chris88
Goto Top

IPSec-VPN einrichten (ProSafe VPN Client auf FVS318)

Hallo Community.

Nachdem ich mich durch die Anleitung von Netgear und durch verschiedene Foren gequält habe, versuche ich mein Glück mit einem Beitrag hier. Ich bin um jede Hilfe wirklich sehr dankbar! Grüße! Christian

Ich versuche schon seit geraumer Zeit ein IPSec-VPN zwischen einem entfernten Win2k-Server-Domänen-Netzwerk und meinem Notebook zu erstellen.

Anbei ein paar Facts:

- Entferntes Netzwerk:
Win2K Server SP4 (Domäne) + 3 Rechner WinXP Pro SP2
Netgear ProSafe VPN Router FVS318 der ersten Generation
(V2.4 July. 19 2004)
interne IP-Adressen: 192.168.0.xxx (der Router hat die 1)
externe IP-Adressen: dynamisch via xxxxxxx.dyndns.org (T-Home)
Die IP-Adressen sind intern statisch vergeben
UDP-Port 500 auf 192.168.0.1
TCP-Port 1723 auf 192.168.0.1
UDP-Port 50..51 auf 192.168.0.1


- Notebook mit WinXP Pro SP2
WLAN mit Fritz!Box 7170
interne IP-Adresse: 192.168.178.xxx
externe IP-Adresse: dynamisch (1&1)
VPN-client-Software: Netgear ProSafe VPN Client
10.7.2 (Build 12) - GA Version
Die IP-Adressen sind intern statisch vergeben

Ich kann von meinem Notebook aus den Router anpingen und auch remote verwalten.

Hier das Protokoll des Clients:
8-07: 22:54:21.375 My Connections\LMD - Attempting to resolve Hostname (xxxxxxxxxxx.dyndns.org)
8-07: 22:54:21.406
8-07: 22:54:21.406 My Connections\abc - Initiating IKE Phase 1 (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:21.609 My Connections\abc - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-07: 22:54:24.625 My Connections\abc - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH)
8-07: 22:54:24.750 My Connections\abc - Using cached address. (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:24.750 My Connections\abc - Cannot match Phase 1 ID with Policy Entry: received ID DOMAIN=Znet
8-07: 22:54:24.750 My Connections\abc - SENDING>>>> ISAKMP OAK INFO (HASH, NOTIFY:INVALID_ID_INFO)
8-07: 22:54:24.765 My Connections\abc - Discarding IKE SA negotiation
8-07: 22:54:24.765 My Connections\abc - MY COOKIE 64 b6 5c 2c 30 24 b7 c5
8-07: 22:54:24.765 My Connections\abc - HIS COOKIE c5 b9 a6 91 a4 70 85 f
8-07: 22:54:32.625 My Connections\abc - Using cached address. (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:32.625 My Connections\abc - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH)
8-07: 22:54:32.625 My Connections\abc - Received message for non-active SA
8-07: 22:54:52.609 My Connections\abc - Using cached address. (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:52.609 My Connections\abc - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH)
8-07: 22:54:52.609 My Connections\abc - Received message for non-active SA


Hier das Protokoll des Routers:
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Receive Packet address:0x1396850 from 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:Peer Initialized IKE Aggressive Mode
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:RX << AM_I1 : 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:New State index:0, sno:9
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Agg. Decoded Peer's ID Type is ID_USER_FQDN
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Value=6a 6d 64 62 6a 40 6d 65 73 63 74 69 65 6e 76 74 65 3f 64 65
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:agg_inI1_outR1() connection not found 84.XXX.XXX.XX[500]-217.XXX.XXX.X[500]
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:Trying Dynamic IP Searching
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:instantiated "connect_tmp8" for 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Oakley Transform 1 accepted
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:OAKLEY_PRESHARED_KEY/OAKLEY_3DES_CBC/MODP1024
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:[lmdbl_tmp8] TX >> AM_R1 : 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #9
Tues, 08/07/2007 22:56:18 - T-Online DSL IPsec:Receive Packet address:0x1396850 from 217.XXX.XXX.X
Tues, 08/07/2007 22:56:18 - T-Online DSL IKE:[lmdbl_tmp8] RX << XCHG_INFO : 217.XXX.XXX.X
Tues, 08/07/2007 22:56:18 - T-Online DSL IPsec:message ignored because it contains an payload type (ISAKMP_NEXT_HASH) unexpected in this message
Tues, 08/07/2007 22:56:24 - T-Online DSL IPsec:handling event EVENT_RETRANSMIT for d9e9bf08 "connect_tmp8" #9
Tues, 08/07/2007 22:56:24 - T-Online DSL IPsec:inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #9

Content-ID: 65680

Url: https://administrator.de/contentid/65680

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

sysad
sysad 07.08.2007 um 23:11:16 Uhr
Goto Top
GRE wird schon korrekt geforwardet?
chris88
chris88 07.08.2007 um 23:16:03 Uhr
Goto Top
Wow... die Antwort kam ja schnell face-wink

GRE ist doch Port 1723 TCP?! Den habe ich auf die interne Router-Adresse 192.168.0.1 geforwardet.
sysad
sysad 07.08.2007 um 23:19:01 Uhr
Goto Top
Wow... die Antwort kam ja schnell face-wink

GRE ist doch Port 1723 TCP?! Den habe ich
auf die interne Router-Adresse 192.168.0.1
geforwardet.

Nix Port. GRE ist ein Protokoll!
Bei den neueren Routern kannst Du das Protokoll wählen: TCP, UDP, GRE, ESP. Da musst Du GRE nehmen für IPSEC und ESP für PPTP.
chris88
chris88 07.08.2007 um 23:20:46 Uhr
Goto Top
Autsch...

Ok, im Router habe ich nur die Auswahl zwischen TCP/UDP, TCP und UDP...
sysad
sysad 07.08.2007 um 23:23:25 Uhr
Goto Top
Dann wird es wohl nicht gehen (ich kenne aber Deinen Router nicht). Und du musst auch nicht auf den Router forwarden, sondern auf den VPN-Server.
chris88
chris88 07.08.2007 um 23:26:06 Uhr
Goto Top
Der Router selbst ist der VPN-Server (VPN-Endpunkt). Ich habe hier die Möglichkeit, 8 parallele VPN-Verbindungen zu definieren.
sysad
sysad 07.08.2007 um 23:29:52 Uhr
Goto Top
Hmhh. Jetzt hast Du mich erwischt!

Wenn der Router selber Endpunkt ist für bis zu 8 VPs, welches Protokoll benutzen diese 8 dann? Kann ja vernünftigerweise nur PPTP oder besser L2TP/IPSEC sein.
chris88
chris88 07.08.2007 um 23:33:23 Uhr
Goto Top
Er benutzt IPSec als Protokoll.
sysad
sysad 07.08.2007 um 23:43:16 Uhr
Goto Top
Könnte sein, dass Dein Forwarding auf sich selber nicht stimmt.
chris88
chris88 07.08.2007 um 23:57:45 Uhr
Goto Top
Ich habe soeben mal das Port-Forwarding auf sich selbst ausgeschalten. Allerdings hat das leider nichts gebracht. Ich habe da so einen Verdacht, dass die Einstellungen im VPN-Client nicht passen. Aber welche...???

Ich würde gerne auch mal einen anderen VPN-Client ausprobieren. Gibt es da etwas kostenloses?
Supaman
Supaman 08.08.2007 um 08:32:54 Uhr
Goto Top
du kannst es mal nach dieser anleitung versuchen: ftp://downloads.netgear.com/files/vpn_to_0_0_0_01_final1.pdf

ist zwar für ein anderes modell, aber denke aberr das es bei deinem router ähnlich aussieht.

wenn das klappt, kann man im zweiten schritt die user-authetifizierung dazuschalten.

bezüglich port-forwarding: ich hab einen netgear-router hinter einer fritz-box. die fritz box kennt außer tcp+udp bei nat keine weiteren protokolle (gre etc), ich hab den netgear dann als exposed host/dmz definiert - funktioniert prima.
chris88
chris88 08.08.2007 um 19:44:08 Uhr
Goto Top
Zunächst mal vielen Dank an alle für euer Bemühen.

@Supaman: Die Anleitung werde ich mir gleich mal anschauen und ausprobieren. Ich melde mich wieder, sobald ich es probiert habe und berichte... übrigens: welche Fritz!Box benutzst du? Ich kann sowohl an meiner 7050 als auch an der 7170 (aktuelle Firmware!) sowohl GRE als auch ESP durchrouten. Kannst es ja mal ausprobieren, dann brauchst du keine DMZ mehr einrichten und du hättest eine doppelte Firewall.
chris88
chris88 08.08.2007 um 20:56:46 Uhr
Goto Top
So, nun habe ich es geschafft, zumindest eine VPN-Verbindung herzustellen.

Es waren die Einstellungen in der Security Police, die Probleme bereiteten. Ich musste entgegen der Anleitung von Netgear folgendes wählen:

- Negotiation Mode: Main Mode
- Enable PFS: Yes
- Enable Replay Detection: Yes

Außerdem habe ich keinen Adressbereich, sondern eine feste, bislang nicht vergebene IP für das entfernte Netzwerk eingestellt (IP: 192.168.0.70) . Meiner Netzwerkkarte musste ich den virtuellen Adapter 192.168.10.10 zuordnen.

So weit so gut. Jetzt kommt das große ABER:

Ich kann kein einziges Gerät anpingen. Eigentlich müsste ich mich doch jetzt so verhalten können, als sei ich im Netz vor Ort, oder? Insbesondere müsste ich die interne Adresse des Routers 192.168.0.1 sowie die des Win2k-Domänen-Servers 192.168.0.50 anpingen können und einen respond erhalten. Leider heißt es nur "Zeitüberschreitung".

Allerdings muss ich gestehen, dass mein entfernter Rechner noch kein Mitglied der Domäne ist, was aber wiederum keine Voraussetzung dafür ist, einen Ping zu senden.

Hat jemand Vorschläge? Was mache ich falsch? Sind es meine Annahmen?
chris88
chris88 09.08.2007 um 21:47:49 Uhr
Goto Top
So weit so gut. Jetzt kommt das große
ABER:

Ich kann kein einziges Gerät anpingen.
Eigentlich müsste ich mich doch jetzt so
verhalten können, als sei ich im Netz
vor Ort, oder? Insbesondere müsste ich
die interne Adresse des Routers 192.168.0.1
sowie die des Win2k-Domänen-Servers
192.168.0.50 anpingen können und einen
respond erhalten. Leider heißt es nur
"Zeitüberschreitung".

Allerdings muss ich gestehen, dass mein
entfernter Rechner noch kein Mitglied der
Domäne ist, was aber wiederum keine
Voraussetzung dafür ist, einen Ping zu
senden.

Hat jemand Vorschläge? Was mache ich
falsch? Sind es meine Annahmen?

Weiß wirklich keiner weiter?
sysad
sysad 10.08.2007 um 12:54:48 Uhr
Goto Top
So, nun habe ich es geschafft, zumindest eine
VPN-Verbindung herzustellen.
Außerdem habe ich keinen
Adressbereich, sondern eine feste, bislang
nicht vergebene IP für das entfernte
Netzwerk eingestellt (IP: 192.168.0.70) .
Meiner Netzwerkkarte musste ich den
virtuellen Adapter 192.168.10.10 zuordnen.

So weit so gut. Jetzt kommt das große
ABER:

Ich kann kein einziges Gerät anpingen.
Eigentlich müsste ich mich doch jetzt so
verhalten können, als sei ich im Netz
vor Ort, oder?

Also: Dein VPN ist offensichtlich in einem andern Subnet als der Rest. Du musst entweder routen oder dem VPN-Adapter eine Adress aus dem anderen Subnet zuweisen. Dann gehts auch.....

Das hat auch nichts mit der Domäne zu tun.
chris88
chris88 11.08.2007 um 16:49:39 Uhr
Goto Top
Hallo sysad. Vielen Dank für Deine Antwort.

Allerdings muss ich jetzt noch einmal nachfragen, weil ich es nicht ganz verstehe...

Woher weiß ich oder wie kann ich herausfinden, dass mein VPN in einem anderen Subnet ist und wie ich routen muss?

Leider funktioniert meine VPN-Verbindung nur, wenn ich auf Client-Seite einen virtuellen Adapter definiere und diesem eine feste IP zuweise (192.168.10.10), die sich von der Netzwerk-Seite (in das ich mich einwählen will) unterscheiden muss. Dort habe ich der VPN-Verbindung ebenfalls eine feste IP-Adresse zuweisen müssen (192.168.0.70).

Bei diesen Einstellungen kann ich keine Subnet-Mask definieren.
sysad
sysad 12.08.2007 um 13:52:04 Uhr
Goto Top
Hallo sysad. Vielen Dank für Deine
Antwort.

Allerdings muss ich jetzt noch einmal
nachfragen, weil ich es nicht ganz
verstehe...

Bei W2000 habe ich es noch nie gemacht. Es müsste aber so sein wie bei W2003:

1. Routing/RAS muss im Server an sein.
2. Im Server kannst Du einen Adressbereich definieren, den VPN Clients erhalten. Ist gute Alternative zu fester IP auf Clientseite.
3. Die über RAS erhaltene Adresse wird mit dem Netzwerk des Servers verbunden=geroutet.
4. Der Client wird dadurch standardmässig von seinem 'eigenen' Netz abgehängt, d.h. er macht jetzt IP über das VPN (wichtig weil DNS etc dadurch regelmässig nicht so funktionieren wie erwartet)


Woher weiß ich oder wie kann ich
herausfinden, dass mein VPN in einem anderen
Subnet ist und wie ich routen muss?

s.o.


Leider funktioniert meine VPN-Verbindung
nur, wenn ich auf Client-Seite einen
virtuellen Adapter definiere und diesem eine
feste IP zuweise (192.168.10.10), die sich
von der Netzwerk-Seite (in das ich mich
einwählen will) unterscheiden muss. Dort
habe ich der VPN-Verbindung ebenfalls eine
feste IP-Adresse zuweisen müssen
(192.168.0.70).

Du hast einmal 10.x und einmal 0.x Jedes Subnet für sich arbeitet, deswegen klappt die Einwahl.
Die beiden Netze sehen sich aber normalerweise nicht, deswegen musst Du eine logische Verbindung schaffen = routen, damit Pakete vom einen Netz in das andere kommen. Unter W2003 macht das der RAS.

Wir haben keine W2000 Server mehr am Laufen (weil W2003S einen wesentlich verbesserten TS hat), deswegen kann ich da auch nicht nachschauen.

Ich habe die meisten meiner RAS-Server mit Hilfe dieser Seite zum Laufen gekriegt:

http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.h ...

Was mich bei Dir stutzig macht, ist die Aussage, dass der Router der Endpunkt Deines Tunnels ist...
chris88
chris88 15.08.2007 um 23:06:32 Uhr
Goto Top

Was mich bei Dir stutzig macht, ist die
Aussage, dass der Router der Endpunkt Deines
Tunnels ist...


Im Router kann ich eine VPN-Einwahl konfigurieren. Hierzu gebe ich folgende Angaben an:
- Local/remote LAN Start-IP
- Local/remote LAN finish IP
- Local/remote LAN Subnet
- Remote WAN IP or FQDN
- Secure Association: Aggressive Mode
- Decryption Protocol: 3DES
- Key Group Diffie-Hellman Group2
- Pre-shared key
- KEy und IKE Life Time
- Netbios Enable: Yes

Für meinen Netgear Router FVS318v1 gibt es auch eine Anleitung hier:

[ftp://ftp.netgear.de/download/anleitungen/VPNKonfigurationsanleitung.pdf]

Beispiel 14 entspricht meiner Konfiguration. Doch leider komme ich hier nicht weiter.

Ich werde es auf jeden Fall mal mit RAS im W2k Server probieren.
fontemagno
fontemagno 18.08.2010 um 09:54:38 Uhr
Goto Top
Hallo,

bist Du weiter gekommen? Konntest Du Dein Problem lösen? Stehe auch vor dem Problem, dass es nicht läuft.

Gruß
Fontemagno