12
vpn mit netgear fwg114p v2
Hallo Also es geht um folgendes, ich habe den oben benannten Router und möchte gerne VPN verbindung aufbauen.
Bsp Ich sitze in der Hochschule, und möchte gerne mein SIP Telefon benutzen , geht aber nicht weil Ports blockiert sind.Eingehender Traffic ist erst gar nicht möglich.Laut aussage ist VPN ausgehend freigegeben.Nun möchte ich meinen Router zu verwenden dass ich eingehende VPN Verbindungen zulasse, um somit über meinen Router daheim auf das Internet zugreife.
Meine Fragen sind:
a) Geht es mit diesen Router ?
b) Wenn ja, wie geht man da am besten vor
Mit VPN einrichten hab ich bisher noch wenig erfahrung, außer bei xp wo ich es mal ausprobiert habe.Aber hier soll ausdrücklich kein PC am laufen sein der ein VPN Dienst bereitstellt
Nachtrag;
Inzwischen hab ich ein wenig herumexperimentiert, mit den Netgear VPN Clienten, doch leider klappts nicht
Die logs sagen folgendes
(vom VPN Server)
[2006-11-11 14:13:44][==== IKE PHASE 1(to 61.11.11.5) START (initiator) ====]
[2006-11-11 14:13:44] SENT OUT FIRST MESSAGE OF AGGR MODE
[2006-11-11 14:13:44]<POLICY: vpn> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2006-11-11 14:13:44] RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN)
(vom Clienten)
11-11: 14:15:26.014 recvfrom () : 2746
11-11: 14:15:27.889 My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID)
11-11: 14:15:27.905 My Connections\New Connection - SENDING>>>> ISAKMP OAK INFO (NOTIFY:NO_PROPOSAL_CHOSEN)
11-11: 14:15:27.905 My Connections\New Connection - Discarding IKE SA negotiation
Woran könnte es liegen ?
Bsp Ich sitze in der Hochschule, und möchte gerne mein SIP Telefon benutzen , geht aber nicht weil Ports blockiert sind.Eingehender Traffic ist erst gar nicht möglich.Laut aussage ist VPN ausgehend freigegeben.Nun möchte ich meinen Router zu verwenden dass ich eingehende VPN Verbindungen zulasse, um somit über meinen Router daheim auf das Internet zugreife.
Meine Fragen sind:
a) Geht es mit diesen Router ?
b) Wenn ja, wie geht man da am besten vor
Mit VPN einrichten hab ich bisher noch wenig erfahrung, außer bei xp wo ich es mal ausprobiert habe.Aber hier soll ausdrücklich kein PC am laufen sein der ein VPN Dienst bereitstellt
Nachtrag;
Inzwischen hab ich ein wenig herumexperimentiert, mit den Netgear VPN Clienten, doch leider klappts nicht
Die logs sagen folgendes
(vom VPN Server)
[2006-11-11 14:13:44][==== IKE PHASE 1(to 61.11.11.5) START (initiator) ====]
[2006-11-11 14:13:44] SENT OUT FIRST MESSAGE OF AGGR MODE
[2006-11-11 14:13:44]<POLICY: vpn> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2006-11-11 14:13:44] RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN)
(vom Clienten)
11-11: 14:15:26.014 recvfrom () : 2746
11-11: 14:15:27.889 My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID)
11-11: 14:15:27.905 My Connections\New Connection - SENDING>>>> ISAKMP OAK INFO (NOTIFY:NO_PROPOSAL_CHOSEN)
11-11: 14:15:27.905 My Connections\New Connection - Discarding IKE SA negotiation
Woran könnte es liegen ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 44191
Url: https://administrator.de/contentid/44191
Printed on: April 23, 2024 at 17:04 o'clock
12 Comments
Latest comment
Einen Dienst stellst du ja auch nicht zur Verfügung !!! Du nutzt ja lediglich einen VPN Client.
Das Verfahren ist eigentlich ganz einfach. Dein Client baut eine VPN Verbindung zu deinem Router zuhause auf und damit hängst du dann über den VPN Tunnel wie ein lokaler Rechner am "zuhause" Netz. Das siehst du auch wenn du dir die IP Adresse des Tunneladapters auf deinem Client PC ansiehst, denn der sollte dann eine Adresse aus deinem Heimnetz haben.
Die Problematik ist allerdings das Netz in dem dein Client sich befindet. Ist das über einen NAT (Adress Translation) Prozess ans Internet gekoppelt kann es Probleme mit dem Aufbau deiner VPN Verbindung geben.
Um das genauer zu beleuchten müsste man aber wissen was dein Client für ein VPN Verfahren bzw. Protokoll benutzt. Es gibt derer viele und unterschiedliche Protokolle (PPTP, L2TP, IPsec, SSL usw.)
Nach den Fehlermeldungen deines Systems (ISAKMP, IKE etc.) sieht es aber ganz so aus als ob dein Client IPsec benutzt. ISAKMP/IKE ist das Schlüsselprotokoll zu IPsec. Nun müsste man nur noch wissen ob der Client IPsec im AH (Authentication Header) oder ESP Mode (Encapsulation Security Payload) benutzt.
AH ist gar nicht per NAT zu übertragen und ESP nur wenn der NAT Router das supportet (VPN passthrough oder Forwarding für Protokoll 50).
So oder so MUSST du aber für die Protokolle im NAT Sytem ein Portforwarding auf deine Maschine einstellen oder global freigeben sonst klappt es gar nicht !
Eine Verbindung ist dann nur an einem nativen Internet Anschluß wie einem Analog- oder ISDN Modem direkt am Carrier oder direkt am DSL Modem möglich. Da sollte deine Verbindung eigentlich problemlos laufen.
Wenn du in der Hochschule KEINE RFC 1918 Adressen bekommst sondern in eurem Segement auch öffentliche Adressen dann sollte es auch klappen (Vermutlich ist dann kein NAT im Spiel !). Voraussetzung ist aber am Uni Internetanschluss wird kein IKE oder andere VPN Verbindungen/Protokolle gefiltert !
Das Verfahren ist eigentlich ganz einfach. Dein Client baut eine VPN Verbindung zu deinem Router zuhause auf und damit hängst du dann über den VPN Tunnel wie ein lokaler Rechner am "zuhause" Netz. Das siehst du auch wenn du dir die IP Adresse des Tunneladapters auf deinem Client PC ansiehst, denn der sollte dann eine Adresse aus deinem Heimnetz haben.
Die Problematik ist allerdings das Netz in dem dein Client sich befindet. Ist das über einen NAT (Adress Translation) Prozess ans Internet gekoppelt kann es Probleme mit dem Aufbau deiner VPN Verbindung geben.
Um das genauer zu beleuchten müsste man aber wissen was dein Client für ein VPN Verfahren bzw. Protokoll benutzt. Es gibt derer viele und unterschiedliche Protokolle (PPTP, L2TP, IPsec, SSL usw.)
Nach den Fehlermeldungen deines Systems (ISAKMP, IKE etc.) sieht es aber ganz so aus als ob dein Client IPsec benutzt. ISAKMP/IKE ist das Schlüsselprotokoll zu IPsec. Nun müsste man nur noch wissen ob der Client IPsec im AH (Authentication Header) oder ESP Mode (Encapsulation Security Payload) benutzt.
AH ist gar nicht per NAT zu übertragen und ESP nur wenn der NAT Router das supportet (VPN passthrough oder Forwarding für Protokoll 50).
So oder so MUSST du aber für die Protokolle im NAT Sytem ein Portforwarding auf deine Maschine einstellen oder global freigeben sonst klappt es gar nicht !
Eine Verbindung ist dann nur an einem nativen Internet Anschluß wie einem Analog- oder ISDN Modem direkt am Carrier oder direkt am DSL Modem möglich. Da sollte deine Verbindung eigentlich problemlos laufen.
Wenn du in der Hochschule KEINE RFC 1918 Adressen bekommst sondern in eurem Segement auch öffentliche Adressen dann sollte es auch klappen (Vermutlich ist dann kein NAT im Spiel !). Voraussetzung ist aber am Uni Internetanschluss wird kein IKE oder andere VPN Verbindungen/Protokolle gefiltert !
Hallo Erstmal danke für die Antwort, und den Tip mit ESP.Ich kann beides nutzten, die entsprechenden einstellmöglichkeiten sind sowohl am clienten , als auch im Router möglich.
Ein weiteres Problem, ich hab bisher versucht den VPN Router in meinen eigenen Netz anzusprechen, macht zwar nicht viel sinn, aber so hab ich gesehen dass es dort auch fehler gibt, die oben gennanten.
Jetzt bin ich über einen Freund reingegangen, und nix ging, ich bekam keine Antwort.Muss man denn in den Firewall regeln das noch extra freischalten ? Wenn der Router das gleiche Gerät ist wie der Tunnelendpunkt ? Hab auch das Probiert in dem ich sogar die interne ip des Routers als dmz gesetzt hab, aber auch das hat nix gebracht, laut portscan von heise ist der Port 500 zu
Ein weiteres Problem, ich hab bisher versucht den VPN Router in meinen eigenen Netz anzusprechen, macht zwar nicht viel sinn, aber so hab ich gesehen dass es dort auch fehler gibt, die oben gennanten.
Jetzt bin ich über einen Freund reingegangen, und nix ging, ich bekam keine Antwort.Muss man denn in den Firewall regeln das noch extra freischalten ? Wenn der Router das gleiche Gerät ist wie der Tunnelendpunkt ? Hab auch das Probiert in dem ich sogar die interne ip des Routers als dmz gesetzt hab, aber auch das hat nix gebracht, laut portscan von heise ist der Port 500 zu
Anmerkung
Ich hatte schonmal mit den Rechenzentrum gesprochen, also Ipsec filtern die nicht, das sollte nach deren aussage gehen.Wobei ihr auf jeden Fall Private IP Adressen und NAT verwendet werden.
Aber bisher hab ich halt noch die Probleme dass ich gar kein Tunnel aufgebaut bekomme, egal ob ich im selben netz sitzte, oder im internet (wie geschrieben, ist dort gar keine Kontaktaufnahme möglich)
Ich hatte schonmal mit den Rechenzentrum gesprochen, also Ipsec filtern die nicht, das sollte nach deren aussage gehen.Wobei ihr auf jeden Fall Private IP Adressen und NAT verwendet werden.
Aber bisher hab ich halt noch die Probleme dass ich gar kein Tunnel aufgebaut bekomme, egal ob ich im selben netz sitzte, oder im internet (wie geschrieben, ist dort gar keine Kontaktaufnahme möglich)
OK, wenn ihr private RFC 1918 Adressen habt rennst du in das gleiche Problem wie bei deinem Freund ! Da ist dann irgendwo ein NAT Router zwischen dir und dem Internet !
Auf iesem Router MUSS ein Portforwarding für UDP 500 (IKE/ISAKMP) auf die Adresse deines Rechners eingestellt sein und zusätzlich auch für das ESP Protokoll (Protokoll Nummer 50 Achtung nicht TCP Port 50, ESP ist ein eigenes Protokoll). Bei manchen Herstellern wird das automatisch gemacht sofern man IKE UDP 500 für Portforwarding konfiguriert.
Viele Router supporten kein ESP Forwarding, dann hast du keine Chance. Supporten sie es wird es meist "VPN Passthrough" genannt. Das kann sich allerdings auch auf das GRE Protokoll beziehen weil MS das verwendet und eben nicht auf ESP. Das müsste man dann in den Feature Beschreibungen der Routerhersteller zu dem Modell nachlesen oder deren technische Hotline fragen. Allerdings bezweifel ich ob du bei der Consumer Hotline von NetGear dazu eine Auskunft bekommst. Vermutlich wissen die nichtmal worüber du redest...
Auf iesem Router MUSS ein Portforwarding für UDP 500 (IKE/ISAKMP) auf die Adresse deines Rechners eingestellt sein und zusätzlich auch für das ESP Protokoll (Protokoll Nummer 50 Achtung nicht TCP Port 50, ESP ist ein eigenes Protokoll). Bei manchen Herstellern wird das automatisch gemacht sofern man IKE UDP 500 für Portforwarding konfiguriert.
Viele Router supporten kein ESP Forwarding, dann hast du keine Chance. Supporten sie es wird es meist "VPN Passthrough" genannt. Das kann sich allerdings auch auf das GRE Protokoll beziehen weil MS das verwendet und eben nicht auf ESP. Das müsste man dann in den Feature Beschreibungen der Routerhersteller zu dem Modell nachlesen oder deren technische Hotline fragen. Allerdings bezweifel ich ob du bei der Consumer Hotline von NetGear dazu eine Auskunft bekommst. Vermutlich wissen die nichtmal worüber du redest...
ja, aber was mich wundert ist dass bei einen Netzwerkscan bei heise.de der Port 500 nicht offen war, das müsste doch zuminderst der Fall sein, oder ?
Ja, UDP 500 muss in jedem Falle offen sein wenn der Scanner den richtig scannen sollte. Ggf. scannt der aber nur TCP Verbindungen. Das solltest du vorher überprüfen.
Hm, das könnte gut möglich sein.Aber würde dann in den Logdateien (nicht oben die !) des Clients nicht etwas mehr stehen als dass er gar keine Antwort bekommt ?
Und woran könnte es liegen dass ich im interen netz auch nicht zugreifen kann , und die oben genannten Fehler kommen.Wenn VPN richtig laufen würde, müsste ich dann auch im interenen netz eine verbindung aufnehmen können ?
PS: Vielen dank für die Hilfe, wenigstens ein Forum/eine Person die sich mit sowas beschäftigt
Und woran könnte es liegen dass ich im interen netz auch nicht zugreifen kann , und die oben genannten Fehler kommen.Wenn VPN richtig laufen würde, müsste ich dann auch im interenen netz eine verbindung aufnehmen können ?
PS: Vielen dank für die Hilfe, wenigstens ein Forum/eine Person die sich mit sowas beschäftigt
Nein wahrscheinlich nicht, denn der VPN Prozess ist nur über die WAN (DSL) Adrersse erreichbar und nicht über das LAN Interface. Von intern müsstest du also deine WAN Adressemit dem VPN Clinet connecten, das würde gehen allerdings steckst du dann wieder im NAT Dilemma, da du ja über deinen eigenen NAT Prozess geht...also sozusagen von hinten durch die Brust ins Auge !
Ja, in den LOG Dateien müsste etwas drinstehen wenn es wenigstens halb zu einem Sessionversuch kommt. Mindestens aber sowas wie "...Session setup to x.x.x.x failed due to timeout reasons.." oder sowas.
Allerdings darf man von NetGear nicht allzuviel erwarten. Anhand der offenen VPN Threads hier bekleckern die sich nicht gerade mit Ruhm und sollten da nicht die Hardware der Wahl sein...aber die Erkenntnis nützt dir erstmal auch nichts. Dein Problem ist mehr NAT basiert.
Was du immer machen kannst ist mal an einen normalen Telefonanschluss gehen, dich z.B. über Arcor by Call ins Internet einwählen und sehen ob du dann eine VPN Session aufbauen kannst zu deinem Router. Da ist dann wenigstens keinerlei NAT dazwischen und dein Router hängt auch direkt im Internet. Vorausgesetzt er hat eine aktive PPPoE Session zum ISP. Wenn diese natürlich durch einen Idle Timeout abgabaut ist hast du natürlich keine Chance ihn zu erreichen.
Ja, in den LOG Dateien müsste etwas drinstehen wenn es wenigstens halb zu einem Sessionversuch kommt. Mindestens aber sowas wie "...Session setup to x.x.x.x failed due to timeout reasons.." oder sowas.
Allerdings darf man von NetGear nicht allzuviel erwarten. Anhand der offenen VPN Threads hier bekleckern die sich nicht gerade mit Ruhm und sollten da nicht die Hardware der Wahl sein...aber die Erkenntnis nützt dir erstmal auch nichts. Dein Problem ist mehr NAT basiert.
Was du immer machen kannst ist mal an einen normalen Telefonanschluss gehen, dich z.B. über Arcor by Call ins Internet einwählen und sehen ob du dann eine VPN Session aufbauen kannst zu deinem Router. Da ist dann wenigstens keinerlei NAT dazwischen und dein Router hängt auch direkt im Internet. Vorausgesetzt er hat eine aktive PPPoE Session zum ISP. Wenn diese natürlich durch einen Idle Timeout abgabaut ist hast du natürlich keine Chance ihn zu erreichen.
ich hab eine andere Idee, ich hab noch einen alten Router daheim rumfliegen, den klemme ich vor den neuen, stelle den neuen auf Broadband, No login, und dann sollte man es doch auch teste können, denke ich mal.Oder ich frage jemanden ob er mal einen UDP Scan machen kann, weil Heise macht, wie schon von dir befürchtet nur TCP scans
So, also am Nat liegts nicht.Ich hab jetzt fast 2 Stunden rumprobiert, einmal mit dfü einwahl, mal mit NAT
Immerhin antwortet mir jetzt der Router auf der WAN Seite,leider immer wieder mit folgender Fehlermeldung
11-12: 15:15:06.375 My Connections\New Connection - Initiating IKE Phase 1 (IP ADDR=84.174.193.XXX)
11-12: 15:15:06.609 My Connections\New Connection - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
11-12: 15:15:07.000 My Connections\New Connection - RECEIVED<<< ISAKMP OAK INFO (NOTIFY:INVALID_ID_INFO)
11-12: 15:15:07.000 My Connections\New Connection - Discarding SA negotiation
Immerhin antwortet mir jetzt der Router auf der WAN Seite,leider immer wieder mit folgender Fehlermeldung
11-12: 15:15:06.375 My Connections\New Connection - Initiating IKE Phase 1 (IP ADDR=84.174.193.XXX)
11-12: 15:15:06.609 My Connections\New Connection - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
11-12: 15:15:07.000 My Connections\New Connection - RECEIVED<<< ISAKMP OAK INFO (NOTIFY:INVALID_ID_INFO)
11-12: 15:15:07.000 My Connections\New Connection - Discarding SA negotiation
Vielleicht steht hier:
HowTo - VPN-Verbindung mit Netgear DG834B ADSL-Firewall-Router
nochwas hilfreiches drin...
HowTo - VPN-Verbindung mit Netgear DG834B ADSL-Firewall-Router
nochwas hilfreiches drin...
Ja, ich hatte es schon vorher gesehen.Bringt leider nichts, das VPN Menü unterscheidet sich deutlich von meinen Router.Außerdem ist das Zenario anders.. VPN Client mit öffentlicher adresse und ohne NAT
Was heißt eigentlich das hier immer ?
NOTIFY:INVALID_ID_INFO
Was heißt eigentlich das hier immer ?
NOTIFY:INVALID_ID_INFO
