IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 25.05.2018, 02:56

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 9 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 15.02.2005, 19:42 
Offline
Rookie
Themenstarter
Rookie

Registriert: 15.02.2005
Beiträge: 9
Hallo Leute!

Ich habe ein Problem mit meiner VPN Verbindung zwischen der IPCop und meinem XP-PC.

Ich kann die Verbindung zwar ohne Probleme aufbauen und auch sogar zb eine SSH Verbindung auf einen Server im Netz aufbauen. Ich kann aber nicht eine Verbindung auf die WEB-Gui der IP-cop aufbauen oder auf einem Laufwerksshare im Netz zugreifen. Das einzige was ich weiß ist das es irgendetwas mit der Datenmenge oder eventuell der Packetgroße zu tun haben muß. Wenn ich nämlich eine SSH
Verbindung auf einem Server oder die IP-Cop aufbaue dann funktioniert das ohne Probleme. Will ich mir aber ein zB ein größeres Textfile anzeigen lassen (zb irgendein Config File) dann friert die SSH Verbindung ein und ich muß sie neu aufbauen. Die VPN Verbindung wird aber nicht abgebaut!

Meine Fragen an euch:
* Kann es sein das große Pakete nicht übertragen werden oder kann dies irgendwo konfiguriert werden?
* Meine IP-Cop läuft auf einen Pentium 133 mit 128MB Ram. Das Webgui ist ziemlich langsam. Kann es sein das meine Firewall nun mit VPN (IPsec) überlastet ist?
* Meine Firewall steht hinter einem Router mit Firewallfunktion. Ich habe eine Portweiterleitung auf die IP-Cop Ip des Roten Interfaces konfiguriert (Ports 4500 und 500). Muß ich weitere Ports freischalten? (Ich kann den Router nicht abbauen und auch die Firewallfunktion nicht deaktivieren)
* Mein XP PC steht auch hinter einem Firewallrouter. Auf diesem habe ich keine Portweiterleitung konfiguriert und er unterstüzut VPN-Pass-Throug

Ich benutze das e.bootis VPN Tool zum Verbindungsaufbaue auf meinem XP PC

Ich danke euch im Vorraus für eure Hilfe!


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 16.02.2005, 08:31 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 06.09.2003
Beiträge: 1039
Was sagt den 'top' auf der Konsole, wenn eine VPN-Verbindung aufgebaut ist?

Die VPN-Verbindung steht, so lese ich das heraus, stimmt das?

_________________
Toktar
--
Jawoll!
Und DNS braucht's nicht, das ist was fuer Weicheier, die sich
keine Zahlen merken koennen.
[Karlheinz Boehme in dcsf]


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 16.02.2005, 22:02 
Offline
Rookie
Themenstarter
Rookie

Registriert: 15.02.2005
Beiträge: 9
Hallo Toktar!

Danke für deine Antwort! Diesen Befehl habe ich irgendwie vergessen :)
Leider kann ich ihn von Zuhause nicht ausfüren da die SSH Verbindung wieder einfriert und muß es deshalb Vorort testen. Wenn ich das Ergebniss habe werde ich dir sofort Antworten.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 19.02.2005, 12:41 
Offline
Rookie
Rookie

Registriert: 19.02.2005
Beiträge: 3
Hallo,

ich habe genau das gleiche Verhalten. Kleinere Pakete und Pings gehen problemlos durch, größere Dateikopiererei scheitert jedesmal. Meine Konfiguration: IPCOP 1.4.2, Roadwarrior mit Zertifikat, WXP SP2.

Vielleicht kann jemand weiterhelfen? Bitte Antworten auch an mich weiterleiten. Danke!


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 19.02.2005, 13:15 
Offline
Rookie
Rookie

Registriert: 19.02.2005
Beiträge: 3
Ich hab mal den top mitlaufen lassen. Also bei mir zeigt er überhaupt keine besonderen Aktivitäten an.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 19.02.2005, 16:40 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 18.11.2003
Beiträge: 1330
Wohnort: IPCop-City und Chiba City ;)
kreuzhofer hat geschrieben:
Hallo,

ich habe genau das gleiche Verhalten. Kleinere Pakete und Pings gehen problemlos durch, größere Dateikopiererei scheitert jedesmal. Meine Konfiguration: IPCOP 1.4.2, Roadwarrior mit Zertifikat, WXP SP2.

Vielleicht kann jemand weiterhelfen? Bitte Antworten auch an mich weiterleiten. Danke!


Bevor man dir Helfen kann solltest du etwas zu deiner Konfiguration
und IPCopausstattung verlauten lassen.

Bei einem P133 mit DoppelNAT und zweifacher Verschlüsselung (SSH/VPN) wie oben ist schon klar dass es dabei zu Problemen kommen kann.

Gruß, Wonder

_________________
Ohne Fehler kein Fortschritt; und zurück... | Über mich...


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 19.02.2005, 20:49 
Offline
Rookie
Themenstarter
Rookie

Registriert: 15.02.2005
Beiträge: 9
Hallo!

Danke für eure bisherige Hilfe. Ich habe das Problem teilweise gelöst.
Beim Auswerten der Logfiles auf der Firewall sind mir immer wieder Einträge aufgefallen die besagten das viele Retransmissions über VPN auftreten. Das bestätigte meine Vermutung das zu große Pakete irgendwo nicht weitergeleitet werden können.
Und zwar liegt das Problem an der MTU Path Discovery die nicht immer 100% funktioniert. (Ich hatte solche Probleme schon öfter in großen Routernetzwerken).
Wenn keine Firewall im Spiel ist eine falsch ausgehandelte MTU nicht das Problem. Zu große Pakete werden einfach Fragmentiert. Aus Sicherheitsgründen werden aber keine fragmentierten Pakete über die Firewall gelassen. Wenn ich nun eine VPN Verbindung aufbaue kommen noch die Bytes für den VPN Header dazu und das Paket wird bei großer Payload zu groß für den Weg über das Internet.
Die Lösung:
Im Internet hatte ich mit der bisherigen MTU von 1500 keine Probleme und wollte die as Performancegründen auf dem roten Interface der Firewall nicht ändern. Am ipsec0 Interface ist die MTU aber per Default auf 16260 eingestellt. Ich habe sie einfach mit dem Befehl „ifconfig ipsec0 mtu 1400“ auf 1400 eingestellt und es hat funktioniert!!! Es wird nun eine niedrige MTU ausgehandelt und die Pakete können nun übers Internet verschickt werden.

Auf welchen Wert man die MTU genau einstellen kann habe ich mir noch nicht angeschaut. Die max MTU übers Internet liegt bei ca 1500. Dann muss man eventuell den PPoE Header wegzählen usw….

Wie groß die Ausgehandelte MTU zu verschiedenen IP´s (Server) ist kann man mit dem Befehl „ip route show cache (to/from) (IP Adresse des Servers)“ auslesen.

Ich habe aber noch eine Frage da ich leider noch kein Linux Oberguru bin:
Wo kann ich einstellen das die MTU des ipsec0 Interfaces auch nach dem Neustart der Firewall noch auf 1400 eingestellt ist?

Danke für eure Hilfe! Ich bin begeistert von diesem Forum denn es kamen keine dummen Kommentare sondern nur produktive Vorschlage!!

PS: Ich habe doch einen P166 als FirewallPC aber die Auslastung während der VPN Verbindung ist nicht mal 7%. Ein Hoch auf die Ressourcenschonende IPCOP!!!!!!!!


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 19.02.2005, 22:15 
Offline
Rookie
Rookie

Registriert: 19.02.2005
Beiträge: 3
Hallo,

das mit der MTU-size hat super funktioniert! Genau da lag das Problem. Damit das auch nach einem Reboot funktioniert, trag am besten in die Datei /etc/rc.d/ipsec in der "start" Section den Befehl ein. Bei mir schaut das jetzt so aus

Code:
...

# do it
case "$1" in
  start|--start|stop|--stop|_autostop|_autostart)
        if test " `id -u`" != " 0"
        then
                echo "permission denied (must be superuser)" |
                        logger -s -p $IPSECsyslog -t ipsec_setup 2>&1
                exit 1
        fi
        tmp=/var/run/ipsec_setup.st
        (
                ipsec _realsetup $1
                echo "$?" >$tmp
        ) 2>&1 | logger -s -p $IPSECsyslog -t ipsec_setup 2>&1
        st=`cat $tmp`
        rm -f $tmp
        ifconfig ipsec0 mtu 1400
        exit $st
        ;;

...


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 20.02.2005, 21:15 
Offline
Rookie
Themenstarter
Rookie

Registriert: 15.02.2005
Beiträge: 9
Danke für deine Antwort! Habs schon eingetragen.


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 9 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de