IPSec-VPN einrichten (ProSafe VPN Client auf FVS318)
Hallo Community.
Nachdem ich mich durch die Anleitung von Netgear und durch verschiedene Foren gequält habe, versuche ich mein Glück mit einem Beitrag hier. Ich bin um jede Hilfe wirklich sehr dankbar! Grüße! Christian
Ich versuche schon seit geraumer Zeit ein IPSec-VPN zwischen einem entfernten Win2k-Server-Domänen-Netzwerk und meinem Notebook zu erstellen.
Anbei ein paar Facts:
- Entferntes Netzwerk:
Win2K Server SP4 (Domäne) + 3 Rechner WinXP Pro SP2
Netgear ProSafe VPN Router FVS318 der ersten Generation
(V2.4 July. 19 2004)
interne IP-Adressen: 192.168.0.xxx (der Router hat die 1)
externe IP-Adressen: dynamisch via xxxxxxx.dyndns.org (T-Home)
Die IP-Adressen sind intern statisch vergeben
UDP-Port 500 auf 192.168.0.1
TCP-Port 1723 auf 192.168.0.1
UDP-Port 50..51 auf 192.168.0.1
- Notebook mit WinXP Pro SP2
WLAN mit Fritz!Box 7170
interne IP-Adresse: 192.168.178.xxx
externe IP-Adresse: dynamisch (1&1)
VPN-client-Software: Netgear ProSafe VPN Client
10.7.2 (Build 12) - GA Version
Die IP-Adressen sind intern statisch vergeben
Ich kann von meinem Notebook aus den Router anpingen und auch remote verwalten.
Hier das Protokoll des Clients:
8-07: 22:54:21.375 My Connections\LMD - Attempting to resolve Hostname (xxxxxxxxxxx.dyndns.org)
8-07: 22:54:21.406
8-07: 22:54:21.406 My Connections\abc - Initiating IKE Phase 1 (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:21.609 My Connections\abc - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-07: 22:54:24.625 My Connections\abc - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH)
8-07: 22:54:24.750 My Connections\abc - Using cached address. (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:24.750 My Connections\abc - Cannot match Phase 1 ID with Policy Entry: received ID DOMAIN=Znet
8-07: 22:54:24.750 My Connections\abc - SENDING>>>> ISAKMP OAK INFO (HASH, NOTIFY:INVALID_ID_INFO)
8-07: 22:54:24.765 My Connections\abc - Discarding IKE SA negotiation
8-07: 22:54:24.765 My Connections\abc - MY COOKIE 64 b6 5c 2c 30 24 b7 c5
8-07: 22:54:24.765 My Connections\abc - HIS COOKIE c5 b9 a6 91 a4 70 85 f
8-07: 22:54:32.625 My Connections\abc - Using cached address. (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:32.625 My Connections\abc - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH)
8-07: 22:54:32.625 My Connections\abc - Received message for non-active SA
8-07: 22:54:52.609 My Connections\abc - Using cached address. (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:52.609 My Connections\abc - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH)
8-07: 22:54:52.609 My Connections\abc - Received message for non-active SA
Hier das Protokoll des Routers:
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Receive Packet address:0x1396850 from 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:Peer Initialized IKE Aggressive Mode
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:RX << AM_I1 : 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:New State index:0, sno:9
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Agg. Decoded Peer's ID Type is ID_USER_FQDN
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Value=6a 6d 64 62 6a 40 6d 65 73 63 74 69 65 6e 76 74 65 3f 64 65
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:agg_inI1_outR1() connection not found 84.XXX.XXX.XX[500]-217.XXX.XXX.X[500]
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:Trying Dynamic IP Searching
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:instantiated "connect_tmp8" for 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Oakley Transform 1 accepted
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:OAKLEY_PRESHARED_KEY/OAKLEY_3DES_CBC/MODP1024
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:[lmdbl_tmp8] TX >> AM_R1 : 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #9
Tues, 08/07/2007 22:56:18 - T-Online DSL IPsec:Receive Packet address:0x1396850 from 217.XXX.XXX.X
Tues, 08/07/2007 22:56:18 - T-Online DSL IKE:[lmdbl_tmp8] RX << XCHG_INFO : 217.XXX.XXX.X
Tues, 08/07/2007 22:56:18 - T-Online DSL IPsec:message ignored because it contains an payload type (ISAKMP_NEXT_HASH) unexpected in this message
Tues, 08/07/2007 22:56:24 - T-Online DSL IPsec:handling event EVENT_RETRANSMIT for d9e9bf08 "connect_tmp8" #9
Tues, 08/07/2007 22:56:24 - T-Online DSL IPsec:inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #9
Nachdem ich mich durch die Anleitung von Netgear und durch verschiedene Foren gequält habe, versuche ich mein Glück mit einem Beitrag hier. Ich bin um jede Hilfe wirklich sehr dankbar! Grüße! Christian
Ich versuche schon seit geraumer Zeit ein IPSec-VPN zwischen einem entfernten Win2k-Server-Domänen-Netzwerk und meinem Notebook zu erstellen.
Anbei ein paar Facts:
- Entferntes Netzwerk:
Win2K Server SP4 (Domäne) + 3 Rechner WinXP Pro SP2
Netgear ProSafe VPN Router FVS318 der ersten Generation
(V2.4 July. 19 2004)
interne IP-Adressen: 192.168.0.xxx (der Router hat die 1)
externe IP-Adressen: dynamisch via xxxxxxx.dyndns.org (T-Home)
Die IP-Adressen sind intern statisch vergeben
UDP-Port 500 auf 192.168.0.1
TCP-Port 1723 auf 192.168.0.1
UDP-Port 50..51 auf 192.168.0.1
- Notebook mit WinXP Pro SP2
WLAN mit Fritz!Box 7170
interne IP-Adresse: 192.168.178.xxx
externe IP-Adresse: dynamisch (1&1)
VPN-client-Software: Netgear ProSafe VPN Client
10.7.2 (Build 12) - GA Version
Die IP-Adressen sind intern statisch vergeben
Ich kann von meinem Notebook aus den Router anpingen und auch remote verwalten.
Hier das Protokoll des Clients:
8-07: 22:54:21.375 My Connections\LMD - Attempting to resolve Hostname (xxxxxxxxxxx.dyndns.org)
8-07: 22:54:21.406
8-07: 22:54:21.406 My Connections\abc - Initiating IKE Phase 1 (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:21.609 My Connections\abc - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-07: 22:54:24.625 My Connections\abc - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH)
8-07: 22:54:24.750 My Connections\abc - Using cached address. (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:24.750 My Connections\abc - Cannot match Phase 1 ID with Policy Entry: received ID DOMAIN=Znet
8-07: 22:54:24.750 My Connections\abc - SENDING>>>> ISAKMP OAK INFO (HASH, NOTIFY:INVALID_ID_INFO)
8-07: 22:54:24.765 My Connections\abc - Discarding IKE SA negotiation
8-07: 22:54:24.765 My Connections\abc - MY COOKIE 64 b6 5c 2c 30 24 b7 c5
8-07: 22:54:24.765 My Connections\abc - HIS COOKIE c5 b9 a6 91 a4 70 85 f
8-07: 22:54:32.625 My Connections\abc - Using cached address. (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:32.625 My Connections\abc - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH)
8-07: 22:54:32.625 My Connections\abc - Received message for non-active SA
8-07: 22:54:52.609 My Connections\abc - Using cached address. (Hostname=xxxxxxxxxxx.dyndns.org) (IP ADDR=84.XXX.XXX.XX)
8-07: 22:54:52.609 My Connections\abc - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH)
8-07: 22:54:52.609 My Connections\abc - Received message for non-active SA
Hier das Protokoll des Routers:
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Receive Packet address:0x1396850 from 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:Peer Initialized IKE Aggressive Mode
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:RX << AM_I1 : 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:New State index:0, sno:9
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Agg. Decoded Peer's ID Type is ID_USER_FQDN
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Value=6a 6d 64 62 6a 40 6d 65 73 63 74 69 65 6e 76 74 65 3f 64 65
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:agg_inI1_outR1() connection not found 84.XXX.XXX.XX[500]-217.XXX.XXX.X[500]
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:Trying Dynamic IP Searching
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:instantiated "connect_tmp8" for 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:Oakley Transform 1 accepted
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:OAKLEY_PRESHARED_KEY/OAKLEY_3DES_CBC/MODP1024
Tues, 08/07/2007 22:56:16 - T-Online DSL IKE:[lmdbl_tmp8] TX >> AM_R1 : 217.XXX.XXX.X
Tues, 08/07/2007 22:56:16 - T-Online DSL IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #9
Tues, 08/07/2007 22:56:18 - T-Online DSL IPsec:Receive Packet address:0x1396850 from 217.XXX.XXX.X
Tues, 08/07/2007 22:56:18 - T-Online DSL IKE:[lmdbl_tmp8] RX << XCHG_INFO : 217.XXX.XXX.X
Tues, 08/07/2007 22:56:18 - T-Online DSL IPsec:message ignored because it contains an payload type (ISAKMP_NEXT_HASH) unexpected in this message
Tues, 08/07/2007 22:56:24 - T-Online DSL IPsec:handling event EVENT_RETRANSMIT for d9e9bf08 "connect_tmp8" #9
Tues, 08/07/2007 22:56:24 - T-Online DSL IPsec:inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #9
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 65680
Url: https://administrator.de/contentid/65680
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
19 Kommentare
Neuester Kommentar
du kannst es mal nach dieser anleitung versuchen: ftp://downloads.netgear.com/files/vpn_to_0_0_0_01_final1.pdf
ist zwar für ein anderes modell, aber denke aberr das es bei deinem router ähnlich aussieht.
wenn das klappt, kann man im zweiten schritt die user-authetifizierung dazuschalten.
bezüglich port-forwarding: ich hab einen netgear-router hinter einer fritz-box. die fritz box kennt außer tcp+udp bei nat keine weiteren protokolle (gre etc), ich hab den netgear dann als exposed host/dmz definiert - funktioniert prima.
ist zwar für ein anderes modell, aber denke aberr das es bei deinem router ähnlich aussieht.
wenn das klappt, kann man im zweiten schritt die user-authetifizierung dazuschalten.
bezüglich port-forwarding: ich hab einen netgear-router hinter einer fritz-box. die fritz box kennt außer tcp+udp bei nat keine weiteren protokolle (gre etc), ich hab den netgear dann als exposed host/dmz definiert - funktioniert prima.
So, nun habe ich es geschafft, zumindest eine
VPN-Verbindung herzustellen.
Außerdem habe ich keinen
Adressbereich, sondern eine feste, bislang
nicht vergebene IP für das entfernte
Netzwerk eingestellt (IP: 192.168.0.70) .
Meiner Netzwerkkarte musste ich den
virtuellen Adapter 192.168.10.10 zuordnen.
So weit so gut. Jetzt kommt das große
ABER:
Ich kann kein einziges Gerät anpingen.
Eigentlich müsste ich mich doch jetzt so
verhalten können, als sei ich im Netz
vor Ort, oder?
VPN-Verbindung herzustellen.
Außerdem habe ich keinen
Adressbereich, sondern eine feste, bislang
nicht vergebene IP für das entfernte
Netzwerk eingestellt (IP: 192.168.0.70) .
Meiner Netzwerkkarte musste ich den
virtuellen Adapter 192.168.10.10 zuordnen.
So weit so gut. Jetzt kommt das große
ABER:
Ich kann kein einziges Gerät anpingen.
Eigentlich müsste ich mich doch jetzt so
verhalten können, als sei ich im Netz
vor Ort, oder?
Also: Dein VPN ist offensichtlich in einem andern Subnet als der Rest. Du musst entweder routen oder dem VPN-Adapter eine Adress aus dem anderen Subnet zuweisen. Dann gehts auch.....
Das hat auch nichts mit der Domäne zu tun.
Hallo sysad. Vielen Dank für Deine
Antwort.
Allerdings muss ich jetzt noch einmal
nachfragen, weil ich es nicht ganz
verstehe...
Antwort.
Allerdings muss ich jetzt noch einmal
nachfragen, weil ich es nicht ganz
verstehe...
Bei W2000 habe ich es noch nie gemacht. Es müsste aber so sein wie bei W2003:
1. Routing/RAS muss im Server an sein.
2. Im Server kannst Du einen Adressbereich definieren, den VPN Clients erhalten. Ist gute Alternative zu fester IP auf Clientseite.
3. Die über RAS erhaltene Adresse wird mit dem Netzwerk des Servers verbunden=geroutet.
4. Der Client wird dadurch standardmässig von seinem 'eigenen' Netz abgehängt, d.h. er macht jetzt IP über das VPN (wichtig weil DNS etc dadurch regelmässig nicht so funktionieren wie erwartet)
Woher weiß ich oder wie kann ich
herausfinden, dass mein VPN in einem anderen
Subnet ist und wie ich routen muss?
s.o.
Leider funktioniert meine VPN-Verbindung
nur, wenn ich auf Client-Seite einen
virtuellen Adapter definiere und diesem eine
feste IP zuweise (192.168.10.10), die sich
von der Netzwerk-Seite (in das ich mich
einwählen will) unterscheiden muss. Dort
habe ich der VPN-Verbindung ebenfalls eine
feste IP-Adresse zuweisen müssen
(192.168.0.70).
Du hast einmal 10.x und einmal 0.x Jedes Subnet für sich arbeitet, deswegen klappt die Einwahl.
Die beiden Netze sehen sich aber normalerweise nicht, deswegen musst Du eine logische Verbindung schaffen = routen, damit Pakete vom einen Netz in das andere kommen. Unter W2003 macht das der RAS.
Wir haben keine W2000 Server mehr am Laufen (weil W2003S einen wesentlich verbesserten TS hat), deswegen kann ich da auch nicht nachschauen.
Ich habe die meisten meiner RAS-Server mit Hilfe dieser Seite zum Laufen gekriegt:
http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.h ...
Was mich bei Dir stutzig macht, ist die Aussage, dass der Router der Endpunkt Deines Tunnels ist...