markowitsch
Goto Top

Cisco RV180W - Client VPN

Hallo lieber Netzwerker,

ich habe einen Cisco RV180W Router welcher direkt mit einer öffentlichen statischen IP Adresse im Internet hängt.
Nun möchte ich einen Windows 7 Client von extern Zugriff auf das Netzwerk per VPN erlauben.
Dazu habe ich testweise den "TheGreenBow" bzw. den Zyxel VPN Client am Windows 7 Rechner installiert.

Am Cisco Router habe ich per Basis-VPN die Eingaben getätigt, bin mir aber nicht ganz sicher ob ich alles richtig gemacht habe :

Verbindungsname : Name eingegeben
Vorinstallierter Schlüssel : ein von mir vergebens Passwort
IP Adresse Remote-WAN : 192.168.99.99 (von mir vergeben)
IP Adresse lokales WAN : öffentliche IP Adresse des Routers

Remote-LAN-IP Adresse : 192.168.99.0
Subnetmask : 255.255.255.0
Lokale LAN-IP Adresse : 192.168.0.0 (LAN Cisco Router)
Subnetmask : 255.255.255.0

Beim Speichern erstellt der Router die IKE & VPN Richtlinien unter Erweiterte VPN Richtlinien von selbst.
Des Weiteren habe ich in den Firewalleinstellungen unter Zugriffsregeln IKE und IPSEC-UDP-ENCAP (vorgegebene Services) eingetragen und aktiviert (WAN -> LAN).

Die Client VPN Software habe ich per Assistenten eingerichtet.
Erstellt wurde ein IKE V1 Tunnel wo ich die öffentliche IP Adresse des Cisco Routers, den vorinstallierten Schlüssel und bei Interne IP Adresse 192.168.0.0 (Cisco LAN) eingetragen habe.

Es kann keine VPN Verbindung mit dem Cisco Router bzw. dem Netzwerk von extern hergestellt werden.

Was mache ich falsch, bzw. gibt es eine Anleitung oder muss ich eine andere VPN Clientsoftware verwenden?

Besten Dank für Eure Hilfe

Marko

Content-Key: 338339

Url: https://administrator.de/contentid/338339

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: aqui
aqui 19.05.2017 aktualisiert um 14:23:35 Uhr
Goto Top
Ein paar Fehler gibt es:
IP Adresse Remote-WAN : 192.168.99.99 (von mir vergeben)
Das wäre Quatsch, denn die remote (öffentliche) WAN IP kann ja niemals eine private RFC 1918 IP sein, denn diese IP Adressen werden gar nicht geroutet im Internet, sind also unbekannt. Sowas geht dann schief.
https://de.wikipedia.org/wiki/Private_IP-Adresse
Die remote WAN IP muss natürlich eine öffentliche IP sein.
Wenn damit die Client IP gemeint ist dann ist die ja immer wechselnd, da der Client ja mobil ist. Dann lässt du das Feld frei oder trägst dort 0.0.0.0 ein.
Außerdem ist ja die 192.168.99.0 /24 die Netzwerk Adresse deines remoten LANs !! Folglich kann sie dann ja wohl kaum gleichzeitig auch die IP des remoten WANs sein ! Da stimmt also was nicht.
Die Einrichtig klingt insgesamt etwas wirr...
Das der Router die aktuellste Firmware geflasht haben sollte, sollte hoffentlich klar sein !
http://www.cisco.com/c/en/us/support/routers/rv180w-wireless-n-multifun ...

Hilfreich und um weiterzukommen mit einer Lösung ist wie immer bei sowas zwingend das Log des Cisco Routers was der mittloggt wenn du dich da einwählst !!
Zusätzlich wäre ein Log des VPN Clients ebenfals sehr hilfreich, denn anhand der Log Messages sieht man meisten sofort was da schief läuft und kann das schnell fixen.
Weitere Grundlagen findest du auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mitglied: Markowitsch
Markowitsch 20.05.2017 aktualisiert um 13:47:51 Uhr
Goto Top
Hallo,

also der Router hat die aktuelle Firmware installiert : Cisco RV180W / FW 1.0.5.4

Ich habe jetzt den VPN Zugang nochmals neu angelegt - mit Hilfe dieser Anleitung :

http://www.thegreenbow.com/doc/tgbvpn_cg-cisco-rv-120w-en.pdf

Ist zwar für den Cisco RV120, sollte aber dennoch funktionieren, oder?
Die User Authetifizierung hab ich erstmal weggelassen.

Am Windows Client hab ich den Zyxel VPN Client installiert - hierfür hätte ich nämlich noch eine Lizenz und technisch müsste dieser genauso funktionieren, oder?
Alles wurde nach Anleitung eingerichtet, allerdings sind in der Anleitung keine IP Adressen sondern FQDN eingetragen - ich bin mir nicht ganz sicher ob ich alle IP Adressen richtig eingetragen habe.

Des Weiteren bin ich mir auch nicht ganz sicher, ob die Firewall Regel stimmt.

Verbindung : WAN -> LAN
Aktion : immer zulassen
Service : Eigener VPN Service Port 500 UDP
Quelle : beliebig
An lokalen Server (DNAT-IP) senden : LAN IP Adresse des Cisco Routers - 192.168.0.254

Wenn ich den Tunnel öffne erhalte ich am Router folgenden Protokolleintrag :

Datum (GMT +0100): [CiscoRV180W] [IKE] ERROR: Could not find configuration for (IP Adresse von extern)[500]

Wie muss erstmal die richtige Firewall Regel aussehen?

Besten Dank
Mitglied: aqui
aqui 21.05.2017 um 12:00:33 Uhr
Goto Top
Des Weiteren bin ich mir auch nicht ganz sicher, ob die Firewall Regel stimmt.
Das sieht gut aus. Da der Router aber IPsec spricht als VPN Protokoll fehlt da noch
UDP 4500
ESP Protokoll

Denn IPsec nutzt diese 3 Protokolle zusammen.
Gut möglich aber das der Router einen Automatismus hat der die 2 anderen Protokollkomponenten automatisch mit freigibt. Das müsste man testen anhand des Logs im VPN Client und Router.
Deine Fehlermeldung ERROR: Could not find configuration for (IP Adresse von extern) besagt das du ein falsches Authentisierungsverfahren benutzt. Du hast das VPN so konfiguriert das du über die Tunnel IP Adressen authentisierst.
Das wird aber immer sofort schiefgehen, da du ja mit dem Client immer wechselnde IP Adressen hast. Wenn du auf der Routerseite auch dynmaische IPs via PPPoE bekommst was normal ist an xDSL Anschlüssen, dann dort auch.
Eine Authentisierung der Partner anhand von IPs ist da also dann logischerweise ziemlich kontraproduktiv.
Hier nimmst du immer einen FQDN oder Common Name. Also ein fester statischer name den du auf beiden Seiten definierst. Dann klappt das unabhängig von den IPs.
Das musst du umstellen, dann kommt das auch zum Fliegen.
Sonst alternativ mal den kostenlosen Shrew Client probieren:
http://www.witti.ws/blog/2013/12/17/cisco-rv180w-shrew-soft-vpn-client
https://plcsandpcs.wordpress.com/2015/09/01/rv180w-vpn-setup-for-small-b ...
Damit klappt es fehlerlos.