VPN mit Netgear und FVS318 mit Windows 7

Hallo Ingo,

ich habe eine Suche bei Google angestossen, über den dritten Link bin ich hierauf gestossen. Also die aktuelle Version runterladen und gut scheint zu sein.
Für die Einrichtung mit Bordmitteln könnten die weiterführenden Links im ProSecure Forum evtl. helfen.

Grüße

Die o.a. Fehlermeldung zeigt ein Password Problem der PSK Passwörter. vermutlich hast du einen Tippfehler begangen oder Passwörter mit Sonderzeichen verwendet !!

Der freie Shrew Client funktioniert absolut problemlos unter Win 7 mit dem FVS. Eine genaue Installationsanweisung ist hier:
http://www.shrew.net/support/wiki/HowtoNetgear

Wichtig: NetGears ProSave Client darf NICHT zusammen mit dem Shrew Client installiert sein ! Du musst den Prosave Client also vorher zwingend über die Systemsteuerung vollständig deinstallieren. (Oder andersrum den Shrew)
Es darf nur einen aktiven IPsec Client geben !
In der Regel läuft der Shrew Client stabiler und performanter als Der NetGear Client. Generell ist NetGear keine gute Wahl bei VPN. Siehe die zahllosen Threads hier.
Andere Hersteller wie Draytek, AVM usw. können das erheblich besser !
Da diese auch die bordeigenen VPN Protokolle L2TP und PPTP supporten ist dort ein VPN nur mit Bordmitteln problemlos möglich. Der Netgear supportet das nicht und kann nur mit einem externen Client bedient werden. Ein weiterer Grund von NetGear bei VPN die Finger zu lassen !

Vermute ich ebenso. Bitte mal die komplette Konfig überprüfen.

Benutze aber bitte die Version: 2.1.6-beta-7. Hier ist der Downloadlink:
http://www.shrew.net/download/vpn/vpn-client-2.1.6-beta-7.exe

Mit den anderen habe ich keine Verbindung zu Netgear-Routern hinbekommen (speziell FVS336 oder FVS124).

Genau, da er aber W7 hat un der Prosafe (der alte) nicht damit geht, sollte dieser auch nicht installiert sein.
Kann ich so nicht bestätigen, der Prosafe rennt bis Vista eigentlich recht gut, kann höchstens mal mit AV-Suiten Probleme haben, aber wer hat die nicht?
Einspruch.

Nur weil viele hier posten, dass sie ein Problem mit etwas haben, so bedeutet dies im Umkehrschluss nicht zwangsläufig, dass das Produkt schlecht ist.

Das ist deine persönliche Meinung.

Meine ist eine andere. VPN für KMU ist mit Netgear-Produkten sehr gut einsetzbar.
Jetzt zeig mir doch bitte noch, wie ich ein PPTP/L2TP mit 'ner Fritzbox einrichte . Das kann die AFAIR auch nicht!
AVM-VPN ist IMHO nicht für Business sondern für Heimanwender gemacht.

Zu Draytek kann ich jetzt nichts sagen, auch nichts negatives.

@ingo
Schau mal hier rein, da ging es auch um ein VPN zwischen einem Netgear ROuter und dem Shrew-Client:
Netgeat Router und Shrew VPN wo könnte es hängen?

O.K. ich versuche es nochmal.
Welche Version des Shrew-Clients hast du installiert?

Ich schreibe nur dort was hin, wo ich Änderungen vornehmen würde:
Dead Peer Detection disable
DNS-Server manuell eintragen, auch DNS-Suffix
disable
Hast du einen Wins in der Router-Config hinterlegt?
Warum nimmst du unterschiedliche lifetimes?
Ich habe hier eine manuelle Policy hinzugefügt, in welcher mein LAN eingetragen ist.
Habe ich enabled
Ich nutze hier den fqdn (geht aber auch mit ufqdn, wenn in der Router-Config so angegeben)

festlegen und nicht auf auto stehen lassen

Lass doch mal hören, ob es klappt und wenn nicht, überprüf auch die Konfiguration des Routers.

Morgen,
welche 2.1.6?

Ich habe es mit der 2.1.6 RC2 nicht zum Laufen gebracht, auf die 2.1.6-Beta-7 gewechselt (RC deinstalliert, Beta installiert ohne Neustart) und es lief sofort.

Morgen Ingo,

ich hoffe mal, du hattest nicht beide Clients parallel installiert.

Darüberhinaus könntest du mal mit ein paar Einstellungen 'spielen',
z.B. 'Enable Checkpoint Compatible Vendor ID', 'IKE Config Push' (General Auto Configuration) einschalten.
Hast du in deinem Netz DNS-Server, WINS-Server zur Verfügung?

Wie ich schon schrieb, habe ich zu mehreren (unterschiedlichen) Netgear Router VPN-Verbindungen durch Shrew aufgebaut.
Den selben Client nutze ich jetzt auch auf älteren Betriebssystemen, obwohl dort die Lizenzen vom Prosafe vorhanden wären.

Allerdings hatte ich auch kaum Probleme diese Verbindungen mit dem Netgear Prosafe aufzubauen, bis Windows 7 kam ...

Hallo Allerseits,
ich musste im Internet feststellen, dass doch recht viele Leute Probleme haben, mittels ShrewSoft und Netgear eine VPN-Verbindung zu erstellen. Mir ging es auch so und es hat mich einiges an Zeit und Nerven gekostet bis es lief. Evtl. helfen meine Erfahrungen weiter, damit andere das Problem auch lösen.

Hier kurz meine Konfiguration:
Router: Netgear VPN Firewall FVG318 FW v2.1.2-67R
VPN-Client: ShrewSoft 2.1.7beta (auch mit 2.1.6 getestet)
Client-OS: Windows 7 64Bit
DynDNS-Services: DynDNS

Generell scheinen die meisten Probleme von der Netgear-Hardware her zu kommen, wenn sie mit nicht-Netgear-Hard-/Software kommunizieren soll. Zwar bekommt man recht oft einen "Tunnel enabled", was darauf hindeutet, dass die Phase 1 der Authentisierung stattfindet, aber Phase 2 klappt dann nicht und man erhält keine SA - Sprich: nix geht durch den Tunnel.
Als aber erst mal alles lief, habe ich beim Shrew-Soft-Client ziemlich viel verbiegen müssen bis es dann nicht mehr ging. Die Hauptprobleme waren letztenendes auf unsauberes Routing zurückzuführen.

Hier meine gesammelte Erfahrung:
1. Offenbar haben manche Netgear-VPN-Router Probleme, wenn nur 1 IKE/VPN-Policy existiert. Daher im Zweifelsfall mal eine 2. anlegen (dummy oder was auch immer) und notfalls auf inaktiv setzen
2. IP-Ranges. Zwischen dem IP-Range des Clients (auf dem Shrew-VPN läuft) und dem IP-Range des Gateway-/Routers-Netzes muss virtuell ein neues Netz eingezogen werden. Siehe unten.
3. Möglichst alle "Auto-Funktionen" im Shrew-Soft-Client deaktivieren. Zumindest der Netgear FVG318 hat damit Probleme.

Konfiguration:

Beispielnetze:
Client-Netz (Shrew) : 192.168.0.0 Mask: 255.255.255.0
Gateway/Router-Netz : 192.168.1.0 Mask: 255.255.255.0
Virtuelles Zwischen-Netz : 192.168.2.0 Mask: 255.255.255.0 Beispiel Feste IP: 192.168.2.10

I) Shrew-VPN-Client

1. Reiter General:
a) Hostname or IP-Address: Die DynDNS-Adresse des VPN-Routers (Oder IP, falls Statische-IP)
b) Auto Configuration: ike config pull
c) Address Method: Use a virtual adapter and assign address
d) Obtain Automatically: OFF (!!!)
e) Address: z.B. 192.168.2.10 (Virtuelle Adresse)
Netzmask: 255.255.255.0

2. Reiter Client
a) NAT-Traversal: enable
b) NAT-Taversal Port 4500
c) Keep Alive packet rate 15 secs
d) IKE Fragmentation: enable
e) Mex packet size 540 Bytes
f) Other Options:
Enable Dead Pear Detection: on
Enable ISAKMP Failure Notifications : on
Enable Client Login Banner: off

3. Reiter Name Resolution
All off !!!!!

4. Authenticaiton
a) Local Identity: Fully Qualified Domain Name
hier die DynDNS Adresse des Clients auf dem Shrew-VPN läuft eintragen
b) Remote Identity: Fully Qualified Domain Name
DynDNS Adresse des Netgear VPN-Routers eintragen (oder IP wenn Static IP)
c) Credentials: Authentication Method: Mutual PSK
hier Pre-Shared Key eingeben

5. Phase 1
Hier kann fast alles auf Auto bleiben, ich rate aber zur spiegelbildlichen Konfiguration wie im Netgear.
Exchange-Type auf jeden Fall: aggressive

6. Phase 2
Hier kann alles auf Auto bleiben, ich rate aber zur spiegelbildlichen Konfiguration wie im Netgear

7. Policy
a) Policy Generation Level: require
b) Maintain Persistent Security Associations: off
c) Obtain Topology Automatically or Tunnel All: off
d) Add Remote Network Ressource:
Hier den Range des Routers angeben, in diesem Beispiel also:
INCLUDE 192.168.1.0, MASK 255.255.255.0


Netgear FVG318

1. Dummy IKE und VPN Policy anlegen
(WENN nicht ohnehin mehr als 1 Regel geplant ist)

2. IKE Definieren,
a) Exchange Type aggressive
b) Local und Remote Identifcation die jeweiligen DynDNS-Einträge des routers und des clients (local / remote)
c) IKE-SA Parameter wie man sie haben will und den Pre-Shared Key angeben. Dies sollte dann auch so im Shrew-Soft-VPN Client wiedergegeben werden.

3. VPN-Policy
a) Remote Endpoint: Die DynDNS-Adresse des Client-Rechners, auf dem der Shrew-Soft-Client läuft
b) Traffic Selection:
Local IP: Subnet.
Hier das Subnet des Routers, also
Start IP: 192.168.1.1
Subnet: 255.255.255.0

Remote IP: Any
(oder: Single: IP: 192.168.2.10, MASK 255.255.255.0
(dies ist die im Shrew-Soft-Client festgelegte Adresse im "virtuellen Netzbereich 192.168.2.0))

c) Restlichen Parameter können unverändert bleiben.


Mit diesen Einstellungen habe ich das ganze dann zum Fliegen gebracht Natürlich muss dafür gesorgt sein, dass Router und Client immer brav ihre DynDNS-Adressen updaten. Im Router am besten die dortige Funktion nutzen, beim Client nehme ich den DynDNS-Updater von DynDNS.

Hoffe, es hilft dem einen oder anderen Leidensgenossen weiter.
Mich hat es ca. 1 Woche in den Wahnsinn getrieben.

Gruss
Doc Chaotica

Hallo Doc Chaotica,
schön, dass es bei dir so geklappt hat, möglicherweise hilft es sogar dem TO

aber

ich kann deinen Ausführungen so nicht wirklich folgen.

Warum muss der Client-Rechner mit Shrew eine Dyn-DNS-Adresse bekommen?
Du kannst die Authentifizierung auch mit Fully Qualified User Name vornehmen oder einen FQDN nutzen, der sonst keine Verwendung findet.

Das ist ausgemachter Unsinn! Wenn du eine eigene Domäne mit eigenem DNS-Server besitzt, sollte hier natürlich dieser hinein.

Auch die anderen Einstellungen zeigen mir, dass du nicht so wirklich viele Erfahrungen mit dieser VPN-Konstellation (Netgear-VPN-Router <-> Shrew-VPN-Client) hast.

Hallo goscho,
Danke für Deine Anmerkungen. Ich sage ja nicht, dass meine Lösung die einzige ist .


Diese Variante habe ich noch nicht ausprobiert, bei mir ging es auf Anhieb dann mit der DynDNS-Adresse.


Und wenn nicht?
Auch hier gilt: Meine Lösung ist das Beispiel, wie es bei mir funktioniert hat. Tatsächlich ging es nicht, als ich einen DNS bei mir im Netz eingetragen habe, daher habe ich das nicht weiter verfolgt. Ist aber evtl. einen 2. Blick wert.


Richtig, sonst hätte ich ja anfänglich nicht diese Schwierigkeiten gehabt
Lerne aber gern dazu.
Dann schließe ich dem doch gerade noch eine Frage an:
Wie sieht die Einstellung aus, damit der GESAMTE Traffic durch den Tunnel geht?

Hallo zusammen, Hallo DocChaotica,

ich will auch mit Shrew 2.1.7 eine VPN Verbindung zum Netgear FVS318v3 aufbauen.

Der Anfang läuft auch wie das Log vom Netgear anzeigt. Nur über Phase 1 komme ich nicht hinaus!

Kann da jemand was zu sagen????

[LOG NETGEAR START]
[--------------------------------]
[2011-09-04 09:51:39][==== IKE PHASE 1(from XXX.XXX.XXX.XXX) START (responder) ====]
[2011-09-04 09:51:39] RECEIVED FIRST MESSAGE OF AGGR MODE
[2011-09-04 09:51:39]<POLICY: > PAYLOADS: SA,PROP,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2011-09-04 09:51:42]<POLICY: XXXXX> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2011-09-04 09:51:42] SENT OUT SECOND MESSAGE OF AGGR MODE
[2011-09-04 09:51:42] RECEIVED THIRD MESSAGE OF AGGR MODE
[2011-09-04 09:51:42]<POLICY: XXXXX> PAYLOADS: HASH,NATD,NATD
[2011-09-04 09:51:42] AGGR MODE COMPLETED
[2011-09-04 09:51:42][==== IKE PHASE 1 ESTABLISHED====]
[2011-09-04 09:51:42] RECEIVED INFORMATIONAL EXCHANGE MESSAGE
[-------------------------------]
[LOG NETGEAR STOP]

[KONFIG SHREW START]
[-------------------------------]
n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:0
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
s:network-host:XXXXXXXXXXXXXXX.dyndns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.168.250.250
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:client-splitdns-list:
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-server-type:fqdn
s:ident-client-data:CLIENT.DOMAIN.VPN
s:ident-server-data:SERVER.DOMAIN.VPN
b:auth-mutual-psk:JVZQTjROYWNrZTc0OA==
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:0
s:policy-level:require

[-------------------------------]
[KONFIG SHREW STOP]

[LOG SHREW START]
[-------------------------------]
11/09/04 09:54:38 ii : ipc client process thread begin ...
11/09/04 09:54:38 <A : peer config add message
11/09/04 09:54:38 <A : proposal config message
11/09/04 09:54:38 <A : proposal config message
11/09/04 09:54:38 <A : client config message
11/09/04 09:54:38 <A : local id 'YYYYYYYYYYYYYY' message
11/09/04 09:54:38 <A : remote id 'XXXXXXXXXXXXXX' message
11/09/04 09:54:38 <A : preshared key message
11/09/04 09:54:38 <A : peer tunnel enable message
11/09/04 09:54:38 ii : local supports nat-t ( draft v00 )
11/09/04 09:54:38 ii : local supports nat-t ( draft v01 )
11/09/04 09:54:38 ii : local supports nat-t ( draft v02 )
11/09/04 09:54:38 ii : local supports nat-t ( draft v03 )
11/09/04 09:54:38 ii : local supports nat-t ( rfc )
11/09/04 09:54:38 ii : local supports FRAGMENTATION
11/09/04 09:54:38 ii : local supports DPDv1
11/09/04 09:54:38 ii : local is SHREW SOFT compatible
11/09/04 09:54:38 ii : local is NETSCREEN compatible
11/09/04 09:54:38 ii : local is SIDEWINDER compatible
11/09/04 09:54:38 ii : local is CISCO UNITY compatible
11/09/04 09:54:38 ii : local is CHECKPOINT compatible
11/09/04 09:54:38 >= : cookies 22cbe955b49cb6d6:0000000000000000
11/09/04 09:54:38 >= : message 00000000
11/09/04 09:54:41 ii : processing phase1 packet ( 384 bytes )
11/09/04 09:54:41 =< : cookies 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:54:41 =< : message 00000000
11/09/04 09:54:41 ii : matched isakmp proposal #1 transform #2
11/09/04 09:54:41 ii : - transform = ike
11/09/04 09:54:41 ii : - cipher type = aes
11/09/04 09:54:41 ii : - key length = 256 bits
11/09/04 09:54:41 ii : - hash type = sha1
11/09/04 09:54:41 ii : - dh group = modp-1024
11/09/04 09:54:41 ii : - auth type = psk
11/09/04 09:54:41 ii : - life seconds = 86400
11/09/04 09:54:41 ii : - life kbytes = 0
11/09/04 09:54:41 ii : phase1 id match
11/09/04 09:54:41 ii : received = fqdn XXXXXXXXXXXXXXXX.dyndns.org
11/09/04 09:54:41 ii : peer supports nat-t ( draft v00 )
11/09/04 09:54:41 ii : nat discovery - local address is translated
11/09/04 09:54:41 >= : cookies 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:54:41 >= : message 00000000
11/09/04 09:54:41 ii : phase1 sa established
11/09/04 09:54:41 ii : xxx.xxx.xxx.xxx:500 <-> 192.168.178.103:500
11/09/04 09:54:41 ii : 22cbe955b49cb6d6:368204d3d9d9bb9
11/09/04 09:54:41 ii : sending peer INITIAL-CONTACT notification
11/09/04 09:54:41 ii : - 192.168.178.103:500 -> xxx.xxx.xxx.xxx:500
11/09/04 09:54:41 ii : - isakmp spi = 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:54:41 ii : - data size 0
11/09/04 09:54:41 >= : cookies 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:54:41 >= : message b65b74ec
11/09/04 09:54:41 ii : building config attribute list
11/09/04 09:54:41 ii : sending config pull request
11/09/04 09:54:41 >= : cookies 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:54:41 >= : message 81529e3f
11/09/04 09:54:46 -> : resend 1 config packet(s) 192.168.178.103:500 -> xxx.xxx.xxx.xxx:500
11/09/04 09:54:51 -> : resend 1 config packet(s) 192.168.178.103:500 -> xxx.xxx.xxx.xxx:500
11/09/04 09:54:56 -> : resend 1 config packet(s) 192.168.178.103:500 -> xxx.xxx.xxx.xxx:500
11/09/04 09:55:01 ii : resend limit exceeded for config exchange
11/09/04 09:57:56 <A : peer tunnel disable message
11/09/04 09:57:56 DB : removing tunnel config references
11/09/04 09:57:56 DB : removing tunnel phase2 references
11/09/04 09:57:56 DB : removing tunnel phase1 references
11/09/04 09:57:56 ii : sending peer DELETE message
11/09/04 09:57:56 ii : - 192.168.178.103:500 -> 178.1.1.131:500
11/09/04 09:57:56 ii : - isakmp spi = 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:57:56 ii : - data size 0
11/09/04 09:57:56 >= : cookies 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:57:56 >= : message 0897543c
11/09/04 09:57:56 ii : phase1 removal before expire time
11/09/04 09:57:56 DB : removing all peer tunnel refrences
11/09/04 09:57:56 ii : ipc client process thread exit ...
[-------------------------------]
[LOG SHREW STOP]

Achte darauf das du keinen anderen VPN Client parallel auf dem Rechner hast. Du darfst niemals multiple IPsec Clients parallel installiert haben, da diese sich gegenseitig "behindern". Also alles was an nicht Shrew IPsec da sein sollte über die Systemsteuerung --> Software entfernen.
Zusätzlich solltest du auf deine IP Adressierung achten:
VPNs einrichten mit PPTP
Die Phase 2 scheitert oft daran das der Tnnelendpunkt unterschiedlich bezeichnet ist. Achte also darauf das am Client und Server immer einheitlich FQDN oder IP Adresse stehen !
NetGear ist keine gute Hardware wenn es ums Thema VPN geht (Kollege Goscho ist da anderer Ansicht) aber die tausende Leidensthreads hier sprechen eine deutliche Sprache. Achte also auch darauf das du die aktuellste Firmware in der NetGear Gurke geflasht hast !
Denk auch daran das du auf der Client Seite zwingend ein Port Forwarding am NAT Router einrichten musst mit UDP 500 und UDP 4500 sowie dem ESP protokoll, sofern due kein NAT Traversal am Server und Client aktiviert hast.
Erst mit aktivem NAT Traversal kannst du bei IPsec NAT Firewall Router (jeder DSL Router) problemlos überwinden !

Morgen Leute,

@lorddawid,
ich hatte zuletzt auch mal ein Problem mit der Verbindung von Shrew 2.1.x zu einem FVS bei der Verwendung von 'Mutual PSK + XAuth'.
Nachdem ich Shrew auf die Version 2.2.0 upgedatet hatte, lief es problemfrei.

DPD (Dead Peer Detection) habe ich aber disabled.
Bei deinem FVS318 würde ich als Verschlüsselung zuerst 3DES versuchen und erst wenn es damit geklappt hat AES mit 128 Bit einrichten.

Die IP 192.168.178.x lässt auf ein Netz mit Fritzbox schließen, aus welchem du dich per Shrew-VPN verbinden willst.
Das könnte, wie aqui schon richtig geschrieben hat, ein NAT-T Problem sein.
Um dieses auszuschließen, solltest du nach Möglichkeit zuerst mal mit einer direkten Internet-Verbindung (FB als Modem oder Client per UMTS) versuchen, dein VPN aufzubauen.


@aqui,
ich bin nicht der Meinung, dass Netgear die beste Wahl bei VPN-Hardware ist.
Da ich bisher alle VPNs auch mit den Netgear-Gurken zum Laufen gekriegt habe, heißt es zumindest mal, dass VPN mit denen prinzipiell geht.
Anfangs hatte ich aber - vor allem auf Grund fehlender eigener Grundlagen bei VPN - ziemlich zu tun, bis diese stabil standen.

Die Probleme, die in Foren geschildert werden, sind oftmals im fehlenden Herstellersupport zu suchen.
Wer ein Gerät für 50,- bis 100,- € kauft, hat andere Vorstellungen (und meist auch administrative Voraussetzungen) als jemand, der sich ein Profigerät für 500,- € - 1.000,- € zulegt.

Beim Admin eines teureren Profigerätes wird zuerst der (mitgekaufte) Herstellersupport bemüht, wenn es Probleme mit dem VPN gibt.

hi aqui


Ich habe extra ein System ohne weiteren VPN Clienten genommen!


Wie man sieht habe ich hier 192.168.178.0 (Clientnetz) 192.168.10.0 (Zielnetz) 192.168.250.250 Virtuelle IP des VPN Clienten.
Sollte doch ok sein oder?


Ich habe extra geguckt das die gleichen FQDN im Clienten und Router stehen (nicht existierende kann man doch nehmen, so wie ich woanders gelesen haben oder?)


Tjo... wurde mit der Betreuung der IT in unserem Unternehmen beauftragt...


Mit dem flashen bin ich immer etwas vorsichtig. Derzeit ist .23 auf dem Router und .28 verfügbar. Andere Verbindungen die eingerichtet sind (Externe IT Dienstleister, Aussendienstmitarbeiter) funktionieren ja. Wenn meistens auch nur Netz-zu-Netz und mit ProSafe Client->Netz.


NAT-T ist aktiviert


Leider geht es immer noch nicht... grummel grummel....

Was sagt Ihr zu einem ZyXEL ZyWALL 35 ???

Dort sind sogar 35 VPN Zugänge möglich...

Hi goscho


Habe nur Mutual PSK.


Habe ich gerade probiert und geht leider auch nicht.


JAWOHL! Habe zuhause ne Fritzbox. Mit dieser habe ich auch eine Netz-zu-Netz Verbindung erfolgreich! hergestellt. Nur
muss ich auch einzelne Clients mit dem Unternehmensnetzwerk verbinden lassen.


Werde ich gleich mal mit meinem Netbook und meinem Handy als Hotspot probieren. Melde mich dann nochmal.

Was hälst du vom
ZyXEL ZyWALL 35???

Also meine lieben Forenmitglieder....

IKE Phase1 konnte hergestellt werden.

Aber Netgear meldet Phase 2 = Idle.

Im Log...

[2011-09-05 20:26:18][==== IKE PHASE 1(from 2.203.168.237) START (responder) ====]
[2011-09-05 20:26:18] RECEIVED FIRST MESSAGE OF AGGR MODE
[2011-09-05 20:26:18]<POLICY: > PAYLOADS: SA,PROP,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2011-09-05 20:26:18]<LocalRID> Type=ID_FQDN,ID DATA=client.domain.vpn
[2011-09-05 20:26:18]<RemoteLID> Type=ID_FQDN,ID DATA=client.domain.vpn
[2011-09-05 20:26:21]<POLICY: VPN> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2011-09-05 20:26:21] SENT OUT SECOND MESSAGE OF AGGR MODE
[2011-09-05 20:26:21] RECEIVED THIRD MESSAGE OF AGGR MODE
[2011-09-05 20:26:21]<POLICY: VPN> PAYLOADS: HASH,NATD,NATD
[2011-09-05 20:26:21] AGGR MODE COMPLETED
[2011-09-05 20:26:21][==== IKE PHASE 1 ESTABLISHED====]
[2011-09-05 20:26:21] RECEIVED INFORMATIONAL EXCHANGE MESSAGE


Und jetzt gehts nicht weiter...

Hat einer von euch ne Idee???


Mit dem VPN Client von Netgear geht es auch über die Fritzbox... möchte es aber mit einem Freewareclienten zum laufen bringen...

Ja, probieren, probieren, probieren.
Hast du den neuesten Prosafe-Client (für Win 7) über deine FB mit dem FVS verbunden?
Dann würde das bedeuten, dass NAT-T funktioniert.

Bist du bei der Nutzung von Shrew mit dem FVS genau nach dieser Anleitung auf der Shrew-Seite vorgegangen?

hmmmm


Ja den neuesten 10.80 ist glaube ich der neueste...

Damit hatte es in einer Virtuellen XP Maschine eine Verbindung aufgebaut und ich konnte auf die Netzresourcen zugreifen.


was heist denn hier genau? Hier ist ja eine 318er im EInsatz.

Aber hier nochmal meine Config:

Netgear:

IKE:
General
Policy Name: VPN
Direction/Type: Responder
Exchange Mode: Aggressive

Local
Local Identity Type: FQDN
Local Identity Data: server.domain.vpn (hier eine "Fake" Domain angegeben, dieses gehte mit dem Netgear Clienten)

Remote
Remote Identity Type: FQDN
Remote Identity Data client.domain.vpn (hier eine "Fake" Domain angegeben, dieses gehte mit dem Netgear Clienten)

IKE SA Parameters
Encryption Algorithm: 3DES
Authentication Algorithm: SHA-1
Authentication Method: Pre-shared Key
Diffie-Hellman (DH) Group: Group 2
SA Life Time: 28.800

VPN
VPN - Auto Policy

General
Policy Name: VPN
IKE policy: VPN

IKE Keep Alive: NEIN
Ping IP Address: KEINE

Remote VPN Endpoint
Address Type: IP Adress
Address Data: 192.168.250.250
SA Life Time (Seconds): 28.800
(Kbytes): 100.000

IPSec PFS: JA
PFS Key Group: Group 2

Traffic Selector
Local IP: Subnet Adress
Start IP address: 192.168.10.0
Finish IP address: KEINE
Subnet Mask: 255.255.255.0

Remote IP: Single Adress
Start IP address: 192.168.250.250
Finish IP address: KEINE
Subnet Mask: KEINE

AH Configuration
Enable Authentication:NEIN
Authentication Algorithm:MD5


ESP Configuration
Enable Encryption: JA
Encryption Algorithm: 3DES
Enable Authentication: JA
Authentication Algorithm:SHA-1

NETBIOS Enable: JA

Netgear Client V10.7.2

Bilder:
http://img687.imageshack.us/img687/4240/20110906071121.jpg
http://img827.imageshack.us/img827/8527/20110906071325.jpg
http://img851.imageshack.us/img851/2047/20110906071412.jpg
http://img840.imageshack.us/img840/5341/20110906071504.jpg
http://img6.imageshack.us/img6/5034/20110906071537.jpg


Das hatte mal funktioniert....