okami39
Goto Top

Shrew VPN-Access an Linksys Cisco RV082

Hallo zusammen,

für den Remote-Zugriff auf meinen Router Linksys/Cisco RV082 möchte ich von PPTP auf IPSec umstellen. Firmware ist 2.0.2.01-tm

Der Cisco QuickVPN-Client funktioniert leider nicht immer zuverlässig, so dass ich auf den kostenlosen Shrew VPN-Client umstellen möchte. Ich habe mich dabei genau an das Tutorial auf "https://www.shrew.net/support/Howto_Linksys" gehalten. Den QuickVPN-Client habe ich deinstalliert.

Mein Problem nun:

Seitens des Clients kann ich mich erfolgreich in das Netz einwählen: "tunnel enabled".
Dann komme ich jedoch nicht weiter: weder RDP, Ping, noch sonst irgendwas funktionert.

Seitens des RV082 sieht das so aus: In der Registerkarte VPN --> Summary bleibt "Connected Tunnels" auf "0". Die "Detail List" bleibt leer.

Die System-Log:

ce3c6063052286a43b7e3c6f68db9752

Ich habe auch schon versucht, die Firewall zu deaktivieren, oder Ausnahmen für RDP, Ping, usw. hinzuzufügen. Leider ohne Erfolg.

Wie komme ich per RDP auf einen PC, der am Router hängt?

Würde mich freuen, wenn mir jemand weiterhelfen kann.

Vielen Dank!

Content-ID: 220171

Url: https://administrator.de/forum/shrew-vpn-access-an-linksys-cisco-rv082-220171.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

flyworld
flyworld 24.10.2013 um 14:30:29 Uhr
Goto Top
Hallo Okami39,

hast Du die "Policy" im Client von ShrewSoft definiert? Das ist die letzte Karteikarte..
Dort mus Du das Netz angeben, in das Du dich einwählst.
Wenn dein PC die IP 192.168.1.5 hat so kannst Du nur zu dem PC Routen"192.168.1.5/255.255.255.255" oder das das gesamte Netz weiterleiten "192.168.1.0/255.255.255.255".

Prüfe nach ob das hilft..

Viel Erfolg...
flyworld
aqui
aqui 24.10.2013 um 15:35:22 Uhr
Goto Top
Und....da du aus einem IP Fremdnetz mit dem Client kommt ist dir hoffentlich klar das die lokale Firewall der Rechner die du anpingst diese Pakete per Default blocken !
Die lassen nur Zugriffe zu aus dem lokalen Netzwerk.
Deine Firewall musst du also zwingend anpassen !!

Details zur Shrew Konfiguration kannst du auch hier nachlesen. Die ToDos gelten auch bei deiner HW:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Okami39
Okami39 25.10.2013 um 11:31:01 Uhr
Goto Top
Zitat von @flyworld:
Hallo Okami39,

hast Du die "Policy" im Client von ShrewSoft definiert? Das ist die letzte Karteikarte..
Dort mus Du das Netz angeben, in das Du dich einwählst.
Wenn dein PC die IP 192.168.1.5 hat so kannst Du nur zu dem PC Routen"192.168.1.5/255.255.255.255" oder das das gesamte
Netz weiterleiten "192.168.1.0/255.255.255.255".

Prüfe nach ob das hilft..

Viel Erfolg...
flyworld

hab ich eingerichtet. Hilft leider nicht.
Okami39
Okami39 25.10.2013 aktualisiert um 11:32:19 Uhr
Goto Top
Zitat von @aqui:
Und....da du aus einem IP Fremdnetz mit dem Client kommt ist dir hoffentlich klar das die lokale Firewall der Rechner die du
anpingst diese Pakete per Default blocken !
Die lassen nur Zugriffe zu aus dem lokalen Netzwerk.
Deine Firewall musst du also zwingend anpassen !!

Details zur Shrew Konfiguration kannst du auch hier nachlesen. Die ToDos gelten auch bei deiner HW:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Bis zur lokalen PC-Firewall komme ich ja gar nicht.

Denn dann müsste zumnidest in der Group VPN Connection List des Routers ein existierender Tunnel auftauchen. Da steht "0", obwohl mir der Shrew einen Tunnel als "enabled" meldet.

Keiner eine Idee?
aqui
aqui 25.10.2013 um 18:47:17 Uhr
Goto Top
Was immer unter allen Umständen anpingbar sein muss ist das lokale LAN Interface des VPN Routers, also des Cisco RVs.
Wenn das schon nicht gehen sollte hast du ein grundsätzliches Problem !!
Dann wird der Tunnel gar nicht aufgebaut.
Hilfreich für ein zielführendes Troubleshooting ist hier das Shrew Log und auch das des Cisco VPN Routers !
Dein Log Auszug oben zeigt keine erfolgreiche Phase 2 Authentication ! Damit ist der Tunnel gar nicht aktiv !
Okami39
Okami39 28.10.2013 um 09:25:19 Uhr
Goto Top
Zitat von @aqui:
Was immer unter allen Umständen anpingbar sein muss ist das lokale LAN Interface des VPN Routers, also des Cisco RVs.
Wenn das schon nicht gehen sollte hast du ein grundsätzliches Problem !!
Dann wird der Tunnel gar nicht aufgebaut.
Hilfreich für ein zielführendes Troubleshooting ist hier das Shrew Log und auch das des Cisco VPN Routers !
Dein Log Auszug oben zeigt keine erfolgreiche Phase 2 Authentication ! Damit ist der Tunnel gar nicht aktiv !

Dass ich ein grundsätzliches Problem habe, ist mir schon klar face-wink
Das möchte ich ja gerne lösen, mit Eurer Unterstützung.

Was kann ich denn tun, damit ich eine erfolgreiche Phase 2 Authentification durchführen kann?
Meine Einstellungen sind gemäß Shrew-Tutorial doch alle korrekt.

Die Incoming Log des RV082 meldet: Connection Accepted.

Ändere ich am Shrew spaßeshalber mal mein Passwort, bekomme ich auch entsprechend eine Ablehnung.

In den Logs des Shrew steht eigentlich nicht viel:

iked.log:

13/10/28 08:21:48 ## : IKE Daemon, ver 2.2.2
13/10/28 08:21:48 ## : Copyright 2013 Shrew Soft Inc.
13/10/28 08:21:48 ## : This product linked OpenSSL 1.0.1c 10 May 2012

ipsec.log:

13/10/28 08:21:48 ## : IPSEC Daemon, ver 2.2.2
13/10/28 08:21:48 ## : Copyright 2013 Shrew Soft Inc.
13/10/28 08:21:48 ## : This product linked OpenSSL 1.0.1c 10 May 2012
13/10/28 08:21:48 ## : This product linked zlib v1.2.3


Wo kann ich hier angreifen, damit ich weiterkomme?
aqui
aqui 29.10.2013 um 19:07:00 Uhr
Goto Top
Hängt der Cisco irgendwo hinter einem anderen (NAT) Router also eine Router Kaskade und fehlt da ggf. irgendwo das Port Forwarding für IPsec ?
Okami39
Okami39 29.10.2013 um 20:33:48 Uhr
Goto Top
Danke für die Rückmeldung.

Ja, der Cisco hängt hinter einem Telekom-Router für eine CompanyWeb-Standleitung. Dies ist auch ein Cisco, den ich allerdings nicht konfigurieren kann und darf (Telekom-Eigentum).

Hängt das damit zusammen? Warum geht dann PPTP und der QuickVPN-Client (wenn er denn geht)?

Was den QuickVPN-CLient betriftt: Ich habe von meinem Laptop innerhalb Deutschlands über Mobilfunk-WAN überhaupt keine Probleme damit. Er reagiert nur empfindlicher auf Netzüberlastung, als der PPTP-Zugang. Lediglich vom europäischen Ausland aus übers normale Internet funktioniert er seit geraumer Zeit einfach nicht mehr. Und genau das ist der Grund, warum ich den Shrew umstellen möchte.

Bin für jeden Hinweis dankbar!
aqui
aqui 30.10.2013 aktualisiert um 09:25:55 Uhr
Goto Top
Ahaaa....da kommen wir der Sache näher !!
Hast du das hier gelesen ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ganz besonders das Kapitel "OpenVPN hinter einem NAT Router betreiben" ??

Genau das gilt auch für dich ! Zwar ist hier der Port von OVPN anders, das Prinzip ist aber genau das gleiche !
Die NAT Firewall des Routers davor blockiert alle ESP Pakete der Phase II Negotiation so das dein VPN Tunnel niemals zustande kommt.
Du musst erstmal klären ob der Telekom Router überhaupt ein NAT Router ist oder....ob der Router ein reiner Internet Router ohne NAT ist !
Letzteres ist der Fall wenn du z.B. eine öffentliche IP Adresse am WAN Port des Ciscos hast. Das kannst du über das Setup leicht auslesen.
Es darf keine IP Adresse aus dem Bereich: 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16 sein !
Ist das der Fall musst du zusätzlich mal bei der Telekom fragen ob dort IPsec ggf. geblockt wird. Bei manchen nicht Business Traifen ist das hie und da mal der Fall.
Erst wenn das alles sicher geklärt ist kannst du weitermachen.
Ist der Router ein NAT Router musst du dort zwangsläufig ein Port Forwarding einrichten..oder einrichten lassen in deinem Fall.
Okami39
Okami39 31.10.2013 aktualisiert um 12:55:52 Uhr
Goto Top
Ok, jetzt kommt Licht ins Dunkel.

Die Standleitung heisst natürlich CompanyConnect, und nicht CompanyWeb von der Telekom face-wink

Der Telekom-Router ist einer aus der Cisco 800er-Serie. Mein LAN hat IP-Adressen im Bereich 192.168.111.1 bis 254. Subnet 255.255.255.0. Der RV082 hat die 254 als interne IP. In der WAN-Konfiguration des RV082 ist als Gateway die IP des Telekom-Routers angegeben xxx.xxx.xxx.xx1. Als Specify WAN IP Address die von außen erreichbare IP xxx.xxx.xxx.xx2. Die öffentliche IP ist also im RV082 eingetragen. Dahinter hängt dann noch das CC-Modem.

Ich werde als nächstes die Telekom kontaktieren. Das Ergebnis werde ich hier mitteilen.

Bis dann mal!
aqui
aqui 31.10.2013 um 13:01:08 Uhr
Goto Top
OK, dann sieht es so aus als ob du ein kleines Subnetz von der Telekom bekommst wenn "xxx.xxx.xxx.xx1" eine öffentliche IP ist und die Netzmaske größer als /24 ist ???
Das sähe dann so aus als ob das Internet dann dort transparent anliegt. Da solltest du aber nochmal genau fragen ob IPsec gefiltert wird oder nicht. Vermutlich nein aber sicher ist sicher...
Okami39
Okami39 04.11.2013 um 10:39:21 Uhr
Goto Top
die Nachfrage bei der Telekom hat soeben ergeben, dass der Telekom-Router alles ungefiltert durchlässt. Von dieser Seite her wird also nichts gesperrt.