Shrew VPN Client - problem

Amar · June 14, 2011, 12:56pm

E vako.

Totalna zona sumraka. Imamo u firmi VPN konfigurisan i kao klijente koristimo Shrew VPN. Napravio konfiguraciju za sebe, exportovao .vpn file, instalirao Shrew, importovao taj file i kada kliknem na Connect, ubacim svoj username/password dobijem ovo:

config loaded for site 'admando.ath.cx.vpn.vpn' attached to key daemon ... peer configured iskamp proposal configured esp proposal configured client configured local id configured remote id configured pre-shared key configured bringing up tunnel ... network device configured tunnel enabled
Ok, znaci tunel je tu.

Odradim ifconfig:

amar@dell:~$ ifconfig eth0 Link encap:Ethernet HWaddr 00:22:19:fd:d4:4d inet addr:192.168.3.106 Bcast:192.168.3.255 Mask:255.255.255.0 inet6 addr: fe80::222:19ff:fefd:d44d/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3937 errors:0 dropped:0 overruns:0 frame:0 TX packets:2211 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1879473 (1.8 MB) TX bytes:301434 (301.4 KB) Interrupt:17 tap0 Link encap:Ethernet HWaddr de:4c:ae:10:8a:f9 inet addr:192.168.9.109 Bcast:192.168.9.255 Mask:255.255.255.0 inet6 addr: fe80::dc4c:aeff:fe10:8af9/64 Scope:Link UP BROADCAST RUNNING MTU:1380 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Znaci tap0 je tu, dobio sam adresu u .9 mrezi.

Odradim route:

amar@dell:~$ route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface ppp-93-104-165- speedport.ip 255.255.255.255 UGH 0 0 0 eth0 192.168.3.0 * 255.255.255.0 U 1 0 0 eth0 192.168.10.0 192.168.9.109 255.255.255.0 UG 0 0 0 tap0 192.168.9.0 * 255.255.255.0 U 0 0 0 tap0 link-local * 255.255.0.0 U 1000 0 0 eth0 default speedport.ip 0.0.0.0 UG 0 0 0 eth0
Dakle, trebao bih biti u mogucnosti da ping.am .10 mrezu. Medjutim nece da hoce.

Plus, da zona sumraka bude tamnija, ovaj config radi bez problema sa @adioe3-ovog racunara (Slackware) i sa racunara mog sefa (Win7).

Sa mog laptopa nece ni sa Linuxa ni sa Windowsa.

Kartica je:

I probao sam se konektovati od kuce, iz firme sa druge mreze, nece. Kuci dobijem 192.168.1.0 mrezu, u firmi 192.168.3.0. Dakle nije problem u routeru.
Any ideas?

Amar · June 14, 2011, 4:31pm

Dodatni info:

ne mogu pingati gateway za VPN mrezu, 192.168.9.1, iako sam dobio adresu iz te mreze.

I pitanje:

koja usb mrezna kartica je dobro podrzana u linuxu? Moze biti da je ovaj citav problem vezan za moju karticu (mada mi je to cudno jer ne radi ni kada sam povezan wireless karticom).

P.S. Valja li ovo sta http://www.amazon.de/LogiLink-Fast-Ethernet-RJ45-Adapter/dp/B0019CZGZW/ref=sr_1_1?ie=UTF8&qid=1308068880&sr=8-1 ?

bzip · June 14, 2011, 7:53pm

A da mi vidimo

#tcpdump -i tap0 ( pa jos sta…kada pokusavas ping… , da ne man-am opcije za tcpdump sada )
iptables -L -n -v

Nije problem ni u kartici, znaci router i karticu mozemo “rule out”

Amar · June 14, 2011, 8:25pm

bzip, hvala na sugestijama.

ovo je output za iptables:

[code]root@dell:/home/amar# iptables -L -n -v
Chain INPUT (policy ACCEPT 102 packets, 14738 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 109 packets, 12959 bytes)
pkts bytes target prot opt in out source destination[/code]
A ne snalazim se nesto sa tcpdumpom, ako ti nije frka da mi malo pomognes oko sintakse.

Btw, na osnovu cega si rule out problem sa karticom?

Osim ociglednog, ne radi mi ni kada sam nakacen na wireless ni na ethernet.

Plus, nedavno sam formatirao disk. Prije toga sam imao Debian/Windows7 instalaciju. Isti problem je bio i tada, na oba operativna.
Sada sam odradio novi instal, prvo Windows7/Fedora15, isti problem, onda zamjenio Fedoru sa Ubuntuom 11.04 i problem ostaje.

I testirano je sa razlicitih mreza, kuci, na poslu, troje kolega se kacilo sa mojim crednetials sa svojih racunara i radilo sve.

Kada pingam default gateway, vraca mi:

root@dell:/home/amar# ping 192.168.9.1 PING 192.168.9.1 (192.168.9.1) 56(84) bytes of data. From 192.168.9.111 icmp_seq=1 Destination Host Unreachable From 192.168.9.111 icmp_seq=2 Destination Host Unreachable From 192.168.9.111 icmp_seq=3 Destination Host Unreachable
EDIT:

evo i tcpdump:

root@dell:/home/amar# tcpdump -i tap0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tap0, link-type EN10MB (Ethernet), capture size 65535 bytes 22:57:00.348690 ARP, Request who-has 192.168.9.1 tell 192.168.9.117, length 28 22:57:01.348702 ARP, Request who-has 192.168.9.1 tell 192.168.9.117, length 28 22:57:02.348802 ARP, Request who-has 192.168.9.1 tell 192.168.9.117, length 28
znaci pokrenem tcpdump -i tap0 i iz drugog terminala pingam 192.168.10.8

aldin · June 15, 2011, 5:39am

jel tebi uopšte radi internet/LAN preko te kartice (nisam sve u detalje pročitao)

imaš onih USB wireless kartica po 10tak € ako sujmaš na karticu

adis · June 15, 2011, 6:05am

Da li postoji neki specijalan razlog što ti je MTU na tap0 interfejsu 1380?

Amar · June 15, 2011, 7:23am

@nidla,

ma radi internet bez problema, sve fercera odlicno. Osim VPN-a.

@adis

ne znam da li postoji neki poseban razlog. Naime, ovaj admando.ath.cx.vpn file je izgenerisan za sve korisnike VPN-a, dakle ne pravi se posebno za nekog korisnika. Na router-u jednostavno omogucim access sa username.om i passwordom.
Ono sto me buni je sto moja konfiguracija radi na svim mogucim racunarima i mrezama na kojima sam probao, osim sa mog laptopa.

Amar · June 15, 2011, 8:25am

Evo i sadrzaja .vpn fajla:

n:version:2 n:network-ike-port:500 n:network-mtu-size:1380 n:client-addr-auto:1 n:network-natt-port:4500 n:network-natt-rate:15 n:network-frag-size:540 n:network-dpd-enable:1 n:client-banner-enable:1 n:network-notify-enable:1 n:client-wins-used:0 n:client-wins-auto:1 n:client-dns-used:0 n:client-dns-auto:0 n:client-splitdns-used:0 n:client-splitdns-auto:0 n:phase1-dhgroup:2 n:phase1-life-secs:86400 n:phase1-life-kbytes:0 n:vendor-chkpt-enable:0 n:phase2-life-secs:3600 n:phase2-life-kbytes:0 n:policy-nailed:0 n:policy-list-auto:0 s:network-host:admando.ath.cx s:client-auto-mode:pull s:client-iface:virtual s:network-natt-mode:enable s:network-frag-mode:enable s:auth-method:mutual-psk-xauth s:ident-client-type:keyid s:ident-server-type:address s:ident-client-data:admandovpn2 b:auth-mutual-psk:*************** s:phase1-exchange:aggressive s:phase1-cipher:auto s:phase1-hash:auto s:phase2-transform:auto s:phase2-hmac:auto s:ipcomp-transform:disabled n:phase2-pfsgroup:-1 s:policy-list-include:192.168.10.0 / 255.255.255.0 s:client-saved-username:aPrasovic

bzip · June 18, 2011, 6:56am

Radi ti spajanje na internet preko iste kartice ( koliko kontam iz poruka ), ali opet ti si radio reinstall svega, i opet problem :roll: zato mi se problem s karticom / driverom ne uklapa u mozaik, ti se preko iste spajas? … prvo sam mislio da nisi zaboravio neki firewall ali ni to nije.

na tcpdump-u nema nista,

kako izgleda molim te ovo kada si spojen u vpn?

ip route show

Da li bilo kakav saobracaj ide, ili je samo ping problem?

Amar · June 18, 2011, 4:07pm

bzipe legendo, hvala sto se trudis.

Jos uvijek nisam sredio, sve sam skloniji misljenju da je neki problem sa karticama, strange as it seems, i sa ethernet i sa wireless karticom.

Evo trenutno sam spojen wireless karticom, isti problem.

amar@dell:~$ ip route show 192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.3 metric 2 192.168.10.0/24 via 192.168.9.100 dev tap0 proto static 192.168.9.0/24 dev tap0 proto kernel scope link src 192.168.9.100 169.254.0.0/16 dev wlan0 scope link metric 1000 default via 192.168.1.1 dev wlan0 proto static
Sve izgleda ok, ali ne prolazi mi nista prema .10 mrezi. Ni ping, ni ssh, nista.

Wizz · June 18, 2011, 4:16pm

Mene su znali zezati DNS serveri pa probaj usporediti.

Amar · June 18, 2011, 4:18pm

Pa ne bi trebao DNS biti problem, ne idem vani. Ostajem unutar mreze. A DNS je ok, cim se spaja na admando.ath.cx.

Amar · July 13, 2011, 1:57pm

Update:

Dakle, malo sam petljao sa Wiresharkom i uspio da natjeram Shrew da radi, ali samo iz Windoze.

Problem je bila komunikacija mojih fizickih kartica sa virtuelnim interface-om koji shrew napravi i koristi kao middleware u VPN komunikaciji, otprilike ovako:

Local NIC --> Virtual NIC --> Modem --> Internet

Prebacio sam konfiguraciju da koristi fizicki interface i sve fercera super.

Na linuxu sad postoji drugi problem, ali poprilicno sam siguran da je u pitanju bug u ike paketu. Naime, tunel se uspostavi, pingam moju remote mrezu, mogu se ssh-ovat, ali kada pokusam da uradim bilo sta vece, tty mi smrzne. Pod vece mislim recimo:

cat /var/log/messages

ili ned’o bog neki svn checkout ili scp par megabajta.

cat /etc/resolv.conf

radi bez problema jer je tu par linija.

Dakle, tunel se ne srusi, mogu otvoriti novi tty i sve opet radi kako treba.
Mislim da je ike bug zato sto isti problem nemam samo ja nego i adioe3, a imamo dva razlicita laptopa, dva razlicita distra i cak dvije razlicite verzije ike paketa, kod mene je 2.1.5, kod njega 2.1.7.

Kad nadjem malo vremena, ceprkacu opet po wiresharku pa vidjeti sta se desava sa paketima.

adis · July 13, 2011, 7:47pm

Ako radi ping, probaj da li radi ping sa većim paketima (defaultni ping je 64byte)