[gelöst (vorübergehend)] VPN-Verbindung in die Arbeit funktionert nicht mehr

[Spindoctor]

Hallo!

Auf meinem Debian Bookworm (Testing)-System funktioniert seit ca. 2 Wochen die VPN-Verbindung zum Arbeits-VPN-Server nicht mehr. Davor hat es recht lange problemlos funktioniert.

Ich verwende die Pakete network-manager-l2tp und network-manager-l2tp-gnome.

Mit meinen Einstellungen konnte ich bisher über den Gnome Network Manager einfach ins VPN verbinden. Das geht auch jetzt noch, allerdings fliege ich nach ca. 1 Minute wieder aus dem VPN hinaus.

Hier ist ein Log meiner fehlgeschlagenen VPN-Verbindung (IP-Adressen habe ich entfernt):
https://nextcloud.yeara.net/s/dbZw4QpsCmHP56G

Soweit ich es durchschaue, beginnt der relevant Teil hier:

Code: Alles auswählen

Mär 08 09:24:32 austernpilz-marcel charon[5989]: 01[ENC] parsed INFORMATIONAL_V1 request 2021249469 [ HASH N(DPD) ]
Mär 08 09:24:32 austernpilz-marcel charon[5989]: 01[ENC] generating INFORMATIONAL_V1 request 356123565 [ HASH N(DPD_ACK) ]
Mär 08 09:24:32 austernpilz-marcel charon[5989]: 01[NET] sending packet: from 192.168.0.180[4500] to <Public IP>[4500] (92 bytes)
Mär 08 09:24:45 austernpilz-marcel NetworkManager[6024]: xl2tpd[6024]: check_control: Received out of order control packet on tunnel 61041 (got 3, expected 4)
Mär 08 09:24:45 austernpilz-marcel NetworkManager[6024]: xl2tpd[6024]: handle_control: bad control packet!
Mär 08 09:24:45 austernpilz-marcel charon[5989]: 07[NET] received packet: from <Public IP>[4500] to 192.168.0.180[4500] (84 bytes)
Mär 08 09:24:45 austernpilz-marcel charon[5989]: 07[ENC] parsed INFORMATIONAL_V1 request 3124328840 [ HASH N(DPD) ]
Mär 08 09:24:45 austernpilz-marcel charon[5989]: 07[ENC] generating INFORMATIONAL_V1 request 1656922586 [ HASH N(DPD_ACK) ]
Mär 08 09:24:45 austernpilz-marcel charon[5989]: 07[NET] sending packet: from 192.168.0.180[4500] to <Public IP>[4500] (92 bytes)
Mär 08 09:24:47 austernpilz-marcel NetworkManager[6024]: xl2tpd[6024]: check_control: Received out of order control packet on tunnel 61041 (got 3, expected 4)
Mär 08 09:24:47 austernpilz-marcel NetworkManager[6024]: xl2tpd[6024]: handle_control: bad control packet!
Mär 08 09:24:51 austernpilz-marcel NetworkManager[6024]: xl2tpd[6024]: check_control: Received out of order control packet on tunnel 61041 (got 3, expected 4)
Mär 08 09:24:51 austernpilz-marcel NetworkManager[6024]: xl2tpd[6024]: handle_control: bad control packet!
Mär 08 09:24:59 austernpilz-marcel NetworkManager[6024]: xl2tpd[6024]: check_control: Received out of order control packet on tunnel 61041 (got 3, expected 4)
Mär 08 09:24:59 austernpilz-marcel NetworkManager[6024]: xl2tpd[6024]: handle_control: bad control packet!
Mär 08 09:25:05 austernpilz-marcel charon[5989]: 11[IKE] sending keep alive to <Public IP>[4500]
Mär 08 09:25:06 austernpilz-marcel charon[5989]: 12[NET] received packet: from <Public IP>[4500] to 192.168.0.180[4500] (84 bytes)
Mär 08 09:25:06 austernpilz-marcel charon[5989]: 12[ENC] parsed INFORMATIONAL_V1 request 2249792635 [ HASH D ]
Mär 08 09:25:06 austernpilz-marcel charon[5989]: 12[IKE] received DELETE for IKE_SA 016e39e7-c775-46be-85d3-215b15580b02[1]
Mär 08 09:25:06 austernpilz-marcel charon[5989]: 12[IKE] deleting IKE_SA 016e39e7-c775-46be-85d3-215b15580b02[1] between 192.168.0.180[192.168.0.180]...<Public IP>[<Public IP>]
Mär 08 09:25:06 austernpilz-marcel charon[5989]: 12[IKE] deleting IKE_SA 016e39e7-c775-46be-85d3-215b15580b02[1] between 192.168.0.180[192.168.0.180]...<Public IP>[<Public IP>]
Mär 08 09:25:14 austernpilz-marcel NetworkManager[6024]: xl2tpd[6024]: Maximum retries exceeded for tunnel 62233.  Closing.

Auf Geräten mit anderen Betriebssystemen (z.B. auf meinem Android Handy, auf den PCs von Kolleg*innen (mit Windows oder Ubuntu), etc.) funktioniert es noch.

Könnt ihr mir helfen, eine Lösung zu finden? Danke schon jetzt

[michaa7]

Ich weiß was VPN ist, habe weiter aber keine Ahnung. Google (handle_control: bad control packet!) findet jedoch diese Lösung (englisch)
https://github.com/xelerance/xl2tpd/issues/136

(EDit: Link korrigiert)

[Spindoctor]

Hmm, ja, dieses Problem sieht vertraut aus. Danke fürs Finden. Aber ich konnte in dem Thread keine Lösung finden... hab ich was übersehen?

[michaa7]

Jain.

Der Link war kastriert:
https://github.com/xelerance/xl2tpd/issues/136

daniel1111 commented on 14 Feb 2018
I've hit the same issue, and eventually got it to connect by commenting out this line:
xl2tpd/control.c

Line 847 in 030f8fe

add_rxspeed_avp (buf, t->rxspeed);
BTW, I don't have access to the VPN server logs (although I believe it is a watchguard firewall) so I'd never have got it working without your logs @shadyhh, thanks

Das bezieht sich aber wohl auf den Quelltext. Mehrere Fedora und Debianuser bestätigen dann dass dies das Problem löst!
Allerdings -das ist mir erst jetzt aufgefallen- stammt das aus 2018 ... das dürfte also Schnee von gestern sein ... aber vielleicht nutzt du ja ein stable/oldstable? Dann ist das vielleicht noch "aktuell"?

Vermutlich war ich zu voreilig ...

[eggy]

https://bbs.archlinux.org/viewtopic.php?id=239594 demnach könntest mal andere IPSec Settings versuchen

Und https://forum.manjaro.org/t/stable-upda ... 493?page=3 (Eintrag von March 15, 2022, 4:29pm #73 ) sagt:
Once I only downgrade NetworkManager (1.36.2-1 → 1.34.0.1), it works well as before.
I suspect new one fails to communicate with xl2tpd.
also älteren Networkmanager versuchen.
Ich würd vermutlich damit anfangen.
Dann das mit den Einstellungen versuchen.

[Spindoctor]

Danke. Dann war es vielleicht echt ein Upgrade bei mir... aber kann ich auf Debian Testing so leicht den Network-Manager downgraden?

[michaa7]

Bei mir ginge das, und ich habe sogar unstable:

# apt install -s network-manager=1.30.0-2 libnm0=1.30.0-2
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Statusinformationen werden eingelesen… Fertig
Die folgenden zusätzlichen Pakete werden installiert:
dns-root-data dnsmasq-base libndp0 libteamdctl0
Vorgeschlagene Pakete:
libteam-utils
Die folgenden NEUEN Pakete werden installiert:
dns-root-data dnsmasq-base libndp0 libteamdctl0 network-manager
Die folgenden Pakete werden durch eine ÄLTERE VERSION ERSETZT (Downgrade):
libnm0
0 aktualisiert, 5 neu installiert, 1 durch eine ältere Version ersetzt, 0 zu entfernen und 88 nicht aktualisiert.
Inst dns-root-data (2021011101 Debian:unstable, Debian:11.2/stable [all])
Inst dnsmasq-base (2.86-1.1 Debian:unstable [amd64])
Inst libndp0 (1.6-1+b1 Debian:unstable, Debian:11.2/stable [amd64])
Inst libnm0 [1.36.2-1] (1.30.0-2 Debian:11.2/stable [amd64])
Inst libteamdctl0 (1.31-1 Debian:unstable, Debian:11.2/stable [amd64])
Inst network-manager (1.30.0-2 Debian:11.2/stable [amd64])
Conf dns-root-data (2021011101 Debian:unstable, Debian:11.2/stable [all])
Conf dnsmasq-base (2.86-1.1 Debian:unstable [amd64])
Conf libndp0 (1.6-1+b1 Debian:unstable, Debian:11.2/stable [amd64])
Conf libnm0 (1.30.0-2 Debian:11.2/stable [amd64])
Conf libteamdctl0 (1.31-1 Debian:unstable, Debian:11.2/stable [amd64])
Conf network-manager (1.30.0-2 Debian:11.2/stable [amd64])

Könntest es ja selbst mal testen ( -s )

[eggy]

network-manager | 1.30.0-2 | stable | source, amd64, arm64, armel, armhf, i386, mips64el, mipsel, ppc64el, s390x
network-manager | 1.36.2-1 | testing | source, amd64, arm64, armel, armhf, i386, mips64el, mipsel, ppc64el, s390x
network-manager | 1.36.2-1 | unstable | source, amd64, arm64, armel, armhf, i386, mips64el, mipsel, ppc64el, s390x
network-manager | 1.36.2-1 | unstable-debug | source

stable 1.30.0 und 1.36.2 testing .. ich geh mal davon aus, dass es sich bei dem Manjaropaket um das aus testing handeln wird. Also einfach ausprobieren, pass dabei aber bei den Abhängigkeiten auf, dass es Dir nichts grundlegend wichtiges runterwirft. Wenn's nicht klappt, installierst halt nochmal die 1.36er drüber.

[michaa7]

... oder holst dir eine Zwischenversion aus dem Archiv:

http://snapshot.debian.org

[Spindoctor]

hab das downgrade probiert, das hat bis jetzt nicht geklappt. aber muss noch genau analysieren, ob das downgrade überhaupt geklappt hat. Melde mich deshalb morgen nochmal.

Danke für Eure Hilfe soweit!

[eggy]

... oder holst dir eine Zwischenversion aus dem Archiv:

Da hab ich mich wohl missverständlich ausgedrückt.
Ich hab gemeint, die bei Manjoro verwendete Version scheint nicht aus Stable zu sein (1.30), vermutlich haben sie die aus Testing (1.36) genommen, und laut dem Posting hat nen Zurückgehen auf die 1.34 geklappt ... also 1.34 versuchen (und da die meisten Leute glücklicherweise zu faul zum Aufräumen sind, ist die Chance, dass das alte deb noch im Cache liegt und nen einfaches "apt-get install network-manager=1.34.0.1" erfolgreich verläuft, doch immer recht hoch ).

[Spindoctor]

oh. verstehe. danke @eggy. Wer mich in rl kennt, wäre sicher auch davon überzeugt, dass ich zu faul zum aufräumen bin. Leider ist es auf meinen Computern genau umgekehrt.

Fast auf jedes "apt update; apt upgrade" folgt ein "apt autoremove; apt clean" (ok, geht auch viel leichter als Wohnung aufräumen). Daher ist die 1.34er-Version schon weg... Mal sehen, ob ich sie aus dem Archiv kitzeln kann.

[eggy]

Code: Alles auswählen

wohnungs-apt clean

[MSfree]

Code: Alles auswählen

wohnungs-apt clean

Wo gibt's das? Ist das noch in SID?
Haben will!!einsElf!

[michaa7]

OT

Auszug aus "man wohnungs-apt"

-c, --clean does nothing except using all of the computers RAM
-p, --purge not implemented yet; will be sponsored by caterpillar© in a future version
-h, --help No Help here. You're completely on your own, but the truth is: "Wer Ordnung hält ist nur zu faul zum Suchen"

[Spindoctor]

Da hört sich der name des Pakets wohnungs-apt aber besser an als der Inhalt

Danke nochmal für den Hinweis. Mit network-manager 1.34.0-1 und libnm0 1.34.0-1 komm ich tatsächlich wieder ins vpn.

Scheint also ein Problem mit den aktuellsten Versionen zu sein.

Ich konnte das hier im Thread nicht ganz verfolgen: gibt es schon einen Bug Report oder muss der noch geschrieben werden?

[michaa7]

Hier im Thread wurde ein Bugreport noch nicht erwähnt. Beim Schreiben des Selbigen gibt dir reportbug jedoch Gelegenheit durch die vorhandenen zu stöbern ...

[Spindoctor]

Ja. stimmt.
Aber ein paar Links für den Bug Report wären gut. Wo habt ihr eure Infos gefunden, @michaa7 und @eggy?

[edit]
never mind, steht ja eh da. Wer lesen kann ist klar im Vorteil.

[eggy]

Ich hatte "Received out of order control packet on tunnel" nach $Suchmaschine geworfen und dann die Treffer gelesen, die am Erfolgversprechendsten klangen. Ist ja leider manchmal echte Glückssache, die richtigen Brocken aus dem Log zu fischen.

Grundsätzlich nehm ich die Fehlermeldung, mit der ich am wenigsten anfangen kann, für die Suchanfrage (alles weglassen, was zu Spezifisch ist, wie PIDs, Timestamps, etc,) zuerst.
Die anderen Meldungen schreien entweder "hier ist die Ursache" (dann braucht man gar nicht erst mit Suchen anfangen) oder das Bauchgefühl sagt "daran liegt's eher nicht". Übrig bleibt dann meist ne handvoll Zeug, von dem man noch nie was gehört hat, oder zumindest nicht in dem Kontext. Davon dann das nehmen, das am erfolgversprechendsten oder interessantesten klingt, bzw. wo der Lerneffekt vermutlich am größten ist. Irgendwie muss sich das Suchen doch auch lohnen, und wenn schon keine Lösung bei rumkommt, dann doch wenigstens neues Wissen

[Spindoctor]

So, hier ist der Bug Report:
https://bugs.debian.org/cgi-bin/bugrepo ... ug=1007899

Danke nochmal für Eure Hilfe! Danke auch für die Beschreibung Deiner Strategie eggy! Werd mir bestimmt was abschauen. Grundsätzlich ist es halt sicher leichter mit Dingen, von denen man schon einen Teil versteht. Bei Netzwerk und VPN kenn ich mich leider ganz schlecht aus...

Ich markier den Thread mal als gelöst, weil zumindest eine temporäre Lösung gibt es ja...

[Spindoctor]

Der Bug wurde mit dem Hinweis geschlossen, dass das Problem mit network-manager 1.36.4-1 gelöst sein sollte.

Tatsächlich habe ich das Problem mit network-manager 1.36.4-2 immer noch.

Allerdings wurde das downgraden um ein Paket komplizierter (auch wpasupplicant_2.10-7 wird benötigt).

Was wäre nun die richtige Vorgehensweise für den Bug? Reopen oder neuen Bug anlegen? Kann ich irgendwelche zusätzlichen Infos angeben?

Danke nochmal für Eure Hilfe!