« Update - VPN auf REDIPsec-Fehlermeldungen erklärt - Teil 2 »

IPsec-Fehlermeldungen erklärt - Teil 1

Veröffentlicht am 27 Nov 2005 um 6:30 pm. Keine Kommentare.
Gespeichert unter Tutorials, Tips & Tricks.

Ich werde in Beiträgen mit diesem Titel, in loser Folge, einzelne, häufig auftretende Fehlermeldungen aus dem IPsec-Log erklären und Lösungsvorschläge geben.

Erste Anlaufstelle, wenn mit einem IPsec-VPN etwas nicht funktioniert, sollte immer das VPN-Log sein, zu finden unter:

“Logs” -> “System-Logdateien” -> “Abschnitt: IPSec”

Mit Hilfe der dort zu findenden Angaben sollte sich der Fehler rasch aufspüren und eliminieren lassen.

Ein erfolgreicher Verbindungsaufbau sieht ungefähr so aus (zu lesen von Unten nach Oben):

22:49:47 pluto[585] "abc" #4: STATE_QUICK_I2 sent QI2, IPsec SA established
22:49:47 pluto[585] “abc” #624: STATE_QUICK_I1 initiate
22:49:46 pluto[585] “abc” #624: sent MR3, ISAKMP SA established
22:49:46 pluto[585] “abc” #624: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
22:49:46 pluto[585] “abc” #624: Main mode peer ID is ID_IPV4_ADDR: www.xxx.yyy.zzz
22:49:46 pluto[585] “abc” #624: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
22:49:46 pluto[585] “abc” #624: NAT-Traversal: Result using draft-ietfipsec-nat-t-ike-02/03: no NAT detected
22:49:46 pluto[585] “abc” #624: transition from state (null) to state STATE_MAIN_R1
22:49:46 pluto[585] “abc” #624: responding to Main Mode

So ein Abschnitt wiederholt sich bei jedem neuen Key-Exchange, welcher sich normalerweise alle ~60 Minuten ereignet. Ausserdem sollte im VPN-Menü bei der entsprechenden Verbindung ein grünes “OPEN” Feld erscheinen. Wenn das soeben genannte nicht der Fall ist, wird es Zeit für ein Troubleshooting.

Welche Tools stehen uns nun zur Verfügung ?
Ich nenne hier die wichtigsten Tools, in der Reihenfolge, in der ich sie auch verwenden würde.

  • Ping www.xxx.yyy.zzz
    erlaubt es, die Erreichbarkeit eines VPN-Partners zu testen (WAN-Interface)
  • tracert (Windows) oder traceroute (Linux) www.xxx.yyy.zzz
    erlaubt eine Routenverfolgung vom eigenen Rechner zum Zielrechener, wobei hierbei alle Hop’s mit den entsprechenden Antwortzeiten ersichtlich sind
  • tail -n x /var/log/messages
    erlaubt es, die letzten x Einträge des Systemlogs anzusehen. Mit tail /var/log/messages -f sieht man alle neuen Einträge im Systemlog, sobald sie geschrieben werden, die Zeilen scrollen dann über den Schirm. Abbrechen kann man diesen Modus mit Ctrl. + C
  • sbin/iptables -L -n -v
    zeigt den gesamte Regelsatz der Firewall an. Der Output kann durch Angabe des CHAIN-Namens hinter -L eingegrenzt werden, z. B. mit /sbin/iptables -L CUTSTOMINPUT-n -v
  • ipsec auto –status
    zeigt den aktuellen Status an, einschliesslich der aktuellen Verbindungen und deren Status bezüglich ISAKMP und IPsecSA
  • ipsec look
    zeigt ausführliche IPsec-Statusinformationen
  • ipsec barf
    zeigt Unmengen an Debugginginformationen zu IPsec
  • netstat -rn oder route
    zeigen die aktuelle Routingtabelle aus dem Memory an
  • netstat -an
    zeigt alle aktiven Ports und deren Status an, interessant, um zu sehen, ob der IPcop auf einem bestimmten Port lauscht oder nicht, bzw. ob auf einem bestimmten Port schon eine Verbindung besteht
  • tcpdump -i ppp0
    erlaubt es, alle Pakete auf dem definierten Interface mitzulesen, auch auf den IPsec-Interfaces. tcpdump kennt sehr viele Optionen, die sich mit tcpdump –help erforschen lassen

    • Viel Spass bei der Fehlersuche ;-)

    To be continued…

    Gruss
    Ecki

    Kommentar/Ergänzungen schreiben

    (wird nicht veröffentlicht)

    :mrgreen: :| :twisted: :arrow: 8O :) :? 8) :evil: :D :idea: :oops: :P :roll: ;) :cry: :o :lol: :x :( :!: :?: