22
Kann nach dem VPN Aufbau ProSafe FVS318v3 nicht anspingen
Hallo zusammen,
nach dem ich erfolgreich den Tunnel aufbauen konnte, stehe ich jetzt vor der nächsten Herausforderung. Nach dem die Phase 2 erfolgreich abgeschlossen ist bekomme ich folgenden Eintrag am Ende des Logfiles:
My Connections\New Connection - RECEIVED<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - Sending<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - RECEIVED<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - Sending<<< ISAKMP OAK QM * (Retransmission)
Und dazu kann ich keine IPs anpingen, obwohl der Client die 192.168.1.15 Ip zugewiesen bekommt.
Ich habe in der VPN Policy folgende IP Einstellungen gemacht:
Remote VPN Endpoint:
Ip Adresse
0.0.0.0
Local IP:
Auswahl:Subnet
IP: 192.168.0.0
Mask:255.255.255.0
Remote IP:
Auswahl: SingleIP
IP: 192.168.1.15
Im Client
Bereich New Connection:
ID: IP Subnet
Subnett: 192.168.00
Mask: 255.255.255.0
Connect useing: Secure Gaetway Tunnel
ID Type: Domain Name
xxx.dyndns.org
Gateway Hostname
xxx.dyndns.org
My Identyty:
Virtual Adapter : Required
Internal Network Adress: 192.168.0.15
Interface:
Name:ANY
IP Adress:ANY
Muß man dafür noch eine Statische Route im FVS318v3 erstellen?
Gruß
Brooklyn
nach dem ich erfolgreich den Tunnel aufbauen konnte, stehe ich jetzt vor der nächsten Herausforderung. Nach dem die Phase 2 erfolgreich abgeschlossen ist bekomme ich folgenden Eintrag am Ende des Logfiles:
My Connections\New Connection - RECEIVED<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - Sending<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - RECEIVED<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - Sending<<< ISAKMP OAK QM * (Retransmission)
Und dazu kann ich keine IPs anpingen, obwohl der Client die 192.168.1.15 Ip zugewiesen bekommt.
Ich habe in der VPN Policy folgende IP Einstellungen gemacht:
Remote VPN Endpoint:
Ip Adresse
0.0.0.0
Local IP:
Auswahl:Subnet
IP: 192.168.0.0
Mask:255.255.255.0
Remote IP:
Auswahl: SingleIP
IP: 192.168.1.15
Im Client
Bereich New Connection:
ID: IP Subnet
Subnett: 192.168.00
Mask: 255.255.255.0
Connect useing: Secure Gaetway Tunnel
ID Type: Domain Name
xxx.dyndns.org
Gateway Hostname
xxx.dyndns.org
My Identyty:
Virtual Adapter : Required
Internal Network Adress: 192.168.0.15
Interface:
Name:ANY
IP Adress:ANY
Muß man dafür noch eine Statische Route im FVS318v3 erstellen?
Gruß
Brooklyn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 14464
Url: https://administrator.de/contentid/14464
Printed on: April 18, 2024 at 17:04 o'clock
22 Comments
Latest comment
Hi,
Remote IP ist falsch, da muss 0.0.0.0 hin, ansonsten darf nur der Client von dieser IP sich einwählen.
Remote IP ist falsch, da muss 0.0.0.0 hin, ansonsten darf nur der Client von dieser IP sich einwählen.
Hi du,
danke für die Antwort, habe aber längst alles am laufen.
Die Remote Endpoint Ip kann 0.0.0.0 sein. Damit gibst du an, das jede externe IP angesprochen werden kann. Du kannst genauso ein Dyndns Namen eingeben.
Wenn du die Remote IP meinst, die ist so richtig, damit kann du beschränken, welche IP über den Tunnel inbound kommen kann und so hast du das auch geschrieben.
Machen kannst du das so wie du willst. Entweder eine Range, oder ein SUbnet oder einfach nur eine IP wie ich es gemacht habe.
Bei mir war am Ende die Firmware das Problem. Und mit dieser Einstellung geht alles bestens.
danke für die Antwort, habe aber längst alles am laufen.
Die Remote Endpoint Ip kann 0.0.0.0 sein. Damit gibst du an, das jede externe IP angesprochen werden kann. Du kannst genauso ein Dyndns Namen eingeben.
Wenn du die Remote IP meinst, die ist so richtig, damit kann du beschränken, welche IP über den Tunnel inbound kommen kann und so hast du das auch geschrieben.
Machen kannst du das so wie du willst. Entweder eine Range, oder ein SUbnet oder einfach nur eine IP wie ich es gemacht habe.
Bei mir war am Ende die Firmware das Problem. Und mit dieser Einstellung geht alles bestens.
Hallo Zusammen,
hab' genau das gleiche problem.
Brooklyn kannst du vielleicht posten wie du's zum laufen gebracht hast?
Vielen Dank im voraus.
Thomas
hab' genau das gleiche problem.
Brooklyn kannst du vielleicht posten wie du's zum laufen gebracht hast?
Vielen Dank im voraus.
Thomas
Dazu müßtest du mir erstmal sagen, was du für eine VPN Verbindung haben möchtest?
VPN Client zu Router oder Router Router?
VPN Client zu Router oder Router Router?
Hallo!
Ich möchte eine erbindung von Client (netgear prosave 10.5.1) zu Router (FVS318v3) hinter einem NAT-T aufbauen. Der Tunnel wird aufgebaut aber pings sind keine möglich (wie oben beschrieben).
Ich möchte eine erbindung von Client (netgear prosave 10.5.1) zu Router (FVS318v3) hinter einem NAT-T aufbauen. Der Tunnel wird aufgebaut aber pings sind keine möglich (wie oben beschrieben).
O.k, die Geräte in Deinem Lan, haben die ein Gateway eingetragen?
Ja, alle Geräte haben den lokalen Router als Gateway.
techniker von netgear heben sowohl die einstellungen des Router als auch die des Client überprüft und sind der meinung das es so laufen müsste.
Sieht den die Config fast genauso aus, wie meine oben?
Was passiert, wenn du vom Router den Client aus anpingst? Welche Version hast du als firmware drauf? Bei mir hat es nur mit der 21 er funktioniert und mit der aktuellen.
Was passiert, wenn du vom Router den Client aus anpingst? Welche Version hast du als firmware drauf? Bei mir hat es nur mit der 21 er funktioniert und mit der aktuellen.
Ja, die Config sieht, bis auf die localen ip's die natürlich auf mein netzwerk angepasst sind, genauso aus.
Auch das log scheint das gleiche zu sein: Phase 2 etablished und dann mehrmals diese meldung:
My Connections\New Connection - RECEIVED<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - Sending<<< ISAKMP OAK QM * (Retransmission)
Firmware ist die v3.0_24, Client hat die Version 10.5.1.
Die 21 er Version hab ich auch ausprobiert, ohne erfolg.
Auch das log scheint das gleiche zu sein: Phase 2 etablished und dann mehrmals diese meldung:
My Connections\New Connection - RECEIVED<<< ISAKMP OAK QM * (Retransmission)
My Connections\New Connection - Sending<<< ISAKMP OAK QM * (Retransmission)
Firmware ist die v3.0_24, Client hat die Version 10.5.1.
Die 21 er Version hab ich auch ausprobiert, ohne erfolg.
O.K, wie sieht die Config Deines VPN Clients aus? Übrigends, die 10.5.1 ist nicht der aktuellste Client. Frag mal den Support, ob die dir nicht den aktuellste schicken können.
Hab natürlich alles mögliche durchprobiert, mir Virtuellen Apapter usw.
Hier ist mal die Client-Config die von Netgear überprüft und für Gut befunden wurde:
MyConnections:
ID Type: IP Subnet
Subnet: 192.168.2.0
Mask: 255.255.255.0
Protocol: All
Connect using: Secure Gateway Tunnel
ID Type: Domain Name Gateway Hostname
my.dyndns.org my.dyndns.org
My Identity
Select Certificate: None
ID Type: fvs_remote_MyGroup
Virtual Adapter: Disabled
Internat Interface: Any
Security Policy
Select Phase 1 Negotiation Mode: Aggresive Mode
Enable Replay Detection
Authentication (Phase 1)
Authentication Method: Pre-Shared Key
Encrypt Alg: Tiple DES
Hash Alg: SHA-1
SA Life Unspecified
Key Group: Diffie-Hellman Group 2
Key Exchange (Phase 2)
SA Life: Unspecified
Compression: None
Encapsulation Protocol (ESP)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
Und das Log dazu:
8-31: 10:03:17.906 My Connections\MyGroup - Attempting to resolve Hostname (my.dyndns.org)
8-31: 10:03:18.297
8-31: 10:03:18.297 My Connections\MyGroup - Initiating IKE Phase 1 (Hostname=my.dyndns.org) (IP ADDR=xxx.xxx.xxx.xxx)
8-31: 10:03:18.547 My Connections\MyGroup - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-31: 10:03:21.625 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID, NAT-D 3x)
8-31: 10:03:21.625 My Connections\MyGroup - Peer is NAT-T draft-01 capable
8-31: 10:03:21.625 My Connections\MyGroup - NAT is detected for Client
8-31: 10:03:21.765 My Connections\MyGroup - Using cached address. (Hostname=my.dyndns.org) (IP ADDR=xxx.xxx.xxx.xxx)
8-31: 10:03:21.765 My Connections\MyGroup - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
8-31: 10:03:21.765 My Connections\MyGroup - Established IKE SA
8-31: 10:03:21.765 My Connections\MyGroup - MY COOKIE 44 73 81 3c c9 3b fc c0
8-31: 10:03:21.765 My Connections\MyGroup - HIS COOKIE ab a7 fd 27 bd a7 b c6
8-31: 10:03:21.828 My Connections\MyGroup - Initiating IKE Phase 2 with Client IDs (message id: 5DC032FB)
8-31: 10:03:21.828 My Connections\MyGroup - Initiator = IP ADDR=192.168.100.11, prot = 0 port = 0
8-31: 10:03:21.828 My Connections\MyGroup - Responder = IP SUBNET/MASK=192.168.2.0/255.255.255.0, prot = 0 port = 0
8-31: 10:03:21.828 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
8-31: 10:03:21.890 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
8-31: 10:03:21.890 My Connections\MyGroup - Filter entry 3 added: SECURE 192.168.100.011&255.255.255.255 192.168.002.000&255.255.255.000 DNS.DNS.DNS.DNS
8-31: 10:03:21.890 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(HASH)
8-31: 10:03:21.890 My Connections\MyGroup - Loading IPSec SA (Message ID = 5DC032FB OUTBOUND SPI = FB5CB698 INBOUND SPI = DCFC0356)
8-31: 10:03:21.890
8-31: 10:03:26.937 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK QM *(Retransmission)
8-31: 10:03:26.937 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(Retransmission)
8-31: 10:03:31.968 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK QM *(Retransmission)
8-31: 10:03:31.968 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(Retransmission)
Hier ist mal die Client-Config die von Netgear überprüft und für Gut befunden wurde:
MyConnections:
ID Type: IP Subnet
Subnet: 192.168.2.0
Mask: 255.255.255.0
Protocol: All
Connect using: Secure Gateway Tunnel
ID Type: Domain Name Gateway Hostname
my.dyndns.org my.dyndns.org
My Identity
Select Certificate: None
ID Type: fvs_remote_MyGroup
Virtual Adapter: Disabled
Internat Interface: Any
Security Policy
Select Phase 1 Negotiation Mode: Aggresive Mode
Enable Replay Detection
Authentication (Phase 1)
Authentication Method: Pre-Shared Key
Encrypt Alg: Tiple DES
Hash Alg: SHA-1
SA Life Unspecified
Key Group: Diffie-Hellman Group 2
Key Exchange (Phase 2)
SA Life: Unspecified
Compression: None
Encapsulation Protocol (ESP)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
Und das Log dazu:
8-31: 10:03:17.906 My Connections\MyGroup - Attempting to resolve Hostname (my.dyndns.org)
8-31: 10:03:18.297
8-31: 10:03:18.297 My Connections\MyGroup - Initiating IKE Phase 1 (Hostname=my.dyndns.org) (IP ADDR=xxx.xxx.xxx.xxx)
8-31: 10:03:18.547 My Connections\MyGroup - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-31: 10:03:21.625 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID, NAT-D 3x)
8-31: 10:03:21.625 My Connections\MyGroup - Peer is NAT-T draft-01 capable
8-31: 10:03:21.625 My Connections\MyGroup - NAT is detected for Client
8-31: 10:03:21.765 My Connections\MyGroup - Using cached address. (Hostname=my.dyndns.org) (IP ADDR=xxx.xxx.xxx.xxx)
8-31: 10:03:21.765 My Connections\MyGroup - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
8-31: 10:03:21.765 My Connections\MyGroup - Established IKE SA
8-31: 10:03:21.765 My Connections\MyGroup - MY COOKIE 44 73 81 3c c9 3b fc c0
8-31: 10:03:21.765 My Connections\MyGroup - HIS COOKIE ab a7 fd 27 bd a7 b c6
8-31: 10:03:21.828 My Connections\MyGroup - Initiating IKE Phase 2 with Client IDs (message id: 5DC032FB)
8-31: 10:03:21.828 My Connections\MyGroup - Initiator = IP ADDR=192.168.100.11, prot = 0 port = 0
8-31: 10:03:21.828 My Connections\MyGroup - Responder = IP SUBNET/MASK=192.168.2.0/255.255.255.0, prot = 0 port = 0
8-31: 10:03:21.828 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
8-31: 10:03:21.890 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
8-31: 10:03:21.890 My Connections\MyGroup - Filter entry 3 added: SECURE 192.168.100.011&255.255.255.255 192.168.002.000&255.255.255.000 DNS.DNS.DNS.DNS
8-31: 10:03:21.890 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(HASH)
8-31: 10:03:21.890 My Connections\MyGroup - Loading IPSec SA (Message ID = 5DC032FB OUTBOUND SPI = FB5CB698 INBOUND SPI = DCFC0356)
8-31: 10:03:21.890
8-31: 10:03:26.937 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK QM *(Retransmission)
8-31: 10:03:26.937 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(Retransmission)
8-31: 10:03:31.968 My Connections\MyGroup - RECEIVED<<< ISAKMP OAK QM *(Retransmission)
8-31: 10:03:31.968 My Connections\MyGroup - SENDING>>>> ISAKMP OAK QM *(Retransmission)
Mir gehen langsam die Ideen aus, aber die Config sieht gut aus. Außer das ich bei mir Virtual Adapter: enabled eingestellt habe.
Laß mich noch mal was knacken, irgendwie mach mich das Problem kirre und gleichzeitig neugierig.
Laß mich noch mal was knacken, irgendwie mach mich das Problem kirre und gleichzeitig neugierig.
Irgendwie hast du doch am Anfang das gleiche Problem gehabt. Was hast du denn geändert das es funktioniert hat?
Ich habe z.B beim Key Group: Diffie-Hellman Group 2 Probleme gehabt. Bei jeder Änderung z.B mußte ich den Client neu landen anstatt einfach die Policy zureloaden. Dann hat einmal das VPN geklappt und dann wieder nicht. Ich weiß es nicht wieso, weshalb und warum
So, hab gerade das ganze bei bekannten ausprobiert die keinen Router zwischen PC und Modem haben. Da läuft das ganze problemlos. Werd morgen in der Firma noch versuchen ne statische Route am Client-seitigen Router einzurichten. Sonst hab ich keine Idee mehr.
Dann gehe ich davon aus, das es irgendwo Probleme an der Firewall Deiner Firma gibt. Benutzt ihr eine Cisco Pix? Was sagen die Log der Firewall Deiner Firma? Wird da vielleicht VPN Verkehr gesperrt. DAs Problem gab es nämlich auch mal bei mir in der Firma, nachdem der Anbieter gewechselt wurde.
Hm, hab jetzt mal den TheGreenBow client installiert, mir dem läuft's einwandfrei!!!
Na dann werd ich mir mal ne Lizenz besorgen ...
Na dann werd ich mir mal ne Lizenz besorgen ...
Vielen Dank für die Hilfe!
Gruß
Thomas
Gruß
Thomas
Ich habe den Fehler gefunden:
Geh in den SafeNet Virtual Adapter Interface unter den Eingeschaften der Netzwerkumgebung, geh dort in Netzwerk in die TCP/IP Einstellung und aktiviere in den Erweiterten Eigenschaften den Punkt "Standard Gateway für das Remote Netzwerk verwenden".
Dann geht das. Denn laut Router kann er zwar den VPn CLient erreichen, aber der Client kann den Router etc. nicht erreichen, da keine Pakete zurück kommen, da diese dann über das lokale Gateway geschickt werden und dann natürlich nicht über das VPN Gateway.
Geh in den SafeNet Virtual Adapter Interface unter den Eingeschaften der Netzwerkumgebung, geh dort in Netzwerk in die TCP/IP Einstellung und aktiviere in den Erweiterten Eigenschaften den Punkt "Standard Gateway für das Remote Netzwerk verwenden".
Dann geht das. Denn laut Router kann er zwar den VPn CLient erreichen, aber der Client kann den Router etc. nicht erreichen, da keine Pakete zurück kommen, da diese dann über das lokale Gateway geschickt werden und dann natürlich nicht über das VPN Gateway.
Hab den SaveNet Client noch mal installiert. "Standard Gateway für das Remote Netzwerk verwenden" ist bei mir standartmässig aktiviert, läuft aber trotzdem nicht. Verschiedene Versuche mit statischen Routen auf dem Client-seitigen Router haben auch nichts gebracht. Scheinbar hat der SaveNet Client probleme mit dem vorgeschalteten Lancom Router.
Hab den Fehler jetzt anscheinend gefunden:
In den IKA Police Configration hab ich bei Remote Identity Data Grossbuchstaben verwendet.
Alles in kleine Buchstaben geändert in schon läuft's.
Vielen Dank für die Mühe und Hilfe.
Gruß
Thomas
In den IKA Police Configration hab ich bei Remote Identity Data Grossbuchstaben verwendet.
Alles in kleine Buchstaben geändert in schon läuft's.
Vielen Dank für die Mühe und Hilfe.
Gruß
Thomas
