Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Logdatei

Frage Netzwerke Router & Routing

Mitglied: berrynson

berrynson (Level 1) - Jetzt verbinden

01.09.2010 um 12:11 Uhr, 4763 Aufrufe, 8 Kommentare

Hallo

Hi,
habe eine VPN eingerichtet die auch zustandegekommen ist .
Ich habe mir die Logdatei einmal angesehen und festgestellt das da Fehler in der Verbindung oder bei der Verschlüsselung sind .

Dies ist ein ausschnitt der Logdatei VPN

Wed, 2010-09-01 11:46:50 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:47:10 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:47:50 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:48:00 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:48:20 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:49:00 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:49:10 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:49:30 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:50:10 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:50:20 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:50:40 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:51:20 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:51:30 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:51:50 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:52:30 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:52:40 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:53:00 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:53:40 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:53:50 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:54:10 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:54:50 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:55:00 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:55:20 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Wed, 2010-09-01 11:56:00 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Wed, 2010-09-01 11:56:10 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Wed, 2010-09-01 11:56:30 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response


kan leider nicht viel Damit anfagen .Hat jemand einen Tip ob da alles richtig ist b.z.w. was die ursache für diesen log ist ???
Danke
LG
berrynson
Mitglied: aqui
01.09.2010 um 18:49 Uhr
Eine Antwort ist sehr schwer da du leider sehr sehr oberflächlich bleibst mit der Beschreibung und es ja noch nicht mal geschafft hast wenigstens die Art des VPN Protokolls uns mitzuteilen. Ein paar mehr Infos wie:
  • Art des VPN Protokolls (PPTP, IPsec AH, ESP, L2TP, SSL...etc) ?
  • Von WO kommt das Log ? VPN Server oder Client
  • Welcher Art ist das VPN Gerät ? (Router, Server, OS ?)
wären sehr hilfreich um nicht hier zu landen
Grob lässt sich sagen das dort zuviel Retranssmissions (TCP ?) also Sendewiederholungen von Paketen auf der Leitung sind. Vermutlich ist die Leitung erheblich gestört oder hat sonst irgendwelche Probleme.
Normal und sauber ist es jedenfalls nicht !
Bitte warten ..
Mitglied: berrynson
02.09.2010 um 07:17 Uhr
Danke für die Antwort
Es ist eine Site to Site VPN auf der einen Seite ist ein Netgear Router und auf der anderen ein Allnet Modem mit VPN Router dahinter .
1.Es handelt sich um eine IPSec VPN.
2.Das Log stammt von dem Netgear Router
3. Netgear Router (DG 834GB) auf der einen Site und auf der Anderen Allnet modem und VPN Router Dahinter

kan es sein das der Fehler daran liegt das ich beim Pre Share Key 1 Grosbuchstaben benutzt habe ? natürlich auf beiden Seiten Gleich.

zuerst waren auf beiden Seiten Allnet Modem und dahinter Allnet VPN Router aber das ALLnet Modem hatte aussetzer und es ging uregelmäsig die leitunge verloren .nach langzeit test unseres Providers leitung OK
also tauschte ich das Allnet gespan gegen den Netgear Router (vorgabe vom Chef)und nun habe ich dieses Log.
Die Verbindung Steht aber dieses Log macht mir sorgen /Sicherheit und so .


Das ist der Log von dem Allnet VPN Router


[07:05:57][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[07:05:57] RECEIVED FIRST MESSAGE OF QUICK MODE
[07:05:57] FOUND IDs,EXTRACE ID INFO
[07:05:57]<Initiator IPADDR=192.168.xxx.xxx MASK=255.255.255.0>
[07:05:57]<Responder IPADDR=192.168.xxx.xxx MASK=255.255.255.0>

Dieser Log wiederholt sich immer wieder.


Dies ist der Log des Netgear Routers

Thu, 2010-09-02 08:08:05 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 08:08:15 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 08:08:18 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Thu, 2010-09-02 08:08:35 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Thu, 2010-09-02 08:08:58 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 08:09:08 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 08:09:15 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 08:09:25 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 08:09:28 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response

Lg
berrynson
Bitte warten ..
Mitglied: berrynson
02.09.2010 um 11:54 Uhr
habe den Pre share Key vom Grosbuchstaben geändert


Log vom Netgear schaut nun so aus

Thu, 2010-09-02 11:38:20 - added connection description "H-A"
Thu, 2010-09-02 11:38:21 - [H-A] initiating Main Mode
Thu, 2010-09-02 11:38:32 - [H-A] STATE_MAIN_I3: retransmission; will wait 20s for response
Thu, 2010-09-02 11:38:44 - [H-A] responding to Main Mode
Thu, 2010-09-02 11:38:45 - [H-A] sent MR3, ISAKMP SA established
Thu, 2010-09-02 11:38:45 - [H-A] Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
Thu, 2010-09-02 11:38:46 - [H-A] responding to Quick Mode {msgid:xxxxxxxxxxx}
Thu, 2010-09-02 11:38:47 - [H-A] Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
Thu, 2010-09-02 11:38:47 - [H-A] IPsec SA established
Thu, 2010-09-02 11:38:52 - [H-A] STATE_MAIN_I3: retransmission; will wait 40s for response
Thu, 2010-09-02 11:39:32 - [H-A] max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
Thu, 2010-09-02 11:39:32 - [H-A] initiating Main Mode to replace #xxx
Thu, 2010-09-02 11:39:33 - [H-A] ISAKMP SA established
Thu, 2010-09-02 11:39:33 - [H-A] Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it
Thu, 2010-09-02 11:39:43 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 11:40:03 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Thu, 2010-09-02 11:40:43 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 11:40:54 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 11:41:14 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Thu, 2010-09-02 11:41:54 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 11:42:04 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 11:42:24 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response
Thu, 2010-09-02 11:43:04 - [H-A] max number of retransmissions (2) reached STATE_QUICK_I1
Thu, 2010-09-02 11:43:14 - [H-A] STATE_QUICK_I1: retransmission; will wait 20s for response
Thu, 2010-09-02 11:43:34 - [H-A] STATE_QUICK_I1: retransmission; will wait 40s for response


und das von dem anderen Router so Allnet VPN

[10:45:32]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:45:32]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:45:52][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[10:45:52] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:45:52] FOUND IDs,EXTRACE ID INFO
[10:45:52]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:45:52]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:46:32][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[10:46:32] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:46:32] FOUND IDs,EXTRACE ID INFO
[10:46:32]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:46:32]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:46:42][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[10:46:42] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:46:42] FOUND IDs,EXTRACE ID INFO
[10:46:42]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:46:42]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:02][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[10:47:02] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:47:02] FOUND IDs,EXTRACE ID INFO
[10:47:02]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:02]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:42][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[10:47:42] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:47:42] FOUND IDs,EXTRACE ID INFO
[10:47:42]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:42]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:52][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[10:47:52] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:47:52] FOUND IDs,EXTRACE ID INFO
[10:47:52]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:47:52]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:48:12][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[10:48:12] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:48:12] FOUND IDs,EXTRACE ID INFO
[10:48:12]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:48:12]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0
[10:48:52][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[10:48:52] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:48:52] FOUND IDs,EXTRACE ID INFO
[10:48:52]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:48:52]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:49:02][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[10:49:02] RECEIVED FIRST MESSAGE OF QUICK MODE
[10:49:02] FOUND IDs,EXTRACE ID INFO
[10:49:02]<Initiator IPADDR=192.168.xxx.0 MASK=255.255.255.0>
[10:49:02]<Responder IPADDR=192.168.xxx.0 MASK=255.255.255.0>
Bitte warten ..
Mitglied: aqui
02.09.2010 um 21:20 Uhr
Der SA Exchange scheitert weil die eine Seite die andere nicht mehr sieht bzw. nicht antwortet. (Retransmission) Sehr ungewöhnlich aber bei Billigstheimern wie NetGear und deren üblen IPsec Implementation nicht unüblich ! Leider... (siehe die zahllosen Threads hier)
Bei Geräten unterschiedlicher Hersteller solltest du niemals den "Main Mode" verwenden sondern immer den "Agressive Mode"

Änder also bei beiden Maschine den Mode auf "Agressive" und teste nochmal. Das sollte ggf. dein Problem lösen. Benutzt du feste IPs für die Tunnelendpoints oder FQDNs ??
Wenns nicht hilft dann sieh dir mitr Wireshark den Verbindungsaufbau mal an.
Da sieht man dann meist sofort wo das Problem ist !
Bitte warten ..
Mitglied: berrynson
03.09.2010 um 07:11 Uhr
Kan bei dem Netgear leider nur den Haupmodus aktivieren habe da keine andere möglichkeit .Ich weis das Netgear nich besonders bzw eher schlechter dafür geeignet ist aber bin noch nicht so lange in der Firma und hatte da wenig zu melden ,mir währe da auch Lancom ,Linksys oder Cisco lieber gewesen aber naja nun muss ich mich damit rumschlagen Danke.
Ich verwende Feste IPs aber keine Standleitung.
Werde das mit Wireshark mal testen und protokollieren.
Die VPN Verbindung steht ,sogar stabiel die letzten 2 Tage .
Ist die Sicherheit gegeben bzw währe es sehr schlimm wen ich es so lassen würde ?
Bitte warten ..
Mitglied: aqui
03.09.2010 um 11:29 Uhr
Draytek wäre noch die vernüftigere Wahl bei VPN wenn man sich im NetGear Preissegment bewegen will !!
Wenn die Verbindung steht ist doch alles gut ! Dann Hoffen, Daumen drücken und nix machen ! "Never touch a running System !"
Die Retransmissions sagen aber schon das da was mau ist mit der Leitungsqualität. Wenn du aber damit arbeiten kannst...who cares ?!

http://www.administrator.de/index.php?faq=32
Bitte warten ..
Mitglied: berrynson
03.09.2010 um 12:08 Uhr
Danke für die Antwort


ich glaube ich habe es hinbekommen

und zwar habe ich auf dem Netgear Router
PFS (Perfect Forward Secrecy) verwenden angehakt und bei nun bei VPN Status das der Nunnel steht und das Log Fenster ist leer (Netgear)


Das ist die Logdatei von der gegenseite Allnet Router VPn
das schaut doch gut aus oder??????????



[09:44:45] MAIN MODE COMPLETED
[09:44:45][
IKE PHASE 1 ESTABLISHED
]
[09:44:45][
IKE PHASE 2(from xxx.xxx.xxx.xxx) START (responder)
]
[09:44:45] RECEIVED FIRST MESSAGE OF QUICK MODE
[09:44:45] FOUND IDs,EXTRACE ID INFO
[09:44:45]<Initiator IPADDR=192.168.xxxx.xxx MASK=255.255.255.0>
[09:44:45]<Responder IPADDR=192.xxx.xxx.0 MASK=255.255.255.0>
[09:44:45] SENT OUT SECOND MESSAGE OF QUICK MODE
[09:44:45][
IKE PHASE 2(to xxx.xxx.xxx.xxx) START (initiator)
]
[09:44:45] SENT OUT FIRST MESSAGE OF QUICK MODE
[09:44:45]<Initiator IPADDR=192.168.xxx.xxx,PORT=0>
[09:44:45]<Responder IPADDR=192.168.xxx.xxx,PORT=0>
[09:44:46] RECEIVED THIRD MESSAGE OF QUICK MODE
[09:44:46]<POLICY: A-H> PAYLOADS: HASH
[09:44:46] QUICK MODE COMPLETED
[09:44:46][
IKE PHASE 2 ESTABLISHED
]
[09:44:46] RECEIVED SECOND MESSAGE OF QUICK MODE
[09:44:46]<POLICY: A-H> PAYLOADS: HASH,SA,PROP,TRANS,NONCE,KE,ID,ID
[09:44:46] SENT OUT THIRD MESSAGE OF QUICK MODE
[09:44:47] QUICK MODE COMPLETED
[09:44:47][
IKE PHASE 2 ESTABLISHED
]
Bitte warten ..
Mitglied: aqui
03.09.2010 um 19:09 Uhr
Ja, das sieht gut aus !

Wenns das denn war bitte auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Windows Server
Windows Server 2016 VPN richtig konfigurieren (1)

Frage von junior zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...