Linux, Ubuntu 8.04, cisco vpn, ipsec, openssl, vpnc, "no response from target"
Foren-Beitrag
21 Nov 2008 at 21:43
at http://christoph-langner.de/2008/10/vpn-der-uni-karlsruhe-mit-vpnc-uberarbeitet/
Das "no response from target"-Problem mit Ubuntu 8.04 hinter NAT kenne ich auch.
Ich vermute, dass mein DSL-Router (netgear rp614v2) der Boesewicht ist und
"fragmentation needed" pakete verschluckt.
Lösen ließ sich das Problem bei mir, indem ich die MTU auf dem
entsprechenden Interface auf 540 reduziert habe (war einer dieser
"magischen" Tipps eines Freunds), z.B.:
# ifconfig eth0 mtu 540
Danach klappte der Verbindungsaufbau spontan.
Ein gewisses Indiz waren auch Meldungen in tcpdump über zu spät eintreffende
fragmentierte Pakete des VPN-Servers.
Da es natürlich hässlich ist, alle ausgehenden Pakete mit so einer kleinen
MTU zu versenden, gibt es einen netten Trick:
# ip route add <VPN-SERVER> via <LAN GATEWAY> mtu 540
also z.B.
# ip route add 192.0.2.222 via 10.0.0.1 mtu 5400
Weitere Ideen / krude Hacks
Ideen:
* Passende MTU-Anweisung gleich in /etc/vpnc/vpnc-script setzen
* MTU des VPN-Interface anpassen
* ggf. nicht default-route durchs VPN legen sondern nur einzelne hosts/netze
Ergebnis / quick fix: ( /etc/vpnc/vpnc-script)
* vpnc-script (vpnc-script.gz)
* customize this script to your needs and watch out for lines with my changes, marked "WGE".
|