Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco RV180 über VPN nicht erreichbar

Mitglied: RoadRunner88

RoadRunner88 (Level 1) - Jetzt verbinden

19.10.2013 um 17:06 Uhr, 6472 Aufrufe, 8 Kommentare

Hallo Profis,

habe ein kleines Problem mit meinem VPN-Router.

Habe hier einen Cisco RV180 VPN Router und habe die VPN-Funktion eingerichtet.
Leider scheint der Router keine Anfragen von außen zu beantworten(?).

Über einen DynDNS-Anbieter habe ich meine öffentliche IP-Adresse gespeichert.

Der Router wurde mit einer voreingestellten IP-Sec-Richtlinie und nach Benutzerhandbuch konfiguriert.

Leider kann ich mittels eines IP-Sec Clients keine Verbindung aufbauen.

Benutze als IPSec-Client VPNSwan.

Dieser gibt mir immer "Gateway ist nicht erreichbar " als Fehlermeldung zurück.

Habe es mit folgenden Gateway-Adressen probiert:

WAN-IP Adresse.
DynDNS Hostname(mit WAN-IP Adresse)
Von zuhause aus im Lan, mit der lokalen IP-Adresse des Routers.

Immer das selbe Ergebnis.

Log Des VPN-Clients(Von außen mit Handy):

Oct 19 16:59:39 00[DMN] Starting IKE charon daemon (strongSwan 5.1.1dr4, Linux 3.0.31-889555, armv7l)
Oct 19 16:59:39 00[KNL] kernel-netlink plugin might require CAP_NET_ADMIN capability
Oct 19 16:59:39 00[LIB] loaded plugins: androidbridge charon android-log openssl fips-prf random nonce pubkey pkcs1 pkcs8 pem xcbc hmac socket-default kernel-netlink eap-identity eap-mschapv2 eap-md5 eap-gtc
Oct 19 16:59:39 00[LIB] unable to load 9 plugin features (9 due to unmet dependencies)
Oct 19 16:59:39 00[JOB] spawning 16 worker threads
Oct 19 16:59:39 15[IKE] initiating IKE_SA android[4] to xxxxxxxxxxx
Oct 19 16:59:39 15[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Oct 19 16:59:39 15[NET] sending packet: from xxxxxxxxxxx[42500] to xxxxxxxxxxx[500] (756 bytes)
Oct 19 16:59:41 03[IKE] retransmit 1 of request with message ID 0
Oct 19 16:59:41 03[NET] sending packet: from xxxxxxxxxxx[42500] to xxxxxxxxxxx[500] (756 bytes)
Oct 19 16:59:44 01[IKE] retransmit 2 of request with message ID 0
Oct 19 16:59:44 01[NET] sending packet: from xxxxxxxxxxx[42500] to xxxxxxxxxxx[500] (756 bytes)
Oct 19 16:59:48 12[IKE] retransmit 3 of request with message ID 0
Oct 19 16:59:48 12[NET] sending packet: from xxxxxxxxxxx[42500] to xxxxxxxxxxx[500] (756 bytes)
Oct 19 16:59:54 09[IKE] giving up after 3 retransmits
Oct 19 16:59:54 09[IKE] peer not responding, trying again (2/0)
Oct 19 16:59:54 09[IKE] initiating IKE_SA android[4] to xxxxxxxxxxx
Oct 19 16:59:54 09[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Oct 19 16:59:54 09[NET] sending packet: from xxxxxxxxxxx[42500] to xxxxxxxxxxx[500] (756 bytes)
Oct 19 16:59:54 00[IKE] destroying IKE_SA in state CONNECTING without notification



Ich habe den Verdacht das es an der Firewall des Routers liegt. Hat jemand eine Idee?

Mitglied: aqui
19.10.2013, aktualisiert um 17:40 Uhr
Ja, laut dem Log Auszug ist das eindeutig ! Der Client hat gar keine IP Connectivity zum Router selber und da schlägt natürlich dann das VPN fehl...klar !
Ein besserer Client als der Cisco Client ist übrigens der freie Shrew Client:
https://www.shrew.net/download

Leider schreibst du recht wenig zu deinem Netzdesign so das du uns nun hier wieder zum Nachfragen und Raten zwingst...
Gemäß Datenblatt:
http://www.cisco.com/en/US/prod/collateral/routers/ps10907/ps9923/ps119 ...
hat der Router kein integriertes DSL oder Kabel Modem deshalb solltest du folgende Fragen wasserdicht beantworten für eine zielführende Hilfe:
  • WIE ist dieser Router ans Internet angebunden ?? Mit einem reinen DSL oder TV Kabel Modem (kein Router !) davor oder mit einem NAT Router (also einer Router Kaskade) davor ?
  • Falls es letzteres ist, hast du dann auf dem davorliegenden NAT Router die IPsec Ports UDP 500, UDP 4500 und das ESP Protokoll (IP Nummer 50) entsprechend im Port Forwarding freigegeben auf den WAN Port des Cisco ??
  • Benutzt der Cisco oder der evtl. davorliegende Router eine öffentliche IP Adresse am WAN / Providerport oder arbeitet der Provider mit privaten RFC 1918 IP Adressen. Wichtig ! Das kannst du im Router Setup nachsehen in den Statistiken zum WAN Port.
  • WIE machst du den Client Zugriff ?? Ist der wirklich remote oder versuchst du aus dem internen Netz auf dem WAN IP des Routers zuzugreifen ?

Ein Zugriff mit dem VPN Client aus dem lokalen LAN des Routers schlägt generell immer fehl, denn diese Router supporten KEIN Hairpin NAT !!
Was das ist und warum es fehlschlägt kannst du hier nachlesen:
http://wiki.mikrotik.com/wiki/Hairpin_NAT

Einen wasserdichten Test kannst du ganz einfach fahren indem du dem WAN Port im Cisco Router Setup mal eine statische IP gibst.
Dann schliesst du den VPN Client PC mit einem Kabel am Cisco WAN Port an und gibst dem ebenfalls eine statische IP Adresse.
Damit hast du den Client dann direkt am Router und ein VPN Aufbau sollte fehlerlos funktionieren !
Grundlagen zum IPsec VPN findest du zusätzlich noch in diesen Forumstutorials:
https://www.administrator.de/contentid/73117
und
https://www.administrator.de/contentid/115798

Da der Router ein VPN Router ist sind die IPsec Ports am WAN Port in seiner Firewall generell frei. Daran sollte es also nicht liegen. Eher an den o.g. Punkten.
Bitte warten ..
Mitglied: RoadRunner88
19.10.2013, aktualisiert um 18:45 Uhr
Ich danke dir für diese Infos!

Ja, etwas mehr sollte ich schon schreiben.

Am WAN-Port befindet sich ein Cisco-Kabelmodem(Cisco EPC3208G). Der Router läuft in NAT-Modus und ist auf "Dynamisch vom ISP abrufen eingestellt" und arbeitet im Dual-Stack Modus also IPv4 und v6.

Im Kabelmodem ist IP-Sec Passthrough aktiviert.

In der Firewall-Konfig des Modems eingestellt:

SPI-Firewall Schutz: niedrig
IPv6Firewall: ein

KEINE Häckchen gesetzt bei: Fragmentierte IP-Pakete blockieren, Port-Scan-Erkennung blockieren, IP-Flooding Erkennung

Häckchen gesetzt bei:

Anonyme Internet-Anfragen blockieren


Ich versuche übrigens via Andorid-Handy übers öffentliche Netz eine VPN-Verbindung aufzubauen, der Android-integrierte VPN-Client geht überigens auch nicht. Andorid-Version 4.1.2.


Hoffe das hilft weiter.

Gruß
Bitte warten ..
Mitglied: aqui
20.10.2013, aktualisiert um 10:20 Uhr
Das "Kabelmodem" arbeitet also nicht als Modem sondern als NAT Router, richtig ??
Das IPsec Passthrough aktiviert ist nützt dir in deinem Szenario rein gar nichts, denn das bedeutet nur das IPsec Verbindungen von innen nach außen durchkommen.
Bei dir ist es ja genau umgedreht, du musst die Verbindungen von außen nach innen durchlassen !!
Deshalb musst du auf dem davorliegenden Kabelrouter zwingend die 3 oben genannten Ports bzw. Protokolle freigeben sonnst klappt das niemals, denn IPsec Anfragen von außen könnten ohne das Port Forwarding niemals die interne NAT Firewall dieses Routers überwinden !!
Du betreibst damit eine Router Kaskade wie sie hier in der "Alternative 2" beschrieben ist !
https://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...

Da ist dann auch die o.a. Fehlermeldung vollkommen klar, denn daran kannst du schon sehen das diese NAT Firewall deine Verbindung vollkommen blockiert: "Oct 19 16:59:54 09[IKE] peer not responding, trying again (2/0)"
...der VPN Router antwortet also gar nicht !!
Mit keinem IPsec Client egal ob auf iPhone, Android oder PC kannst du den VPN Router dann erreichen !!

Solange du das Port Forwarding der o.a. 3 Ports auf dem Kabel Router auf den danach folgenden Cisco 180V nicht korrekt einstellst wird sich daran auch nix ändern !!
Da liegt dein fataler Setup Fehler !! Wenn das richtig eingestellt ist funktioniert das fehlerfrei !
Bitte warten ..
Mitglied: RoadRunner88
20.10.2013 um 10:27 Uhr
Ich verstehe deine Erklärung auch ohne den inflationären Gebrauch von !!!. Ich benutze das Modem so, wie es mein Kabelanbieter mir gegeben hat. Nach deiner Erklärung sehe ich das jetzt auch so und werde mal sehen ob das Einstellbar ist.

Danke!
Bitte warten ..
Mitglied: RoadRunner88
20.10.2013, aktualisiert um 10:50 Uhr
Ok laut anderen Quellen folgendes:

UnityMedia weißt Neukunden eine IPv6-Adresse zu. Das Modem beherrscht seit dem letzten FIrmwareupgrade kein Forwarding mehr.
Es "Nat"ted IPv6 zu IPv4.

VPN ist wohl nicht machbar.
Bitte warten ..
Mitglied: aqui
20.10.2013, aktualisiert um 10:46 Uhr
OK, dann hast du keinerlei Chance ein laufendes VPN damit herzustellen. Das gilt für alle VPN Protokolle dann.
Das ist leider das Los derer die sich an einen Provider mit Zwangsroutern verkaufen. Weiss man als Netzwerker aber ja vorher.

Als Rettung kann man aber sagen das du wie immer bei solcherlei Threads hier das Handbuch nicht richtig gelesen hast !! (Sorry, aber wie soll man sonst "ärgern" ausdrücken ?)
http://www.kabelbw.de/kabelbw/cms/downloads/kabel-bw-handbuch-kabel-gat ...
Auf Seite 63 unten steht ganz genau WIE diese Portweiterleitung im Kabelrouter zu machen ist !
Wenn es schon an solchen banalen Basics scheitert wie Handbuch lesen macht ein Troubleshooting auch ohne "!" (wieder sorry, das musste jetzt da rein) nicht wirklich Spaß wie du dir sicher selber denken kann...auch wenn heute Sonntag ist.

Eine Minimalchance hast du noch (solltest du ein anderes Setup GUI haben als das obige) wenn du den Kabelrouter im Setup als reines Modem konfigurieren kannst und das eigentliche Routing dann mit dem Cisco 180V machst.
Das würde dein Problem auch lösen.

Klappt das auch nicht ist dein Anschluss eben nicht VPN fähig...so einfach ist das.
Bitte warten ..
Mitglied: RoadRunner88
20.10.2013 um 10:54 Uhr
"Das ist leider das Los derer die sich an einen Provider mit Zwangsroutern verkaufen."

Sorry aber was ist das denn für eine dumme Aussage?

Wenn man schnelles Internet will gibts nur 2 Möglichkeiten:

Entweder die Telekom hat dir Glasfaser in die Straße gelegt oder es gibt Kabel.

Da hier nur Kabel von einem Provider liegt, war die Auswahl nicht sehr groß.


....


Danke trotzdem.
Bitte warten ..
Mitglied: aqui
20.10.2013 um 15:41 Uhr
Die Antwort ist mindestens ebenso dumm, aber nundenn !
Hauptsache du bekommst dein VPN zum Fliegen...?!
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Statische Route zwischen zwei Netzwerken mit Cisco RV180 und FritzBox 4020 einrichten

gelöst Frage von vafk18Router & Routing20 Kommentare

Ich habe zwei Netzwerke A 192.168.2.0/24 und B 192.168.3.0/24. Ich möchte über eine statische Route vom Netzwerk B das ...

Windows Server

Remotedesktop per VPN nicht erreichbar

Frage von broesel1234Windows Server15 Kommentare

Guten Tag von einem Neuen. Ich habe ein nerviges Problem mit einem Server 2016 Essentials. Per VPN, hergestellt mit ...

Router & Routing

Cisco 2951 VPN Problem

gelöst Frage von Serial90Router & Routing20 Kommentare

Moin Moin, ich habe folgendes Problem mit meinem Cisco: Wir haben einen VPN-Tunnel via SVTI Config zu einem anderen ...

LAN, WAN, Wireless

Cisco RV180W - Client VPN

Frage von MarkowitschLAN, WAN, Wireless3 Kommentare

Hallo lieber Netzwerker, ich habe einen Cisco RV180W Router welcher direkt mit einer öffentlichen statischen IP Adresse im Internet ...

Neue Wissensbeiträge
Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 8 StundenBackup

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 2 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 2 TagenSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Batch & Shell
PowerShell Konferenz - Videos online
Information von NetzwerkDude vor 2 TagenBatch & Shell

Abend, die Tage werden Videos der Talks von der diesjährigen EU Powershell Konferenz hochgeladen, sind einige Interessante dabei: MFG ...

Heiß diskutierte Inhalte
Google Android
Anbieter für Diensthandys
Frage von Pat.batGoogle Android21 Kommentare

Hallo zusammen, ich bin seit einiger Zeit zuständig für die Diensthandys bei uns in der Behörde. Eine Management Software ...

Microsoft Office
Office 365 eMail via Website verschicken
Frage von BiBeSoMicrosoft Office16 Kommentare

Hallo, kann man im Office 365 eMails anlegen welche zum versenden (smtp) für die Website funktionieren ? Muss man ...

Windows Server
Verbindunsproblem zwischen Klient und Wsus-Server
Frage von flashgordon78Windows Server16 Kommentare

Liebe Forum Besucher! Ich habe ein Wsus_Server (Win Server 2016) erstellt und die Update sind herunterladen worden. Aber ich ...

Exchange Server
Vorgehen um von Tobit auf Exchange zu wechseln
Frage von Martin1987Exchange Server15 Kommentare

Guten Abend Ich habe den Auftrag erhalten, unser Mail von David zu Outlook zu wechseln. Wie muss ich da ...