Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Netgear FVS318v3 und Fritzbox 7170

Mitglied: Waldi76

Waldi76 (Level 1) - Jetzt verbinden

14.04.2008, aktualisiert 15.04.2008, 9456 Aufrufe, 12 Kommentare

Hallo,

ich habe zu hause eine Fritzbox 7170 mit Firmware (VPN) und in der Firma einen Router Netgear FVS318v3.

Die Fritzbox soll über VPN auf das Firmennetzwerk zugreifen können (natürlich auch umgekehrt).

Ich habe über FritzBox Fernzugang einrichten eine Konfiguration erstellt und diese in die Fritzbox eingefügt:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "83.221.xxx.xxx";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 83.221.xxx.xxx;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "xxxxxxx.homeftp.net";
}
remoteid {
ipaddr = 83.221.xxx.xxx;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxx";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.99.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

in der Netgear (FVS 318v3) habe ich folgende Einstellungen:

f7f5ab0d3f4eed94677d41fe169ad81b-vpn - Klicke auf das Bild, um es zu vergrößern

49470bdc62705f2de1c829bca1e3d781-ike - Klicke auf das Bild, um es zu vergrößern

Eine Verbindung kommt nicht zustande. Die Netgear Box bringt regelmäßig

[2008-04-14 14:59:11] SENT OUT FIRST MESSAGE OF AGGR MODE
[2008-04-14 14:59:11]<POLICY: AVM7170> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2008-04-14 14:59:31] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2008-04-14 14:59:31]<POLICY: AVM7170> PAYLOADS: DEL

Die Fritzbox zeigt nichts im Ereignisprotokoll:

Achtung! Hier handelt es sich nicht um einen Netgear Router hinter einer Fritzbox. Die beiden Geräte sind jeweils die Schnittstelle zwischen den Netzen.

Die Anleitungen von Netgear und AVM bringen mich nicht weiter, ich brächte dringend Hilfe!
Mitglied: aqui
14.04.2008 um 15:31 Uhr
Entscheident ist dein Satz "...es hanndelt sich um einen NetGear hinter einem AVM Router".
Erste Frage was soll das ??
2te Frage (und gleichzeitig Antwort) Dir ist selber klar das das IPsec ESP Protokoll was du verwendest nicht über eine NAT Firewall übertragbar ist sofern du kein NAT Traversal benutzt.

Leider sind deine Angaben zur Netzstruktur sehr spärlich und oberflächlich, so das eine qualifizierte Hilfe unmöglich wird bzw. in ein Kristallkugel sehen ausartet

Fakt ist aber wenn der NetGear hinter einem AVM sitzt der auch NAT macht musst du auf diesem ein Port Forwarding für IPsec ESP einrichten.
Das sind dann die folgenden Protokolle:
  • UDP Port 500 (IKE)
  • UDP Port 4500 (NAT Traversal)
  • ESP Protokoll, das ist die Protokoll Nummer 50 (Achtung nicht TCP oder UDP 50 ! ESP ist ein eigenes Protokoll)

Die Tatsache das du keine eingehenden Packete auf dem remoten AVM hast zeigt das schon das das an der NAT Firewall hängenbleibt...

Ferner musst du auch generell klären ob die remote AVM Box VPN Server sein kann also VPN Connections annehmen kann. Ggf. kann sie nur entweder Client oder Server sein. Die Tatsache allerdings das man mit dem VPM VPN Client auf so eine Box zugreifen kann lässt vermuten das sie Server sein kann. Vermutlich aber kein Client.
Der NetGear muss also besser immer die Verbindung initiieren als andersrum...
Bitte warten ..
Mitglied: n4426
14.04.2008 um 15:44 Uhr
Hi aqui,

Entscheident ist dein Satz "...es
hanndelt sich um einen NetGear hinter einem
AVM Router"
.

da steht doch nicht hinter einer Fritzbox.

Achtung! Hier handelt es sich nicht um einen
Netgear Router hinter einer Fritzbox. Die
beiden Geräte sind jeweils die
Schnittstelle zwischen den Netzen.

mfg

andi
Bitte warten ..
Mitglied: Waldi76
14.04.2008 um 15:46 Uhr
erstmal danke für deine schnelle Antwort:

Der Satz heißt: es handelt sich NICHT um einen Netgear hinter einem AVM Router (Wurde nur eingefügt, da es im Internet viele Anleitungen gibt, welche dieses Szenario betreffen).

NAT ist mir ein Begriff - Traversal hört mein Wissen auf.

Welche Info´s kann ich dem helfenden noch anbieten? Ich möchte dieses Problem lösen.
Bitte warten ..
Mitglied: Waldi76
14.04.2008 um 15:50 Uhr
Danke für die schnelle Hilfe

Entscheident ist dein Satz "...es
handelt sich um einen NetGear hinter einem
AVM Router"
.

Es handelt sich NICHT um einen Netgear hinter einer Fritzbox!!!

Da man zwei FB 7170 miteinander verbinden kann, sollte es ja auch zwischen FVS 318 und FB 7170 möglich sein.

Welche Info´s über Netzstruktur brauchst du? Ich hänge schon lange an diesem Problem und möchte endgültig eine Lösung
Bitte warten ..
Mitglied: aqui
14.04.2008 um 16:22 Uhr
Ooops, sorry. Wer lesen kann ist klar im Vorteil ! Das Wörtchen nicht ist mir doch glatt durchgerutscht. Vergiss also was dazu steht !!
Bitte warten ..
Mitglied: aqui
14.04.2008 um 16:29 Uhr
Die Info war nur auf eine Netzwerkstruktur bezogen. Dadurch das du keine 2 kaskadierten Router hast ist das obsolet.

IPsec kommt in mehreren Varianten daher. Man müsste also schon einmal einen Verbindungsaufbau beider Maschinen sehen um genaueres sagen zu können.
Du solltest deshalb mal einen www.WIRESHARK.org einschleifen in die WAN Leitung und die IPsec Session Initiierung mitsniffern. Da sieht man meistens sofort woran es hapert.

Verdächtig ist aber die Tatsache wie du schreibst das du scheinbar gar keine IPsec Packete auf der AVM Seite siehst (Fritzbox zeigt gar nichts im Ereignisprotokoll). D.h. die IPsec Packete kommen hier gar nicht an.
Das lässt dann vermuten das die IP nicht stimmt oder der FQN Domainname. Auch hier solltest du mal sniffern ob überhaupt IPsec Packete eingehen. Tun sie das überhaupt nicht kannst du ja lange suchen....

Im schlechtesten aller Fälle sind die beiden inkompatibel. NetGear hat sich hier nicht gerade mit Ruhm bekleckert, da die auch einen proprietären Client verwenden. IPsec ist nicht gerade die Stärke dieses Herstellers
Wenn alle Stricke reissen musst du die Router ersetzen mit 2 eines Herstellers. Draytek ist da dann nicht die falscheste Wahl was VPN Systeme anbetrifft.
Bitte warten ..
Mitglied: Waldi76
15.04.2008 um 09:18 Uhr
Da es auf der AVM Seite eine Anleitung gibt, wie man mit einem Netgear FVS 318 verbinden kann, glaube ich nicht, das sie inkompatibel sind.

Ich habe gerade eine Anleitung zur Nutzung von Wireshark gefunden und probiere es aus. Leider kann ich nicht die Capture-Adresse auf die des Routers einstellen. Wenn ich das Problem gelöst haben, kann ich nähere Angaben machen.

Da ich mich mit Wireshark nicht auskenne, würde ich gern Hilfe in Anspruch nehmen.

Danke besonders an Aqui für die Hilfe.
Bitte warten ..
Mitglied: aqui
15.04.2008 um 09:39 Uhr
Da hast du Recht, wenn es für den FVS 318 beschrieben ist sollte es natürlich klappen ! Vermutlich ist das nur eine kleine Einstellung die vergessen wurde...
Bitte warten ..
Mitglied: Waldi76
15.04.2008 um 09:51 Uhr
Und das ist das Problem seit zwei Wochen!

Hast du eine Idee wie ich den Verkehr des Netgear mit wireshark überwachen kann? Ich kann nicht die IP Adresse der Box 192.168.99.5 auswählen.
Bitte warten ..
Mitglied: aqui
15.04.2008 um 09:57 Uhr
Das musst du auch gar nicht. Einfach den Wireshark mit einem kleinen Hub in die WAN Leitung einschleifen und auf Capture klicken.

Du solltest in der Zeit keinen anderen Traffic erzeugen, denn den müsstest du nachher wieder wegfiltern. Du kannst aber auch gleich einen Capture Filter im Wireshark aktivieren, der dir dann nur den Routertraffic rausfiltert (z.B. nach der Router MAC Adresse auf dem WAN Interface) !
Technisch sähe das denn so aus:

c8c35a1713b395121226bf0264e25285-sniffer - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Waldi76
15.04.2008 um 10:22 Uhr
Ok das habe ich verstanden, aber warum erscheint bei Source oder Destination nicht die aufgelöste Adresse von xxxxxxx.homeftp.net?

Nach was muss ich filtern, damit ich genau den Verkehr sehe, den ich brauche? (Wir habe hier 8 Rechner die alle gleichzeitig im Internet unterwegs sind)
Bitte warten ..
Mitglied: aqui
15.04.2008 um 18:17 Uhr
Ziehe alle diese Rechner ab, damit die keinen Traffic erzeugen, denn die VPN Verbindung baut ja nur der Router auf. Wenn das nicht geht, dann checke im Router Setup welche IP Adresse du auf der DSL Schnittstelle bekommen hast !!
Das kannst du auch ganz einfach machen wenn du mit einem einzigen angeschlossenen Rechner mal auf www.wieistmeineip.de gehst.

Die IP die du dort siehst ist die Router DSL IP. Im Wireshark kannst du den Capture Filter dann auf diese IP als Source IP einstellen. Der Wireshark zeigt dann nur noch Packete die von dieser IP also dem Router kommen.

In jedem Falle musst du die aufgelöste IP von homeftp.net sehen. Wenn es daran schon scheitert, dann hast du ggf. vorher schon ein Problem bevor überhaupt die VPN Verbindung zustandekommt.
Dafür spricht das du im AVM Log keinerlei Aktivitäten siehst...
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Netgear FVS318v3 VPN - Tunnel steht, aber nichts erreichbar

Frage von Xaero1982Router & Routing10 Kommentare

Moin Zusammen, hab schon viel gesucht, aber irgendwie nichts weiter passendes gefunden. Ich muss ne VPN Verbindung zu og. ...

Voice over IP

VoIP mit Netgear Router fvs318v3 möglich?

Frage von immobrauchVoice over IP8 Kommentare

Bisherige Konfiguration: TAE3-Dose Splitter Der Netgear Router fvs318v3 verbindet als VPN-Router 2 weitere Standorte mit der Zentrale Hallo zusammen, ...

Router & Routing

IPSEC VPN Netgear PS UTM 50 hinter Fritzbox

Frage von wtwinniRouter & Routing1 Kommentar

Hallo liebe IT Profis, ich brauche eure Hilfe beim einrichten einer VPN. Ich habe in meinem Netzwerk eine Wago-Steuerung ...

TK-Netze & Geräte

Cisco IP Phone 7970 hinter FritzBox 7170

gelöst Frage von AK1983TK-Netze & Geräte10 Kommentare

Guten Tag an alle, ich habe vollgendes Problem. Ich betreibe schon seit einiger Zeit ein Cisco IP Phone 7970 ...

Neue Wissensbeiträge
Exchange Server

1und1 IONOS: Probleme beim Mailversand mit Exchange

Information von reksierp vor 2 StundenExchange Server1 Kommentar

Hallo, seit Do, 17.1.19 etwa Mittags nimmt 1und1 IONOS keine Mails mehr über den Standard-Port SMTP 25 an. Nachdem ...

LAN, WAN, Wireless

Cisco Mikrotik VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aqui vor 15 StundenLAN, WAN, Wireless

1. Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials und beschreibt ...

Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 2 TagenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 3 TagenInternet6 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Temporäre WLAN Verbindung für AD-Login
Frage von Christian.WidauerLAN, WAN, Wireless17 Kommentare

Hallo zusammen, ich weiß leider nicht unter welchem Begriff ich dafür suchen muss, daher habe ich bisher leider nichts ...

LAN, WAN, Wireless
Bekannte Drosselungen bei Providern ?
Frage von HenereLAN, WAN, Wireless15 Kommentare

Servus zusammen, in bereits angefangen, aber ich hoffe dass der Beitrag hier mehr Informationen bringt. Sind Portdrosselungen bzw gezielte ...

Netzwerkmanagement
Reverse Proxy für TCP und UDP Anfragen
gelöst Frage von flxklsNetzwerkmanagement14 Kommentare

Hallo zusammen, ich besitze einen Rootserver, der nur eine öffentliche IP besitzt und auf dem mehrere VMs laufen. Da ...

Windows Server
MSSQL Backup in Form von .sql einspielen
Frage von janosch12Windows Server14 Kommentare

Guten Morgen, wir verwenden das Tool SQLandFTPBackup ( ) zum sichern einiger MSSQL Datenbanken. Nun sichert das Toll die ...