38517
26.09.2007, aktualisiert am 28.09.2007
11765
6
0
Netgear FVS318v3 Gateway-Gateway VPN DISCARDING RETRANSMITTED PACKET...
Hallo Zusammen
Ich bin dabei ein Gateway to Gateway VPN mit 2 Netgear FVS318v3 (aktuelle Firmware) einzurichten. Die Firewalls stehen je hinter einem Netopia ADSL Router. Dabei verwende ich ein kaskadiertes System, so dass ADSL Router die Internet Verbindung herstellt und dann die Firewalls über eine Interne IP hinter dem NAT kommunizieren.
Beide Firealls sind identisch konfiguriert, einfach kreuzweise mit den VPN Informationen. Die ADSL Router haben als Default Sever die Firewalls drin, so dass diese alle Pakete bekommen.
Speziell ist, dass ich vom Standort A eine VPN Verbindung zu Standort B herstellen kann, jedoch keine Daten empfangen kann und diese Fehlermeldung erhalte: (siehe unterste 3 Zeilen)
*
[2007-09-26 21:29:51] RECEIVED FOURTH MESSAGE OF MAIN MODE
[2007-09-26 21:29:51]<POLICY fresh-vpn> PAYLOADS KE,NONCE
[2007-09-26 21:29:52] SENT OUT FIFTH MESSAGE OF MAIN MODE
[2007-09-26 21:29:54] RECEIVED SIXTH MESSAGE OF MAIN MODE
[2007-09-26 21:29:54]<POLICY fresh-vpn> PAYLOADS ID,HASH
[2007-09-26 21:29:54] MAIN MODE COMPLETED
[2007-09-26 21:29:54][==== IKE PHASE 1 ESTABLISHED====]
[2007-09-26 21:29:54]<POLICY: fresh-vpn> PAYLOADS HASH,DEL
[2007-09-26 21:29:54] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2007-09-26 21:29:54]<POLICY fresh-vpn> PAYLOADS: HASH,DEL
[2007-09-26 21:30:10][==== IKE PHASE 2(to xxx.xxx.xxx.xxx) START (initiator) ====]
[2007-09-26 21:30:10] SENT OUT FIRST MESSAGE OF QUICK MODE
[2007-09-26 21:30:10]<Initiator IPADDR=192.168.0.0,PORT=0>
[2007-09-26 21:30:10]<Responder IPADDR=192.168.3.0,PORT=0>
[2007-09-26 21:30:10] RECEIVED SECOND MESSAGE OF QUICK MODE
[2007-09-26 21:30:10]<POLICY fresh-vpn> PAYLOADS: HASH,SA,PROP,TRANS,NONCE,ID,ID
[2007-09-26 21:30:10]<POLICY fresh-vpn> PAYLOADS: HASH
[2007-09-26 21:30:10] SENT OUT THIRD MESSAGE OF QUICK MODE
[2007-09-26 21:30:10] QUICK MODE COMPLETED
[2007-09-26 21:30:10][==== IKE PHASE 2 ESTABLISHED====]
[2007-09-26 21:30:15]DISCARDING RETRANSMITTED PACKET...
[2007-09-26 21:30:20]DISCARDING RETRANSMITTED PACKET...
[2007-09-26 21:30:25]DISCARDING RETRANSMITTED PACKET...
*
Bei Standort B kann ich, wenn diese Verbindung durch A initiert wurde, beliebig Daten übers VPN senden, wie gewünscht.
Breche ich aber von B aus die Verbidung ab und möchte die Via B starten, erhalte ich keine Antwort von Standort A.
Sprich: Wenn A mit B verbunden ist, kann ich nur von B auf A zugreiffe und nicht von A auf B. Von B aus kann ich keine Verbindung starten.
Im Firewall Log von Standort A hatte ich noch dies:
*
Wed, 2007-09-26 21:27:07 - ICMP packet - Source: 192.168.1.1 - Destination: 192.168.1.2 - [ICMP Type: 3 Code: 1 Icmp error message received for uninitiated connection. Orginal Src 192.168.1.2 Dst xxx.xxx.xxx.xxx., dropping packet from WAN]
*
Was könnte das sein?
Danke für eure Hilfe!
Gruss
Manuel
Ich bin dabei ein Gateway to Gateway VPN mit 2 Netgear FVS318v3 (aktuelle Firmware) einzurichten. Die Firewalls stehen je hinter einem Netopia ADSL Router. Dabei verwende ich ein kaskadiertes System, so dass ADSL Router die Internet Verbindung herstellt und dann die Firewalls über eine Interne IP hinter dem NAT kommunizieren.
Beide Firealls sind identisch konfiguriert, einfach kreuzweise mit den VPN Informationen. Die ADSL Router haben als Default Sever die Firewalls drin, so dass diese alle Pakete bekommen.
Speziell ist, dass ich vom Standort A eine VPN Verbindung zu Standort B herstellen kann, jedoch keine Daten empfangen kann und diese Fehlermeldung erhalte: (siehe unterste 3 Zeilen)
*
[2007-09-26 21:29:51] RECEIVED FOURTH MESSAGE OF MAIN MODE
[2007-09-26 21:29:51]<POLICY fresh-vpn> PAYLOADS KE,NONCE
[2007-09-26 21:29:52] SENT OUT FIFTH MESSAGE OF MAIN MODE
[2007-09-26 21:29:54] RECEIVED SIXTH MESSAGE OF MAIN MODE
[2007-09-26 21:29:54]<POLICY fresh-vpn> PAYLOADS ID,HASH
[2007-09-26 21:29:54] MAIN MODE COMPLETED
[2007-09-26 21:29:54][==== IKE PHASE 1 ESTABLISHED====]
[2007-09-26 21:29:54]<POLICY: fresh-vpn> PAYLOADS HASH,DEL
[2007-09-26 21:29:54] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2007-09-26 21:29:54]<POLICY fresh-vpn> PAYLOADS: HASH,DEL
[2007-09-26 21:30:10][==== IKE PHASE 2(to xxx.xxx.xxx.xxx) START (initiator) ====]
[2007-09-26 21:30:10] SENT OUT FIRST MESSAGE OF QUICK MODE
[2007-09-26 21:30:10]<Initiator IPADDR=192.168.0.0,PORT=0>
[2007-09-26 21:30:10]<Responder IPADDR=192.168.3.0,PORT=0>
[2007-09-26 21:30:10] RECEIVED SECOND MESSAGE OF QUICK MODE
[2007-09-26 21:30:10]<POLICY fresh-vpn> PAYLOADS: HASH,SA,PROP,TRANS,NONCE,ID,ID
[2007-09-26 21:30:10]<POLICY fresh-vpn> PAYLOADS: HASH
[2007-09-26 21:30:10] SENT OUT THIRD MESSAGE OF QUICK MODE
[2007-09-26 21:30:10] QUICK MODE COMPLETED
[2007-09-26 21:30:10][==== IKE PHASE 2 ESTABLISHED====]
[2007-09-26 21:30:15]DISCARDING RETRANSMITTED PACKET...
[2007-09-26 21:30:20]DISCARDING RETRANSMITTED PACKET...
[2007-09-26 21:30:25]DISCARDING RETRANSMITTED PACKET...
*
Bei Standort B kann ich, wenn diese Verbindung durch A initiert wurde, beliebig Daten übers VPN senden, wie gewünscht.
Breche ich aber von B aus die Verbidung ab und möchte die Via B starten, erhalte ich keine Antwort von Standort A.
Sprich: Wenn A mit B verbunden ist, kann ich nur von B auf A zugreiffe und nicht von A auf B. Von B aus kann ich keine Verbindung starten.
Im Firewall Log von Standort A hatte ich noch dies:
*
Wed, 2007-09-26 21:27:07 - ICMP packet - Source: 192.168.1.1 - Destination: 192.168.1.2 - [ICMP Type: 3 Code: 1 Icmp error message received for uninitiated connection. Orginal Src 192.168.1.2 Dst xxx.xxx.xxx.xxx., dropping packet from WAN]
*
Was könnte das sein?
Danke für eure Hilfe!
Gruss
Manuel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 69616
Url: https://administrator.de/contentid/69616
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
So ist die Konfig in jedem Falle richtig ! Wenn du VPN Betrieb machst solltest du niemals die VPN Gateways hinter NAT Router betreiben wenn diese wie in deinem Falle eine Einwahl ja auch selber vornehmen können.
Der Grund ist ein ganz einfacher und das wird auch dein Problem gewesen sein: Die musst das VPN Protokoll, wie in deinem Falle IPsec wahrscheinlich im ESP Modus (Encapsulation security Payload), revers über den NAT Router davor übertragen, was immer unschön ist da viele Systeme das nicht richtig können wie sehr wahrscheinlich dein altes Cayman System.
Wie du sicher selber weisst besteht IPsec(ESP) aus 3 Protokollen, IKE dem Schlüsselprotokoll auf UDP 500, dann ESP was in der IP Protokollsuite ein eigenes Protokoll mit der Nummer 50 ist und meist auch noch dem NAT-Traversal auf UDP 4500.
Leider kann man nur raten wie du das Port Forwarding auf den davor liegenden NAT Routern eingestellt hast aber scheinbar führt einer der Router das VPN Passthrough dann nicht sauber aus, so das es zu diesem Verhalten gekommen ist.
Wenn du mit dem Wireshark mal einen Trace gezogen hättest beim VPN Verbindungsaufbau hätte man dir das sofort sagen können aber leider fehlten diese Daten von dir so das man, wie gesagt, nur raten kann
Dadurch das du nun einen der Vorrouter zum dummen Modem gemacht hast, stellt sich das Problem nicht mehr denn die FVS haben nun eine direkte VPN Verbindung ohne NAT.
So oder so ist das aber technisch die beste Lösung es mit den VPN Routern direkt zu machen oder noch besser ist es gleich VPN aktive Router mit integriertem Modem zu nutzen !!!
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Der Grund ist ein ganz einfacher und das wird auch dein Problem gewesen sein: Die musst das VPN Protokoll, wie in deinem Falle IPsec wahrscheinlich im ESP Modus (Encapsulation security Payload), revers über den NAT Router davor übertragen, was immer unschön ist da viele Systeme das nicht richtig können wie sehr wahrscheinlich dein altes Cayman System.
Wie du sicher selber weisst besteht IPsec(ESP) aus 3 Protokollen, IKE dem Schlüsselprotokoll auf UDP 500, dann ESP was in der IP Protokollsuite ein eigenes Protokoll mit der Nummer 50 ist und meist auch noch dem NAT-Traversal auf UDP 4500.
Leider kann man nur raten wie du das Port Forwarding auf den davor liegenden NAT Routern eingestellt hast aber scheinbar führt einer der Router das VPN Passthrough dann nicht sauber aus, so das es zu diesem Verhalten gekommen ist.
Wenn du mit dem Wireshark mal einen Trace gezogen hättest beim VPN Verbindungsaufbau hätte man dir das sofort sagen können aber leider fehlten diese Daten von dir so das man, wie gesagt, nur raten kann
Dadurch das du nun einen der Vorrouter zum dummen Modem gemacht hast, stellt sich das Problem nicht mehr denn die FVS haben nun eine direkte VPN Verbindung ohne NAT.
So oder so ist das aber technisch die beste Lösung es mit den VPN Routern direkt zu machen oder noch besser ist es gleich VPN aktive Router mit integriertem Modem zu nutzen !!!
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !