amyklas
Goto Top

VPN mit Netgear DG834B

Zugriff mit der Netgear ProSafe Client VPN Software auf einen Netgear DG834B ADSL-Firewall-Router

Moin!

Folgende Aufgabenstellung:

Bis zu drei Aussendienstmitarbeiter sollen sich von ihren Laptops aus per VPN mit einer Firmenaussenstelle verbinden können. Das Netzwerk in der Aussenstelle sieht wie folgt aus:
ein Netgear DG834B ADSL-Firewall-Router der nach "aussen" eine feste IP hat, intern werden nur private IP-Adressen verwendet, ein Linux-Server mit SuSE 10.0 und ein NAS. Auf dem Router ist NAT aktiviert, laut Netgear unterstützt der Router Support von IPSec, PPTP und L2TP VPN Pass-Through sowie bis zu 5 IPSec VPN-Tunnel-Endpunkte.

Hierzu gleich meine erste Frage: Auf dem Netgear Router kann man IPSec-VPN Verbindungen anlegen (siehe Bild). Wozu kann ich hier IPSec-VPN-Verbindungen anlegen wenn der Router "nur" VPN-Pass-Through unterstützt? Ich habe nämlich auf dem Linux-Server Open Swan installiert, da dieser im Falle von VPN-Pass-Through als VPN Server dienen sollte. Was bedeutet in diesem Zusammenhang 5 IPSec VPN-Tunnel-Endpunkte? Brauche ich den Linux-Server eventuell gar nicht?
Jedenfalls hab' ich über einen längeren Zeitraum erfolglos versucht mich mit der Netgear ProSafe Client VPN Software mit dem Netgear Router zu verbinden. Im Log steht immer nur "Exceeded 3 IKE SA negotiation attemps".

Wenn ich doch wie erst angenommen den Linux-Server brauche, wo kann ich den Pre Shared Key eintragen und was muss ich bei left, leftsubnet, leftnexthop bzw. right, rightsubnet, rightnexthop in der ipsec.conf eintragen? Ich bin mir da nämlich nicht ganz sicher.

Ich hoffe Ihr könnt mir helfen, inzwischen sitze ich an dem Problem schon seit über einer Woche und bin echt kurz davor aufzugeben.

Content-ID: 43106

Url: https://administrator.de/contentid/43106

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

aqui
aqui 26.10.2006 um 22:02:09 Uhr
Goto Top
Wenn du einen VPN Router hast ist es in jedem Falle einfacher und auch sicherer die Client VPN Sessions dort zu terminieren, um nicht den Router porttechnisch öffnen zu müssen.
NetGear ist leider nicht gerade bekannt für Stabilität und Funktionsvielfalt im VPN Bereich sondern meist nur für Stabilität im Niedrigstpreisbereich.
So oder so sollte sich aber in jedem Falle eine Client VPN Verbindung zum Router herstellen lassen (Router OS sollte auf dem aktuellsten Stand sein um evtl. VPN Bugs bei NetGear auszuschliessen).
Die Fehlermeldung deutet auf ein falsches Passwort hin. IKE ist das Key Exchange Protokoll und das mekcert das du 3 Fehlversuche gemacht hast. Also irendwie sieht es schon gar nicht mal so schelcht aus...
Amyklas
Amyklas 27.10.2006 um 10:45:41 Uhr
Goto Top
Hi!

Erstmal danke für Deine Antwort!

Auf dem Router ist die neuste Firmware installiert, das hatte ich gleich zu Beginn gemacht. Das mit dem IKE ist mir auch klar, wobei ich da eigentlich schon alle Möglichkeiten durchprobiert habe.
Der Prey-Shared-Key ist auch auf beiden Seiten eingetragen aber trotzdem gibt's immer wieder die Meldung. Ich schätze dann eher das das Problem an den vielfältigen Einstellungsmöglichkeiten beim Router sowie bein Client liegt. Von Netgear gibt es zwar eine Beschreibung wie man sich mit dem ProSafe Client mit einigen Ihrer Router verbindet, bloss ist da das Model DG834B nicht dabei....Ich bin nur etwas verwirrt weil es einerseits heisst der Router unterstützt nur VPN-Pass-Through und dann heisst es "unterstützt bis zu 5 IPSec-VPN-Tunnel Endpunkte".
aqui
aqui 27.10.2006 um 13:15:54 Uhr
Goto Top
VPN Passthrough ist natürlich KEINE VPN Funktion auf dem Router. Das heist lediglich das der Router VPN Verbindungen welcher Couleur auch immer (PPTP, L2TP, IPsec, SSL etc.) durchschleust aber selbst gar kein VPN spricht. Vermutlich ist das dein Problem. Ein Blick ins Handbuch oder die Featureliste sollte da Aufklärung geben. Andererseits ist NetGear, folgt man den zahllosen Threads hier, nicht gerade berühmt (..eher berüchtigt) für Zuverlässigkeit im VPN Bereich....
Amyklas
Amyklas 30.10.2006 um 11:07:12 Uhr
Goto Top
So, hab's geschafft! Das Mistding kann doch VPN! Zu Deiner Bemerkung zu Netgear: Da kann ich Dir nur Recht geben, schlechtes Handbuch (zu VPN steht da rein gar nix!), schlechte Bedienbarkeit und Stabilität, verwirrende Aussagen auf der HP. Ich stand ein paar Mal kurz davor das Ding zum Mond zu schiessen! Wenn die Firma sich nächtes Mal sowas anschafft dann werde ich intervenieren!
ImTom
ImTom 03.11.2006 um 16:47:03 Uhr
Goto Top
Herzlichen Glückwunsch Amyklas,
ich stehe seit einiger Zeit vor dem gleichen Problem und versuche mich con zuhause in das Firmennetzwerk über den Router einzuloggen. Leider ohne Erfolg. Anhand der Beschreibungen von Netgear die es für deren andere Router gibt gelingt es mir jedenfalls nicht. Welche Software ist geeignet? Ich habe Prosafe Client als auch den GreenBow VPN Client erfolglos versucht. Ping über DynDNS funkt!

Würdest Du evtl. eine Step by Step Anleitung zur Verfügung stellen?
Ich weiss, dass ist die Aufgabe des Herstellers aber...

Gruß Tom
Amyklas
Amyklas 06.11.2006 um 10:48:11 Uhr
Goto Top
Moin!

Ja, kann ich machen, werde mich heute Nachmittag hinsetzen und eine Anleitung schreiben.
ImTom
ImTom 06.11.2006 um 16:16:46 Uhr
Goto Top
Super, sehr nett von Dir Amyklas !

Aber vielleicht kann man meine gewünschte Verbindung überhaupt nicht mit dem Router aufbauen (Roter Punkt zu Roter Punkt - XP Freigaben von Server sehen)

http://img222.imageshack.us/img222/7917/vpnbh4.gif
Amyklas
Amyklas 07.11.2006 um 11:35:54 Uhr
Goto Top
Doch, Du hast sogar zwei Möglichkeiten:
Einmal von Deinem Rechner aus mit dem ProSafe Client zum Netgear (wobei Dein DSL Router VPN Pass Through können sollte) oder direkt von Deinem DSL Router zum Netgear Router, wobei ich Dir dazu keine Tipps geben kann weil ich nicht weiss was Du für einen DSL Router zu hause hast.
aqui
aqui 07.11.2006 um 20:08:30 Uhr
Goto Top
@ImTom
Der Pro Safe Client ist eine Software von NetGear und baut folglich eine Client - ROUTER ! Verbindung mit einem NetGear VPN Router auf und nur mit diesem und NICHT mit einem x-beliebigen Server ! Steht auch so ganz deutlich in der Beschreibung !!

http://www.netgear.com/Products/Software/VPNClientSoftware/VPN01L_VPN05 ...

In deiner Konfig oben ist also ein Design Fehler ! denn der rote Punkt kommt nicht an den Server sondern an den Router !!! Folglich ist auf der "Server" seite auch überhaupt nichts an Port Forwarding Einträgen zu machen, denn die ProSafe VPN Client Connection endet auf dem Router und NICHT am Server !
So wie du es aufgemalt hast kann es niemals klappen mit der Verbindung !
ImTom
ImTom 08.11.2006 um 11:55:47 Uhr
Goto Top
So wie du es aufgemalt hast kann es niemals klappen mit der Verbindung !

Dann währe ja alles sinnlos, wenn ich nicht über den Router hinaus komme!

Nein, die roten Punkte sollen nicht die Tunnel Endpunkte darstellen, sondern den Zugriff.
Der Tunnel wird selbstredend zwischen VPN Client und Router aufgebaut.
Amyklas
Amyklas 08.11.2006 um 14:58:34 Uhr
Goto Top
So hab' ich das auch verstanden....

@ImTom: Das HowTo ist jetzt fertig! Ich hoffe ich konnte Dir bei Deinem Problem helfen

Netgear VPN HowTo
ImTom
ImTom 09.11.2006 um 12:35:49 Uhr
Goto Top
Ich bin drin!

Amyklas vielen, vielen Dank für Deine ausführliche Hilfe!!