Teil 6 – Abschnitt G: Weitere Tools zum Troubleshooting
Autor: Claus Greck [MVP], MCSEboard.de
Obwohl Sniffer wie Ethereal oder der Netzwerkmonitor die erste Wahl bei der Fehlersuche im Netzwerkbereich sein sollten, beschränkt sich ihr Einsatz bei Verbindungsproblemen mit L2TP oder auch PPTP mehr darauf, zu sehen, ob generell was läuft. Dadurch dass die Tunneldaten verschlüsselt sind, das will man ja mit dem Tunnel schließlich erreichen und zwar auch für die Tunnelaushandlung, sind die einzelnen Rahmen schwer auswertbar.
Es gibt aber weitere Tools, die einem bei der Fehlersuche nützlich sein können
Oakley-Logging.
Das in meinen Augen wertvollste Tool zum Aufspüren möglicher Fehlerursachen bei IPSec-verschlüsselten Verbindungen, ist das Oakley-Logging. Es muss erst in der Registry eingeschaltet werden.
- Abb. 1
Der entsprechende Eintrag ist standardmäßig nicht in der Registry vorhanden und man muss ihn manuell hinzufügen. Dazu erzeugt man im Schlüssel HKEY_LOCAL_MACHINESystemCurrentControlSetServicesPolicyAgentOakley einen neunen Wert vom Typ DWORD mit Namen EnableLogging . Dieser wird dann auf 1 gesetzt (Logging enabled) bzw. 0 (logging disabled).
Anschließend muss der IPSec-Dienst und auch der Ras-Dienst neu gestartet werden. In einer Kommandozeile gibt man ein:
net stop remoteaccess
net Stop policyagent
net start policyagent.
net start remoteaccess.
Der IPSec-Dienst legt bei eingeschaltetem Logging im Ordner %systemroot%Debug eine Datei oakley.log an. Diese ist ASCII-Code und kann mit einem normalen Texteditor angeschaut werden. Bei jedem Start des IPSec-Dienstes wird die Datei oakley.log neu angelegt und die alte Datei nach oakley.log.sav weggesichert.
In der Log-Datei kann man die einzelnen Schritte des Tunnelaushandlung für beide Phasen (Main Mode und Quick Mode) im Klartext verfolgen, man sieht welche gegenseitige Authentifizierungsmethode gewählt wurde, welchen Verschlüsselungsalgorithmus, welchen Hash-Algorithmus und natürlich auch Fehlermeldungen. Ein Beispiel dafür schildere ich mit Praxisbezug im Teil 6: Abschnitt H – L2TP und Firewalls.
Ereignisanzeige
Die Ereignisanzeige kann natürlich insbesondere was Dienste angeht einige Informationen ausgeben, aber auch was die Tunnelaushandlung betrifft. Dazu muss man jedoch die Überwachung der Fehlgeschlagenen und Erfolgreichen Anmeldeereignisse überwachen.
- Abb. 2
In der Kommandozeile öffnet man die lokalen Gruppenrichtlinie mit gpedit.msc und navigiert zu Computerkonfiguration/Windows Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinien.
Man erhält jetzt nicht die Masse von Informationen, aber möglicherweise Hinweise, die die Fehlersuche eingrenzen.
So besteht der in Teil 6 – Abschnitt F beschriebene erfolglose Tunnelaufbau aus drei Einträgen im Sicherheitsprotokoll:
1. Eintrag im Sicherheitsprotokoll (Erfolsüberwachung)
| Ereignistyp: | Erfolgsüberw. |
| Ereignisquelle: | Security |
| Ereigniskategorie: | An-/Abmeldung |
| Ereigniskennung: | 541 |
| Datum: | 20.07.2004 |
| Zeit: | 18:47:55 |
| Benutzer: | NT-AUTORITÄTNETZWERKDIENST |
| Computer: | VPN-SRV |
| Beschreibung: IKE-Sicherheitszuordnung wurde hergestellt. Modus: Schlüsselaustauschmodus (Hauptmodus) |
| Peerkennung: Zertifikatbasierte Identität. Peerantragsteller CN=VPN-Client Peer-SHA-Fingerabdruck 47440f3c373ffaac656df97486fede4ffdb957f4 Peer, der die Zertifizierungsstelle ausstellt: CN=Grizzly's Root CA Stammzertifizierungsstelle CN=Grizzly's Root CA Eigener Antragsteller CN=VPN-Server Eigener SHA-Fingerabdruck d63b93f370a1fe3b1fdb3565de20b070437e0cdb Peer-IP-Adresse: 10.1.1.2 |
| Filter: Quell-IP-Adresse 10.1.1.1 Quell-IP-Adressmaske 255.255.255.255 Ziel-IP-Adresse 10.1.1.2 Ziel-IP-Adressmaske 255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse 10.1.1.1 Peer-IKE-Adresse 10.1.1.2 IKE-Quellport 500 IKE-Zielport 1033 Private Peeradresse |
| Parameter: ESP-Algorithmus Dreifach-DES CBC HMAC-Algorithmus SHA Gültigkeitsdauer (Sek.) 28800 MM-Wartezeit (Sek.) 1 |
2. Eintrag im Sicherheitsprotokoll (Fehlerüberwachung)
| Ereignistyp: | Fehlerüberw. |
| Ereignisquelle: | Security |
| Ereigniskategorie: | An-/Abmeldung |
| Ereigniskennung: | 547 |
| Datum: | 20.07.2004 |
| Zeit: | 18:47:55 |
| Benutzer: | NT-AUTORITÄTNETZWERKDIENST |
| Computer: | VPN-SRV |
| Beschreibung: IKE-Sicherheitszuordnung konnte nicht ausgehandelt werden. Modus: Datenschutzmodus (Schnellmodus) |
| Filter: Quell-IP-Adresse 10.1.1.1 Quell-IP-Adressmaske 255.255.255.255 Ziel-IP-Adresse 192.168.1.242 Ziel-IP-Adressmaske 255.255.255.255 Protokoll 17 Quellport 0 Zielport 1701 Lokale IKE-Adresse 10.1.1.1 Peer-IKE-Adresse 10.1.1.2 IKE-Quellport 500 IKE-Zielport 1033 Private Peeradresse |
| Peeridentität: Zertifikatbasierte Identität. Peerantragsteller CN=VPN-Client Peer-SHA-Fingerabdruck 47440f3c373ffaac656df97486fede4ffdb957f4 Peer, der die Zertifizierungsstelle ausstellt: CN=Grizzly's Root CA Stammzertifizierungsstelle CN=Grizzly's Root CA Eigener Antragsteller CN=VPN-Server Eigener SHA-Fingerabdruck d63b93f370a1fe3b1fdb3565de20b070437e0cdb Peer-IP-Adresse: 10.1.1.2 |
| Fehlerpunkt: Benutzer Fehlerursache: Keine Richtlinie konfiguriert. Zusätzlicher Status: Als drittes verarbeitete Nutzlast (ID) Antwort. Wartezeit 1 0x0 0x0 |
3. Eintrag im Sicherheitsprotokoll (Erfolgsüberwachung)
| Ereignistyp: | Erfolgsüberw. |
| Ereignisquelle: | Security |
| Ereigniskategorie: | An-/Abmeldung |
| Ereigniskennung: | 543 |
| Datum: | 20.07.2004 |
| Zeit: | 18:47:55 |
| Benutzer: | NT-AUTORITÄTNETZWERKDIENST |
| Computer: | VPN-SRV |
| Beschreibung: IKE-Sicherheitszuordnung wurde beendet. Modus: Schlüsselaustausch (Hauptmodus) |
| Filter: Quell-IP-Adresse 10.1.1.1 Quell-IP-Adressmaske 255.255.255.255 Ziel-IP-Adresse 10.1.1.2 Ziel-IP-Adressmaske 255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse 10.1.1.1 Peer-IKE-Adresse 10.1.1.2 IKE-Quellport 500 IKE-Zielport 1033 Private Peeradresse |
Im ersten Eintrag (Erfolgsüberwachung) wird die erfolgreiche Aushandlung der Phase I (Main Mode) eingetragen, was man sowohl im Netzwerkmonitor, als auch im Oakley Log sehen kann. Der zweite Eintrag, der Fehlversuch, ist die fehlgeschlagene Aushandlung der Phase II (Quick Mode). Der angegebene Grund: keine Richtlinie definiert. Diese Aussage ist etwas irreführend, eine Richtlinie war definiert, der Grund für den Fehlschlag war eigentlich ein nicht stimmender Hashwert aufgrund eines zwischengeschalteten NT-Gerätes. Der dritte Eintrag (Erfolgsüberwachung) zeigt an, dass die erfolgreiche Sicherheitszuordnung der Phase I wieder gelöscht wurde.
IPSicherheitsmonitor
Der IPSicherheitsmonitor ist ein Tool, das man sich selber über eine leere Management-Konsole erstellen kann. Allerdings ist es für das Troubleshooting bei nicht erfolgreichen L2TP/IPSec Verbindungen aus meiner Sicht nur sehr begrenzt bis fast gar nicht geeignet, auch wenn es in allen möglichen Microsoft-Artikeln bei den Troubleshooting Tools mitaufgeführt wird.
Man kann sich zwar alle möglichen Parameter und Filtereinstellungen, Verschlüsselungs-, Hash- und Authentifizierungsverfahren bei einem erfolgreichen Verbindungsaufbau anzeigen lassen, bei Fehlern, wenn also keine Sicherheitszuordnung stattfindet, sind die Grenzen des Tools schon erreicht. Lediglich im Feld Statistik kann man sehen, wie viele Aushandlungsfehler es gegeben hat. Nicht sehr hilfreich …
Zur Installation des IPSicherheitsmonitors führt man folgende Schritte aus:
- Abb. 3
Geben Sie unter Start->Ausführen mmc.exe ein, klicken Sie auf das Menü Datei, dann im Menü Datei auf Snap-In hinzufügen/entfernen, im nächsten Fenster auf Hinzufügen. Wählen Sie das Snap-In IPSicherheitsmonitor aus, Klicken Sie auf Hinzufügen, Klicken Sie auf Schließen, Klicken Sie auf OK
© MCSEboard.de, Claus Greck [MVP]