vpnc - die Verbindung wird nach 24 Minuten unterbrochen

17

VPNC trennt mich aus irgendeinem Grund nach einiger Zeit immer wieder. Ich habe versucht, es zeitlich zu steuern, um zu sehen, wie lange es dauert, und es scheint jedes Mal nach 24 Minuten zu sein.

Nach dem Trennen der Verbindung habe ich keine Internetverbindung, da meine /etc/resolv.conf immer noch dieselbe ist, wie sie sein sollte, wenn eine Verbindung zu vpnc hergestellt wird. Wenn ich vpnc-disconnect versuche, heißt es nur "no vpnc found running". Ich muss eth0 dow und up nehmen und dann die /etc/resolv.conf manuell bearbeiten, um eine ordnungsgemäße Netzwerkverbindung zu erhalten.

Meine Einstellungen sind folgende:

IPSec gateway xx.xx.xx.xx
IPSec ID anonymized
IPSec secret anonymized
#IKE Authmode hybrid
Xauth username myUsername
DPD idle timeout (our side) 0

Ich habe auch versucht, einen Ping kontinuierlich laufen zu lassen. Ich habe Streams und Musik, die auch ununterbrochen wiedergegeben werden, aber es trennt mich immer noch.

Dies funktioniert gut, ohne die Verbindung unter Windows zu trennen.

BEARBEITEN. Weitere Informationen: Ich habe ein Protokoll aus meinem / var / log / syslog hinzugefügt, das angibt, was passiert, wenn die Verbindung getrennt wird:

Ich verbinde mich zuerst:

 Jul 24 14:03:09 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: devices added 
 path: /sys/devices/virtual/net/tun0, iface: tun0)
 Jul 24 14:03:09 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: device added 
 (path: /sys/devices/virtual/net/tun0, iface: tun0): no ifupdown configuration found.

Dann werde ich nach 24 Minuten getrennt:

 Jul 24 14:27:29 cad-unix avahi-daemon[1089]: Withdrawing workstation service for tun0.
 Jul 24 14:27:29 cad-unix NetworkManager[1086]:    SCPlugin-Ifupdown: devices removed 
 (path: /sys/devices/virtual/net/tun0, iface: tun0)

Edit : Die Frage zum besseren Lesen etwas überarbeitet. Außerdem wird jetzt angegeben, dass das Problem jedes Mal nach 24 Minuten auftritt.

Edit : Version Ich laufe: vpnc version 0.5.3

Bearbeiten : Nach dem Kompilieren von Version 0.5.1 erhalte ich jetzt einen weiteren Eintrag in der Protokolldatei: vpnc [16364]: Verbindung von Peer beendet

Letzte Änderung, denke ich : Ich bin verzweifelt. Offen für jeden Vorschlag. Selbst der Wechsel zu einer anderen Linux-Distribution ist eine Option, wenn Ubuntu das Problem ist.

Chris Dale
quelle
Ich habe keine Ahnung, ob dies tatsächlich gelöst werden kann, aber wenn es alle 24 Minuten pünktlich beendet wird, muss es sich um ein Timeout-Verbindungsproblem handeln.
James Mertz
Sind diese Protokolle so ausführlich wie möglich?
Darth Android
@Darth Android, ich weiß nicht, wie ich mit VPNC in Ubuntu ausführlichere Protokolle erstellen kann. Jeder Vorschlag ist mehr als willkommen!
Chris Dale
try --debug 3Dies sollte alles außer den Authentifizierungsdaten sichern. Gehen Sie jedoch darüber hinweg und stellen Sie sicher, dass keine Schlüssel oder Passwörter offen gelegt werden.
Darth Android
Könnte auch nötig sein --no-detach.
Darth Android

Antworten:

8

Es gibt einen Fehlerbericht , der dieses Problem behebt und vom 28.10.2010 stammt, aber leider immer noch ungelöst ist. Es sieht so aus, als ob die Verbindungsunterbrechungszeit etwas individuell ist, obwohl die gemeldeten Zeiten immer noch länger als 24 Minuten sind.

Der Artikel verweist auf einen hier beschriebenen Fix , der die Neukompilierung von vpnc erfordert.

Wenn Ihr Problem im Zusammenhang mit der Neuverschlüsselung steht, behauptet das Problem mit der Neuverschlüsselung des Artikels mit 0.5.3 , dass der Fehler neu in Version 0.5.3 ist und in 0.5.1 nicht vorhanden ist.

[BEARBEITEN}

Es scheint, als hätte es bei Ihnen nicht funktioniert, auf 0.5.1 zurückzukehren. Es sieht auch so aus, als ob vpnc-Verbindungsabbrüche bei vielen Linux-Distributionen üblich sind.

Ich habe ein vpnc-Verbindungsproblem oberhalb von Version 0.5.x gefunden , was darauf hindeutet, dass man vielleicht sogar zu 0.4.x zurückkehren muss. In jedem Fall schlägt der Artikel einen Fix vor, der sich wahrscheinlich nicht auf Ihren Fall bezieht, aber Sie könnten versuchen:

Schließlich müssen wir DPD auch auf Client-Seite (vpnc) ausschalten, was wir auf zwei Arten erreichen können:

  • füge den Kommandozeilenschalter "--dpd-idle 0" hinzu, wenn "vpnc" aufgerufen wird
  • Besser noch, diese Zeile in die Konfigurationsdatei aufzunehmen: "DPD Idle Timeout (our side) 0"

Weitere Informationen: man vpnc

Es gibt ähnliche Informationen vom RedHat-Support: Bug 484114 - VPN-Verbindung alle 5 Minuten trennen .

Sie könnten versuchen, zu vpnc 0.4.x zu wechseln, aber ich frage mich, ob das Problem auf Ihrer Seite liegt oder mit einer Einstellung des VPN-Servers: 24 Minuten sind zu genau.

Harrymc
quelle
Hmm, interessant. Ich werde versuchen, eine 0.5.1-Version zu kompilieren. Ich bin hinter einem Router, der NAT'ing für mich erledigt. Ich habe keine Probleme mit Verbindungsproblemen in anderen Anwendungen / Spielen / so weiter. Ich kann zu Testzwecken auch einen anderen Router von einem anderen ISP ausprobieren. Ich habe 2 ISPs mit 2 Verbindungen.
Chris Dale
Entschuldigung für die späte Antwort. Ich hatte an diesem Wochenende meine Junggesellenparty und eine Menge anderer Sachen kamen auf. Trotzdem hat die 0.5.1-Version leider nicht funktioniert. Nach 24 Minuten wurde die Verbindung getrennt. Dieselben Protokolleinträge im Syslog wie zuvor
Chris Dale
Ich habe noch eine Möglichkeit hinzugefügt. Und herzlichen Glückwunsch!
Harrymc
--force-dpd INTERVAList die Flagge für vpnc Version 0.5.3r512 / OpenConnect Version v5.02
earthmeLon
4

Versuchen Sie, den NAT-Traversal-Modus auf cisco-udp zu ändern, das hat es für mich gelöst

NAT Traversal Mode cisco-udp

Meine vollständige Konfiguration sieht so aus

IPSec gateway VPNHOSTIP
IPSec ID SAMPLESHAREDUSER
IPSec secret SAMPLESHAREDKEY
Xauth username SAMPLEUSER
Xauth password SAMPLEUSERPASS
IKE Authmode psk
#IKE DH Group dh2 # this is the default
DNSUpdate no
DPD idle timeout (our side) 0
NAT Traversal Mode cisco-udp

Meine VPN-Verbindung läuft noch nach 20 Stunden.

Pykler
quelle
Vielen Dank für Ihre Probe. Das hat bei mir leider nicht funktioniert :( Welche Version von vpnc laufen Sie?
Chris Dale
Ich verwende zum Zeitpunkt des Schreibens des Ubuntu-Repos die Version 0.5.3.
Pykler
1
Arbeitete für mich am 0.5.3!
user545424
1
Danach ging meine VPNC-Verfügbarkeit von 20 Minuten auf Stunden zurück. vpnc version 0.5.3r512 unter Linux Mint 17
lreeder
1

Ich hatte das gleiche Problem und keine der vorgeschlagenen Lösungen funktionierte für mich. Am Ende habe ich vpnc aufgegeben und den ShrewSoft vpn-Client ausprobiert. Es ist ein bisschen mühsam, weil Sie es selbst kompilieren müssen (und fehlende Abhängigkeiten manuell installieren müssen - in meinem Fall cmake, libedit2, flex und bison). Aber es scheint gut zu funktionieren.

Zum Zeitpunkt des Schreibens können Sie es von https://www.shrew.net/download/ike herunterladen

Hockender Bär
quelle
0

Sie könnten die --nat-keepaliveOption prüfen, vielleicht versuchen--nat-keepalive 1200

An einem Punkt war dies ein bekannter Fehler , nicht sicher, ob er jemals behoben wurde.

Darth Android
quelle
Es scheint keine --nat-keepalive-Option zu geben. Überprüfen Sie pastebin.com/sksQafdr der Antwort, als ich diese Option in Verbindung mit den anderen Optionen ausprobierte, mit denen ich laufe.
Chris Dale
0

Ich habe das gleiche Problem, http://dietrichschroff.blogspot.com/2011/07/linux-vpn-client-disconnect-every-600s.html scheint zu erwähnen, dass das Problem möglicherweise mit der verwendeten DH-Gruppe zusammenhängt. Um die DH-Gruppe auf 5 zu ändern, fügen Sie in Ihrer Konfigurationsdatei hinzu

IKE DH Group dh5

Die Optionen für diese Konfigurationsänderung sind

IKE DH Group <dh1/dh2/dh5>
Pykler
quelle
Hat bei mir allerdings nicht funktioniert, nur der Standard von dh2 funktioniert in meinem Fall
Pykler
0

Die Homepage des VPNC-Projekts erwähnt dies nicht als bekanntes Problem, aber ich gehe davon aus, dass "phase2-rekeying" immer noch nicht so stabil ist (basierend auf gemeldeten Fehlern). Beachten Sie auch das

  • Phase1-Rekeying fehlt

Die gepatchte Version von 0.5.3 (als die neueste in SVN des ursprünglichen Projekts) von VPNC bei github beinhaltet:

  • Fügt die Möglichkeit hinzu, XAuth-Fragen mit einem externen Skript zu beantworten
  • Fügt Bereinigungsroutinen hinzu, die bei einer unerwarteten Trennung ausgeführt werden
  • Fügt eine Problemumgehung für das Szenario hinzu, in dem der Konzentrator die Xauth-Frage als Kennwortanforderung stellt.
  • Fügt den Patch von Mihai Maties zur Erkennung toter Gleichaltriger hinzu ( http://lists.unix-ag.uni-kl.de/pipermail/vpnc-devel/2010-December/003492.html )

Ich würde auch einen Watch Guard als ultimative Lösung für das erneute Verbinden empfehlen .

PS

Da es sich bei VPNC um eine rückgängig gemachte Version der kommerziellen Implementierung handelt, ist zu erwarten, dass die Unterbrechungen aufgrund neuer Versionsänderungen auf der Remote-Seite wieder auftreten, bis sie wieder gefunden und behoben werden.

Schließlich gibt es die Möglichkeit, einen nativen Client ( anyconnect ) für Linux zu verwenden. Einer der Nachteile ist, dass clientseitige Konfigurationsmöglichkeiten wie DNS-Datensatzaktualisierung und keine Standardroute stark eingeschränkt sind. Eine andere, Unterbrechungen werden immer noch stattfinden, aber in sehr seltenen Fällen.

Yauhen Yakimovich
quelle
0

Ich habe das gleiche Problem unter Ubuntu 12.04 und mit VPNC wird die Verbindung genau nach 24 Minuten getrennt.

Ich habe "Shrew Soft" aus dem Software-Center ausprobiert. Ich konnte das VPN mithilfe der von meiner IT-Abteilung erhaltenen .pcf-Datei konfigurieren. Dann habe ich genau das gleiche Problem.

Mit "Shrew Soft" können Sie jedoch einige Dinge konfigurieren. Die Einstellung in Phase1-Rekeying sorgt dafür, dass meine Verbindung für immer aktiv bleibt. Ich habe den Wert für "Key Life Time Limit" von 86400 (24 Stunden) auf 600 Sekunden geändert. Ich nehme an, es gibt irgendwo einen Fehler, bei dem 24 Minuten anstelle von 24 Stunden verwendet werden.

user322660
quelle
0

Ich habe einen Patch für die IKE-Phase I-Neuschlüsselung vorgeschlagen, der auf einer früheren Patch-Übermittlung basiert und die von meinem VPN initiierte Verbindung über mehrere Tage hinweg stabil gegenüber einem ASA-Head-End macht. Meine Phase-1-Lebensdauer beträgt 24 Stunden, daher wird der Schlüssel erfolgreich neu erstellt und die Verbindung bleibt bestehen. Z.B

  • Phase-2-Sicherheitszuordnungen (IPsec) werden neu verschlüsselt -und-
  • gibt Phase-1-Sicherheitszuordnungen (ISAKMP) erneut ein.
Ralph Schmieder
quelle