VPN mit USG 3P nicht möglich

**MrSaarn** · 5. Juli 2021

Guten Tag,

ich bin neu hier und möchte mich Eurer Fangemeinde gerne anschließen. Ich habe mittlerweile durch den Hausumbau komplett auf Unifi umgestellt und sowohl Netzwerk als auch Project-Komponenten verbaut. Ich bin auch soweit sehr zufrieden, aber habe nun das erste größere Problem, welches ich nicht alleine gelöst bekomme. Daher hoffe ich auf Hilfe hier.

Ich versuche eine VPN-Verbindung im USG 3p herzustellen. Erfolglos!

Ich habe divsere Einstellungen und Anleitungen probiert.

Aktuell ist folgendes eingestellt:

Radius-Server aktiviert

Radius Benutzer:

VPN-Netzwerk eingerichtet:

Nun versuche ich aus dem lokalen Netzwerk heraus eine VPN-Verbindung herzustellen:

Ich habe bei Radius-Server Passwort, sowie beim pre-shared-Key als auch beim Radius-Benutzer immer das selbe Passwort vergeben.

Dennoch bekomme ich keine Verbindung hin.

Ich bin dann via Console auf das USG gegangen und habe mit diesem Command mal den Anmeldeprozess aus dem LAN mitgeschnitten:

Code

admin@ubnt:~$ sudo swanctl --log

14[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (788 bytes)
14[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V ]
14[IKE] received NAT-T (RFC 3947) vendor ID
14[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
14[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
14[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
14[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
14[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
14[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
14[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
14[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
14[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
14[IKE] received FRAGMENTATION vendor ID
14[IKE] received DPD vendor ID
14[IKE] 192.168.1.200 is initiating a Main Mode IKE_SA
14[ENC] generating ID_PROT response 0 [ SA V V V ]
14[NET] sending packet: from 192.168.1.1[500] to 192.168.1.200[500] (136 bytes)
08[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (356 bytes)
08[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
08[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
08[NET] sending packet: from 192.168.1.1[500] to 192.168.1.200[500] (372 bytes)
06[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (76 bytes)
06[ENC] parsed ID_PROT request 0 [ ID HASH ]
06[CFG] looking for pre-shared key peer configs matching 192.168.1.1...192.168.1.200[192.168.1.200]
06[CFG] selected peer config "remote-access"
06[IKE] IKE_SA remote-access[11] established between 192.168.1.1[192.168.1.1]...192.168.1.200[192.168.1.200]
06[ENC] generating ID_PROT response 0 [ ID HASH ]
06[NET] sending packet: from 192.168.1.1[500] to 192.168.1.200[500] (76 bytes)
15[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (364 bytes)
15[ENC] parsed QUICK_MODE request 69845167 [ HASH SA No ID ID ]
15[IKE] received 3600s lifetime, configured 0s
15[ENC] generating QUICK_MODE response 69845167 [ HASH SA No ID ID ]
15[NET] sending packet: from 192.168.1.1[500] to 192.168.1.200[500] (172 bytes)
03[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (60 bytes)
03[ENC] parsed QUICK_MODE request 69845167 [ HASH ]
03[IKE] CHILD_SA remote-access{10} established with SPIs c8303acc_i 08ee7bb6_o and TS 192.168.1.1/32[udp/l2f] === 192.168.1.200/32[udp/54405] 
14[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (76 bytes)
14[ENC] parsed INFORMATIONAL_V1 request 1072047308 [ HASH D ]
14[IKE] received DELETE for ESP CHILD_SA with SPI 08ee7bb6
14[IKE] closing CHILD_SA remote-access{10} with SPIs c8303acc_i (1489 bytes) 08ee7bb6_o (496 bytes) and TS 192.168.1.1/32[udp/l2f] === 192.168.1.200/32[udp/54405] 
10[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (92 bytes)
10[ENC] parsed INFORMATIONAL_V1 request 288875918 [ HASH D ]
10[IKE] received DELETE for IKE_SA remote-access[11]
10[IKE] deleting IKE_SA remote-access[11] between 192.168.1.1[192.168.1.1]...192.168.1.200[192.168.1.200]
08[KNL] interface ppp1 deleted

Alles anzeigen

Ich komme einfach nicht weiter!

Kann mir jemand das log-File erklären oder mir einen Tipp für die Fehlersuche geben?

Danke im Voraus.

Gruß Micha

**S3N0C** · 5. Juli 2021

Hi Micha,

setz mal noch den Haken bei MS-CHAPv2.

**amaskus** · 5. Juli 2021

Moin zusammen,

kannst du die Einwahl von extern versuchen ?

Ich meine das USG erwartet den VPN Aufbau über den WAN port daher wird das über den LAN nicht funktionieren.

Also am besten einmal über Mobilfunk oder so.

Wenn du noch keine DynDNS eingerichtet hast kannst du deinen IP auch erstmal per Hand eintragen für den Test

**jkasten** · 5. Juli 2021

Deine Radius Benutzereinstellungen sind falsch.

MS-Chap noch setzen und von extern versuchen. Intern geht nicht wie schon geschrieben.

Im iPhone natürlich auch noch Passwort und Shared Secret setzen.

**razor** · 5. Juli 2021

Ich habe unter RE: VPN-Ports von USG-Pro-4 auf Fritzbox weiterleiten beschrieben, wie es bei mir funktioniert.

Vielleicht hilft Dir das.

**MrSaarn** · 5. Juli 2021

Hallo Zusammen,

danke für die vielen Rückmeldungen und Hinweise. Ich habe alle befolgt und kann wie folgt melden:

S3N0C Ich habe de Haken bei MS-CHAPv2 gesetzt. Leider keine Verbesserung. Ich glaube der war auch eher für Windows-Maschinen interessant. Ich greife mit IOS-Produkten drauf zu. Ich habe es aber auch mit einer Windowsmaschine zur Sicherheit über Kabelverbindung (LAN-Kabel) versucht. Keine Änderung.

amaskus

Ich habe auch die externe Einwahl versucht. Direkt mit der öffentlichen IP. Hier sehe ich das gleiche Bild wie oben. Nur statt der lokalen eben die öffentliche IP. Es sei dazu gesagt, dass ein Kollege exakt die selbe Konfiguration hat (USG 3p, Vigor 165-Modem und Telekom-Provider) Bei Ihm geht die VPN-Verbindung extern aber auch Lokal!

jkasten: Auch deinen Vorschlag habe ich dankend angenommen und getestet. Der Effekt ist der gleiche. Kein VPN möglich. Siehe auch Log. Auch der MS-Chap hat die Sache nicht verbessert. Und ebenfalls noch der Hinweis von oben. Bei meinem Arbeitskollegen funktioniert der Zugriff des VPN's auch im lokalem Netz mit der gleichen Konfiguration und Firmware! Ich habe auch bei all meinen Einstellungen immer auf die Durchführung der Provisionierung geachtet.

Code

 03[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (788 bytes)
03[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V ]
03[IKE] received NAT-T (RFC 3947) vendor ID
03[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
03[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
03[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
03[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
03[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
03[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
03[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
03[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
03[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
03[IKE] received FRAGMENTATION vendor ID
03[IKE] received DPD vendor ID
03[IKE] 192.168.1.200 is initiating a Main Mode IKE_SA
03[ENC] generating ID_PROT response 0 [ SA V V V ]
03[NET] sending packet: from 192.168.1.1[500] to 192.168.1.200[500] (136 bytes)
01[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (356 bytes)
01[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
01[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
01[NET] sending packet: from 192.168.1.1[500] to 192.168.1.200[500] (372 bytes)
15[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (76 bytes)
15[ENC] parsed ID_PROT request 0 [ ID HASH ]
15[CFG] looking for pre-shared key peer configs matching 192.168.1.1...192.168.1.200[192.168.1.200]
15[CFG] selected peer config "remote-access"
15[IKE] IKE_SA remote-access[14] established between 192.168.1.1[192.168.1.1]...192.168.1.200[192.168.1.200]
15[ENC] generating ID_PROT response 0 [ ID HASH ]
15[NET] sending packet: from 192.168.1.1[500] to 192.168.1.200[500] (76 bytes)
08[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (364 bytes)
08[ENC] parsed QUICK_MODE request 3670973821 [ HASH SA No ID ID ]
08[IKE] received 3600s lifetime, configured 0s
08[ENC] generating QUICK_MODE response 3670973821 [ HASH SA No ID ID ]
08[NET] sending packet: from 192.168.1.1[500] to 192.168.1.200[500] (172 bytes)
04[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (60 bytes)
04[ENC] parsed QUICK_MODE request 3670973821 [ HASH ]
04[IKE] CHILD_SA remote-access{12} established with SPIs cedc7534_i 03c6c9b2_o and TS 192.168.1.1/32[udp/l2f] === 192.168.1.200/32[udp/61084] 
02[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (76 bytes)
02[ENC] parsed INFORMATIONAL_V1 request 1952234449 [ HASH D ]
02[IKE] received DELETE for ESP CHILD_SA with SPI 03c6c9b2
02[IKE] closing CHILD_SA remote-access{12} with SPIs cedc7534_i (1584 bytes) 03c6c9b2_o (516 bytes) and TS 192.168.1.1/32[udp/l2f] === 192.168.1.200/32[udp/61084] 
10[NET] received packet: from 192.168.1.200[500] to 192.168.1.1[500] (92 bytes)
10[ENC] parsed INFORMATIONAL_V1 request 348031188 [ HASH D ]
10[IKE] received DELETE for IKE_SA remote-access[14]
10[IKE] deleting IKE_SA remote-access[14] between 192.168.1.1[192.168.1.1]...192.168.1.200[192.168.1.200]
15[KNL] interface ppp1 deleted

Alles anzeigen

razor: Deine Anleitung werde ich noch ausprobieren und melde mich wieder!

Kann jemand das Log interpretieren?

Vielen Dank im Voraus.

**S3N0C** · 6. Juli 2021

Naja zumindest baut er kurzfristig eine Verbindung auf

Code

15[IKE] IKE_SA remote-access[14] established between 192.168.1.1[192.168.1.1]...192.168.1.200[192.168.1.200]

Das du hier den Shared Secret (Pre Shared Kex) auch eingetragen hast, davon gehe ich aus?

**MrSaarn** · 6. Juli 2021

Guten Morgen,

ja habe ich. Ich habe auch extra für den Per-Shared-Key, für das Kennwort des Rades-Servers und das Kennwort des Radius-Benutzers ein und das selbe Passwort genommen, um Verwechselungen auszuschließen.

razor : Deine Anleitung habe ich befolgt, aber ebenfalls ohne Ergebnis. Ich finde aber den Hinweis zu den Firewallregeln sehr interessant. Welche müssen für VPN denn eingetragen sein? Die aus der Anleitung sind drin. Aber müssen im Reiter "LAN Lokal" auch Einträge vorhanden sein?

Danke im Voraus.

**razor** · 6. Juli 2021

Zitat von MrSaarn

Guten Morgen,

ja habe ich. Ich habe auch extra für den Per-Shared-Key, für das Kennwort des Rades-Servers und das Kennwort des Radius-Benutzers ein und das selbe Passwort genommen, um Verwechselungen auszuschließen.

razor : Deine Anleitung habe ich befolgt, aber ebenfalls ohne Ergebnis. Ich finde aber den Hinweis zu den Firewallregeln sehr interessant. Welche müssen für VPN denn eingetragen sein? Die aus der Anleitung sind drin. Aber müssen im Reiter "LAN Lokal" auch Einträge vorhanden sein?

Danke im Voraus.

Alles anzeigen

Nein, da habe ich keine Regeln stehen und es funktioniert dennoch.

Mit meiner Config sieht das Log (sudo swanctl --log auf der USG-Console) so aus:

Code

13[NET] received packet: from REMOTE-CLIENT-IP[36349] to PUBLIC-USG-IP[500] (724 bytes)
13[ENC] parsed ID_PROT request 0 [ SA V V V V V V ]
13[IKE] received NAT-T (RFC 3947) vendor ID
13[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
13[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
13[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID
13[IKE] received FRAGMENTATION vendor ID
13[IKE] received DPD vendor ID
13[IKE] REMOTE-CLIENT-IP is initiating a Main Mode IKE_SA
13[ENC] generating ID_PROT response 0 [ SA V V V ]
13[NET] sending packet: from PUBLIC-USG-IP[500] to REMOTE-CLIENT-IP[36349] (136 bytes)
10[NET] received packet: from REMOTE-CLIENT-IP[36349] to PUBLIC-USG-IP[500] (228 bytes)
10[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
10[IKE] remote host is behind NAT
10[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
10[NET] sending packet: from PUBLIC-USG-IP[500] to REMOTE-CLIENT-IP[36349] (244 bytes)
12[NET] received packet: from REMOTE-CLIENT-IP[38740] to PUBLIC-USG-IP[4500] (92 bytes)
12[ENC] parsed ID_PROT request 0 [ ID HASH ]
12[CFG] looking for pre-shared key peer configs matching PUBLIC-USG-IP...REMOTE-CLIENT-IP[100.108.30.174]
12[CFG] selected peer config "remote-access"
12[IKE] IKE_SA remote-access[34] established between PUBLIC-USG-IP[PUBLIC-USG-IP]...REMOTE-CLIENT-IP[100.108.30.174]
12[ENC] generating ID_PROT response 0 [ ID HASH ]
12[NET] sending packet: from PUBLIC-USG-IP[4500] to REMOTE-CLIENT-IP[38740] (76 bytes)
07[NET] received packet: from REMOTE-CLIENT-IP[38740] to PUBLIC-USG-IP[4500] (108 bytes)
07[ENC] parsed INFORMATIONAL_V1 request 3016226394 [ HASH N(INITIAL_CONTACT) ]
14[NET] received packet: from REMOTE-CLIENT-IP[38740] to PUBLIC-USG-IP[4500] (668 bytes)
14[ENC] parsed QUICK_MODE request 4177251463 [ HASH SA No ID ID ]
14[IKE] received 28800s lifetime, configured 0s
14[ENC] generating QUICK_MODE response 4177251463 [ HASH SA No ID ID NAT-OA NAT-OA ]
14[NET] sending packet: from PUBLIC-USG-IP[4500] to REMOTE-CLIENT-IP[38740] (204 bytes)
11[NET] received packet: from REMOTE-CLIENT-IP[38740] to PUBLIC-USG-IP[4500] (76 bytes)
11[ENC] parsed QUICK_MODE request 4177251463 [ HASH ]
11[IKE] CHILD_SA remote-access{49} established with SPIs c4936c12_i 04b8f572_o and TS PUBLIC-USG-IP/32[udp/l2f] === REMOTE-CLIENT-IP/32[udp]
06[KNL] 10.255.255.0 appeared on ppp1
12[KNL] 10.255.255.0 disappeared from ppp1
16[KNL] 10.255.255.0 appeared on ppp1
05[KNL] interface l2tp0 activated
07[NET] received packet: from REMOTE-CLIENT-IP[38740] to PUBLIC-USG-IP[4500] (92 bytes)
07[ENC] parsed INFORMATIONAL_V1 request 2243518928 [ HASH D ]
07[IKE] received DELETE for ESP CHILD_SA with SPI 04b8f572
07[IKE] closing CHILD_SA remote-access{49} with SPIs c4936c12_i (282584 bytes) 04b8f572_o (56361 bytes) and TS PUBLIC-USG-IP/32[udp/l2f] === REMOTE-CLIENT-IP/32[udp]
16[NET] received packet: from REMOTE-CLIENT-IP[38740] to PUBLIC-USG-IP[4500] (108 bytes)
16[ENC] parsed INFORMATIONAL_V1 request 3515629520 [ HASH D ]
16[IKE] received DELETE for IKE_SA remote-access[34]
16[IKE] deleting IKE_SA remote-access[34] between PUBLIC-USG-IP[PUBLIC-USG-IP]...REMOTE-CLIENT-IP[100.108.30.174]
06[KNL] interface l2tp0 deactivated
08[KNL] 10.255.255.0 disappeared from l2tp0
16[KNL] interface l2tp0 deleted

Alles anzeigen

**MrSaarn** · 8. Juli 2021

Danke für die Rückmeldung. Ich stehe nun mit dem Support von Unifi in Kontakt. Sobald ich eine Lösung habe, werde ich mich wieder melden....

**kleinp** · 8. Juli 2021

Danke. Ich lass mal n Abo da, habe das selbe Problem mit der Pro-4

Ich hab zwar kein log mitlaufen lassen, aber das Resultat ist das selbe..

**MrSaarn** · 8. Juli 2021

Hallo,

mit Hilfe des Supportes von Unifi und des Forums konnte ich das Problem lösen!!!!

Vorweg:

Im Rahmen meiner weiteren Fehlersuche per Telnet/Konsole auf dem USG (und nur hier macht es Sinn, weil man Details sieht) konnte ich folgende Fehlermeldung ausmachen:

Diese Meldung kann man sehen, wenn man folgenden Befehl eingibt:

Code

sudo freeradius -fX

oder

Code

sudo cat /var/log/freeradius/radius.log

Nach einigen Emails mit dem Support, der wirklich sehr freundlich und konstruktiv war, kam heraus, dass dieser Fehler dann entsteht, wenn man den VPN unter dem neuen Benutzerinterface einrichtet. Also nicht die klassische Ansicht! Das hatte ich getan und das war der Fehler! Denn dann werden bestimmte Einstellungen nicht aktiviert und nicht in die clients.conf geschrieben. Selbst nach dem Wechsel auf die klassische Ansicht können die Einstellungen nicht geändert werden. Ich rede hier konkret von der Einstellung zu den Endgeräten unter „Dienste >> Radius >> Server“ und dann der Punkt „Endgeräte:“ Hier muss der Haken stehen für „Der Abschnitt Endgeräte gilt für das gesamte Netzwerk“. In meinem Fall war die Schaltfläche deaktiviert und ich konnte Sie nicht anhaken. Dieser Fehler ist bekannt und den Entwicklern von Unifi gemeldet, lt. Support!

Wegen diesem Fehler wurde der VPN bei mir nicht vollständig aufgebaut!

Nun zur Lösung:

Es gibt zwei Lösungswege.

Lösungsweg 1:

USG auf Werkseinstellungen zurücksetzen. Und alles in der klassischen Ansicht neu aufsetzen. Ober der Controller ebenfalls neu aufgesetzt werden muss, weiß ich nicht! Habe ich nicht gemacht!

Lösungsweg 2:

Der ist etwas komplizierter aber machbar und diesen habe ich gewählt.

Windowsmaschine mit Chrome Browser nehmen. Hier benötigt man die Developing Tools des Browsers (sind immer dabei)
Dann auf die Seite „Dienste >> Radius >> Server“ gehen.
Mit der Maus über den Text „Der Abschnitt Endgeräte gilt für das gesamte Netzwerk“ gehen und dann die rechte Maustaste drücken. Im Kontextmenu den Punkt „Untersuchen“ auswählen. Dann öffnet sich an die rechte Browserhälfte dem HTML-Code und es wird die entsprechende Codezeile markiert.
Mit der Pfeiltaste „rauf“ ein Element höher navigieren. Dann sieht man gleichzeitig, das auf der Webseite nun die Checkbox markiert wird.

Nun im Browser auf der rechten Bildhälfte die Console (oben neben Elements) öffnen und folgendes eingeben: $0.disabled = false
Dadurch wird die Zeile auf der Weboberfläche für Endgeräte nun wieder aktiv.
Erst jetzt kann man den Haken in der Checkbox setzen
Wichtig: Änderungen Übernehmen drücken!
Noch wichtiger!!!! Spätestens jetzt sollte die Erkenntnis kommen, dass man ohne Community und Support nie an diesem Punkt angelangt wäre und es stellt sich das Gefühl von Dankbarkeit ein! Denn das war alles!!! Deshalb soll man sein Wissen teilen!!!

Ich konnte danach von allen Endgeräte den VPN sofort aufbauen. Übrigens auch aus dem lokalen Netz!

Danke für alle Tipps und Hinweise. Danke an den Support! Nach stundenlanger Fehlersuche und unzähligen Foreneinträgen hat sich die Lösung ergeben!

Ich hoffe mein Post hilft und der Bug wird bald gefixt! Mein Tipp: Lasst die Finger vom neuem Benutzerinterface-Design!

Gruß Micha

kleinp Viel Erfolg, ich hoffe es hilft Dir weiter!

**TheSephe** · 8. November 2021

Hallo,

ich habe mich nun extra wegen dieses Problems angemeldet.

Letzte Woche wurde mir das Update 4.4.55 für die USG-3P angeboten.

Das Gerät hat bis dato tadellos mit der 4.4.52 funktioniert, und auch die Nutzung von L2TP per IPSEC am Telekom Business-Anschluss hat funktioniert.

Seit dem Update auf die 4.4.55 hat L2TP nur noch sporadisch funktioniert, und nun leider gar nicht mehr.

> show vpn log tail

Code

Nov  8 18:57:19 01[IKE] <9> 109.40.3.XXX is initiating a Main Mode IKE_SA
Nov  8 18:57:21 11[IKE] <remote-access|9> IKE_SA remote-access[9] established between 217.91.21.XXX[217.91.21.XXX]...109.40.3.XXX[100.79.80.XXX]
Nov  8 18:57:21 03[IKE] <remote-access|9> CHILD_SA remote-access{9} established with SPIs c293f80c_i 026e0816_o and TS 217.91.21.XXX/32[udp/l2f] === 109.40.3.XXX/32[udp/62021]
Nov  8 18:57:52 09[IKE] <remote-access|9> closing CHILD_SA remote-access{9} with SPIs c293f80c_i (704 bytes) 026e0816_o (228 bytes) and TS 217.91.21.XXX/32[udp/l2f] === 109.40.3.XXX/32[udp/62021]
Nov  8 18:57:52 03[IKE] <remote-access|9> deleting IKE_SA remote-access[9] between 217.91.21.XXX[217.91.21.XXX]...109.40.3.XXX[100.79.80.XXX]
Nov  8 18:57:58 14[KNL] interface ppp1 deleted

> cat /var/log/freeradius/radius.log

Code

Mon Nov  8 18:55:33 2021 : Info: Loaded virtual server <default>
Mon Nov  8 18:55:33 2021 : Info: Loaded virtual server inner-tunnel
Mon Nov  8 18:55:33 2021 : Info:  ... adding new socket proxy address * port 43278
Mon Nov  8 18:55:33 2021 : Info: Ready to process requests.

> tail /var/log/messages

Code

Nov  8 18:57:22 Gateway xl2tpd[15280]: Connection established to 109.40.3.XXX, 62021.  Local: 39758, Remote: 18 (ref=0/0).  LNS session is 'default'
Nov  8 18:57:22 Gateway xl2tpd[15280]: Call established with 109.40.3.XXX, PID: 24088, Local: 59735, Remote: 7163, Serial: 1
Nov  8 18:57:22 Gateway pppd[24088]: pppd 2.4.4 started by root, uid 0
Nov  8 18:57:22 Gateway pppd[24088]: Connect: ppp1 <-->
Nov  8 18:57:22 Gateway zebra[759]: interface ppp1 index 23 <POINTOPOINT,NOARP,MULTICAST> added.
Nov  8 18:57:58 Gateway pppd[24088]: Connection terminated: no multilink.
Nov  8 18:57:58 Gateway zebra[759]: interface ppp1 index 23 deleted.
Nov  8 18:57:58 Gateway pppd[24088]: Modem hangup

> swanctl --log

Code

02[NET] received packet: from 109.40.3.XXX[17211] to 217.91.21.XXX[500] (788 bytes)
02[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V ]
02[IKE] received NAT-T (RFC 3947) vendor ID
02[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
02[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
02[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
02[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
02[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
02[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
02[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
02[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
02[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
02[IKE] received FRAGMENTATION vendor ID
02[IKE] received DPD vendor ID
02[IKE] 109.40.3.164 is initiating a Main Mode IKE_SA
02[ENC] generating ID_PROT response 0 [ SA V V V ]
02[NET] sending packet: from 217.91.21.XXX[500] to 109.40.3.XXX[17211] (136 bytes)
15[NET] received packet: from 109.40.3.XXX[17211] to 217.91.21.XXX[500] (356 bytes)
15[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
15[IKE] remote host is behind NAT
15[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
15[NET] sending packet: from 217.91.21.XXX[500] to 109.40.3.XXX[17211] (372 bytes)
14[NET] received packet: from 109.40.3.XXX[7558] to 217.91.21.XXX[4500] (108 bytes)
14[ENC] parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
14[CFG] looking for pre-shared key peer configs matching 217.91.21.XXX...109.40.3.XXX[100.79.80.4]
14[CFG] selected peer config "remote-access"
14[IKE] IKE_SA remote-access[1] established between 217.91.21.XXX[217.91.21.XXX]...109.40.3.XXX[100.79.80.XXX]
14[ENC] generating ID_PROT response 0 [ ID HASH ]
14[NET] sending packet: from 217.91.21.XXX[4500] to 109.40.3.XXX[7558] (76 bytes)
02[NET] received packet: from 109.40.3.XXX[7558] to 217.91.21.XXX[4500] (396 bytes)
02[ENC] parsed QUICK_MODE request 3268502398 [ HASH SA No ID ID NAT-OA NAT-OA ]
02[IKE] received 3600s lifetime, configured 0s
02[ENC] generating QUICK_MODE response 3268502398 [ HASH SA No ID ID NAT-OA NAT-OA ]
02[NET] sending packet: from 217.91.21.XXX[4500] to 109.40.3.XXX[7558] (204 bytes)
15[NET] received packet: from 109.40.3.XXX[7558] to 217.91.21.XXX[4500] (60 bytes)
15[ENC] parsed QUICK_MODE request 3268502398 [ HASH ]
15[IKE] CHILD_SA remote-access{1} established with SPIs c6677d15_i 049619db_o and TS 217.91.21.XXX/32[udp/l2f] === 109.40.3.XXX/32[udp/55337]
06[NET] received packet: from 109.40.3.XXX[7558] to 217.91.21.XXX[4500] (76 bytes)
06[ENC] parsed INFORMATIONAL_V1 request 155377839 [ HASH D ]
06[IKE] received DELETE for ESP CHILD_SA with SPI 049619db
06[IKE] closing CHILD_SA remote-access{1} with SPIs c6677d15_i (704 bytes) 049619db_o (248 bytes) and TS 217.91.21.XXX/32[udp/l2f] === 109.40.3.XXX/32[udp/55337]
04[NET] received packet: from 109.40.3.XXX[7558] to 217.91.21.XXX[4500] (92 bytes)
04[ENC] parsed INFORMATIONAL_V1 request 1955565782 [ HASH D ]
04[IKE] received DELETE for IKE_SA remote-access[1]
04[IKE] deleting IKE_SA remote-access[1] between 217.91.21.XXX[217.91.21.XXX]...109.40.3.XXX[100.79.80.XXX]
02[KNL] interface ppp1 deleted

Alles anzeigen

Ich bin aktuell ziemlich ratlos.

Laut freeradius gibt es gar keinen Query bzgl. l2tp.

Der Haken "Configure clients section for whole network" ist bei mir aktiv. (Ich hatte ihn auch deaktiviert und Radius deaktiviert, neu einerichtet etc.)

UPDATE: Ein Downgrade auf die 4.4.52 und es läuft alles wieder. Idee, was da los sein könnte?
UPDATE2: Es hat 2x vom iPhone 13 Pro funktioniert. Danach wieder exakt das gleiche Verhalten.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

VPN mit USG 3P nicht möglich

Ähnliche Themen

Habe ein neues projekt in Aussicht, ein paar fragen......

Karte im IDS System zeigt nichts an

Glasfaser über wan2

Servus auch von mir =)

Tags

7 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 14

Wer war online 25