Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 2037 views
  • Users 0 members are here
Options
Suggested

[5.816] L2TP not working correctly

seezer
Hi there.

First my setup:

ASL running on DELL PowerEdge 1850 with Dual 2.8GHz Xeon with Hyperthreading (4 logical CPUs)

'External'  ASL  'Internal'

WinXP Client from 'External' (128.212.52.7) -L2TP-> (128.212.49.3) ASL (192.168.111.220) -> ssh/ftp on 'internal' Client (192.168.111.222)

WinXP gets 10.0.0.2 from IPSEC-POOL.
I masquerade 'IPSEC-POOL' for Interface 'Internal'.

L2TP Connection fires up fine, icmp (ping) works correct, ftp login and browsing works, and i even got a ssh login twice. once it timed out after username, once after hitting the first letters of a command.
FTP Data Connections time out after not even one single data packet (watched it with ethereal).

It's no packetfilter problem since i allow anything from anywhere to anywhere.
No Intrusion Protection enabled.

I set up my 5.202 machine exactly the same (L2TP, IPSec, User, IPs..) and build the L2TP tunnel to it. Et voila, it works as expected.

Thinking about a SMP/HT problem i turned of HT in Bios but didn't help. Couldn't install without SMP since the Kernel fails to load the megaraid driver correctly there.

IPSec VPN Logfile shows:

2005:05:31-14:56:09 (none) pppd-l2tp[2753]: rcvd [CCP ResetReq id=0x9]
2005:05:31-14:56:09 (none) pppd-l2tp[2753]: sent [CCP ResetAck id=0x9]
2005:05:31-14:56:13 (none) pppd-l2tp[2753]: rcvd [CCP ResetReq id=0xa]
2005:05:31-14:56:13 (none) pppd-l2tp[2753]: sent [CCP ResetAck id=0xa]
2005:05:31-14:56:15 (none) pppd-l2tp[2753]: rcvd [CCP ResetReq id=0xb]
2005:05:31-14:56:15 (none) pppd-l2tp[2753]: sent [CCP ResetAck id=0xb]
2005:05:31-14:56:20 (none) pppd-l2tp[2753]: rcvd [CCP ResetReq id=0xc]
2005:05:31-14:56:20 (none) pppd-l2tp[2753]: sent [CCP ResetAck id=0xc]
2005:05:31-14:56:41 (none) pppd-l2tp[2753]: rcvd [CCP ResetReq id=0xd]
2005:05:31-14:56:41 (none) pppd-l2tp[2753]: sent [CCP ResetAck id=0xd]
2005:05:31-14:56:58 (none) l2tpd[2529]: check_control: control, cid = 0, Ns = 4, Nr = 23

while trying to initialize a ssh connection over putty.

ethereal showes:
No.     Time        Source                Destination           Protocol Info
   1944 97.813412   192.168.111.220       192.168.111.222       TCP      telefinder > ssh [SYN] Seq=0 Ack=0 Win=65535 Len=0 MSS=1340
   1945 97.813451   192.168.111.222       192.168.111.220       TCP      ssh > telefinder [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MSS=1460
   1946 97.814081   192.168.111.220       192.168.111.222       TCP      telefinder > ssh [ACK] Seq=1 Ack=1 Win=65535 Len=0
   1951 98.074429   192.168.111.222       192.168.111.220       SSHv2    Server Protocol: SSH-1.99-OpenSSH_3.9p1
   1952 98.075435   192.168.111.220       192.168.111.222       SSHv2    Client Protocol: SSH-2.0-PuTTY-Release-0.53
   1953 98.075526   192.168.111.222       192.168.111.220       TCP      ssh > telefinder [ACK] Seq=24 Ack=28 Win=5840 Len=0
   1954 98.076601   192.168.111.222       192.168.111.220       SSHv2    Server: Key Exchange Init
   1955 98.107819   192.168.111.220       192.168.111.222       SSHv2    Client: Key Exchange Init
   1956 98.107822   192.168.111.220       192.168.111.222       SSHv2    Client: Diffie-Hellman Key Exchange Init
   1957 98.122808   192.168.111.222       192.168.111.220       SSHv2    Server: Diffie-Hellman Key Exchange Reply
   1958 98.276969   192.168.111.220       192.168.111.222       TCP      telefinder > ssh [ACK] Seq=532 Ack=944 Win=64592 Len=0
   1959 98.303882   192.168.111.220       192.168.111.222       SSHv2    Client: Diffie-Hellman GEX Init
   1960 98.335769   192.168.111.222       192.168.111.220       SSHv2    Server: Diffie-Hellman GEX Reply
   1964 98.558500   192.168.111.222       192.168.111.220       SSHv2    [TCP Retransmission] Encrypted response packet len=592
   1977 99.004431   192.168.111.222       192.168.111.220       SSHv2    [TCP Retransmission] Encrypted response packet len=592
   1998 99.896297   192.168.111.222       192.168.111.220       SSHv2    [TCP Retransmission] Encrypted response packet len=592
   2008 100.179795  192.168.111.220       192.168.111.222       SSHv2    [TCP Out-Of-Order] Client: Diffie-Hellman GEX Init
   2009 100.179828  192.168.111.222       192.168.111.220       TCP      ssh > telefinder [ACK] Seq=1536 Ack=804 Win=7504 Len=0 SLE=2958759648 SRE=2958759920
   2026 101.680024  192.168.111.222       192.168.111.220       SSHv2    [TCP Retransmission] Encrypted response packet len=592
   2092 105.247488  192.168.111.222       192.168.111.220       SSHv2    [TCP Retransmission] Encrypted response packet len=592
   2203 112.382402  192.168.111.222       192.168.111.220       SSHv2    [TCP Retransmission] Encrypted response packet len=592
   2430 126.652233  192.168.111.222       192.168.111.220       SSHv2    [TCP Retransmission] Encrypted response packet len=592
   2896 155.191892  192.168.111.222       192.168.111.220       SSHv2    [TCP Retransmission] Encrypted response packet len=592
   3974 212.271226  192.168.111.222       192.168.111.220       SSHv2    [TCP Retransmission] Encrypted response packet len=592
   4047 218.075299  192.168.111.222       192.168.111.220       TCP      ssh > telefinder [FIN, ACK] Seq=1536 Ack=804 Win=7504 Len=0

for a failed login with putty over ssh(2).

Any Ideas or Comments on this?
Greetings,
   Sebastian
Parents
  • 0
    Some additional information - i attach todays complete ipsec logfile from boot till timedout ssh connection test while icmp or ftp login (no file transfer!) on internal ftp server works perfect.

    Edit:
    i messed it up. attachment updated.
  • 0 in reply to seezer
    same thing with PPTP from WinXP.
    Doesn't work with 5.816 

    pptp log 5.816:
    2005:06:01-11:40:31 (none) pptpd[6563]: CTRL: Client 128.212.49.1 control connection started
    2005:06:01-11:40:31 (none) pptpd[6563]: CTRL: Starting call (launching pppd, opening GRE)
    2005:06:01-11:40:31 (none) pppd-pptp[6564]: Plugin /usr/sbin/aua.so loaded.
    2005:06:01-11:40:31 (none) pppd-pptp[6564]: AUA plugin initialized.
    2005:06:01-11:40:31 (none) pppd-pptp[6564]: Plugin /usr/sbin/aua.so loaded.
    2005:06:01-11:40:31 (none) pppd-pptp[6564]: AUA plugin initialized.
    2005:06:01-11:40:31 (none) pppd-pptp[6564]: pppd 2.4.3 started by (unknown), uid 0
    2005:06:01-11:40:31 (none) pppd-pptp[6564]: Starting negotiation on /dev/ttyp0
    2005:06:01-11:40:31 (none) pptpd[6563]: GRE: Bad checksum from pppd.
    2005:06:01-11:40:34 (none) pptpd[6563]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
    2005:06:01-11:40:36 (none) pppd-pptp[6564]: Peer vpntest failed CHAP authentication
    2005:06:01-11:40:36 (none) pppd-pptp[6564]: Connection terminated.
    2005:06:01-11:40:36 (none) pppd-pptp[6564]: Exit.
    2005:06:01-11:40:36 (none) pptpd[6563]: GRE: read(fd=4,buffer=8055d00,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
    2005:06:01-11:40:36 (none) pptpd[6563]: CTRL: PTY read or GRE write failed (pty,gre)=(4,5)
    2005:06:01-11:40:36 (none) pptpd[6563]: CTRL: Reaping child PPP[6564]
    2005:06:01-11:40:36 (none) pptpd[6563]: CTRL: Client 128.212.49.1 control connection finished

    same ASL setup on 5.202 works fine.
    i change only the target gateway ip on the client (winXP SP2).
    PPTP setup was done like illustrated in PPTP_Roadwarrior_Guidebook.pdf
  • 0 in reply to seezer
    same problems in 5.838.
    Connection fires up correctly but i.e. ftp data connections don't transport anything.

    can anyone verify this? or is it only badly configured? again, working fine with 5.202.
  • 0 in reply to seezer
    Does other traffic (like HTTP) flow?
    I had a similar issue on one of my machines (not on all). Could you please try to send a ping through the line? Does it work? Then send a bigger ping through the line (on windows: 'ping -l 1000 '). Does it work? Send some sizes of pings. Even a ping with 3000 in size normally should work. If a bigger ping than 500 does not work, you have the same issue I have.

    One more thing: Is the FTP connection tracking helper enabled?
    Webadmin -> Packet Filter -> Advanced -> Connection Tracking Helpers

    Xeno
  • 0 in reply to Xeno
    Hi Xeno,

    minimalistic HTTP page is transported - add more text (size) and it doesn't work anymore.

    Ping works - till i try more then 487 byte packetsize.
    Hmm.. you think this is a hardware problem?

        Sebastian
  • 0 in reply to seezer
    Since i use a SMP system, i tried the 'classic' installation without ACPI now.
    Same thing..
    Any dev got an opinion here?

    Hardware:
    Dell PowerEdge 1850 with Dual Xeon 2,8GHz 
    (4 cpus in defaultbootmode, 2 in 'classic' [HT disabled?!], with 'nosmp' megaraid fails - not testable)
    Intel e1000 nics onboard.
    1GB RAM
  • 0 in reply to seezer
    ok 487 is the same magic number, I also noticed on my system. It seems to be a problem in the IPsec. You should see the droped packets on the ipsec0 interface. I don't think it's a hardware related problem.

    Xeno
  • 0 in reply to Xeno
    Hmkay.
    Would be nice to see any comments from a Dev here, and/or an updated Known-Issues page on docs.astaro.org.

    This has to be accepted as a (will-be-fixed) software
    bug before i can tell my boss that ASL V6 will run fine on our server.
    V5 doesn't [:(]
    If this could be fixed in next Beta, i think it would be ready for us to do near-productive tests
     and get our ASL License, but we need IPSec/L2TP working..

    Sebastian
  • 0 in reply to seezer
    Goto Advance and disable "Send ICMP Messages". This should be a working workaround.
    Anyway, it's a beta.

    Xeno
  • 0 in reply to Xeno
    Hi Xeno,

    thx for this workaround. works now.
    now i believe that it's software, too.

    and sure, it's beta, i wouldn't use this really productive but i have to know, if i could use astaro on my server, as soon as possible, to get my boss to buy this nice software.

    sorry if it sounded too "aggressive"

    Sebastian
Reply
  • 0 in reply to Xeno
    Hi Xeno,

    thx for this workaround. works now.
    now i believe that it's software, too.

    and sure, it's beta, i wouldn't use this really productive but i have to know, if i could use astaro on my server, as soon as possible, to get my boss to buy this nice software.

    sorry if it sounded too "aggressive"

    Sebastian
Children
No Data
Cookie Information Banner