DH-Gruppe: DH-Gruppe 2 (1024 Bit)
IPsec-Richtlinie_ ESP-AES128-MD5
PFS-Gruppe: DH-Gruppe 2 (1024 Bit)
Erweiterte IPsec-Option: Standard IPsec
Zuweisung der privaten IP-Adresse: IKI Config Mode
Ich glaube das wars an Informationen
An den Clients wurde (von mir aus) nichts geändert. Irgendwann "ging" es einfach nicht. Kann natürlich irgendein Update oder ähnliches sein. Mittlerweile kommt der eine Kollege auch nicht mehr rein...
Merkwürdiger weise funktioniert die VPN Verbindung über dem Handy auch nicht und da weiss ich, dass es dort kein Update bei mir gab in dem Zeitraum :/
Ich werde mal den Hersteller kontaktieren, ob es ggf. dort bekannte Probleme gibt.
Wo kann ich das sehen, ob die Firewall die VPN Session terminiert?
Kurz zu den Einstellungen des Clients:
Verbindungstyp: VPN zu IPsec-Gegenstelle
Verbindungsmedium: automatische Medienerkennung
Verbindungsaufbau: manuell
Timeout(Sek): 100
Gateway (Tunnel-Endpunkt): 111.22.33.179 //Geänderter Wert
Austausch-Modus: Main Mode (IKEv1)
IKE-Richtlinie: Pre-shared Key
IKE DH-Gruppe: DH-Gruppe 2 (1024 Bit)
IPsec-Richtlinie_ ESP-AES128-MD5
PFS-Gruppe: DH-Gruppe 2 (1024 Bit)
Erweiterte IPsec-Option: Standard IPsec
Zuweisung der privaten IP-Adresse: IKI Config Mode
Ich glaube das wars an Informationen
An den Clients wurde (von mir aus) nichts geändert. Irgendwann "ging" es einfach nicht. Kann natürlich irgendein Update oder ähnliches sein. Mittlerweile kommt der eine Kollege auch nicht mehr rein...
Merkwürdiger weise funktioniert die VPN Verbindung über dem Handy auch nicht und da weiss ich, dass es dort kein Update bei mir gab in dem Zeitraum :/
Ich werde mal den Hersteller kontaktieren, ob es ggf. dort bekannte Probleme gibt.
Moin,
warum verwendest du jetzt den Bintec client obwohl Android IPsec als IKEv1 selbst integriert hat? (IKEv2 mit Strongswan App)
Ansonsten funktioniert IPsec natürlich nur wenn es richtig konfiguriert ist.
Was sagt denn das wichtigste Log der Firewall während des VPN Aufbaus?
Sind alle Einstellungen gleich wie im Client?
VG
Val
warum verwendest du jetzt den Bintec client obwohl Android IPsec als IKEv1 selbst integriert hat? (IKEv2 mit Strongswan App)
Ansonsten funktioniert IPsec natürlich nur wenn es richtig konfiguriert ist.
Was sagt denn das wichtigste Log der Firewall während des VPN Aufbaus?
Sind alle Einstellungen gleich wie im Client?
VG
Val
Moin, der Bintec Client ist auf unseren Windows Masch9inen (windows 7, 8.1 & 10) vorhanden. Bei Android verwenden wir das vom System direkt.
"Verwendet wird der IPsec Client von Bintec und die Standard-App von Android (unter den Einstellungen)"
Wollte damit auch nur sagen, dass es leider weder beim Smartphone noch bei den Desktop Rechnern funktioniert.
So nun aber zu dem Log von der Firewall. Da steht tatsächlich ein Error:
Date:2016-03-01 | 10:54:12:
Severity: Error
Category/ID: IPPOOL 1900001
Rule: VPN
Proto: -
Src/DstIf: -
Src/DstIP: -
Src/DstPort: -
Event/Action: no_offer_received
waited=15732805
"Verwendet wird der IPsec Client von Bintec und die Standard-App von Android (unter den Einstellungen)"
Wollte damit auch nur sagen, dass es leider weder beim Smartphone noch bei den Desktop Rechnern funktioniert.
So nun aber zu dem Log von der Firewall. Da steht tatsächlich ein Error:
Date:2016-03-01 | 10:54:12:
Severity: Error
Category/ID: IPPOOL 1900001
Rule: VPN
Proto: -
Src/DstIf: -
Src/DstIP: -
Src/DstPort: -
Event/Action: no_offer_received
waited=15732805
Date:2016-03-01 | 10:54:12:
Ich glaub deine Uhr in der FW geht falsch 
Category/ID: IPPOOL 1900001
Wie ist denn der IP-Pool für das VPN konfiguriert? Überschneidet diese sich mit dem internen Netz? Poste am besten mal die komplette Konfig mit Screenshots.VG
Val
Stimmt, die Zeit ist wirklich falsch :x, habe ich gerade korrigiert. Ändert natürlich (leider) nichts bei der Verbindung 
IPPool VPN
General
Name: VPN
DHCP Server
Interface: Specify DHCP Server Address | Selectet: localhost
Server Filter: none
IPPool
Client IP Filter: none
Comments: IP-POOL für VPN
Advanced
Routing Table: main
Receive Interface: none
Mac Range Start: none
Mac Range End: none
Prefetch Leases: 3
Maximum Free: Hier ist kein Eintrag
Maximum Clients:Hier ist kein Eintrag
Ich hoffe, dass war der Richtige Auszug. Ansonsten könnte ich noch mit dem Auszug vom IPsec dienen. :/
Könnte es auch etwas mit den IP Einstellungen in der IKE ID List zu tun haben?
Dort steht nämlich etwas von IP Adresse ...
[EDIT]
Ich habe mal die Screenshots in einen Dropboxordner getan:
https://www.dropbox.com/sh/zjwrxb68y29nnry/AABHqrWyB6fzYzM9KLrIFus_a?dl= ...
IPPool VPN
General
Name: VPN
DHCP Server
Interface: Specify DHCP Server Address | Selectet: localhost
Server Filter: none
IPPool
Client IP Filter: none
Comments: IP-POOL für VPN
Advanced
Routing Table: main
Receive Interface: none
Mac Range Start: none
Mac Range End: none
Prefetch Leases: 3
Maximum Free: Hier ist kein Eintrag
Maximum Clients:Hier ist kein Eintrag
Ich hoffe, dass war der Richtige Auszug. Ansonsten könnte ich noch mit dem Auszug vom IPsec dienen. :/
Könnte es auch etwas mit den IP Einstellungen in der IKE ID List zu tun haben?
Dort steht nämlich etwas von IP Adresse ...
[EDIT]
Ich habe mal die Screenshots in einen Dropboxordner getan:
https://www.dropbox.com/sh/zjwrxb68y29nnry/AABHqrWyB6fzYzM9KLrIFus_a?dl= ...
So, ich hätte glaube ich eine Lösung gefunden, weiss aber noch nicht so recht ob es das ist. zumindest hat der den gleichen Fehler wie wir auch ...
https://forums.clavister.com/viewtopic.php?f=12&t=4307&p=9555&am ...
https://forums.clavister.com/viewtopic.php?f=12&t=4307&p=9555&am ...
Wo kann ich das sehen, ob die Firewall die VPN Session terminiert?
Ziemlich naive Frage !! Du wirst doch wohl noch wissen welches Endgerät die VPN Sessions terminiert, oder ??Der durchschnittliche DAU sieht das an der Tunnel Ziel IP die er im Client konfiguriert. Das gerät was die IP hat ist in der Regel der VPN Server.
Sinnig wäre ja auch einen Clavister VPN Client zu verwenden oder wenigstens einer der offenen Standards folgt und kein Hersteller spezifischer Client ist wie z.B. der weitbekannte Shrew Client:
https://www.shrew.net
Ziemlich naive Frage !!
Kann ich mir vorstellen. Mein Problem bei der Sache ist, dass ich im Thema Netzwerk nicht ganz so vertieft bin. Ich wurde hier in der Firma damit ins Kalte Wasser geschubst. Eigentlich bin ich Mediengestalter und hatte vorab eine schulische Ausbildung zum Fachassi für IT gemacht. Da gab es zwar auch das Thema Netzwerk, allerdings nicht in den Dimensionen wie es hier ist. Der Vorgänger von mir war auch beim Dokumentieren etwas bequemer und das zugesagte "Falls Probleme sind, können Sie mir mailen" funktioniert nur halb; Ich maile Ihm, aber eine Antwort kommt nicht.
Jetziger Stand ist, wir haben hier einen großen Server stehen für einen Betrieb mit einer Handvoll Mitarbeitern und irgendwie ging von einem Tag auf den anderen nicht mehr das VPN. Zuerst hatte eine Person hin und wieder Schwierigkeiten, dann konnten alle bis auf einer Person sich nicht mehr anmelden und nun funktioniert gar nichts mehr. Ich hatte den Gestrigen Tag verbracht irgendwie alle zusammenhängende Regeln/Verzweigungen für das VPN bei Clavister mir zu notieren und hatte gehofft irgendwo einen "an/aus" Knopf zu finden. Gab es natürlich nicht :D
Falls es helfen könnte mir irgendwie zu helfen, dann könnte ich diese Liste (Textdatei) hier mal einfügen ...
Hast du es mal mit einem Anruf beim Systempartner versucht der die Clavister Firewall geliefert und installiert hat ?
Die sollten doch eigentlich wissen was sie tun, oder ??
Mit deinen doch sehr rudimentären Netzwerk Kenntnissen wirst du dir weiterhin einen Wolf suchen und es eher schlimmer machen denn besser.... Von deinen grauen Haaren mal ganz abgesehen...
Die sollten doch eigentlich wissen was sie tun, oder ??
Mit deinen doch sehr rudimentären Netzwerk Kenntnissen wirst du dir weiterhin einen Wolf suchen und es eher schlimmer machen denn besser.... Von deinen grauen Haaren mal ganz abgesehen...
Ich werde da mal nachschauen. Das typische aus und wieder einschalten hatte leider nicht funktioniert. Wer aber allerdings der Systempartner ist, weiß ich nicht. Da hier alles so toll dokumentiert ist, wird das auch ne weile dauern dies herauszufinden. :/
Ich schau mal in den ganzen Ordnern nach, ob ich irgendetwas finde. Danke aufjedenfall erstmal
Ich schau mal in den ganzen Ordnern nach, ob ich irgendetwas finde. Danke aufjedenfall erstmal
