Netgear FVS338 VPN: NAT-D payload does not match
VPN Verbindung wird nicht aufgebaut zwischen FVS338 und FVS338. Ausschnitt des Logs anbei
Hallo,
ich beise mir hier dran noch die Zähne aus.. Kann mir jemand sagen warum hier keine VPN-Verbindung aufgebaut wird? Was bedeutet "NAT-D payload does not match" ??? Was muss ich machen um endlich die Verbindung zu bekommen?
Die beiden FVS338 hängen hinter je einer FritzBox 7170. Die Ports 1701 (TCP), 1723 (TCP), 500 (UDP) und ESP sind weitergeleitet auf die VPN-Router. Was mach ich noch falsch?
Hier ein Teil des Logs:
2006-12-15 19:33:37: INFO: remote configuration for identifier "(dyndns-Adresse remote-point)" found
2006-12-15 19:33:37: INFO: Received request for new phase 1 negotiation: (local wan ip)[500]<=>(remote ip)[500]
2006-12-15 19:33:37: INFO: Beginning Identity Protection mode.
2006-12-15 19:33:37: INFO: Received Vendor ID: RFC XXXX
2006-12-15 19:33:37: INFO: For (remote ip)[500], Selected NAT-T version: RFC XXXX
2006-12-15 19:33:38: INFO: Received Vendor ID: KAME/racoon
2006-12-15 19:33:38: INFO: NAT-D payload does not match for (local wan ip)[500]
2006-12-15 19:33:38: INFO: NAT-D payload does not match for (remote ip)[500]
2006-12-15 19:33:38: INFO: NAT detected: ME PEER
2006-12-15 19:34:38: ERROR: Phase 1 negotiation failed due to time up for (remote ip)[500].
Kann damit jemand was anfangen? Ich bin jedem für Hilfe dankbar!
Gruß
Chris
Hallo,
ich beise mir hier dran noch die Zähne aus.. Kann mir jemand sagen warum hier keine VPN-Verbindung aufgebaut wird? Was bedeutet "NAT-D payload does not match" ??? Was muss ich machen um endlich die Verbindung zu bekommen?
Die beiden FVS338 hängen hinter je einer FritzBox 7170. Die Ports 1701 (TCP), 1723 (TCP), 500 (UDP) und ESP sind weitergeleitet auf die VPN-Router. Was mach ich noch falsch?
Hier ein Teil des Logs:
2006-12-15 19:33:37: INFO: remote configuration for identifier "(dyndns-Adresse remote-point)" found
2006-12-15 19:33:37: INFO: Received request for new phase 1 negotiation: (local wan ip)[500]<=>(remote ip)[500]
2006-12-15 19:33:37: INFO: Beginning Identity Protection mode.
2006-12-15 19:33:37: INFO: Received Vendor ID: RFC XXXX
2006-12-15 19:33:37: INFO: For (remote ip)[500], Selected NAT-T version: RFC XXXX
2006-12-15 19:33:38: INFO: Received Vendor ID: KAME/racoon
2006-12-15 19:33:38: INFO: NAT-D payload does not match for (local wan ip)[500]
2006-12-15 19:33:38: INFO: NAT-D payload does not match for (remote ip)[500]
2006-12-15 19:33:38: INFO: NAT detected: ME PEER
2006-12-15 19:34:38: ERROR: Phase 1 negotiation failed due to time up for (remote ip)[500].
Kann damit jemand was anfangen? Ich bin jedem für Hilfe dankbar!
Gruß
Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 46876
Url: https://administrator.de/forum/netgear-fvs338-vpn-nat-d-payload-does-not-match-46876.html
Ausgedruckt am: 22.04.2025 um 04:04 Uhr
3 Kommentare
Neuester Kommentar
Das hört sich so an als ob du gerade KEIN IPsec im ESP Mode sondern AH (Authentication Header) benutzt ! Ist aber nur eine vage Vermutung anhand der doch etwas kryptischen Fehlermeldung.
IPsec AH ist technisch nicht ! über einen NAT Prozess (deine davorgeschalteten FBs) übertragbar und erfordern in jedem Falle einen direkten Internet Anschluss ! AH vermutet durch die nicht matchenden IP Adressen im Payload und Header eine "Man in the Middle" Attacke und verweigert den Verbindungsaufbau !
Du musst also die IPsec Variante zwingend umschalten oder statt IPsec PPTP nutzen.
Für IPsec benötigst du Port 1701 und 1723 nicht die sind lediglich für PPTP da.
IPsec AH ist technisch nicht ! über einen NAT Prozess (deine davorgeschalteten FBs) übertragbar und erfordern in jedem Falle einen direkten Internet Anschluss ! AH vermutet durch die nicht matchenden IP Adressen im Payload und Header eine "Man in the Middle" Attacke und verweigert den Verbindungsaufbau !
Du musst also die IPsec Variante zwingend umschalten oder statt IPsec PPTP nutzen.
Für IPsec benötigst du Port 1701 und 1723 nicht die sind lediglich für PPTP da.