brooklynx
Goto Top

Kann nach dem VPN Aufbau ProSafe FVS318v3 nicht anspingen

Hallo zusammen,

nach dem ich erfolgreich den Tunnel aufbauen konnte, stehe ich jetzt vor der nächsten Herausforderung. Nach dem die Phase 2 erfolgreich abgeschlossen ist bekomme ich folgenden Eintrag am Ende des Logfiles:

My Connections\New Connection - RECEIVED<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - Sending<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - RECEIVED<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - Sending<<< ISAKMP OAK QM * (Retransmission)

Und dazu kann ich keine IPs anpingen, obwohl der Client die 192.168.1.15 Ip zugewiesen bekommt.


Ich habe in der VPN Policy folgende IP Einstellungen gemacht:


Remote VPN Endpoint:

Ip Adresse
0.0.0.0


Local IP:


Auswahl:Subnet
IP: 192.168.0.0
Mask:255.255.255.0


Remote IP:

Auswahl: SingleIP
IP: 192.168.1.15


Im Client


Bereich New Connection:


ID: IP Subnet
Subnett: 192.168.00
Mask: 255.255.255.0

Connect useing: Secure Gaetway Tunnel

ID Type: Domain Name
xxx.dyndns.org
Gateway Hostname
xxx.dyndns.org


My Identyty:

Virtual Adapter : Required
Internal Network Adress: 192.168.0.15

Interface:

Name:ANY
IP Adress:ANY


Muß man dafür noch eine Statische Route im FVS318v3 erstellen?


Gruß

Brooklyn

Content-ID: 14464

Url: https://administrator.de/forum/kann-nach-dem-vpn-aufbau-prosafe-fvs318v3-nicht-anspingen-14464.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

pumba
pumba 19.06.2006 um 14:53:43 Uhr
Goto Top
Hi,
Remote IP ist falsch, da muss 0.0.0.0 hin, ansonsten darf nur der Client von dieser IP sich einwählen.
BrooklynX
BrooklynX 19.06.2006 um 15:21:26 Uhr
Goto Top
Hi du,

danke für die Antwort, habe aber längst alles am laufen.

Die Remote Endpoint Ip kann 0.0.0.0 sein. Damit gibst du an, das jede externe IP angesprochen werden kann. Du kannst genauso ein Dyndns Namen eingeben.

Wenn du die Remote IP meinst, die ist so richtig, damit kann du beschränken, welche IP über den Tunnel inbound kommen kann und so hast du das auch geschrieben.
Machen kannst du das so wie du willst. Entweder eine Range, oder ein SUbnet oder einfach nur eine IP wie ich es gemacht habe.

Bei mir war am Ende die Firmware das Problem. Und mit dieser Einstellung geht alles bestens.
oldghost
oldghost 24.08.2006 um 21:09:44 Uhr
Goto Top
Hallo Zusammen,
hab' genau das gleiche problem.
Brooklyn kannst du vielleicht posten wie du's zum laufen gebracht hast?
Vielen Dank im voraus.

Thomas
BrooklynX
BrooklynX 26.08.2006 um 15:08:41 Uhr
Goto Top
Dazu müßtest du mir erstmal sagen, was du für eine VPN Verbindung haben möchtest?

VPN Client zu Router oder Router Router?
oldghost
oldghost 26.08.2006 um 19:27:07 Uhr
Goto Top
Hallo!
Ich möchte eine erbindung von Client (netgear prosave 10.5.1) zu Router (FVS318v3) hinter einem NAT-T aufbauen. Der Tunnel wird aufgebaut aber pings sind keine möglich (wie oben beschrieben).
BrooklynX
BrooklynX 26.08.2006 um 19:33:00 Uhr
Goto Top
O.k, die Geräte in Deinem Lan, haben die ein Gateway eingetragen?
oldghost
oldghost 26.08.2006 um 19:34:57 Uhr
Goto Top
Ja, alle Geräte haben den lokalen Router als Gateway.
oldghost
oldghost 26.08.2006 um 19:37:05 Uhr
Goto Top
techniker von netgear heben sowohl die einstellungen des Router als auch die des Client überprüft und sind der meinung das es so laufen müsste.
BrooklynX
BrooklynX 27.08.2006 um 13:30:51 Uhr
Goto Top
Sieht den die Config fast genauso aus, wie meine oben?
Was passiert, wenn du vom Router den Client aus anpingst? Welche Version hast du als firmware drauf? Bei mir hat es nur mit der 21 er funktioniert und mit der aktuellen.
oldghost
oldghost 28.08.2006 um 21:36:21 Uhr
Goto Top
Ja, die Config sieht, bis auf die localen ip's die natürlich auf mein netzwerk angepasst sind, genauso aus.
Auch das log scheint das gleiche zu sein: Phase 2 etablished und dann mehrmals diese meldung:
My Connections\New Connection - RECEIVED<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - Sending<<< ISAKMP OAK QM * (Retransmission)
Firmware ist die v3.0_24, Client hat die Version 10.5.1.
Die 21 er Version hab ich auch ausprobiert, ohne erfolg.
BrooklynX
BrooklynX 29.08.2006 um 16:22:07 Uhr
Goto Top
O.K, wie sieht die Config Deines VPN Clients aus? Übrigends, die 10.5.1 ist nicht der aktuellste Client. Frag mal den Support, ob die dir nicht den aktuellste schicken können.
oldghost
oldghost 04.09.2006 um 07:54:51 Uhr
Goto Top
Hab natürlich alles mögliche durchprobiert, mir Virtuellen Apapter usw.
Hier ist mal die Client-Config die von Netgear überprüft und für Gut befunden wurde:

MyConnections:
ID Type: IP Subnet
Subnet: 192.168.2.0
Mask: 255.255.255.0
Protocol: All
Connect using: Secure Gateway Tunnel
ID Type: Domain Name Gateway Hostname
my.dyndns.org my.dyndns.org

My Identity
Select Certificate: None
ID Type: fvs_remote_MyGroup
Virtual Adapter: Disabled
Internat Interface: Any

Security Policy
Select Phase 1 Negotiation Mode: Aggresive Mode
Enable Replay Detection
Authentication (Phase 1)
Authentication Method: Pre-Shared Key
Encrypt Alg: Tiple DES
Hash Alg: SHA-1
SA Life Unspecified
Key Group: Diffie-Hellman Group 2
Key Exchange (Phase 2)
SA Life: Unspecified
Compression: None
Encapsulation Protocol (ESP)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel

Und das Log dazu:

8-31: 10:03:17.906 My Connections\MyGroup - Attempting to resolve Hostname (my.dyndns.org)
8-31: 10:03:18.297
8-31: 10:03:18.297 My Connections\MyGroup - Initiating IKE Phase 1 (Hostname=my.dyndns.org) (IP ADDR=xxx.xxx.xxx.xxx)
8-31: 10:03:18.547 My Connections\MyGroup - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-31: 10:03:21.625 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID, NAT-D 3x)
8-31: 10:03:21.625 My Connections\MyGroup - Peer is NAT-T draft-01 capable
8-31: 10:03:21.625 My Connections\MyGroup - NAT is detected for Client
8-31: 10:03:21.765 My Connections\MyGroup - Using cached address. (Hostname=my.dyndns.org) (IP ADDR=xxx.xxx.xxx.xxx)
8-31: 10:03:21.765 My Connections\MyGroup - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
8-31: 10:03:21.765 My Connections\MyGroup - Established IKE SA
8-31: 10:03:21.765 My Connections\MyGroup - MY COOKIE 44 73 81 3c c9 3b fc c0
8-31: 10:03:21.765 My Connections\MyGroup - HIS COOKIE ab a7 fd 27 bd a7 b c6
8-31: 10:03:21.828 My Connections\MyGroup - Initiating IKE Phase 2 with Client IDs (message id: 5DC032FB)
8-31: 10:03:21.828 My Connections\MyGroup - Initiator = IP ADDR=192.168.100.11, prot = 0 port = 0
8-31: 10:03:21.828 My Connections\MyGroup - Responder = IP SUBNET/MASK=192.168.2.0/255.255.255.0, prot = 0 port = 0
8-31: 10:03:21.828 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
8-31: 10:03:21.890 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
8-31: 10:03:21.890 My Connections\MyGroup - Filter entry 3 added: SECURE 192.168.100.011&255.255.255.255 192.168.002.000&255.255.255.000 DNS.DNS.DNS.DNS
8-31: 10:03:21.890 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(HASH)
8-31: 10:03:21.890 My Connections\MyGroup - Loading IPSec SA (Message ID = 5DC032FB OUTBOUND SPI = FB5CB698 INBOUND SPI = DCFC0356)
8-31: 10:03:21.890
8-31: 10:03:26.937 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK QM *(Retransmission)
8-31: 10:03:26.937 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(Retransmission)
8-31: 10:03:31.968 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK QM *(Retransmission)
8-31: 10:03:31.968 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(Retransmission)
BrooklynX
BrooklynX 04.09.2006 um 18:12:01 Uhr
Goto Top
Mir gehen langsam die Ideen aus, aber die Config sieht gut aus. Außer das ich bei mir Virtual Adapter: enabled eingestellt habe.

Laß mich noch mal was knacken, irgendwie mach mich das Problem kirre und gleichzeitig neugierig.
oldghost
oldghost 04.09.2006 um 18:38:00 Uhr
Goto Top
Irgendwie hast du doch am Anfang das gleiche Problem gehabt. Was hast du denn geändert das es funktioniert hat?
BrooklynX
BrooklynX 04.09.2006 um 18:53:54 Uhr
Goto Top
Ich habe z.B beim Key Group: Diffie-Hellman Group 2 Probleme gehabt. Bei jeder Änderung z.B mußte ich den Client neu landen anstatt einfach die Policy zureloaden. Dann hat einmal das VPN geklappt und dann wieder nicht. Ich weiß es nicht wieso, weshalb und warum
oldghost
oldghost 04.09.2006 um 19:48:11 Uhr
Goto Top
So, hab gerade das ganze bei bekannten ausprobiert die keinen Router zwischen PC und Modem haben. Da läuft das ganze problemlos. Werd morgen in der Firma noch versuchen ne statische Route am Client-seitigen Router einzurichten. Sonst hab ich keine Idee mehr.
BrooklynX
BrooklynX 04.09.2006 um 19:56:33 Uhr
Goto Top
Dann gehe ich davon aus, das es irgendwo Probleme an der Firewall Deiner Firma gibt. Benutzt ihr eine Cisco Pix? Was sagen die Log der Firewall Deiner Firma? Wird da vielleicht VPN Verkehr gesperrt. DAs Problem gab es nämlich auch mal bei mir in der Firma, nachdem der Anbieter gewechselt wurde.
oldghost
oldghost 15.09.2006 um 13:48:27 Uhr
Goto Top
Hm, hab jetzt mal den TheGreenBow client installiert, mir dem läuft's einwandfrei!!!
Na dann werd ich mir mal ne Lizenz besorgen ...
oldghost
oldghost 15.09.2006 um 13:49:15 Uhr
Goto Top
Vielen Dank für die Hilfe!

Gruß
Thomas
BrooklynX
BrooklynX 20.09.2006 um 09:54:21 Uhr
Goto Top
Ich habe den Fehler gefunden:


Geh in den SafeNet Virtual Adapter Interface unter den Eingeschaften der Netzwerkumgebung, geh dort in Netzwerk in die TCP/IP Einstellung und aktiviere in den Erweiterten Eigenschaften den Punkt "Standard Gateway für das Remote Netzwerk verwenden".


Dann geht das. Denn laut Router kann er zwar den VPn CLient erreichen, aber der Client kann den Router etc. nicht erreichen, da keine Pakete zurück kommen, da diese dann über das lokale Gateway geschickt werden und dann natürlich nicht über das VPN Gateway.
oldghost
oldghost 24.09.2006 um 14:46:08 Uhr
Goto Top
Hab den SaveNet Client noch mal installiert. "Standard Gateway für das Remote Netzwerk verwenden" ist bei mir standartmässig aktiviert, läuft aber trotzdem nicht. Verschiedene Versuche mit statischen Routen auf dem Client-seitigen Router haben auch nichts gebracht. Scheinbar hat der SaveNet Client probleme mit dem vorgeschalteten Lancom Router.
oldghost
oldghost 24.09.2006 um 21:46:13 Uhr
Goto Top
Hab den Fehler jetzt anscheinend gefunden:

In den IKA Police Configration hab ich bei Remote Identity Data Grossbuchstaben verwendet.
Alles in kleine Buchstaben geändert in schon läuft's.

Vielen Dank für die Mühe und Hilfe.

Gruß
Thomas