Netgear FVX538 VPN mit User Authentifizierung

supaman
Goto Top
grüße,

ich möchte mich von einem Windows-XP Client per VPN mit einem Netgear FVX538v2 verbinden. Dazu habe ich die Netgear VPN Client Software benutzt und die Parameter nach dieser Anleitung eigegeben: ftp://downloads.netgear.com/files/vpn_to_0_0_0_01_final1.pdf

Funktioniert prima, allerdings ist die einzige Authentifizierung derzeit der Preshared-Key. Von der IP-Adresse abgesehen, ist der Verbindungsaufbau "anonym", sprich im Log kann nicht nachvollzoger werden, wer eine verbindung aufgebaut hat. Auch finde ich es nicht sehr elegant, wenn alle User dieselbe Zugangskennung benutzen.

Wie muss ich das konfigurieren, damit Username und Passwort die im FVX538 angelegt worden sind benutzt werden?


Gruß,

Supa



(Hier noch mal das Log eines erfolgreichen Verbindungsaufbaus)

2007-07-27 07:28:52: INFO: IKE started
2007-07-27 07:28:52: INFO: Adding IKE configuration with identifer "default"
2007-07-27 07:28:52: INFO: Adding IPSec configuration with identifier "default"
2007-07-27 07:28:52: INFO: accept a request to establish IKE-SA: 0.0.0.0
2007-07-27 07:28:57: ERROR: no policy found: for dst: 0.0.0.0[0]
2007-07-27 07:28:57: ERROR: attempt of establishing IKE-SA: failed: 0.0.0.0
2007-07-27 07:29:02: ERROR: no policy found: for dst: 0.0.0.0[0]
2007-07-27 07:29:02: ERROR: attempt of establishing IKE-SA: failed: 0.0.0.0
2007-07-27 07:29:07: ERROR: no policy found: for dst: 0.0.0.0[0]
2007-07-27 07:29:07: ERROR: attempt of establishing IKE-SA: failed: 0.0.0.0
2007-07-27 07:29:12: ERROR: Reached max retry limit for SA creation
2007-07-27 07:37:00: INFO: Anonymous configuration selected for 172.16.1.10[500].
2007-07-27 07:37:00: INFO: Received request for new phase 1 negotiation: 172.16.1.54[500]<=>172.16.1.10[500]
2007-07-27 07:37:00: INFO: Beginning Aggressive mode.
2007-07-27 07:37:00: INFO: Received unknown Vendor ID
2007-07-27 07:37:00: INFO: Received unknown Vendor ID
2007-07-27 07:37:00: INFO: Received unknown Vendor ID
2007-07-27 07:37:00: INFO: Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
2007-07-27 07:37:00: INFO: Received unknown Vendor ID
2007-07-27 07:37:00: INFO: Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02

2007-07-27 07:37:00: INFO: For 172.16.1.10[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
2007-07-27 07:37:01: INFO: NAT-D payload matches for 172.16.1.54[500]
2007-07-27 07:37:01: INFO: NAT-D payload matches for 172.16.1.10[500]
2007-07-27 07:37:01: WARNING: Ignore REPLAY-STATUS notification from 172.16.1.10[500].
2007-07-27 07:37:01: WARNING: Ignore INITIAL-CONTACT notification from 172.16.1.10[500] because it is only accepted after phase1.
2007-07-27 07:37:01: INFO: NAT not detected
2007-07-27 07:37:01: INFO: ISAKMP-SA established for 172.16.1.54[500]-172.16.1.10[500] with spi:c26db5b7f00a2d1a:32aa245a56319592
2007-07-27 07:37:01: INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT]
2007-07-27 07:37:01: INFO: Responding to new phase 2 negotiation: 172.16.1.54[0]<=>172.16.1.10[0]
2007-07-27 07:37:01: INFO: Using IPsec SA configuration: anonymous
2007-07-27 07:37:01: INFO: No policy found, generating the policy : 172.16.1.10/32[0] 192.168.1.0/24[0] proto=any dir=in
2007-07-27 07:37:01: INFO: IPsec-SA established: ESP/Tunnel 172.16.1.10->172.16.1.54 with spi=172128427(0xa4278ab)
2007-07-27 07:37:01: INFO: IPsec-SA established: ESP/Tunnel 172.16.1.54->172.16.1.10 with spi=4118202017(0xf576c6a1)

Content-Key: 64829

Url: https://administrator.de/contentid/64829

Ausgedruckt am: 21.05.2022 um 01:05 Uhr

Mitglied: aqui
aqui 27.07.2007 um 12:04:22 Uhr
Goto Top
Sehr komisch das sowas im NetGear möglich ist ??? Andere Router wie z.B. der Draytek verlangen mit preshared Keys einen dedizierten Benutzer, den man auch problemlos anlegen kann und natürlich im Syslog tracken kann wer sich wann und von wo per VPN eingeloggt hat. So sollte es in einer sauberen VPN Implementation ja auch sein.....
Das ist dann wohl mehr ein NetGear hauseigenes Problem wenn das nicht konfigurierbar ist oder die gehen nur von einem einzigen User aus.
Ein fragwürdiger Ansatz den NetGear da verfolgt....und lässt die Vermutung aufkommen das deren VPN Lösung eher ein quick and dirty Hack für den Consumer Bereich denn einer sauberen Implementation für ein professionelles Umfeld ist....
Als Alternative hast du dann nur die Chance mit Benutzer Zertifikaten zu arbeiten, die du vorher mit PuttyGen oder MS generieren musst.
Mitglied: Supaman
Supaman 28.07.2007 um 14:16:06 Uhr
Goto Top
und es geht doch:) face-smile

1. parameter für router + client nach dieser anleitung einrichten: ftp://downloads.netgear.com/files/vpn_to_0_0_0_01_final1.pdf
2. IKE policy unter XAUTH auf "edge device + user database" setzen
3. in der client software unter "Authentication - Phase1 - Proposal 1" die Authentication method auf "Pre-shared Key ; Extended Authentication" setzen

beim verbindungsaufbau erscheint dann ein pop-up fenster, wo man user name und pw eingeben kann.
Mitglied: aqui
aqui 28.07.2007 um 21:24:28 Uhr
Goto Top
...doch noch die Ehrenrettung für NetGear.....
Nebenbei bemerkt gibt es da aber Hertsteller die das etwas intelligenter gelöst haben ;-) face-wink
Mitglied: Supaman
Supaman 28.07.2007 um 22:39:44 Uhr
Goto Top
du kannst ruhig sagen welche produkte besser geeignet sind. ich brauchte seinerzeit eine hardware-firewall mit dmz (kein exposed host) und vpn funktionalität und hatte auf die schnelle nichts anderes gefunden, was den gewünschten funktionsumfang bei einem recht günstigen preis & einem übersichtlichen user interface geboten hatte.

entweder war nur eine fake-dmz (exposed host) vorhanden, zu teuer oder nur mit spezial schulung administrierbar (cisco).