lovezilla
Goto Top

FVX538 V2V PN einrichten

Habe den o.g. VPN-Router angeschafft und verzweifele seit Tagen dabei einen VPN-Zugang einzurichten. Trotz Benutzung verschiedener VPN-Client-Softwares und Benutzung des Manuals komme ich einfach keinen Schritt weiter. Mein Chef trampelt mir schon auf den Nerven herum, wann der VPN - Zugang endlich möglich ist. Kann jemand helfen?

Nachdem ich auf dem Router mittels VPN Wizard alles grundlegende eingerichtet habe, gelingt es mir nicht mit dem Router eine VPN-Verbindung mit meinem Notebook von daheim aufzubauen. Das Log meines VPN Clients (GatepProtect) gibt folgende Meldung:

Version 1.3.0 Build 110
Wed Aug 27 22:16:49 2008 ipsec --verbose 9 --dynamic-host 1 --exit-event vpn_exit_event --remote-host "Öffentliche feste IP des FVX538" --adapter {BAFC83FB-BF5A-4FC0-B8EE-3DF58E31B791} --local-network "192.168.50.101/255.255.255.252" --remote-network "192.168.1.0/255.255.255.0" --psk --ike-cipher "3DES" --ike-hash "MD5" --ike-group "MODP1024" --ike-sa-life "7800" --esp-cipher "3DES" --esp-hash "SHA1" --ipsec-sa-life "3600" --pfs-group "MODP1024" --tunnel-mode udp

Using options:

--verbose 9
--remote-host 85.183.21.189
--dynamic-host 1
--server-mode 0
--tunnel-mode udp
--adapter {BAFC83FB-BF5A-4FC0-B8EE-3DF58E31B791}
--local-network 192.168.50.101/255.255.255.252
--remote-network 192.168.1.0/255.255.255.0
--tap-sleep 8
--psk
**
--ike-cipher 3DES
--ike-hash MD5
--ike-group MODP1024
--ike-sa-life 7800
--nonce-size 16
--esp-cipher 3DES
--esp-hash SHA1
--ipsec-sa-life 3600
--pfs-group MODP1024
--ipcomp 0

Wed Aug 27 22:16:49 2008 Waiting for the Win32-TAP adapter
Wed Aug 27 22:16:57 2008 Listening on port 1817
Wed Aug 27 22:16:57 2008 Creating ISAKMP connection #1 to XX.XX.XX.XXX:4500

(XXXX von mir eingesetzt. Hier steht die festeIP des VPN Routers)

Wed Aug 27 22:16:57 2008 Initiating main mode with remote host XX.XX.XX.XXX
Wed Aug 27 22:16:57 2008 Sending IDPROT HDR, SA, VID, VID
Wed Aug 27 22:17:17 2008 Resending(2) IDPROT HDR, SA, VID, VID
Wed Aug 27 22:17:17 2008 Unable to renew IPSec; ISAKMP not established
Wed Aug 27 22:17:37 2008 Resending(3) IDPROT HDR, SA, VID, VID
Wed Aug 27 22:17:37 2008 Unable to renew IPSec; ISAKMP not established
Wed Aug 27 22:17:47 2008 Unable to renew IPSec; ISAKMP not established
Wed Aug 27 22:17:57 2008 Resending(4) IDPROT HDR, SA, VID, VID
Wed Aug 27 22:17:57 2008 Unable to renew IPSec; ISAKMP not established
Wed Aug 27 22:18:07 2008 Unable to renew IPSec; ISAKMP not established
Wed Aug 27 22:18:17 2008 Giving up on IDPROT HDR, SA, VID, VID
Wed Aug 27 22:18:17 2008 No response from server, abandoning ISAKMP #1
Wed Aug 27 22:18:17 2008 Deleting ISAKMP connection #1 to XX.XX.XX.XXX:4500
Wed Aug 27 22:18:17 2008 Disconnected
Wed Aug 27 22:37:33 2008 Verbindung getrennt

Content-ID: 95499

Url: https://administrator.de/forum/fvx538-v2v-pn-einrichten-95499.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

Supaman
Supaman 28.08.2008 um 10:37:43 Uhr
Goto Top
nach dieser anleitung klappt das mit der netgear vpn software prima:
ftp://downloads.netgear.com/files/vpn_to_0_0_0_01_final1.pdf

wenn es keine verbindung gibt, änder die MTU größ eauf 1492 oder kleiner.

wenn das kalppt, kann man im zweiten schritt die user authentification einrichten, dazu muss man XAUTH und edge device benutzen, das sind aber nur 2 parameter die man umstellen muss.
LoveZilla
LoveZilla 28.08.2008 um 12:17:18 Uhr
Goto Top
Danke. Muss man denn unbedingt die Netgear Clientsoftware benutzen oder kann man auch eine andere nehmen?
LoveZilla
LoveZilla 28.08.2008 um 13:59:05 Uhr
Goto Top
Hi Supaman,

habe alles so gemacht wie du sagst. Der Router hat jetzt folgendes LOG:

2008 Aug 28 13:56:14 [FVX538] [IKE] Anonymous configuration selected for 80.171.6.98[61875]._
2008 Aug 28 13:56:14 [FVX538] [IKE] Identity Protection mode of (invalid)[(invalid)] is not acceptable._
2008 Aug 28 13:56:34 [FVX538] [IKE] Anonymous configuration selected for 80.171.6.98[61875]._
2008 Aug 28 13:56:34 [FVX538] [IKE] Identity Protection mode of (invalid)[(invalid)] is not acceptable._


Ich habe immer mehr den Eindruck, dass die netgear VPN Client Software benutzt wrden muss.
Supaman
Supaman 29.08.2008 um 11:07:58 Uhr
Goto Top
die anleitung bezieht sich auf die verwendung der netgear vpn client software.

das problem ist, das die windows bordmittel nicht alle funktionen der verschiedenen VPN verbindungsmöglichkeiten unterstützen, daher brauchst als client entweder einen router oder die client software.

möglicherweise geht es auch mit windows boardmitteln, dann hast du aber nur einen "generalschlüssel" als passwort, was mir zu unsicher bzw nicht differeziert genug ist bei mehreren benutzern.
LoveZilla
LoveZilla 31.08.2008 um 11:55:53 Uhr
Goto Top
Habe mir die Netgear vpn client softtware besorgt. Bekomme trotzdem keinen connect.

Gruss.
LoveZilla
LoveZilla 02.09.2008 um 18:18:55 Uhr
Goto Top
Habe das Verbindungs-Problem gelöst. Kann nur das Netzwerk hinter dem router noch nicht erreichen.
LoveZilla
LoveZilla 04.09.2008 um 18:16:48 Uhr
Goto Top
Alles scheint wunderbar zu laufen. Doch leider kann ich das Netz hinter dem Router und den Router selbst nicht erreichen und nicht mal pingen. Interne IP des Routers: 192.168.1.2.
Hat irgendjemand einen Rat?
Hier ist das log des Clients:

9-04: 18:26:07.921
9-04: 18:26:07.921 My Connections\SYSCON - Initiating IKE Phase 1 (IP ADDR=XX.XXX.XX.XXX Öffentliche feste IP des FVX538)
9-04: 18:26:08.375 My Connections\SYSCON - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
9-04: 18:26:08.875 My Connections\SYSCON - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID 3x, NAT-D 2x, VID)
9-04: 18:26:08.875 My Connections\SYSCON - Peer is NAT-T draft-02 capable
9-04: 18:26:08.875 My Connections\SYSCON - NAT is detected for Client and Peer
9-04: 18:26:08.875 My Connections\SYSCON - Floating to IKE non-500 port
9-04: 18:26:09.171 My Connections\SYSCON - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
9-04: 18:26:09.171 My Connections\SYSCON - Established IKE SA
9-04: 18:26:09.171 My Connections\SYSCON - MY COOKIE bf 88 61 e8 5f 8a c1 1a
9-04: 18:26:09.171 My Connections\SYSCON - HIS COOKIE af 71 0 90 7e 3d fe d6
9-04: 18:26:09.296 My Connections\SYSCON - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-04: 18:26:13.562 My Connections\SYSCON - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-04: 18:26:13.656 My Connections\SYSCON - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-04: 18:26:13.656 My Connections\SYSCON - IKE Extended Authentication successful.
9-04: 18:26:13.671 My Connections\SYSCON - Setting compliance status to OK.
9-04: 18:26:13.671 My Connections\SYSCON - Calling UpdateBypassRecordsForCompliance - OK.
9-04: 18:26:13.671 My Connections\SYSCON - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-04: 18:26:13.828 My Connections\SYSCON - Initiating IKE Phase 2 with Client IDs (message id: 9DA2D85E)
9-04: 18:26:13.828 My Connections\SYSCON - Initiator = IP ADDR=192.168.50.84, prot = 0 port = 0
9-04: 18:26:13.828 My Connections\SYSCON - Responder = IP SUBNET/MASK=192.168.1.0/255.255.255.0, prot = 0 port = 0
9-04: 18:26:13.828 My Connections\SYSCON - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
9-04: 18:26:13.906 My Connections\SYSCON - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-04: 18:26:13.906 My Connections\SYSCON - Received Private IP Address = IP ADDR=192.168.1.10
9-04: 18:26:13.906 My Connections\SYSCON - Abandoning IPSec SA negotiation (message id: 9DA2D85E)
9-04: 18:26:13.906 My Connections\SYSCON - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-04: 18:26:14.531 My Connections\SYSCON - Initiating IKE Phase 2 with Client IDs (message id: A741DDEB)
9-04: 18:26:14.531 My Connections\SYSCON - Initiator = IP ADDR=192.168.1.10, prot = 0 port = 0
9-04: 18:26:14.531 My Connections\SYSCON - Responder = IP SUBNET/MASK=192.168.1.0/255.255.255.0, prot = 0 port = 0
9-04: 18:26:14.531 My Connections\SYSCON - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
9-04: 18:26:14.734 My Connections\SYSCON - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
9-04: 18:26:14.734 My Connections\SYSCON - Filter entry 3 added: SECURE 192.168.050.084&255.255.255.255 192.168.001.000&255.255.255.000 Öffentliche feste IP des FVX538
9-04: 18:26:14.734 My Connections\SYSCON - SENDING>>>> ISAKMP OAK QM *(HASH)
9-04: 18:26:14.750 My Connections\SYSCON - Loading IPSec SA (Message ID = A741DDEB OUTBOUND SPI = 39E255E INBOUND SPI = A550C01)
9-04: 18:26:14.750
spacyfreak
spacyfreak 04.09.2008 um 20:46:31 Uhr
Goto Top
Ich kenn den Router garnicht.
Prinzipiell fehlt wahrscheinlich die Rückroute (damit das interne Netz das "VPN-IP-Pool-Netz" erreichen kann, oder die Firewall blockt was.

Probier mal vom Client nach VPN aufbau

pathping <interne-ip>

oder

tracert >interne-ip>

und auch von innen in den VPN Pool um zu sehen wo die Pakete steckenbleiben - da musste ansetzen.

Ich wuerde ausserdem prinzipiell AES statt 3DES benutzen weil das performanter ist. Aber wenns auch so funktioniert kann man es auch so lassen. face-wink
LoveZilla
LoveZilla 04.09.2008 um 21:19:09 Uhr
Goto Top
Meinst Du mit <interne IP> die IP, die ich vom router zugewiesen bekommen habe (192.168.1.10)oder die des Netzes deses Clients? (192.168.50.84)
Die Firewall auf dem Router ist komplett offen. Habe jetzt mal auf AES 128 umgestellt.
Danke.
LoveZilla
LoveZilla 08.09.2008 um 16:45:49 Uhr
Goto Top
Connection klappt prima. Nur kann ich leider das hinter dem Router liegende Netzwerk nicht erreichen.
Kein Ping, kein tracert, kein pingpath. Der virtuelle Adapter lokal wird nicht benutzt obwohl er die richtige IP zugewiesen bekommen hat. Firewalls sind alle ausgeschaltet. Und jetzt ?