vpnc - die Verbindung wird nach 24 Minuten unterbrochen

VPNC trennt mich aus irgendeinem Grund nach einiger Zeit immer wieder. Ich habe versucht, es zeitlich zu steuern, um zu sehen, wie lange es dauert, und es scheint jedes Mal nach 24 Minuten zu sein.

Nach dem Trennen der Verbindung habe ich keine Internetverbindung, da meine /etc/resolv.conf immer noch dieselbe ist, wie sie sein sollte, wenn eine Verbindung zu vpnc hergestellt wird. Wenn ich vpnc-disconnect versuche, heißt es nur "no vpnc found running". Ich muss eth0 dow und up nehmen und dann die /etc/resolv.conf manuell bearbeiten, um eine ordnungsgemäße Netzwerkverbindung zu erhalten.

Meine Einstellungen sind folgende:

IPSec gateway xx.xx.xx.xx
IPSec ID anonymized
IPSec secret anonymized
#IKE Authmode hybrid
Xauth username myUsername
DPD idle timeout (our side) 0

Ich habe auch versucht, einen Ping kontinuierlich laufen zu lassen. Ich habe Streams und Musik, die auch ununterbrochen wiedergegeben werden, aber es trennt mich immer noch.

Dies funktioniert gut, ohne die Verbindung unter Windows zu trennen.

BEARBEITEN. Weitere Informationen: Ich habe ein Protokoll aus meinem / var / log / syslog hinzugefügt, das angibt, was passiert, wenn die Verbindung getrennt wird:

Ich verbinde mich zuerst:

 Jul 24 14:03:09 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: devices added 
 path: /sys/devices/virtual/net/tun0, iface: tun0)
 Jul 24 14:03:09 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: device added 
 (path: /sys/devices/virtual/net/tun0, iface: tun0): no ifupdown configuration found.

Dann werde ich nach 24 Minuten getrennt:

 Jul 24 14:27:29 cad-unix avahi-daemon[1089]: Withdrawing workstation service for tun0.
 Jul 24 14:27:29 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: devices removed 
 (path: /sys/devices/virtual/net/tun0, iface: tun0)

Edit : Die Frage zum besseren Lesen etwas überarbeitet. Außerdem wird jetzt angegeben, dass das Problem jedes Mal nach 24 Minuten auftritt.

Edit : Version Ich laufe: vpnc version 0.5.3

Bearbeiten : Nach dem Kompilieren von Version 0.5.1 erhalte ich jetzt einen weiteren Eintrag in der Protokolldatei: vpnc [16364]: Verbindung von Peer beendet

Letzte Änderung, denke ich : Ich bin verzweifelt. Offen für jeden Vorschlag. Selbst der Wechsel zu einer anderen Linux-Distribution ist eine Option, wenn Ubuntu das Problem ist.

Es gibt einen Fehlerbericht , der dieses Problem behebt und vom 28.10.2010 stammt, aber leider immer noch ungelöst ist. Es sieht so aus, als ob die Verbindungsunterbrechungszeit etwas individuell ist, obwohl die gemeldeten Zeiten immer noch länger als 24 Minuten sind.

Der Artikel verweist auf einen hier beschriebenen Fix , der die Neukompilierung von vpnc erfordert.

Wenn Ihr Problem im Zusammenhang mit der Neuverschlüsselung steht, behauptet das Problem mit der Neuverschlüsselung des Artikels mit 0.5.3 , dass der Fehler neu in Version 0.5.3 ist und in 0.5.1 nicht vorhanden ist.

[BEARBEITEN}

Es scheint, als hätte es bei Ihnen nicht funktioniert, auf 0.5.1 zurückzukehren. Es sieht auch so aus, als ob vpnc-Verbindungsabbrüche bei vielen Linux-Distributionen üblich sind.

Ich habe ein vpnc-Verbindungsproblem oberhalb von Version 0.5.x gefunden , was darauf hindeutet, dass man vielleicht sogar zu 0.4.x zurückkehren muss. In jedem Fall schlägt der Artikel einen Fix vor, der sich wahrscheinlich nicht auf Ihren Fall bezieht, aber Sie könnten versuchen:

Schließlich müssen wir DPD auch auf Client-Seite (vpnc) ausschalten, was wir auf zwei Arten erreichen können:

• füge den Kommandozeilenschalter "--dpd-idle 0" hinzu, wenn "vpnc" aufgerufen wird
• Besser noch, diese Zeile in die Konfigurationsdatei aufzunehmen: "DPD Idle Timeout (our side) 0"

Weitere Informationen: man vpnc

Es gibt ähnliche Informationen vom RedHat-Support: Bug 484114 - VPN-Verbindung alle 5 Minuten trennen .

Sie könnten versuchen, zu vpnc 0.4.x zu wechseln, aber ich frage mich, ob das Problem auf Ihrer Seite liegt oder mit einer Einstellung des VPN-Servers: 24 Minuten sind zu genau.

Versuchen Sie, den NAT-Traversal-Modus auf cisco-udp zu ändern, das hat es für mich gelöst

NAT Traversal Mode cisco-udp

Meine vollständige Konfiguration sieht so aus

IPSec gateway VPNHOSTIP
IPSec ID SAMPLESHAREDUSER
IPSec secret SAMPLESHAREDKEY
Xauth username SAMPLEUSER
Xauth password SAMPLEUSERPASS
IKE Authmode psk
#IKE DH Group dh2 # this is the default
DNSUpdate no
DPD idle timeout (our side) 0
NAT Traversal Mode cisco-udp

Meine VPN-Verbindung läuft noch nach 20 Stunden.

Ich hatte das gleiche Problem und keine der vorgeschlagenen Lösungen funktionierte für mich. Am Ende habe ich vpnc aufgegeben und den ShrewSoft vpn-Client ausprobiert. Es ist ein bisschen mühsam, weil Sie es selbst kompilieren müssen (und fehlende Abhängigkeiten manuell installieren müssen - in meinem Fall cmake, libedit2, flex und bison). Aber es scheint gut zu funktionieren.

Zum Zeitpunkt des Schreibens können Sie es von https://www.shrew.net/download/ike herunterladen

Sie könnten die --nat-keepaliveOption prüfen, vielleicht versuchen--nat-keepalive 1200

An einem Punkt war dies ein bekannter Fehler , nicht sicher, ob er jemals behoben wurde.

Ich habe das gleiche Problem, http://dietrichschroff.blogspot.com/2011/07/linux-vpn-client-disconnect-every-600s.html scheint zu erwähnen, dass das Problem möglicherweise mit der verwendeten DH-Gruppe zusammenhängt. Um die DH-Gruppe auf 5 zu ändern, fügen Sie in Ihrer Konfigurationsdatei hinzu

IKE DH Group dh5

Die Optionen für diese Konfigurationsänderung sind

IKE DH Group <dh1/dh2/dh5>

Die Homepage des VPNC-Projekts erwähnt dies nicht als bekanntes Problem, aber ich gehe davon aus, dass "phase2-rekeying" immer noch nicht so stabil ist (basierend auf gemeldeten Fehlern). Beachten Sie auch das

• Phase1-Rekeying fehlt

Die gepatchte Version von 0.5.3 (als die neueste in SVN des ursprünglichen Projekts) von VPNC bei github beinhaltet:

• Fügt die Möglichkeit hinzu, XAuth-Fragen mit einem externen Skript zu beantworten
• Fügt Bereinigungsroutinen hinzu, die bei einer unerwarteten Trennung ausgeführt werden
• Fügt eine Problemumgehung für das Szenario hinzu, in dem der Konzentrator die Xauth-Frage als Kennwortanforderung stellt.
• Fügt den Patch von Mihai Maties zur Erkennung toter Gleichaltriger hinzu ( http://lists.unix-ag.uni-kl.de/pipermail/vpnc-devel/2010-December/003492.html )

Ich würde auch einen Watch Guard als ultimative Lösung für das erneute Verbinden empfehlen .

PS

Da es sich bei VPNC um eine rückgängig gemachte Version der kommerziellen Implementierung handelt, ist zu erwarten, dass die Unterbrechungen aufgrund neuer Versionsänderungen auf der Remote-Seite wieder auftreten, bis sie wieder gefunden und behoben werden.

Schließlich gibt es die Möglichkeit, einen nativen Client ( anyconnect ) für Linux zu verwenden. Einer der Nachteile ist, dass clientseitige Konfigurationsmöglichkeiten wie DNS-Datensatzaktualisierung und keine Standardroute stark eingeschränkt sind. Eine andere, Unterbrechungen werden immer noch stattfinden, aber in sehr seltenen Fällen.

Ich habe das gleiche Problem unter Ubuntu 12.04 und mit VPNC wird die Verbindung genau nach 24 Minuten getrennt.

Ich habe "Shrew Soft" aus dem Software-Center ausprobiert. Ich konnte das VPN mithilfe der von meiner IT-Abteilung erhaltenen .pcf-Datei konfigurieren. Dann habe ich genau das gleiche Problem.

Mit "Shrew Soft" können Sie jedoch einige Dinge konfigurieren. Die Einstellung in Phase1-Rekeying sorgt dafür, dass meine Verbindung für immer aktiv bleibt. Ich habe den Wert für "Key Life Time Limit" von 86400 (24 Stunden) auf 600 Sekunden geändert. Ich nehme an, es gibt irgendwo einen Fehler, bei dem 24 Minuten anstelle von 24 Stunden verwendet werden.

Ich habe einen Patch für die IKE-Phase I-Neuschlüsselung vorgeschlagen, der auf einer früheren Patch-Übermittlung basiert und die von meinem VPN initiierte Verbindung über mehrere Tage hinweg stabil gegenüber einem ASA-Head-End macht. Meine Phase-1-Lebensdauer beträgt 24 Stunden, daher wird der Schlüssel erfolgreich neu erstellt und die Verbindung bleibt bestehen. Z.B

• Phase-2-Sicherheitszuordnungen (IPsec) werden neu verschlüsselt -und-
• gibt Phase-1-Sicherheitszuordnungen (ISAKMP) erneut ein.