Linux, Ubuntu 8.04, cisco vpn, ipsec, openssl, vpnc, "no response from target"

Foren-Beitrag

	  21 Nov 2008 at 21:43
	  at http://christoph-langner.de/2008/10/vpn-der-uni-karlsruhe-mit-vpnc-uberarbeitet/
          Das "no response from target"-Problem mit Ubuntu 8.04 hinter NAT kenne ich auch.

          Ich vermute, dass mein DSL-Router (netgear rp614v2) der Boesewicht ist und
          "fragmentation needed" pakete verschluckt.

          Lösen ließ sich das Problem bei mir, indem ich die MTU auf dem
          entsprechenden Interface auf 540 reduziert habe (war einer dieser
          "magischen" Tipps eines Freunds), z.B.:
          # ifconfig eth0 mtu 540

          Danach klappte der Verbindungsaufbau spontan.
          Ein gewisses Indiz waren auch Meldungen in tcpdump über zu spät eintreffende
          fragmentierte Pakete des VPN-Servers.

          Da es natürlich hässlich ist, alle ausgehenden Pakete mit so einer kleinen
          MTU zu versenden, gibt es einen netten Trick:
          # ip route add <VPN-SERVER> via <LAN GATEWAY> mtu 540
          also z.B.
          # ip route add 192.0.2.222 via 10.0.0.1 mtu 5400
          

Weitere Ideen / krude Hacks

	  Ideen:
          * Passende MTU-Anweisung gleich in /etc/vpnc/vpnc-script setzen
          * MTU des VPN-Interface anpassen
	  * ggf. nicht default-route durchs VPN legen sondern nur einzelne hosts/netze

          Ergebnis / quick fix: ( /etc/vpnc/vpnc-script)
          * vpnc-script (vpnc-script.gz)
          * customize this script to your needs and watch out for lines with my changes, marked "WGE".