Ich habe vor Kurzem meinen Internetanbieter gewechselt und konnte mich danach nicht mehr mit dem VPN meiner Arbeit verbinden. Ich habe meinen Router gegen einen TP-Link WR840N ausgetauscht, aber das hat nicht funktioniert. Der IPSec-Passthrough ist im Router aktiviert. Vor dieser Änderung hat alles einwandfrei funktioniert.
Ich verwende OS X El Captain (10.11.6) und das Protokoll, das ich beim Verbindungsversuch erhalte, lautet:
Aug 8 21:07:59 my-machine nesessionmanager[1553]: IPSec connecting to server <server - secret>
Aug 8 21:07:59 my-machine nesessionmanager[1553]: IPSec Phase1 starting.
Aug 8 21:07:59 my-machine racoon[2139]: accepted connection on vpn control socket.
Aug 8 21:07:59 --- last message repeated 1 time ---
Aug 8 21:07:59 my-machine racoon[2139]: IPSec connecting to server ***.***.***.*
Aug 8 21:07:59 --- last message repeated 1 time ---
Aug 8 21:07:59 my-machine racoon[2139]: Connecting.
Aug 8 21:07:59 my-machine racoon[2139]: IPSec Phase 1 started (Initiated by me).
Aug 8 21:07:59 --- last message repeated 1 time ---
Aug 8 21:07:59 my-machine racoon[2139]: IKE Packet: transmit success. (Initiator, Aggressive-Mode message 1).
Aug 8 21:07:59 my-machine racoon[2139]: >>>>> phase change status = Phase 1 started by us
Aug 8 21:08:02 --- last message repeated 1 time ---
Aug 8 21:08:02 my-machine racoon[2139]: IKE Packet: transmit success. (Phase 1 Retransmit).
Aug 8 21:08:09 --- last message repeated 2 times ---
Aug 8 21:08:09 my-machine nesessionmanager[1553]: IPSec Controller: retry IPSec aggressive mode with DH Group 2
Aug 8 21:08:09 my-machine nesessionmanager[1553]: IPSec Phase1 starting.
Aug 8 21:08:09 my-machine racoon[2139]: IPSec connecting to server ***.***.***.*
Aug 8 21:08:09 --- last message repeated 1 time ---
Aug 8 21:08:09 my-machine racoon[2139]: Connecting.
Aug 8 21:08:09 my-machine racoon[2139]: IPSec Phase 1 started (Initiated by me).
Aug 8 21:08:09 --- last message repeated 1 time ---
Aug 8 21:08:09 my-machine racoon[2139]: IKE Packet: transmit success. (Initiator, Aggressive-Mode message 1).
Aug 8 21:08:09 my-machine racoon[2139]: >>>>> phase change status = Phase 1 started by us
Aug 8 21:08:12 --- last message repeated 1 time ---
Aug 8 21:08:12 my-machine racoon[2139]: IKE Packet: transmit success. (Phase 1 Retransmit).
Aug 8 21:08:19 --- last message repeated 2 times ---
Aug 8 21:08:19 my-machine nesessionmanager[1553]: NESMLegacySession[<secret>]: status changed to disconnecting
Aug 8 21:08:19 my-machine nesessionmanager[1553]: IPSec disconnecting from server ***.***.***.*
Aug 8 21:08:19 my-machine racoon[2139]: IPSec disconnecting from server ***.***.***.*
Aug 8 21:08:19 --- last message repeated 3 times ---
Aug 8 21:08:19 my-machine nesessionmanager[1553]: NESMLegacySession[<secret>]: status changed to disconnected, last stop reason None
Aug 8 21:08:19 my-machine racoon[2139]: glob found no matches for path "/var/run/racoon/*.conf"
A
Weiß jemand, was passiert oder wie man dieses Problem behebt?
Danke!
Antwort1
Es sieht so aus, als ob Ihr neuer Anbieter den ausgehenden und/oder eingehenden UDP-Port 500 blockiert.
Ihr Protokoll zeigt also, dass Sie Nachricht 1 des IKE AM senden:
8. Aug 21:07:59 my-machine racoon[2139]: IKE-Paket: Übertragung erfolgreich. (Initiator, Aggressive-Mode-Meldung 1).
Da jedoch keine Antwort erfolgt, senden Sie das erste Paket nach einiger Zeit erneut:
8. Aug 21:08:02 my-machine racoon[2139]: IKE-Paket: Übertragung erfolgreich. (Phase 1: erneute Übertragung).
Und da immer noch keine Antwort kommt, versuchen wir es noch ein paar Mal und geben schließlich einfach auf.
Warum erhalten wir also keine Antwort?
- Etwas im Pfad blockiert das Paket
- Das VPN-Headend lässt es fallen
- Das VPN-Headend antwortet, aber etwas im Pfad lässt die Antwort fallen
Da dies früher problemlos funktionierte und erst nach dem Wechsel des ISPs ein Fehler auftrat, liegt der Verdacht nahe, dass der ISP entweder die ausgehenden oder die eingehenden Pakete blockiert.
Ich schlage vor, den VPN-Administrator bei Ihrer Arbeit zu fragen, ob es eine andere Möglichkeit zur Verbindung gibt, z. B. die Verwendung von IPsec über TCP oder die Verwendung von TLS.