Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Know How
AVM Fritz!Fernzugang einrichten

VPN Fehlersuche

Bei der Einrichtung einer VPN-Verbindung können die unterschiedlichsten Fehler und Probleme auftreten. Hauptsächlich hat der Admin es mit drei Problemfeldern zu tun:

  1. VPN-Tunnel wird nicht aufgebaut
  2. Tunnel wird aufgebaut, Nutzdaten werden nicht übertragen (kein Ping)
  3. Tunnel ist instabil und bricht ab

Die folgenden Punkte sollen dem Admin die strukturierte Fehlersuche bei VPN-Problemen erleichtern.

Namensauflösung / DynDNS

VPN-Router werden oft an DSL-Anschlüssen mit dynamischen IP-Adressen betrieben. Der Verbindungsaufbau erfolgt dann über einen Hostnamen von dynamischen DSN-Diensten wir DynDNS. Prüfen Sie, ob DNS die richtige IP-Adresse auflöst. Setzen Sie dazu auf der Client-Seite einen Ping auf den VPN-Router ab. Prüfen Sie die WAN-IP des VPN-Routers.

Die DynDNS-Clients einiger Router funktionieren nicht zuverlässig. Abhilfe schafft mitunter ein Update der Firmware oder ein DynDNS-Client auf einem PC im LAN des Routers.

IP-Konnektivität

Prüfen Sie mit Ping und Traceroute die IP-Verbindung zwischen Client und VPN-Router in beide Richtungen. Möglicherweise müssen Sie am VPN-Router Ping-Antworten auf dem WAN-Interface aktivieren. Das ist RFC-konform und bei der Fehlersuche extrem hilfreich.

Wie sieht es mit dem Routing aus? Stimmen die Netzmasken? Sind die IP-Adressen eindeutig? Bei einer LAN-Kopplung via VPN müssen die Adressen übergreifend abgestimmt werden. Wenn beide Router die 192.168.1.1 nutzen, wird es nicht funktionieren.

VPN Passthrough

Viele einfache SOHO-Router haben Problem mit der Durchleitung von VPN-Sessions. Im Datenblatt sollte VPN Passthrough oder IPsec Passthrough genannt werden. IPsec arbeitet mit der Protokollnummer 50 für ESP (nicht Portnummer) und nutzt den UDP-Port 500 für IKE bzw. ISAKMP. Mitunter müssen diese Optionen im Router aktiviert werden.

Log-Dateien

Erste Anlaufstelle bei der Fehlersuche sollten die Logs von VPN-Router und VPN-Client sein. Hier sollte der Aufbau einer Verbindung zu sehen sein. Schreibfehler im PSK oder falsche Proposals sind so schnell zu finden.

Netzwerkanalyse

Ist doch verschlüsselt, wozu sniffern? Bei einem aktiven IPsec-Tunnel ist oberhalb von ESP wirklich nicht viel zu sehen. Für die Fehlersuche beim Verbindungsaufbau ist der Einsatz von Wireshark oder dem Microsoft Network Monitor aber sehr nützlich. Gerade wenn das Log des Routers leer bleibt, hilft ein kurzer Blick auf den Netzwerkverkehr. Kommen überhaupt Daten an? Stimmen IP-Adressen und Portnummern? Wohin geht die Antwort?

Dead Peer Detection (DPD)

Dead Peer Detection (DPD) prüft ob der jeweils andere VPN-Endpunkt noch erreichbar ist. DPD sendet dazu ISAKMP-Keepalive auf UPD-Port 500 (Message-Values: R-U-THERE – 36136/R-U-THERE-ACK – 36137). Ist DPD nur auf einer Seite des VPN-Tunnels aktiviert, wird die Verbindung nach Ablauf des DPD-Timers abgebrochen.

Einstellungen und Parameter

Für einen erfolgreichen Tunnelaufbau müssen beide Partner die selbe Sprache sprechen. Alle VPN-Parameter müssen übereinstimmen.

  • Prüfen Sie Hostnamen, IP-Adressen und IP-Netze
  • Stehen beide Seiten auf Aggressive Mode oder Main Mode
  • Identifikation mit PSK oder Zertifikat
  • Stimmt der Pre-shared Key (PSK)
  • Stimmen die Proposals für Verschlüssung (DES, 3DES, AES) und Hash-Verfahren (MD5, SHA) für Phase 1 und Phase 2
  • Prüfen Sie die Diffie-Hellman-Group (DH-Group), die Hersteller nutzen teilweise andere Bezeichnungen: DH-Group 1 = MODP 768, DH-Group 2 = MODP 1024 und DH-Group 5 = MODP 1536
  • Ist Perfect Forward Secrecy (PFS) gleich konfiguriert
  • Dead Peer Detection (DPD) muss ggf. von beiden Seiten unterstützt werden

Saubere Installation der Client-Software

Oft entstehen Fehler durch unsaubere Softwareinstallation des VPN-Clients. Es darf in der Regel nur ein VPN-Client auf einem PC installiert sein. Beachten Sie bei älterer Software die Kompatibilität mit Vista oder Windows 7. Deaktivieren Sie zur Fehlersuche Desktop-Firewalls von Drittanbietern.

Weiterführende Informationen

Aktuelle Artikel
Offene Ports - was ist das eigentlich?
Grundlagen zu UDP- und TCP-Port, offenen Ports und der Nutzung von netstat unter Linux und Windows

Iperf als Service konfigurieren
Der Artikel beschreibt wie sich Iperf3 auf einem Linux-System als Dienst einrichten lässt, um so einen permanenten Iperf-Server zu betreiben.

JPerf - grafische Oberfläche für iperf
Mit iperf kann die Übertragungsgeschwindigkeit von Netzwerken gemessen werden. JPerf ist eine grafische Oberfläche für iperf. Der Artikel beschreibt die Messung mit TCP und UDP und gibt Anregungen zur Fehlersuche bei Performanceproblemen.

Alle Artikel...
Neue Tutorials
Prometheus Node Exporter
Mit dem Prometheus Node Exporter lassen sich viele interessante Metriken von Linux-Servern auslesen. Die so gewonnenen Daten können in Prometheus gespeichert werden und mit Grafana in Dashboards anschaulich visualisiert werden.

VPN mit der FritzBox
Die Fritz!Box von AVM unterstützt den Aufbau von VPN-Verbindungen mit dem Protokoll IPsec. AVM stellt dafür die Windows-Software FRITZ!Fernzugang zur Verfügung. Das Tutorial beschreibt die Konfiguration eines VPNs mit der AVM FRITZ!Box Fon WLAN 7270.

Virtuelle Netze mit VMware Server
VMware Server bietet drei Arten der virtuellen Vernetzung für ein Gastsystem an: Bridged Networking, Network Address Translation (NAT) und Host-only Networking. Das Tutorial beschreibt die Möglichkeiten der einzelnen Betriebsarten und deren Konfiguration.

Alle Tutorials...
Neue Testberichte
Net Optics iBypass Switch
Der iBypass von Net Optics ist Bypass Switch zum unterbrechungsfreien Einschleifen eines Intrusion Prevention Systems.

ePowerSwitch-4
Der ePowerSwitch-4 ist eine Schuko-Steckdosenleiste mit Ethernet-Interface und integriertem Webserver. Über einen Browser lassen sich die vier Schuko-Steckdosen über das Netzwerk schalten.

Alle Testberichte...

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012