20.02.2014, aktualisiert am 14.03.2014

10684

VPN IPsec zweier Netzwerke

Hallo,

habe bei uns in der Firma den zweiten Standort mit einer VPN IPsec Verbindung vernetzt. Habe dazu zwei Netgear fvs336v2 verwendet.
Meine Vorgangsweise:
Beide static IP eingetragen
Ports für ESP und IKE freigegeben (UPD 500, 4500 und zur sicherheit noch 10000) , IPsec einträge gemacht und siehe da es funktioniert nicht. Habe übergangsweise alle ports von dem einen VPN Router zum anderen geöffnet, funktioniert dann tadellos. Kann mir derzeit nicht erklären wieso ich noch einen port brauche und was für einen für die Übertragung aber das finde ich noch heraus.
Meine Frage wo ich einfach keine richtige antwort finde ist diese, ich habe jetzt einen VPN Tunnel mit dem ich über den Tunnel die beiden Router anpingen kann, beide netzwerke haben andere IP Adressen und ich sehe auch daten austauschen aber nur wenige kb. In einem Netzwerk habe ich nur 3 Rechner stehen, die laufen einwandfrei (win 7) aber leider nur über pptp nicht über ipsec, da findet er den anmeldeserver nie. PPTP alles super (habe die ports dafür auch geöffnet).
Tracert funktioniert bis zum VPN Router im anderen netz auch, aber sollte ich auch andere Rechner vom anderen Netzwerk nicht auch pingen können wenn ich zb. von einem vpn router ins andere netz zu einem rechner oder server pingen will. Das müsste doch vom Router aus gehen oder? Tut es bei mir nicht. Irgendwie stehe ich total auf der leitung, ipsec braucht ja auch einen client auf dem pc wie zb mit win 7.
Mein problem ist es dass am montag die Techniker vom telefonsystem kommen im zweiten standort die anlage installieren und dort einen einwandfreien vpn tunnel brauchen und dort verbindung zwischen den bestehen telefonserver und dem zweiten server benötigen. So wie ich das sehe kann das ja nicht gehen wenn ich vom router schon nicht mal hinpingen kann. Wie kann ich das testen? Habe bei beide nat-t eingestellt, mich wundert es einfach dass die verbindung steht, datenaustausch aber nur minimal stattfindet und ich aber nicht pingen kann.

Hat jemand einen rat für mich, habe alles durchgesucht stehe aber jetz total an mit meinem wissen und logik. Müsste nicht wenn die verbindung steht das datenpaket wissen dass wenn ich pinge er über das gateway vpn router durch den tunnel geht und auf der anderen seite auf dem anderen vpn router dann weitergeroutet wird zum pc?

Bitte um hilfe bin am verzweifeln.
Danke

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 230528

Url: https://administrator.de/contentid/230528

Ausgedruckt am: 25.11.2024 um 14:11 Uhr

28 Kommentare

Neuester Kommentar

Port TCP (oder UDP 10000) ist Unsinn, das kommt in keinem VPN Protokoll vor !
ESP ist kein TCP oder UDP Port oder Protokoll sondern ein eigenes IP Protokoll mit der Protokoll Nummer 50. Das muss immer separate freigegeben werden.
Nochwas was verwirrend ist. Du hast ein Site to Site VPN auf Basis von IPsec aufgebaut ! Was bitte machst du denn da parallel mit PPTP ? Das geht nicht sondern nur entweder oder ?

Ein paar Dinge sind noch relevant:

Sind deine beiden NGs auch die Default Gateways für die Endgeräte ?
Betreibst du die NGs direkt am Internet mit einem Modem oder sind sie kaskadiert mit einem Router davor ?
Bedenke das du auf den Endgeräten in den jeweiligen remoten Netzen die lokale Firewall auf den PCs anpassen musst ! Bei Windows z.B. blockt die lokale Firewall in der Regel ALLE Pakete die mit einer anderen Absender IP reinkommen als das lokale IP Netz. Das musst du entsprechend anpassen sonst kannst du aus dem jeweil anderen Standortnetz weder zugreifen noch pingen (ICMP)
Bist du sicher das der IPsec Tunnel wirklich aktiv ist ? Was sagt das NG Log dazu ?? Kannst du da jeweilige lokale LAN Interface des NG anpingen von remote ?

Leider hast du mit der Wahl von NG als VPN mit das Schlechteste ausgewählt was es VPN Bereich gibt. Die zahllosen Leidensthreads hier im Forum belegen das eindeutig aber das ist ja nun ertsmal nicht zu ändern.
Wichtig ist hier das du die Geräte auf die aktuellste Firmware geflasht hast !!
Kläre die o.a. offenen Dinge.
Deine Schlussfolgerungen stimmen soweit grob was den weg des Datenpakets anbetrifft. Du solltest aber dringend nochmal ein paar Grundlagen lesen, denn der Teufel lauert bei Firewalls im Detail:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und ggf.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Hallo shearer9,

wofür hast du Ports freigegeben und vor allem wo?
Wenn die beiden FVS336G nicht hinter anderen Routern sind, ist das völlig unnötig.
Das musst du aber besser erklären. Sind vor den Routern Modems oder was hängt an den WAN-Anschlüssen?
Nutzt du Loadbalancing oder Failover oder nur einen WAN?

Beim Einrichten eines VPN musst du jetzt schon darauf achten, was du einsetzen willst und nicht wild IPSEC und PPTP-VPNs durcheinander würfeln.
Der Netgear Router beherrscht sowohl IPSEC-VPN mit IKE, als auch PPTP oder L2TP VPN und auch SSL.

Empfehlen würde ich dir bei einer LAN-LAN-Kopplung aber in jedem Fall das IPSEC-VPN mittels IKE.

Dies zu konfigurieren ist eigentlich kein Hexenwerk.
Achte darauf, dass die Enryption Algorithm auf beiden Seiten identisch sind, auch die SA-Lifetime.
In der IKE-Policy musst du bei diesem Router festlegen, über welchen (lokalen) WAN-Port das VPN aufgebaut wird und für das Remote-Netzwerk die öffentliche IP-Adresse eingeben.

In der VPN-Policy unter Traffic Selection die richtigen Netzwerkbereiche eingeben und unter Auto Policy Parameters wiederum die identischen Einstellungen wie auf dem anderen und vor allem die richtige IKE-Policy auswählen.

Hallo,

tut sich hier noch was?

Gruß
Dobby

Wie gesagt, verbindung steht, datenaustausch erfolgt, tracert auf den anderen router funkt einwandfrei.
NG Router sind hinter durchgerouteten mit static ip eingetragenen telekom router.
Bekomme mit win7 mit l2tp/ipsec verbindung immer die fehlermeldung: fehler 807
Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN-Server wurde unterbrochen. Ursache kann ein Problem bei der VPN-Übertragung sein, das in der Regel auf Internetlatenz oder einfach auf das Erreichen der Kapazitätsgrenze Ihres VPN-Servers zurückzuführen ist. Versuchen Sie, erneut eine Verbindung zu dem VPN-Server herzustellen. Falls das Problem weiterhin besteht, wenden Sie sich an den VPN-Administrator und analysieren Sie die Qualität der Netzwerkverbindung. (The network connection between your computer and the VPN server was interrupted. This can be caused by a problem in the VPN transmission and is commonly the result of internet latency or simply that your VPN server has reached capacity. Please try to reconnect to the VPN server. If this problem persists, contact the VPN administrator and analyze quality of network connectivity.)
Ist das wegen unserem Server 2003 der wegen nat-t das nicht kann? Hätte beim WIn7 rechner den regedit schlüssel eingetragen.

Mir geht es aber hauptschließlich um die telefone die einfach den weg zum telefonserver im anderen netz nicht finden.
Muss ich eine route erstellen damit das eine Netzwerk weiss wo die daten hinmüssen? Habe heute mit dem Telefontechniker gesprochen der hat gemeint ich benötige eine Route.

Hier der letzte vpn log, ab dem habe ich wieder die meldung dass der tunnel aufgebaut wurde und wie gesagt tracert auch funktioniert:
2014 Feb 24 14:18:21 [FVS336GV2] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2014 Feb 24 14:18:21 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up. 5f0004833285190c:31102bb7176c69bc:b49a3d94_
- Last output repeated twice -
2014 Feb 24 14:18:01 [FVS336GV2] [IKE] Ignore information because the message has no hash payload._
2014 Feb 24 14:17:53 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 195.149.217.41->78.142.104.26 with spi=164335752(0x9cb9088)_
2014 Feb 24 14:17:53 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 78.142.104.26->195.149.217.41 with spi=59389292(0x38a356c)_
2014 Feb 24 14:17:52 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_
2014 Feb 24 14:17:52 [FVS336GV2] [IKE] Responding to new phase 2 negotiation: 195.149.217.41<=>78.142.104.26_
2014 Feb 24 14:17:51 [FVS336GV2] [IKE] Ignore information because the message has no hash payload._
2014 Feb 24 14:17:51 [FVS336GV2] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2014 Feb 24 14:17:51 [FVS336GV2] [IKE] ISAKMP-SA established for 195.149.217.41[500]-78.142.104.26[500] with spi:4c3342b25d967051:3691b6be94e38c41_
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] NAT not detected _
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] NAT-D payload matches for 78.142.104.26[500]_
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] NAT-D payload matches for 195.149.217.41[500]_
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] Received Vendor ID: KAME/racoon_
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] For 78.142.104.26[500], Selected NAT-T version: RFC XXXX_
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] DPD is Enabled_
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] Received Vendor ID: DPD_
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] Received Vendor ID: RFC XXXX_
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] Received request for new phase 1 negotiation: 195.149.217.41[500]<=>78.142.104.26[500]_
2014 Feb 24 14:17:50 [FVS336GV2] [IKE] Configuration found for 78.142.104.26[500]._
- Last output repeated twice -
2014 Feb 24 14:17:31 [FVS336GV2] [IKE] Ignore information because the message has no hash payload._
2014 Feb 24 14:17:21 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 195.149.217.41<=>78.142.104.26_
2014 Feb 24 14:17:21 [FVS336GV2] [IKE] Phase 1 negotiation failed due to time up for 78.142.104.26[500]. 13928168b369be93:e794572d7afcdf79_
2014 Feb 24 14:17:13 [FVS336GV2] [IKE] Configuration found for 78.142.104.26._
2014 Feb 24 14:17:13 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_
- Last output repeated 2 times -
2014 Feb 24 14:16:50 [FVS336GV2] [IKE] The packet is retransmitted by 78.142.104.26[500]._
2014 Feb 24 14:16:49 [FVS336GV2] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2014 Feb 24 14:16:49 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up. 5f0004833285190c:31102bb7176c69bc:c80aa90a_
- Last output repeated twice -
2014 Feb 24 14:16:31 [FVS336GV2] [IKE] The packet is retransmitted by 78.142.104.26[500]._
2014 Feb 24 14:16:21 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2014 Feb 24 14:16:21 [FVS336GV2] [IKE] For 78.142.104.26[500], Selected NAT-T version: RFC XXXX_
2014 Feb 24 14:16:21 [FVS336GV2] [IKE] DPD is Enabled_
2014 Feb 24 14:16:21 [FVS336GV2] [IKE] Received Vendor ID: DPD_
2014 Feb 24 14:16:21 [FVS336GV2] [IKE] Received Vendor ID: RFC XXXX_
2014 Feb 24 14:16:21 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2014 Feb 24 14:16:21 [FVS336GV2] [IKE] Received request for new phase 1 negotiation: 195.149.217.41[500]<=>78.142.104.26[500]_
2014 Feb 24 14:16:21 [FVS336GV2] [IKE] Configuration found for 78.142.104.26[500]._
2014 Feb 24 14:15:48 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 195.149.217.41<=>78.142.104.26_
2014 Feb 24 14:15:48 [FVS336GV2] [IKE] Phase 1 negotiation failed due to time up for 78.142.104.26[500]. 038b0ccfa4e3045f:1142b62fda340875_
- Last output repeated twice -
2014 Feb 24 14:15:28 [FVS336GV2] [IKE] The packet is retransmitted by 78.142.104.26[500]._
2014 Feb 24 14:15:19 [FVS336GV2] [IKE] Configuration found for 78.142.104.26._
2014 Feb 24 14:15:19 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_
- Last output repeated twice -
2014 Feb 24 14:15:08 [FVS336GV2] [IKE] The packet is retransmitted by 78.142.104.26[500]._
2014 Feb 24 14:15:04 [FVS336GV2] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2014 Feb 24 14:15:04 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up. 5f0004833285190c:31102bb7176c69bc:c6f8a398_
2014 Feb 24 14:14:58 [FVS336GV2] [IKE] The packet is retransmitted by 78.142.104.26[500]._
2014 Feb 24 14:14:48 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2014 Feb 24 14:14:48 [FVS336GV2] [IKE] For 78.142.104.26[500], Selected NAT-T version: RFC XXXX_
2014 Feb 24 14:14:48 [FVS336GV2] [IKE] DPD is Enabled_
2014 Feb 24 14:14:48 [FVS336GV2] [IKE] Received Vendor ID: DPD_
2014 Feb 24 14:14:48 [FVS336GV2] [IKE] Received Vendor ID: RFC XXXX_
2014 Feb 24 14:14:48 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2014 Feb 24 14:14:48 [FVS336GV2] [IKE] Received request for new phase 1 negotiation: 195.149.217.41[500]<=>78.142.104.26[500]_
2014 Feb 24 14:14:48 [FVS336GV2] [IKE] Configuration found for 78.142.104.26[500]._
2014 Feb 24 14:14:04 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 195.149.217.41<=>78.142.104.26_
2014 Feb 24 14:14:04 [FVS336GV2] [IKE] Phase 1 negotiation failed due to time up for 78.142.104.26[500]. 0f63b72a725174b5:a0b164cb3dea7ab8_
2014 Feb 24 14:13:55 [FVS336GV2] [IKE] The packet is retransmitted by 78.142.104.26[500]._
2014 Feb 24 14:13:45 [FVS336GV2] [IKE] Configuration found for 78.142.104.26._
2014 Feb 24 14:13:45 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_
- Last output repeated twice -
2014 Feb 24 14:13:35 [FVS336GV2] [IKE] The packet is retransmitted by 78.142.104.26[500]._
2014 Feb 24 14:13:29 [FVS336GV2] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2014 Feb 24 14:13:29 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up. 5f0004833285190c:31102bb7176c69bc:95122f8c_
- Last output repeated twice -
2014 Feb 24 14:13:14 [FVS336GV2] [IKE] The packet is retransmitted by 78.142.104.26[500]._
2014 Feb 24 14:13:04 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2014 Feb 24 14:13:04 [FVS336GV2] [IKE] For 78.142.104.26[500], Selected NAT-T version: RFC XXXX_
2014 Feb 24 14:13:04 [FVS336GV2] [IKE] DPD is Enabled_
2014 Feb 24 14:13:04 [FVS336GV2] [IKE] Received Vendor ID: DPD_
2014 Feb 24 14:13:04 [FVS336GV2] [IKE] Received Vendor ID: RFC XXXX_
2014 Feb 24 14:13:04 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2014 Feb 24 14:13:04 [FVS336GV2] [IKE] Received request for new phase 1 negotiation: 195.149.217.41[500]<=>78.142.104.26[500]_
2014 Feb 24 14:13:04 [FVS336GV2] [IKE] Configuration found for 78.142.104.26[500]._
2014 Feb 24 14:12:29 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 195.149.217.41<=>78.142.104.26_
2014 Feb 24 14:12:29 [FVS336GV2] [IKE] Configuration found for 78.142.104.26._
2014 Feb 24 14:12:29 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_
2014 Feb 24 14:12:05 [FVS336GV2] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2014 Feb 24 14:12:05 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up. 5f0004833285190c:31102bb7176c69bc:b5b23fce_
2014 Feb 24 14:11:05 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 195.149.217.41<=>78.142.104.26_
2014 Feb 24 14:11:05 [FVS336GV2] [IKE] Configuration found for 78.142.104.26._
2014 Feb 24 14:11:05 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_
2014 Feb 24 14:11:01 [FVS336GV2] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2014 Feb 24 14:11:01 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up. 5f0004833285190c:31102bb7176c69bc:936b1f94_
2014 Feb 24 14:10:01 [FVS336GV2] [IKE] Ignore information because the message has no hash payload._
2014 Feb 24 14:10:01 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 195.149.217.41<=>78.142.104.26_
2014 Feb 24 14:10:01 [FVS336GV2] [IKE] Configuration found for 78.142.104.26._
2014 Feb 24 14:10:01 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_
2014 Feb 24 14:09:59 [FVS336GV2] [IKE] an undead schedule has been deleted: 'quick_i1prep'._
2014 Feb 24 14:09:59 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up. 5f0004833285190c:31102bb7176c69bc:8df2c330_

Wie gesagt, verbindung steht, datenaustausch erfolgt, tracert auf den anderen router funkt einwandfrei.

Das hört sich erstmal gut an !
Kardinalsfrage: Traceroute und ping Tests machst du die jeweils auf das remote LAN Interface des VPN Routers also auf die IP die nachher auch im lokalen Netz liegt wo deine Endgeräte liegen ???
Ist dem so und ein Ping erfolgreich dann MUSS auch ein Ping auf Endgeräte in diesem IP LAN klappen.
Vorausgesetzt ist natürlich die lokalen Firewalls der Endgeräte sind entsprechend angepasst das sie Zugriff von externen IP Adressen erlauben. Normal ist das wie gesagt nicht der Fall und du musst die FWs entsprechend customizen.
Deshalb ist es immer besser sich ein Endgerät ohne lokale FW zu suchen wie z.B. einen WLAN Accesspoint oder einen Printserver oder Drucker mit LAN Port. Achtung hier muss dann auch ein Gateway konfiguriert sein das auf den VPN Router bzw. dessen LAN IP zeigt ! (wird oft gerne vergessen !)

Völlig blödsinning und unverständlich ist die obige Aussage:

Bekomme mit win7 mit l2tp/ipsec verbindung immer die fehlermeldung: fehler 807

Warum bitte sehr redest du hier von "win7 mit l2tp/ipsec " Verbindung ???
Bei einer Site to Site VPN Verbindung wie du sie hast ist das doch völliger Unsinn ! Win 7 Endgeräte müssen dann logischerweise kein L2TP/IPsec mehr haben...wozu auch, denn den VPN Tunnel stellen ja die beiden Site Router zur Verfügung.
Endgeräte können wie im lokalen LAN zentral darüber kommunizieren als ob sie direkt mit einer Standleitung verbunden sind. Das ist ja genau der tiefere Sinn einer VPN Site to Site Verbindung !!
Kann das sein das dir das Prinzip einer Standort VPN Verbindung da nicht klar ist ??
Auch was der Server dazu im mit IPsec L2TP zu tun hat ist doch völliger Unsinn !! der hat bei einer Site to Site VPN Kopplung keinerlei VPN Aufgaben zu machen. Der wird so angeschlossen wie in einem lokalen LAN genau wie die ganzen Endgeräte in den lokalen LANs. Dort wird keinerlei VPN Funktion benötigt.
Diese rein und einzig auf den VPN Routern/Firewall zu konfigurieren nirgends sonst.
Hier hast du vermutlich einen gehörigen Denkfehler ! Kann das sein ??

Wenn du eine Router Kaskade hast mit billigen Telekom Routern VOR den NetGear Gurken, dann muss auf den Telekom Routern ein Port Forwarding folgender Ports eimgestellt sein:
UDP 500
UDP 4500
ESP Protokoll
Bei L2TP kommt nch UDP 1701 dazu !!
Diese Port Forwardings zeigen auf die WAN Port IP Adresse des jeweiligen NGs der ja im lokalen Telekom LAN hängt bei einer Kaskade !
(Internet)=====(Telekom-Speedport-LANPort)-----(WanPort-NetGear-LANPort)------(lokaler PC)

So sieht das auf beiden Seiten aus !
Der WAN Port der NG mit seiner IP Adresse sollte NICHT im DHCP Bereich des Telekom Routers liegen sondern außerhalb !!
Das ist wichtig da durch die Dynamik von DHCP sich die IP Adressierung ändern kann was dann bedeutet das das statische Port Forwarding der IPsec Ports ins Nirwana zeigt, deshalb immer eine statische feste IP außerhalb des DHCP Bereichs !!

Schlimmer ist das

[IKE] Phase 2 negotiation failed due to time up.

im Log ! (Dafür hätten auch übrigens 5 Zeilen Zitat vollends genügt !!)
Das sagt ganz klar das die Phase 2 Negotiation im IPsec abbricht. Das wiederum ist ein klares Indiz das der VPN Tunnel nicht aufgebaut wird also erst gar kein IPsec VON zustandekommt !!
Damit natürlich auch keine VPN Verbindung der Standorte.
Deshalb kann man dir die obige Aussage "...tracert auf den anderen router funkt einwandfrei. " eigentlich nicht wirklich abnehmen, denn sie widerspricht dem was im Log steht diametral !
DAS ist erstmal dein Grundproblem, was du fixen musst !! Grund ist vermutlich eine Fehlkonfiguration der Router/Firewall NGs wie so häufig....
Wie bereits oben gesagt Grundlagen und Hilfen liefern dir die beiden o.a. Tutoruals hier.

Hi

zusätzlich zum sehr guten und passenden Kommentar von @aqui ist mir noch folgendes aufgefallen:

2014 Feb 24 14:15:19 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_

129.1.1.0/24 und 129.1.2.1/24 sind ja wohl eher Tippfehler oder?

Vielleicht klappts ja, wenn du die richtigen IP-Adressbereiche in die VPN-Konfiguration eingibst.

PS: Und lass den Unsinn, zusätzlich noch L2TP-Tunnel aufbauen zu wollen.

Das hier sind die neuesten Logs, die einen davor waren vor der verbindung.
2014 Feb 24 16:06:28 [FVS336GV2] [IKE] IPsec-SA expired: ESP/Tunnel 195.149.217.41->78.142.104.26 with spi=151885692(0x90d977c)_
2014 Feb 24 15:18:36 [FVS336GV2] [IKE] an undead schedule has been deleted: 'pk_recvupdate'._
2014 Feb 24 15:18:36 [FVS336GV2] [IKE] Sending Informational Exchange: delete payload_
2014 Feb 24 15:18:27 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 195.149.217.41->78.142.104.26 with spi=151885692(0x90d977c)_
2014 Feb 24 15:18:27 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 78.142.104.26->195.149.217.41 with spi=70145162(0x42e548a)_
2014 Feb 24 15:18:27 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_
2014 Feb 24 15:18:27 [FVS336GV2] [IKE] Responding to new phase 2 negotiation: 195.149.217.41<=>78.142.104.26_
2014 Feb 24 15:18:18 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 195.149.217.41->78.142.104.26 with spi=97451408(0x5cefd90)_
2014 Feb 24 15:18:18 [FVS336GV2] [IKE] IPsec-SA established: ESP/Tunnel 78.142.104.26->195.149.217.41 with spi=80336830(0x4c9d7be)_
2014 Feb 24 15:18:17 [FVS336GV2] [IKE] Initiating new phase 2 negotiation: 195.149.217.41<=>78.142.104.26_
2014 Feb 24 15:18:17 [FVS336GV2] [IKE] Configuration found for 78.142.104.26._
2014 Feb 24 15:18:17 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_
2014 Feb 24 15:05:54 [FVS336GV2] [IKE] IPsec-SA expired: ESP/Tunnel 195.149.217.41->78.142.104.26 with spi=164335752(0x9cb9088)_

Habe mich wirklich vor lauter googlen ein wenig wirr gemacht, hatte ja immer so gemeint dass wenn die verbindung steht das wie eine standleitung fungiert, bin total durcheinander. tracert habe ich immer auf den router mit der ip vom anbieter versucht, sobald ich eine probiere die im NW liegt gehts nicht mehr.
Laut Netzbetreiber wurde alles für eine VPN Verbindung vorbereitet, frage aber morgen noch einmal nach.
Es ist bei einem Netz ein Cisco Router vorbei und bei dem anderen gar nichts, eben nur auf Seite mit den paar clients.

Und vergiss meine gedankengänge mit l2tp habe alles probiert durchzuspielen, aber alles falsche gedankengänge von mir.

So wie der log aussieht steht doch die verbindung oder? Aber es gehen nur minimale kb daten drüber.
Route muss ich da keine erstellen?

Oha habe auf den anderen Router das gefunden im log:
2014 Feb 24 16:24:17 [FVS336GV2] [IKE] Configuration found for 195.149.217.41._
2014 Feb 24 16:23:56 [FVS336GV2] [IKE] Ignore information because the message has no hash payload._
2014 Feb 24 16:23:56 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2014 Feb 24 16:23:56 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2014 Feb 24 16:23:56 [FVS336GV2] [IKE] Initiating new phase 1 negotiation: 78.142.104.26[500]<=>195.149.217.41[500]_
2014 Feb 24 16:23:56 [FVS336GV2] [IKE] Configuration found for 195.149.217.41._
2014 Feb 24 16:23:56 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.2.1/24<->129.1.1.155/24_
2014 Feb 24 16:23:24 [FVS336GV2] [IKE] Phase 1 negotiation failed due to time up for 195.149.217.41[500]. 871b5dd8647d1211:0000000000000000_
2014 Feb 24 16:23:23 [FVS336GV2] [IKE] Ignore information because the message has no hash payload._
2014 Feb 24 16:23:12 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. _
2014 Feb 24 16:23:12 [FVS336GV2] [IKE] Invalid SA protocol type: 0_
2014 Feb 24 16:22:55 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 195.149.217.41->78.142.104.26 _
2014 Feb 24 16:22:41 [FVS336GV2] [IKE] Configuration found for 195.149.217.41._
2014 Feb 24 16:22:24 [FVS336GV2] [IKE] Ignore information because the message has no hash payload._
2014 Feb 24 16:22:24 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2014 Feb 24 16:22:24 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2014 Feb 24 16:22:24 [FVS336GV2] [IKE] Initiating new phase 1 negotiation: 78.142.104.26[500]<=>195.149.217.41[500]_
2014 Feb 24 16:22:24 [FVS336GV2] [IKE] Configuration found for 195.149.217.41._
2014 Feb 24 16:22:24 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.2.1/24<->129.1.1.155/24_
2014 Feb 24 16:22:13 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 195.149.217.41->78.142.104.26 _
2014 Feb 24 16:22:05 [FVS336GV2] [IKE] Phase 1 negotiation failed due to time up for 195.149.217.41[500]. 9b69c603f2ef5a63:0000000000000000_

NG Router sind hinter durchgerouteten mit static ip eingetragenen telekom router.

So nun schwamt auch mir richtig böse etwas, also ich würde ja mal sagen wenn
Du ca. 5 Zeit hast, malst Du uns das eben mal auf, ich meine mit allen Geräten
die dort mit im Spiel sind!

Denn bei einer Routerkaskade ist das so wie der @aqui sagt,
da ist dann halt noch ein Router dazwischen von dem wir
alle nichts wissen und der den Fehler verursacht und
das wollen wir doch alle nicht, oder?

Gruß
Dobby

Welche IP muss da genau drin stehen? Die vom Router?

Nein, Netzwerk 1 Verbindung direkt vom Betreiber auf unseren NG Router. Static ip
Netzwerk 2, verbindung von innen nach aussen : Netgear Router (static ip) - danach Telekom Cisco router der für VPN Verbindung durchgeroutet worden ist (sagen die halt) danach halt inet.

Zitat von @shearer9:

Welche IP muss da genau drin stehen? Die vom Router?

Wenn du auf diese Zeile ansprichst:

2014 Feb 24 14:15:19 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_

Dort gehören die Netzwerke bzw. Netzwerksegmente eingetragen, zwischen welchen du verbinden willst (also dein LAN und das der Gegenstelle).

Ich glaube aber beinahe, dass du das alles komplett nicht verstanden hast.

Ich versuche es mal.

Warum hast du Telekom-Router vor den FVS336G-Routern?
Wenn es ganz normale DSL-Anschlüsse sind, dann nimm einfache DSL-Modems für 30,- € und lass die Netgear-Geräte die Verbindung ins Internet aufbauen.
Wenn das nicht möglich ist, dann eben mit Portforwarding.

Hast du dir mal die Anleitung von aqui angeschaut? Dort wird doch der Aufbau von VPNs sehr schön und anschaulich erklärt?

Edit: Habe nach Absenden meines Beitrags gesehen, dass du deinen editiert hast.

Nein, Netzwerk 1 Verbindung direkt vom Betreiber auf unseren NG Router. Static ip

Das heißt, hier wird kein Portforwarding benötigt.

Netzwerk 2, verbindung von innen nach aussen : Netgear Router (static ip) - danach Telekom Cisco router der für VPN Verbindung durchgeroutet worden ist (sagen die halt) danach halt inet.

Du solltest von außen nach innen gehen (Internet -> Cisco -> Netgear).
Ist auf dem Cisco Router das Portforwarding so eingerichtet, wie aqui es geschrieben hat?

Hast du meinen Beitrag gelesen, der sich auf die IP-Adressbereiche deiner Netzwerk bezog?

Welche IP muss da genau drin stehen? Die vom Router?

Wo?

Nein, Netzwerk 1 Verbindung direkt vom Betreiber auf unseren NG Router. Static ip

Ok.

Netzwerk 2, verbindung von innen nach aussen : Netgear Router (static ip) - danach Telekom
Cisco router der für VPN Verbindung durchgeroutet worden ist (sagen die halt) danach halt inet.

Dann hat hier der Cisco von der Telekom die feste IP Adresse! Aber schön das wir es auch
schon erfahren!

Das hat @aqui schon alles weiter oben beschrieben!!!

Wenn du eine Router Kaskade hast mit billigen Telekom Routern VOR den NetGear Gurken, dann muss auf den Telekom Routern ein Port Forwarding folgender Ports eimgestellt sein:
UDP 500
UDP 4500
ESP Protokoll
Bei L2TP kommt nch UDP 1701 dazu !!
Diese Port Forwardings zeigen auf die WAN Port IP Adresse des jeweiligen NGs der ja im lokalen Telekom LAN hängt bei einer Kaskade !
(Internet)=====(Telekom-Speedport-LANPort)-----(WanPort-NetGear-LANPort)------(lokaler PC)

Gruß
Dobby

Nochmal alles von vorne:
Meine beiden Netgear Router haben beide fixe IP Adressen von den Netzbetreibern, der Cisco da habe keine Rechte drauf den hat der Betreiber für die VPN Verbindung eingerichtet, kann da gar nichts machen. Aber wie gesagt hat mir der Techniker vom Betreiber versichert dass er alles konfiguriert hat.

Wegen IP Adresse 2014 Feb 24 14:15:19 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_
Das was oben steht das habe ich unter "startip" eingetragen, habe einmal ein 129.1.1.x netz und einmal ein 129.1.2.x netz. Habe jetz bei einem 129.1.1.155 (Netgear Router) und bei dem anderen 129.1.2.1 (Netgear) eingetragen.

Bezüglich Port Forwarding auf den beiden Netgear Router, habe da wie geschrieben so eingetragen port 500 UDP, port 4500 udp und esp von IP NW1 allow always weiterleiten auf Server im Netzwerk 2, und beim anderen die gleichen ports erlauben weiterleiten (und da habe ich glaube ich auch einen fehler) an ip vom router. Habe da ja nur clients. Aber schön langsam bin ich am verzweifeln und zweifeln ob ich bei den überhaupt port forwarding einstelle, muss ja nichts hindurch, aber ohne dem kann ich die verbindung nicht halbwegs aufbauen.
Bin wirklich total verwirrt.

Danke für eure Zeit und Hilfe.

Hallo nochmal,

....ich die verbindung nicht halbwegs aufbauen.
Bin wirklich total verwirrt.

VPN ist keine einfach Sache und auch für erfahrene Admins
oft nicht leicht umzusetzen, aber mit einer Routerkaskade
wo ich (bzw. Du) keinen Zugriff auf den einen Router habe sondern
nur der Telekom Techniker ist schon fast ein Ding der Unmöglichkeit!

Was ist ist mit:

Bei L2TP kommt nch UDP 1701 dazu !!

So wie @aqui es beschrieben hat???

Gruß
Dobby

...aber es gehen nur minimale kb daten drüber.

Das ist eher nomal bei NetGear (sorry goscho ) aber gut ist das wenigstens WAS durchkommt, was ja besagt das der VPN Tunnel dann funktioniert.... oder doch nicht ?
Im aktuellen Log ist immer noch ein

[IKE] Phase 1 negotiation failed due to time up for 195.149.217.41[500].

Diesmal scheiterst du schon an der Phase 1 was den sofortigen Tod des VPN Tunnels bedeutet !
Also kann man dir wieder das "....aber es gehen nur minimale kb daten drüber. " nicht wirklich abnehmen, denn eigentlich kann das NICHT der Fall sein nach der Log Meldung zu urteilen ?!

Kollege goscho verweist zurecht auf die Meldung:

Using IPsec SA configuration: 129.1.1.0/24<->129.1.2.1/24_

Diese beiden 129er Netze sind IANA registrierte Netze die nicht dir gehören sondern registriert sind auf einen Nutzer in Ohio/USA:
NetRange: 129.1.0.0 - 129.1.255.255
CIDR: 129.1.0.0/16
OriginAS:
RegDate: 1987-06-05

OrgName: Bowling Green State University
Address: Information Technology Services
City: Bowling Green
StateProv: OH
PostalCode: 43403
Country: US

Solche IPs als lokale LANs zu nutzen ist sträflich und zeigt schon ein erhebliches Defizit beim generellen Verständnis von IP Adressdesign. Mag man sich dann nicht ausmalen wie das erst bei VPNs ist....
Aber egal... generell falsch ist es nicht, da die lokalen Netze ja unterschiedlich sind und damit generell richtig...van den obigen Dingen mal abgesehen.
I
Wo ist denn nun noch dein Problem wenn jetzt der VPN Tunnel zwischen den Lokationen steht und du angeblich auch Daten übertragen kannst.
Auch wenns langsam geht bedeutet das ja erstmal das nun alles klappt !
Auch wenn das NG Log eigentlich genau das Gegenteils davon sagt....fragt sich nun wer hier uns Mist erzählt...das Log oder du ?!?

L2TP hätte ich nur versucht für Win 7 Client Verbindung, brauche ich die dennoch?

Jetz habe ich noch etwas gefunden, dass ich lt. einem Beitrage keine gleichen Subnetze haben darf, habe aber bei beiden die 255.255.255.0 . Stimmt das dass es so nicht möglich ist? Dann hätt ich ja einen schei... zusammen.

L2TP und native IPsec (was der NG bei Site to Site macht) sind aber 2 verschiedene paar Schuhe und NICHT kompatibel. L2TP nutzt wie IPsec ESP als Tunnelprotokol.
Abgesehen davon supportet NG auch gar kein L2TP so das eine zusätzliche Client Connection unmöglich ist ! Wenn überhaupt, dann musst du auf den Clients eine zusätzliche IPsec Client Software installieren wie z.B. den kostenlosen Shrew Client:
https://www.shrew.net
Mit dem ist dann auch eine Client Kopplung auf den NG problemlos möglich zusätzlich zur Site2Site Kopplung.

Das kann also mit L2TP niemals funktionieren, dafür bräuchtest du andere VPN Hardware.
Das hiesige IPsec_Tutorial gibt dir einen Überblick mit welcher HW sowas zu realisieren ist wenn es denn unbedingt L2TP sein muss. Mit der o.a. Client SW hast du einen Workaround.

L2TP hätte ich nur versucht für Win 7 Client Verbindung,
brauche ich die dennoch?

Nein das ist alles gewurschtel, es kommt mir langsam
so vor als wenn Du Dich zwar kundig gemacht hast aber
und Dir über das VPN ein wenig zugelegt hast und dann
alles in einen Topf geworfen hast und dann einmal schön
durch gerührt hast und daher reden wir hier alle aneinander
vorbei.

Jetz habe ich noch etwas gefunden, dass ich lt.
einem Beitrage keine gleichen Subnetze haben darf,

Siehst Du das meine ich damit!
Die IP Adressbereiche auf beiden Seiten sollten beide
nicht gleich sein, z.B. 192.168.1.0/24 und 192.168.1.0/24
das funktioniert nicht!!!

Wohin gegen 192.168.1.0/24 und 192.168.2.0/24
funktionieren sollte, das dahinter also die /24 (255.255.255.0)
ist die Subnetzmaske und nicht das Subnetz (CIDR).

Gruß
Dobby

P.S. Ich empfehle Dir schleunigst das mal alles in Reihe
und Glied zu bringen und dann noch einmal die gesamte
Konfiguration zu löschen und neu aufzusetzen denn da
steigst Du mittlerweile schon nicht mehr durch und wie
sollen wir das denn noch beantworten!

Du baust ein Site-to-Site VPN auf, das zwischen zwei Routern
zustande kommt und nicht eine Client-to-Site VPN was zwischen
den PCs also den Klienten und dem Router aufgebaut wird!!!!!!!!!!!!!

Die Konfiguration muss zwingend auf beiden Seiten völlig
identisch sein und das ist mit den beiden Netgear Firewalls
auch ohne Probleme möglich, nur ist es eben auch von
enormer Wichtigkeit dass der Cisco Router richtig eingestellt
worden ist, und wenn man da nicht heran kann, ist um das zu
überprüfen, dann raten wir hier Weihnachten 2016 noch herum.

Der Techniker bei der Telekom muss auch daher zwingend wissen
für welches VPN Du Dich nun entschieden hast, sonst öffnet dieser
Ports die Du nicht brauchst und wiederum andere nicht die Du dringend
benötigst, das gilt es zuerst einmal abzuklären!!!

Also nochmal;
- VPN aussuchen z.B IPSec
- dann den Telekomtechniker anrufen
und dann musst Du Ihm sagen was er
machen soll und nicht umgekehrt
- Dann werden die beiden Netegar FVS336Gv2 konfiguriert
und dann muss der Tunnel stehen und funktionieren.

Wir können doch nicht sehen geschweige denn überprüfen was denn
der Telekomtechniker überhaupt gemacht hat, oder?
Daher ist dieser Beitrag völlig ad absurdum zu führen.

Gruß
Dobby

Okay dann werde ich jetz alles noch einmal neu machen, ist wohl das beste.
Werde eine IPsec Site to Site Verbindung aufbauen und den Techniker alles mitteilen.
Ab da eigentlich die Policys auf den beiden Routern erstellen, aber da bleibt mir eben noch die Frage bezüglich Port Forwarden auf meinen Netgear Router, nach meinem Verständnis brauche ich das nicht oder? Die müssen sich das ja selber untereinander ausmachen, da muss ja nichts im port forwarding eingetragen werden?
In einem ungefähr gleichen Thema http://www.downloads.netgear.com/files/GDC/FVS318N/QSGVPN_4Apr2012.pdf ist ja sonst auch nie etwas beschrieben.

@aqui
ich bin noch nicht lange in der Firma, die IP´s sind von einer externen IT Firma vor gut 10 Jahren vergeben worden, kann da nichts dafür dass wir solche ip´s gewählt haben, werde es aber weitergeben.
Daten kommen wirklich an, wahrscheinlich nur für verbindungsaufbau oder sonstiges. Richtige daten oder pings gehen da nicht drüber.

Vielen Dank

Hallo nochmal,

Ab da eigentlich die Policys auf den beiden Routern erstellen, aber da
bleibt mir eben noch die Frage bezüglich Port Forwarden auf meinen
Netgear Router,......

Wenn zwischen den beiden Netgear Routern eine VPN Verbindung
zustande gekommen ist, kann man in der Regel auf das gesamte
dahinter liegende Netzwerk zugreifen.

nach meinem Verständnis brauche ich das nicht oder?
Die müssen sich das ja selber untereinander ausmachen,
da muss ja nichts im port forwarding eingetragen werden?

Das ist wohl so richtig denn die Portweiterleitungen bzw. das
VPN Passthrought muss nur vorne am Cisco eingetragen
werden nicht an der Netgear Firewall.

Gruß
Dobby

Zitat von @aqui:
Abgesehen davon supportet NG auch gar kein L2TP so das eine zusätzliche Client Connection unmöglich ist !

Sorry aqui, aber das ist falsch.
Letztes Jahr hat Netgear diesem Modell und den größeren L2TP und PPTP Server-Funktionen spendiert.

Hallo,

habe den Techniker wegen Portweiterleitung angeschrieben, hoffe der meldet sich heute noch wie jetz der stand wirklich ist.

Das nächste war meine ganzen policy´s rauszuschmeissen und von ganz vorn zu beginnen. Habe bei beiden alles neu konfiguriert und siehe da so sieht mein log aus:
2014 Feb 25 15:10:00 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 78.142.104.26->195.149.217.41 _
2014 Feb 25 15:09:42 [FVS336GV2] [IKE] Phase 1 negotiation failed due to time up for 78.142.104.26[500]. b9172b75a9f8b430:0000000000000000_
2014 Feb 25 15:09:29 [FVS336GV2] [IKE] Configuration found for 78.142.104.26._
2014 Feb 25 15:09:29 [FVS336GV2] [IKE] Using IPsec SA configuration: 129.1.1.1-129.1.1.255<->129.1.2.1/24_
2014 Feb 25 15:09:13 [FVS336GV2] [IKE] Phase 2 negotiation failed due to time up waiting for phase1. ESP 78.142.104.26->195.149.217.41 _
2014 Feb 25 15:08:42 [FVS336GV2] [IKE] Setting DPD Vendor ID_
2014 Feb 25 15:08:42 [FVS336GV2] [IKE] Beginning Identity Protection mode._
2014 Feb 25 15:08:42 [FVS336GV2] [IKE] Initiating new phase 1 negotiation: 195.149.217.41[500]<=>78.142.104.26[500]_

Das sieht doch wohl so aus als würde der esp port zu sein da keine antwort kommt...

Nur kurz zum verständnis, wenn normalerweise die ports für meine site to site verbindung offen wären und auf meinen Router weitergeleitet werden, ich die identen und schön nach anleitung erstellten einstellungen für die ipsec verbindung gemacht habe, sollte es gehen?
Oder gibt es sonst bei der site to site zwischen zwei gleichen routern noch was zum aufpassen?

Danke für die Hilfe.

Zitat von @shearer9:

Hallo,

habe den Techniker wegen Portweiterleitung angeschrieben, hoffe der meldet sich heute noch wie jetz der stand wirklich ist.

Das ist schon tragisch, wenn man auf andere angewiesen ist, ohne zu wissen, ob die auch das machen, was man will.

Das sieht doch wohl so aus als würde der esp port zu sein da keine antwort kommt...

Das sieht wirklich so aus, kann aber auch nur endgültig geklärt werden, wenn
a) auf dem Router vor dem FVS336 die korrekten Portweiterleitungen eingerichtet wurden oder
b) du die Möglichkeit hast, einen anderen Tunnel ohne Router-Kaskade aufzubauen, bspw. von deiner heimischen Fritzbox

Nur kurz zum verständnis, wenn normalerweise die ports für meine site to site verbindung offen wären und auf meinen
Router weitergeleitet werden, ich die identen und schön nach anleitung erstellten einstellungen für die ipsec verbindung
gemacht habe, sollte es gehen?

Ja.

Oder gibt es sonst bei der site to site zwischen zwei gleichen routern noch was zum aufpassen?

Wie dobby es schon geschrieben hat:
Das Einrichten eines Site-to-Site-VPN zwischen 2 identischen Routern ist kein Hexenwerk, trotzdem sollte man die basics intus haben.

Diesbezüglich hatten wir alle arge Bedenken aber du scheinst es langsam verstanden zu haben.

Dann hoffe ich mal für dich, dass es bald klappt, mit dem sicheren Datenaustausch über das unsichere Internet.

Oder gibt es sonst bei der site to site zwischen zwei gleichen routern
noch was zum aufpassen?

Nein, lass das erst einmal und warte jetzt ab, was
Dir der Telekomiker sagt und dann sollte man schon
eher an die Sache ran gehen können.

Gruß
Dobby

So neuer Stand bezüblich Techniker.
Der Router wurde so konfiguriert dass alle datenpakete weitergegeben werden auch NAT deaktiviert wurde.
Wie kann das dann noch sein? HAbe alles noch einmal neu konfiguriert, auch mit dem netgear wizard aber er bleibt immer in der phase 1 hängen.

So neuer Stand bezüblich Techniker.

Na dann mal los.

Der Router wurde so konfiguriert dass alle
datenpakete weitergegeben werden auch NAT deaktiviert wurde.

NAT muss nicht deaktiviert sein! denn sonst macht das öffnen der
Ports am WAN Interface ja eigentlich gar keinen Sinn.

Wie kann das dann noch sein?

Überlege mal selber, eventuell etwas was Du uns nicht erzählt hast?

HAbe alles noch einmal neu konfiguriert, auch mit dem
netgear wizard aber er bleibt immer in der phase 1 hängen.

Also die feste IP Adresse ist nicht am Cisco hinterlegt sondern
am Netgear ist das so richtig?

Gruß
Dobby

Ich weiß jetzt auch nicht was genau da nicht stimmt nur ich
habe auch eine Netgear FVS336Gv2 und wähle mich ab und
zu einmal via VPN ein und das funktioniert immer ohne Porbleme
allerdings mache ich kein Site-to-Site VPN damit.

Hallo,

endlich gibt es licht am ende des Tunnels.
Habe mit dem Internetanbieter unseren Netgear zu deren Büro gebracht und die Verbindung ist auf Anhieb gegangen, daher wie ihr schon richtig erwähnt habt muss der Cisco Router dazwischengepfuscht haben.
So aber der Techniker der den Router konfiguriert hat diesen einfach nicht zum laufen gebracht dass wir unsere IPsec Verbindung aufbauen konnten, daher entschlossen wir uns alles auf den Cisco Router zu konfigurieren und den Netgear auf einer Seite wegzulassen, dh einmal netgear direkt ohne weiteren router zum anderen standort direkt auf den cisco router.
Soweit sogut, alles eingerichtet und siehe da es funktioniert, ping funkt, komme auch direkt auf den anderen router, die telefone haben sich auf den anderen standort eingewählt aber nur eine sache funkt nicht, komme nicht auf unser netzlaufwerk. Kann mich auch nicht neu an unsere domäne anmelden, er finden den domaincontroller nicht.
Bei einer site-to-site vpn muss ich doch keine weiteren ports mehr freigeben, irgendwas muss da aber noch zum einstellen sein um eine verbindung mit dem server zu bekommen um mich neu anzumelden. Muss ich da auf dem server noch etwas machen oder wo liegt denn mein problem jetzt?

Ich bitte euch nochmals um die Hilfe und bedanke mich recht herzlich für eure tatkräftige unterstützung die ihr schon geleistet habt.

Gruß
Günther

wie ihr schon richtig erwähnt habt muss der Cisco Router
dazwischengepfuscht haben.

Hast Du da den "aggressive mode" genutzt!

Bei einer site-to-site vpn muss ich doch keine weiteren ports mehr
freigeben,

Neun, steht der VON Tunnel erst einmal dann kann man
in der Regel immer auf das dahinter liegende Netzwerk zugreifen.

irgendwas muss da aber noch zum einstellen sein um eine
verbindung mit dem server zu bekommen um mich neu anzumelden.

Hast Du bei dem entfernten Controller auch die Firewall freigegeben
und/oder die RAS Erlaubnis eingestellt so das man sich via VPN
(RAS-Dienst) auch dort anmelden kann?

Gruß
Dobby

Bei einer site-to-site vpn muss ich doch keine weiteren ports mehr freigeben, irgendwas muss da aber noch zum einstellen sein um eine verbindung mit dem server zu bekommen um mich neu anzumelden. Muss ich da auf dem server noch etwas machen oder wo liegt denn mein problem jetzt?

Ich vermute, dass das ein DNS-Problem ist.
Der DC steht an Standort 1?
Wer ist am zweiten Standort als DNS-Server eingerichtet, bestimmt der Router?

Dieser löst aber keine DNS-Anfragen zum Hauptstandort auf.
Benutze doch mal nslookup, daran kannst du das erkennen.

Sorge dafür, dass am 2. Standort der DC des 1. Standortes aufgelöst werden kann.
Dies kannst du erreichen, indem du allen relevanten Clients den DC als 1. DNS-Server einträgst (manuell oder wenn es der DHCP-Server ermöglicht auch über den).
Als 2. DNS-Server trägst du den Router ein, der dann von den Clients genommen wird, wenn das VPN nicht stehen sollte.

Wenn es mehr als 5 Clients am 2. Standort gibt, dann könntest du dort einen zweiten DNS-Server einrichten, der das DNS mit dem des 1. repliziert.
Dieser könnte natürlich auch ein Windows-Server sein und damit auch zum zusätzlichen DC in deiner Domäne promotet werden.

gelöst Frage Netzwerke Router, Routing

Mehr von shearer9

2 Kameras auf 2 verschiedenen Bildschirmen wiedergeben - Lösungen?shearer9 - 7 Kommentare

STP Blocking auf Core Switchshearer9 - 5 Kommentare

Über Fritzfax over IP gehen nur einige Faxeshearer9 - 15 Kommentare

Kein Ausdruck über Win 7 möglich - Windows Problemshearer9 - 12 Kommentare

Heiß diskutiert