- VPN-Client-Verbindung zum Arbeitgeber Beitrag #26
giezet
- Beiträge
- 2
- Punkte Reaktionen
- 0
Ich grabe mal diesen alten Thread wieder aus. Möchte mal meine Erfahrungen hier teilen:
Habe hier 1play2000, am Kabelmodem hängt eine Soekris net5501 mit OpenBSD 4.3. Logischerweise fungiert sie nicht nur als VPN-Endpunkt (wenn's denn mal mit Unitymedia gehen würde), sondern auch als Router. Innerhalb der letzten zwei Monate habe ich - bis auf eine kurze Ausnahme - vergeblich versucht, ein IPsec-Tunnel zum Arbeitgeber aufzubauen. Die gleiche Box, mit gleicher Konfiguration und Software an einem anderen Internetprovider baute den Tunnel ohne wenn und aber auf.
Vor ca. 3-4 Wochen habe ich dann mal aus Langeweile noch einmal versucht, einen Tunnel aufzubauen - und plötzlich ging es! Ich war erleichtert und froh, doch die Freude währte nur wenige Tage. 4-5 Tage später funktionierte schon wieder NICHTS mehr. Wohlgemerkt, an der Software und Konfiguration wurde nicht ein Bit geändert.
Ich habe mich mal hingesetzt, und das Ganze ordentlich unter die Lupe genommen. Habe mir mal beide Tunnelendpunkte vorgenommen und mittels tcpdump die verschickten und empfangenen Pakete angeschaut. Es folgen jetzt zwei tcpdump-Auszüge, die dies demonstrieren:
Meine Soekris schickt Folgendes durch das Kabelmodem:
Dies entspricht 5 icmp-echo-Paketen die über den Tunnel geschickt werden.
Am Tunnelendpunkt jedoch kommt Folgendes an:
Es ist ersichtlich, dass das Paket unterwegs verändert wurde. Das ankommende ESP-Paket wird verworfen, da wahrscheinlich die Prüfsumme des Pakets nicht mehr übereinstimmt. Also so etwas ist mir noch nie unter die Augen gekommen. In der kurzen Zeit, in der der Tunnel funktionierte, hatten die pakete das ToS-Bit NICHT gesetzt, die gesendete Version entsprach in 100% der, die auch tatsächlich am anderen Tunnelendpunkt ankam.
Ich habe keine Ahnung, wo diese Änderung auftritt. Der ToS-Code 0x3 bedeutet "Experienced Congestion", was normalerweise darauf hindeutet, dass der Router (nicht mein Router, sondern irgendwo auf dem Weg zum Tunnelendpunkt) eine auf gut Deutsch "Verstopfung" erfahren hat - hier tritt also ECN (Explicit Congestion Notification) in Kraft. Ist dieses Flag gesetzt, wird das ESP-Paket verworfen. Wohlgemerkt, der Aufbau des Tunnels (IKE Phase 1 und 2) klappt wie am Schnürchen, SAs werden korrekt aufgebaut.
Wird etwa damit bezweckt, VPN-Betrieb generell zu unterdrücken? Ich empfinde jedenfalls, dass dies nicht meinen Erwartungen an einen vernünftigen Internetanschluss entspricht. Der Vertrag ist sowieso schon gekündigt und ein Wechsel zu Netcologne steht an.
Trotzdem, wenn sich jemand findet, der vielleicht wüßte was hier läuft, dann wäre ich für Hilfe bzw. Inspirationen sehr dankbar. Eine Möglichkeit bietet sich noch, am 1. November kommt OpenBSD 4.4 raus, und die dortige Firewall wurde um die Möglichkeit erweitert, ToS-Flags von ankommenden Paketen "wegzuschrubben". Bin mal gespannt, was mich dann erwartet. Wenn der Tunnel läuft, wird es wenigstens eine "Notlösung" bis April, denn so lange klebt mir UM noch an der Backe.
Schade eigentlich, denn ich war immer von der Überlegenheit der Kabeltechnologie gegenüber DSL überzeugt. Man kann sich aber selbst die eigene Suppe versalzen, so wie es scheint.
Habe hier 1play2000, am Kabelmodem hängt eine Soekris net5501 mit OpenBSD 4.3. Logischerweise fungiert sie nicht nur als VPN-Endpunkt (wenn's denn mal mit Unitymedia gehen würde), sondern auch als Router. Innerhalb der letzten zwei Monate habe ich - bis auf eine kurze Ausnahme - vergeblich versucht, ein IPsec-Tunnel zum Arbeitgeber aufzubauen. Die gleiche Box, mit gleicher Konfiguration und Software an einem anderen Internetprovider baute den Tunnel ohne wenn und aber auf.
Vor ca. 3-4 Wochen habe ich dann mal aus Langeweile noch einmal versucht, einen Tunnel aufzubauen - und plötzlich ging es! Ich war erleichtert und froh, doch die Freude währte nur wenige Tage. 4-5 Tage später funktionierte schon wieder NICHTS mehr. Wohlgemerkt, an der Software und Konfiguration wurde nicht ein Bit geändert.
Ich habe mich mal hingesetzt, und das Ganze ordentlich unter die Lupe genommen. Habe mir mal beide Tunnelendpunkte vorgenommen und mittels tcpdump die verschickten und empfangenen Pakete angeschaut. Es folgen jetzt zwei tcpdump-Auszüge, die dies demonstrieren:
Meine Soekris schickt Folgendes durch das Kabelmodem:
Code:
22:05:14.205157 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 744 len 196 (ttl 64, id 46015, len 216)
22:05:15.205395 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 745 len 196 (ttl 64, id 51478, len 216)
22:05:19.206734 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 746 len 196 (ttl 64, id 63037, len 216)
22:05:20.216041 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 747 len 196 (ttl 64, id 42776, len 216)
22:05:21.207021 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 748 len 196 (ttl 64, id 35166, len 216)Am Tunnelendpunkt jedoch kommt Folgendes an:
Code:
22:05:14.228068 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 744 len 196 [tos 0x3 (EC)] (ttl 55, id 46015, len 216)
22:05:15.231171 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 745 len 196 [tos 0x3 (EC)] (ttl 55, id 51478, len 216)
22:05:19.229810 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 746 len 196 [tos 0x3 (EC)] (ttl 55, id 63037, len 216)
22:05:20.239777 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 747 len 196 [tos 0x3 (EC)] (ttl 55, id 42776, len 216)
22:05:21.229816 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 748 len 196 [tos 0x3 (EC)] (ttl 55, id 35166, len 216)Ich habe keine Ahnung, wo diese Änderung auftritt. Der ToS-Code 0x3 bedeutet "Experienced Congestion", was normalerweise darauf hindeutet, dass der Router (nicht mein Router, sondern irgendwo auf dem Weg zum Tunnelendpunkt) eine auf gut Deutsch "Verstopfung" erfahren hat - hier tritt also ECN (Explicit Congestion Notification) in Kraft. Ist dieses Flag gesetzt, wird das ESP-Paket verworfen. Wohlgemerkt, der Aufbau des Tunnels (IKE Phase 1 und 2) klappt wie am Schnürchen, SAs werden korrekt aufgebaut.
Wird etwa damit bezweckt, VPN-Betrieb generell zu unterdrücken? Ich empfinde jedenfalls, dass dies nicht meinen Erwartungen an einen vernünftigen Internetanschluss entspricht. Der Vertrag ist sowieso schon gekündigt und ein Wechsel zu Netcologne steht an.
Trotzdem, wenn sich jemand findet, der vielleicht wüßte was hier läuft, dann wäre ich für Hilfe bzw. Inspirationen sehr dankbar. Eine Möglichkeit bietet sich noch, am 1. November kommt OpenBSD 4.4 raus, und die dortige Firewall wurde um die Möglichkeit erweitert, ToS-Flags von ankommenden Paketen "wegzuschrubben". Bin mal gespannt, was mich dann erwartet. Wenn der Tunnel läuft, wird es wenigstens eine "Notlösung" bis April, denn so lange klebt mir UM noch an der Backe.
Schade eigentlich, denn ich war immer von der Überlegenheit der Kabeltechnologie gegenüber DSL überzeugt. Man kann sich aber selbst die eigene Suppe versalzen, so wie es scheint.
