Teil 6 – Abschnitt E: Troubleshooting mit dem Netzwerkmonitor
Autor: Claus Greck [MVP], MCSEboard.de
Ein Netzwerkmonitor oder auch Sniffer genannt, leistet manchmal wertvolle Dienste bei der Fehlersuche, wenngleich er nicht so sprechend ist, dass man ein Problem direkt aus dem Capture der Rahmen im Netzwerk herauslesen könnte.
Der Einsatz des Netzwerkmonitors ist eigentlich nur richtig effizient auf der Seite des VPN-Servers. Ist auf Seiten des VPN-Clients alles richtig verkabelt und verbindungstechnisch in Ordnung kann man davon ausgehen, das die Pakete, mit denen der VPN-Client den Tunnelaufbau initiiert, auch den Clientcomputer verlassen.
- Abb. 1
Interessant ist, ob und wie die Pakete auf der Server-Seite ankommen, und ob der VPN-Server antwortet.
So sieht ein erfolgreicher L2TP/Ipsec Verbindungsaufbau zwischen Windows XP und Windows 2003 Server aus:
- Abb. 2
So kann das Capture eines fehlgeschlagenen Tunnelaufbaus aussehen:
Man sieht deutlich, dass völlig anders als im Capture des erfolgreichen Aufbaus, der Client mehrmals hintereinander ein Paket zur Aushandlung der Sicherheitszuordnung an den VPN-Server sendet, der VPN-Server dann Antwort-Pakete sendet, der Client wieder mehrere Pakete sendet, usw.
Ein Verbindungsaufbau findet nicht statt, und produziert meist die Fehlermeldung 791 oder die Fehlermeldung 800:
- Abb. 3
- Abb. 4
- Abb. 5
Es kann aber auch vorkommen, dass der VPN-Client Pakete zum Tunnelaufbau sendet, der VPN-Server jedoch überhaupt nicht antwortet. Hier wurde nicht einmal die Phase I der SA (Main Modus) ausgehandelt. Auch das sieht man im Netzwerkmonitor sofort:
- Abb. 6
Das folgende Bild ist ein interessantes Exemplar einer fehlgeschlagenen Tunnelaushandlung. Während die Aushandlung der Phase I offensichtlich ohne Probleme stattfindet, und die Pakete auch in Phase II im Überblick wie bei einem erfolgreichen Verbindungsversuch aussehen, bricht die Aushandlung plötzlich ab, ein verschlüsselter Verkehr findet nicht statt, der Client erhält wieder die obige Fehlermeldung 791.
Erstaunlicherweise wurden alle drei oben gezeigten Captures mit den Fehlaushandlungen mit ein und demselben VPN-Client und ein und demselben VPN-Server in derselben Netzwerkkonfiguration gemacht, die von mir bewusst so eingerichtet wurde, dass der Tunnelaufbau fehlschlagen musste.
Lediglich beim 3. Capture wurde der bis dahin ungepatchte XP-Client auf der Windows Update-Seite mit den neuesten Updates versorgt, der Patch 818043 wurde nicht installiert.
Anmerkung: Die oben gezeigten Captures und Fehlermeldungen hatten alle die gleiche Fehlerursache, entweder VPN-Server oder VPN-Client befanden sich hinter einem NAT-Gerät. Näheres dazu siehe auch Teil 6 – Abschnitt H: L2TP und Firewalls
© MCSEboard.de, Claus Greck [MVP]