PPP-Log

Das PPP-Protokoll wird für unterschiedliche Netzwerkverbindungen genutzt. Im DEFENDO sind dies:
  • ADSL / VDSL
  • L2TP/IPSec-VPN
Nach dem Aufbau einer physikalischen Verbindung werden über das PPP-Protokoll verschiedene Parameter wie z.B. Paketgrößen, Kompressionsverfahren und IP-Adressen ausgehandelt. In der Regel findet auch eine Benutzer-Authentifizierung statt. Werden sich die Kommunikationspartner über einen Parameter nicht einig, so wird die Verbindung getrennt. In diesem Fall kann das PPP-Log Aufschluss über die Ursache des Problems geben. Um das PPP-Log anzuzeigen wählen Sie dieses bitte im Menü Monitoring > Log-Dateien" unter "Log-Datei" aus.
Sind im PPP-Log keinerlei Meldungen verzeichnet die zu der zu untersuchenden Verbindung passen, so ist das Problem auf der physikalischen Ebene zu suchen.
ADSL
Die Verbindung zum Modem bzw. zwischen Modem und Provider ist gestört
L2TP/IPSec-VPN
Der IPSec-Verbindungsaufbau ist fehlgeschlagen

Logdatei Format

Die Zeilen im PPP-Log haben folgendes Format:
Datum Uhrzeit Name Prozess[PID]: Richtung [Schicht Befehl ID Optionen]
PID (Prozess-ID)
Unter Umständen sind mehrere PPP-Verbindungen gleichzeitig aktiv. Beachten Sie daher bei der Auswertung der Log-Dateien, dass nur die Zeilen mit der selben PID auch zur selben Verbindung gehören. Nutzen Sie ggf. die PID um die Log-Datei zu Filtern.
Richtung
Bei PPP-Paketen die DEFENDO von der Gegenstelle empfängt steht hier "rcvd", bei ausgehenden Paketen steht "sent".
Schicht
Das PPP-Protokoll arbeitet schichtenorientiert. Zunächst wird versucht sich über die Verbindungsparameter zu einigen (LCP). Es folgt - sofern erforderlich - die Anmeldeschicht (PAP oder CHAP). Gelegentlich wird versucht eine spezielle Komprimierungsschicht aufzubauen (CCP), diese ist jedoch bei Problemen kaum von belang. Schließlich erfolgt die Aushandlung der IP-Parameter (IPCP).

Probleme nach Schicht

Prüfen Sie nun im Log welches die höchste Schicht ist, die von der Verbindung erreicht wird:
LCP
Sind im Log ausschließlich "sent"-Pakete verzeichnet, so antwortet die Gegenstelle nicht auf den versuchten Verbindungsaufbau. Typischerweise haben die Log-Einträge in etwa folgende Form:
...: sent [LCP ConfReq id=0x1 <mru 1500> <magic 0x...> <pcomp> <accomp>] Dies ist typisch für eine gestörte ADSL-Wählverbindung. Das weitere Vorgehen für diesen Fall entnehmen Sie bitte dem Artikel Gestörte ADSL-Verbindung.
Können sich die beiden PPP-Kommunikationspartner über einen Parameter nicht einigen, so wird dies mit dem PPP-Befehl "ConfRej" angezeigt. Um welche Option es sich dabei handelt wird in der Meldung ersichtlich.
Im folgenden Beispiel teilt uns die Gegenstelle mit, dass sie sich nicht mit PAP am DEFENDO anmelden will:
...: rcvd [LCP ConfRej <auth pap>] Mögliche Ursachen:
  • Die DEFENDO Schnittstelle ist falsch konfiguriert. Nicht die Gegenstelle soll sich am DEFENDO anmelden sondern DEFENDO an der Gegenstelle (z.B. Internet-Provider)
  • Die Gegenstelle ist falsch konfiguriert und will sich gar nicht oder mit einem anderen Protokoll (z.B. CHAP) am DEFENDO anmelden
Anders bei diesem Beispiel: Hier weigert sich DEFENDO, sich mit PAP anzumelden:
...: sent [LCP ConfRej <auth pap>] Mögliche Ursachen:
  • Die Gegenstelle ist falsch konfiguriert.
  • In der DEFENDO Schnittstelle fehlt die Angabe von Benutzername und Passwort um sich bei der Gegenstelle anzumelden.
Bei anderen Problemen, bei denen die Kommunikation ausschließlich auf der LCP-Schicht erfolgt, übermitteln Sie bitte den entsprechenden Ausschnitt aus dem Log an den technischen Support.
Authentifizierung (PAP oder CHAP
Die Benutzeranmeldung mit PAP und CHAP unterscheidet sich hinsichtlich der Meldungen. Im Beispiel meldet sich DEFENDO als Benutzer "test" bei der Gegenstelle an.
Eine erfolgreiche Anmeldung mit PAP sieht wie folgt aus:
...: sent [PAP AuthReq user="test" ...]
...: rcvd [PAP AuthAck ... ] Würde sich die Gegenstelle am DEFENDO anmelden, wären lediglich "sent" und "rcvd" vertauscht.
Bei CHAP umfasst der Authentifzierungsvorgang drei Zeilen:
...: rcvd [CHAP Challenge ...]
...: sent [CHAP Response name="test" ...]
...: rcvd [CHAP Success ... ]
Sollte die Anmeldung fehlschlagen, so finden Sie bei PAP bzw. CHAP folgende Meldungen:
...: rcvd [PAP AuthNak ... ]
...: rcvd [CHAP Failure ... ] Prüfen Sie in diesem Fall bitte zunächst ob die verwendeten Zugangsdaten korrekt sind.
Verweigert bei einer ausgehenden Verbindung der Provider die Anmeldung, so könnten folgende Probleme vorliegen:
  • Der Zugang ist gesperrt oder noch nicht freigeschaltet
  • Die Anmelde-Server des Providers sind gestört. Eigentlich korrekte Zugangsdaten werden fälschlicherweise abgewiesen
  • Mit den selben Zugangsdaten wurde anderweitig eine weitere Verbindung zum Provider aufgebaut, was dieser nicht zulässt (insbesondere bei Flatrate)
  • Die Beendigung einer vorangehenden Verbindung wurde vom Provider nicht registriert. Der Aufbau einer neuen Verbindung ist daher gesperrt
Erfolgt keinerlei Rückmeldung von Seiten des Providers, ob die Anmeldung erfolgt oder gescheitert ist, so ist ebenfalls von einer Störung der Anmelde-Server des Providers auszugehen.
Kontaktieren Sie in den zuvor genannten Fällen bitte den Provider.
Bei eingehenden Verbindungen (z.B. RAS-Einwahl, L2TP/IPSec) verweigert möglicherweise DEFENDO die Annmeldung. Prüfen Sie bitte in diesem Fall ob der entsprechende Benutzer Mitglied der DEFENDO-Gruppe "system-ras" ist.
IPCP
In der IPCP-Schicht werden die IP-Adressen ausgehandelt, die die beiden Kommunikationspartner verwenden sollen. Es wird dabei sowohl über die IP-Adresse des Einwahl-Servers als auch über die des Einwählers verhandelt.
Üblicherweise gibt dabei der Einwahlserver beide Adressen vor und der Einwähler akzeptiert die Werte die der Server vorschlägt. Besteht der Einwähler jedoch auf eine bestimmte Adresse, die der Server nicht akzeptieren kann, so scheitert die Verbindung wie im folgenden Beispiel:
...: rcvd [IPCP ConfReq <addr 192.168.0.111>]
...: sent [IPCP ConfNak <addr 10.1.1.99>]
...: rcvd [IPCP TermReq ...] Die Gegenstelle hätte gerne die Adresse "192.168.0.111". DEFENDO verweigert diese (ConfNak) und schlägt stattdessen "10.1.1.99" vor. Die Gegenstelle leitet daraufhin den Abbau der Verbindung ein (TermReq).
In seltenen Fällen kann es auch vorkommen, dass der Einwahlserver vom Einwähler erwartet, dass dieser von sich aus eine bestimmte Adresse vorschlägt.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany