10
kein vpn empfang mit fritzbox und netgear
ich habe jetzt tage probiert und nichts passiert. bei vpn hab ich auch ehrlich gesagt keine ahnung und will es zur remote verbindung und zum datenaustausch nutzen. ich weiß es gibt andere wege aber mein eifer zwingt mich das jetzt durchzuziehen und es soll einfach klappen denn verbunden bin ich aber mehr auch nicht.
ich habe an 2 verschiedenen orten rechner stehen auf die ich zugreifen will sind 2 macs die hinter einer fritzbox 7270 hängen. diese box ist fertig konfiguriert zumindest so das ich mich verbinden kann. ich hier sitze hinter einem netgear router der ipsec pass through kann. die vpn verbindung zur fritzbox steht bereits nur leider steht in der statistik immer das ich sende aber nichts empfange.wenn ich miich mit einem rechner über ip verbinden will oder es anpingen will kommt auch nix zurück.ich habe übrigens auch einen MAC
die ip der fritzbox: 192.168.2.1 / 255.255.255.0
die ip die ich haben soll: 192.168.2.19 / 255.255.255.0
verbindung per dyndns
meine ip hier: 192.168.0.13
hatte auch schon mehrere ports freigegeben erst 500 jetzt hab ich 4500 udp auf fritz und netgear freigegeben.
ich benutze ipsecuritas hier zum einwählen.hier mal ein bild was das protokoll erstmal beim verbinden sagt.
dann bin ich verbunden und die fritzbox sagt auch das die verbindung hergestellt ist.
als statistik sehe ich nur das folgende:
hier die daten der fritzbox einstellung des vpn:
BITTE UM HILFE!!!
ich habe an 2 verschiedenen orten rechner stehen auf die ich zugreifen will sind 2 macs die hinter einer fritzbox 7270 hängen. diese box ist fertig konfiguriert zumindest so das ich mich verbinden kann. ich hier sitze hinter einem netgear router der ipsec pass through kann. die vpn verbindung zur fritzbox steht bereits nur leider steht in der statistik immer das ich sende aber nichts empfange.wenn ich miich mit einem rechner über ip verbinden will oder es anpingen will kommt auch nix zurück.ich habe übrigens auch einen MAC
die ip der fritzbox: 192.168.2.1 / 255.255.255.0
die ip die ich haben soll: 192.168.2.19 / 255.255.255.0
verbindung per dyndns
meine ip hier: 192.168.0.13
hatte auch schon mehrere ports freigegeben erst 500 jetzt hab ich 4500 udp auf fritz und netgear freigegeben.
ich benutze ipsecuritas hier zum einwählen.hier mal ein bild was das protokoll erstmal beim verbinden sagt.
dann bin ich verbunden und die fritzbox sagt auch das die verbindung hergestellt ist.
als statistik sehe ich nur das folgende:
hier die daten der fritzbox einstellung des vpn:
/*
* C:\Users\cc-lex\AppData\Roaming\AVM\FRITZ!Fernzugang\xxx-xxx_dyndns_org\fritzbox_xxx-xxx_dyndns_org.cfg
* Thu Aug 13 12:55:38 2009
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "xxx@web.de";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.2.19;
remoteid {
user_fqdn = "xxx@web.de";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "123456789123456789123456789";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.2.1;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.2.19;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.2.1 255.255.255.0 192.168.2.19 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOFBITTE UM HILFE!!!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 122728
Url: https://administrator.de/contentid/122728
Ausgedruckt am: 14.11.2024 um 15:11 Uhr
10 Kommentare
Neuester Kommentar
OK, wie man IPsecuritas mit der Fritzbox zum Laufen bringt steht hier:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Das sollte also für dich problemlos einrichtbar sein.... ?!
NetGear ist so gut wie immer ein Stolperstein, da deren VPN Passthrough Funktion oft nicht laufen.
Allerwichtigstes ToDo ist hier unbedingt eine aktuelle Firmware zu verwenden !!
Die FB macht reines IPsec im ESP Modus
Damit müssen die Ports UDP 500 (IKE) und UDP 4500 (NAT Traversal) und das ESP Protokoll auf die lokale IP deines IPsecuritas Clients geforwardet werden.
ESP hat die IP Protokoll Nummer 50 (Achtung nicht TCP oder UDP 50 !!).
Vermutlich forwardet der NetGear wie so oft trotz Passthrough kein ESP an den Client, so das die Verbindung nicht zustandekommt.
Was sagt den das FB bzw. das IPsecuritas Log ??
Alternativ testest du es mal direkt aus indem du den Mac Client direkt ans DSL klemmst um die NAT Firewall des NetGear zu umgehen... Das muss dann in jedem Fall klappen !
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Das sollte also für dich problemlos einrichtbar sein.... ?!
NetGear ist so gut wie immer ein Stolperstein, da deren VPN Passthrough Funktion oft nicht laufen.
Allerwichtigstes ToDo ist hier unbedingt eine aktuelle Firmware zu verwenden !!
Die FB macht reines IPsec im ESP Modus
Damit müssen die Ports UDP 500 (IKE) und UDP 4500 (NAT Traversal) und das ESP Protokoll auf die lokale IP deines IPsecuritas Clients geforwardet werden.
ESP hat die IP Protokoll Nummer 50 (Achtung nicht TCP oder UDP 50 !!).
Vermutlich forwardet der NetGear wie so oft trotz Passthrough kein ESP an den Client, so das die Verbindung nicht zustandekommt.
Was sagt den das FB bzw. das IPsecuritas Log ??
Alternativ testest du es mal direkt aus indem du den Mac Client direkt ans DSL klemmst um die NAT Firewall des NetGear zu umgehen... Das muss dann in jedem Fall klappen !
danke erstmal für die tolle antwort...das ging ja echt schnell.
also was der log sagt von ipsecuritas steht im ersten beitrag und zwar das erste bild(musst anklicken dann kann man es auch lesen).
nochmal was zu dem oben gesagten. wenn ich im netgear 500 freigebe und 4500 und noch 50 dazu lässt er mich die 50 nicht weil er sagt port konflikt.
hab noch ein linksys befsx41 stehen und hab das gestern abend probiert, und habe 4500 und 500 freigegeben, aber selbst in diesem router (VPN ROUTER) gab es nur udp und tcp kein esp.
vielleicht kennt jemand diesen router und kann mir sagen wie ich es mit dem linbksys hinbekomme.
werde heute abend aber auch mal die option probieren direkt vom dsl auf den mac zu gehen, was aber selbst wenn es funktioniert mir irgendwie nicht erklärt was das problem ist. sollte es nicht gehen wenn ich es (nur kurz) mal mit dmz auf den port des ipsecuritas lege?weil das hatte ich bereits gemacht und es hat keinen erfolg gebracht.
vielleicht sieht ja jemand oben in den ersten beiden bildern die (falls vorhanden) fehler, die ich beim einrichten gemacht hab.
achso wo finde ich das FB log? weil bei ereignissen zeigt er ja nur an verbunden oder nicht verbunden.
noch eine frage nebenbei:sollte ich wenn ich erfolgreich verbunden bin bei der fritzbox in der übersicht netzwerk meine zugeteilte ip(in meinem fall 192.168..2.19) sehen?
sollte ich die ports 500 und 4500 und esp auch auf der gegenstelle bei den rechner auf die ich zugreifen will per udp bzw. esp freigeben?
also was der log sagt von ipsecuritas steht im ersten beitrag und zwar das erste bild(musst anklicken dann kann man es auch lesen).
nochmal was zu dem oben gesagten. wenn ich im netgear 500 freigebe und 4500 und noch 50 dazu lässt er mich die 50 nicht weil er sagt port konflikt.
hab noch ein linksys befsx41 stehen und hab das gestern abend probiert, und habe 4500 und 500 freigegeben, aber selbst in diesem router (VPN ROUTER) gab es nur udp und tcp kein esp.
vielleicht kennt jemand diesen router und kann mir sagen wie ich es mit dem linbksys hinbekomme.
werde heute abend aber auch mal die option probieren direkt vom dsl auf den mac zu gehen, was aber selbst wenn es funktioniert mir irgendwie nicht erklärt was das problem ist. sollte es nicht gehen wenn ich es (nur kurz) mal mit dmz auf den port des ipsecuritas lege?weil das hatte ich bereits gemacht und es hat keinen erfolg gebracht.
vielleicht sieht ja jemand oben in den ersten beiden bildern die (falls vorhanden) fehler, die ich beim einrichten gemacht hab.
achso wo finde ich das FB log? weil bei ereignissen zeigt er ja nur an verbunden oder nicht verbunden.
noch eine frage nebenbei:sollte ich wenn ich erfolgreich verbunden bin bei der fritzbox in der übersicht netzwerk meine zugeteilte ip(in meinem fall 192.168..2.19) sehen?
sollte ich die ports 500 und 4500 und esp auch auf der gegenstelle bei den rechner auf die ich zugreifen will per udp bzw. esp freigeben?
Sorry, richtig mit dem Log ! Wer lesen kann... 
Das sieht aber nach einem einfachen Fehler aus !
Deine Authentication im IPsecuritas macht MD5 Encryption und die FB macht SHA. Das ist nicht kompatibel aber wenn du das einheitlich machst (entweder FB oder IPsecuritas anpassen) sollte es auf Schlag klappen !
Das sieht aber nach einem einfachen Fehler aus !
Deine Authentication im IPsecuritas macht MD5 Encryption und die FB macht SHA. Das ist nicht kompatibel aber wenn du das einheitlich machst (entweder FB oder IPsecuritas anpassen) sollte es auf Schlag klappen !
ja also in ipsecuritas steht es auch auf sha ...und wie ich das in der FB ändere wüsste ich jetzt nicht.
zusatz: hab es gerade geändert.es stand in phase 2 auch ein haken bei ipsecuritas auf md5 den hab ich weggenommen.aber alles beimalten nur der log sieht jetzt um eins anders aus das die md5 fehlermeldung weg ist. er sendet immernoch daten und empfängt nix!!!
zusatz: hab es gerade geändert.es stand in phase 2 auch ein haken bei ipsecuritas auf md5 den hab ich weggenommen.aber alles beimalten nur der log sieht jetzt um eins anders aus das die md5 fehlermeldung weg ist. er sendet immernoch daten und empfängt nix!!!
Die Fehlermeldung sagt es ja im Log wenn das o.a. Log IPsecuritas ist:
my (also meine Seite): hmac-md5
und
peer (remote Seite): hmac-sha
Es kann also nicht sein das der IPsecuritas auf SHA steht, denn er sagt ja selber er macht MD5 im Log.
Hier hast du einen Leitfaden wo man es einstellen kann:
http://www.phinex.ch/fileadmin/manuals/manual_ipsecuritas.pdf
my (also meine Seite): hmac-md5
und
peer (remote Seite): hmac-sha
Es kann also nicht sein das der IPsecuritas auf SHA steht, denn er sagt ja selber er macht MD5 im Log.
Hier hast du einen Leitfaden wo man es einstellen kann:
http://www.phinex.ch/fileadmin/manuals/manual_ipsecuritas.pdf
also "authtyped mismatched" ist aus dem protokoll weg. allerdings ist der rest beim alten...kein empfang....
das ärgert mich wirklich sehr...
das ärgert mich wirklich sehr...
also ich hab jetzt meinen mac direkt am dsl und es ist alles immernoch das selbe.scheinbar liegt es an der fritzbox nicht an meinem gerät hier....
verdammt...ich find den fehler nicht
verdammt...ich find den fehler nicht
Ja das liegt dann 100% an der Fritzbox sofern dir die lokale FW des Mac keinen Streich spielt.
Was sagt denn da das Log ??
Da AVM aber selber dies als Lösung auf seinem VPN Portal veröffentlicht kann es eigentlich nur ein Konfig Fehler sein ?!
Hiermit rennt es wenigstens fehlerlos !
Was sagt denn da das Log ??
Da AVM aber selber dies als Lösung auf seinem VPN Portal veröffentlicht kann es eigentlich nur ein Konfig Fehler sein ?!
Hiermit rennt es wenigstens fehlerlos !
hmmm....ja denk ich dann auch.
aber nochmal ne frage. ich habe festgestellt das die fritzbox die ip 192.168.2.1 hat und subnetzmaske 255.255.255.0
wenn ich per fritzfernzugang einrichten alles einstell eund diese ip oben angebe wählt er automatisch die subnetzmaske 255.255.255.255, und das ist auch nicht veränderbar.
ich muss erst über editor im erstellten konfigurationsscript die subnetzmaske auf 255.255.255.0 setzen
kann es daran liegen?
ich wollte dann in der fritzbox die subnetzmaske ändern, da sagt er mir sie sei ungültig.dann wollte ich die ip auf 192.168.2.0 stellen, da sagt er die ip würde das subnetz beschreiben und ich kann darauf nicht wechseln.
schon komisch...
ne antwort darauf wäre echt nett....war zumindest alles bisher sehr nett von dir geschrieben und nicht wie in anderen foren sehr herablassend.danke schonmal
und nur mal zur erklärung.ich wollte vpn zu 95 dazu um die rechner hinter der fritzbox per apple remote warten zu können. da apple nur ein port für die wartung aus dem internet angibt....3283
deshalb mus ich bisher immer auf den router dort per dyndns zugreifen und den port zu dem zu wartenden rechner durchschalten...aber eigentlich kann diese software mehrere tasks aufeinmal auf mehrere rechner ausführen...und da das so nervt und super viel zeit kostet, dachte ich wenn ich im selben netz bin würde ARD vielleicht funktionieren als ob ich vor ort wäre
aber nochmal ne frage. ich habe festgestellt das die fritzbox die ip 192.168.2.1 hat und subnetzmaske 255.255.255.0
wenn ich per fritzfernzugang einrichten alles einstell eund diese ip oben angebe wählt er automatisch die subnetzmaske 255.255.255.255, und das ist auch nicht veränderbar.
ich muss erst über editor im erstellten konfigurationsscript die subnetzmaske auf 255.255.255.0 setzen
kann es daran liegen?
ich wollte dann in der fritzbox die subnetzmaske ändern, da sagt er mir sie sei ungültig.dann wollte ich die ip auf 192.168.2.0 stellen, da sagt er die ip würde das subnetz beschreiben und ich kann darauf nicht wechseln.
schon komisch...
ne antwort darauf wäre echt nett....war zumindest alles bisher sehr nett von dir geschrieben und nicht wie in anderen foren sehr herablassend.danke schonmal
und nur mal zur erklärung.ich wollte vpn zu 95 dazu um die rechner hinter der fritzbox per apple remote warten zu können. da apple nur ein port für die wartung aus dem internet angibt....3283
deshalb mus ich bisher immer auf den router dort per dyndns zugreifen und den port zu dem zu wartenden rechner durchschalten...aber eigentlich kann diese software mehrere tasks aufeinmal auf mehrere rechner ausführen...und da das so nervt und super viel zeit kostet, dachte ich wenn ich im selben netz bin würde ARD vielleicht funktionieren als ob ich vor ort wäre
die 32 Bit Maske ist eine Host Maske. Falsch ist sie nicht wenn der Zielrechner wirklich diese IP fest vergeben hat !
die 24 Bit Maske ist das gesamte Netzwerk.
Von der Logik her macht die 32 Bit maske mehr Sinn, es sollte aber beides klappen...eigentlich.
Du solltest aber beide Varianten mal testen !
Komisch das die FB so zickt damit...Mit Draytek Routern der Monowall und allen anderen VPN Komponenten spielt das fehlerfrei zusammen.
Laut VPN Portal von AVM sollte es ja eigentlich auch mit der FB zusammen arbeiten !
Testen solltest du immer besser ohne den NetGear davor, denn der kann dir noch Probleme bereiten.
Funktionierendes VPN Passthrough und Port Forwarding ist bei NetGear (leider) nicht verlässlich
die 24 Bit Maske ist das gesamte Netzwerk.
Von der Logik her macht die 32 Bit maske mehr Sinn, es sollte aber beides klappen...eigentlich.
Du solltest aber beide Varianten mal testen !
Komisch das die FB so zickt damit...Mit Draytek Routern der Monowall und allen anderen VPN Komponenten spielt das fehlerfrei zusammen.
Laut VPN Portal von AVM sollte es ja eigentlich auch mit der FB zusammen arbeiten !
Testen solltest du immer besser ohne den NetGear davor, denn der kann dir noch Probleme bereiten.
Funktionierendes VPN Passthrough und Port Forwarding ist bei NetGear (leider) nicht verlässlich
