VPN: Netgear FVS336Gv2 Firewall mit Fritzbox als Router-Kaskade, kein Zugriff mit Shrew Client Lite, Ping nur bis Firewall
Hallo zusammen,
mir gelingt es bislang nicht eine VPN Verbindung zu unserem Netzwerk von ausserhalb zu erzeugen.
Also Modem/Router wird eine Fritzbox eingesetzt mit no-ip.com als DynDNS. Die Fritzbox wird als Router verwendet um ein getrennte Gäste WLAN zu ermöglichen (DMZ).
Dahinter hängt eine Netgear FVS336Gv2 als Firewall und DHCP für das restliche Netzwerk. Das alles funktioniert auch soweit.
Als Client wird Shrew VPN Client Lite eingesetzt, als Meldung kommt Tunnel enabled, Ping funktioniert aber nur bis zur Firewall. Seltsamerweise funktioniert unter Mac OS mit VPN Tracker es einwandfrei.
Fritzbox als Router: 192.168.39.22
Netgear FVS336Gv2 als Firewall: zur Fritzbox als 192.168.39.17
Innerhalb der Firewall: 11.11.43.17, DHCP Vergabe ab 11.11.43.17.100 - .200 Primary DNS Server: 11.11.43.43 (Windows Domain Server)
VPN IKE Policy:
Direction: Responder; Exchange: Aggresive; Local: FQDN: local.com; Remote: FQDN: remote.com
SA Parameter: 3DES, SHA1, Presharey Key: * DH Group 2, SA Lifetime 28800
XAUTH Configuration: Edge Device User Database
VPN Policy:
Select Local Gateway: WAN2; Remote Endpoint: FQDN: remote.com
Traffic Selection: Local IP: Any Remote IP Any
Auto Policy Parameters: 3600 Seconds 3DES SHA-1 DH Group2
Ich baue nun über den Shrew Client von ausserhalb eine Verbindung auf, Meldung Tunnel enabled kommt.
Anpingen kann ich die Fritzbox und die Firewall mit 192.168.39.17 und 192.168.39.22.
Ping / Trace an eine Kiste hinter der Firewall gehen alle ins leere.
Vielleicht hat jemand einen Tipp für mich.
Danke euch
mir gelingt es bislang nicht eine VPN Verbindung zu unserem Netzwerk von ausserhalb zu erzeugen.
Also Modem/Router wird eine Fritzbox eingesetzt mit no-ip.com als DynDNS. Die Fritzbox wird als Router verwendet um ein getrennte Gäste WLAN zu ermöglichen (DMZ).
Dahinter hängt eine Netgear FVS336Gv2 als Firewall und DHCP für das restliche Netzwerk. Das alles funktioniert auch soweit.
Als Client wird Shrew VPN Client Lite eingesetzt, als Meldung kommt Tunnel enabled, Ping funktioniert aber nur bis zur Firewall. Seltsamerweise funktioniert unter Mac OS mit VPN Tracker es einwandfrei.
Fritzbox als Router: 192.168.39.22
Netgear FVS336Gv2 als Firewall: zur Fritzbox als 192.168.39.17
Innerhalb der Firewall: 11.11.43.17, DHCP Vergabe ab 11.11.43.17.100 - .200 Primary DNS Server: 11.11.43.43 (Windows Domain Server)
VPN IKE Policy:
Direction: Responder; Exchange: Aggresive; Local: FQDN: local.com; Remote: FQDN: remote.com
SA Parameter: 3DES, SHA1, Presharey Key: * DH Group 2, SA Lifetime 28800
XAUTH Configuration: Edge Device User Database
VPN Policy:
Select Local Gateway: WAN2; Remote Endpoint: FQDN: remote.com
Traffic Selection: Local IP: Any Remote IP Any
Auto Policy Parameters: 3600 Seconds 3DES SHA-1 DH Group2
Ich baue nun über den Shrew Client von ausserhalb eine Verbindung auf, Meldung Tunnel enabled kommt.
Anpingen kann ich die Fritzbox und die Firewall mit 192.168.39.17 und 192.168.39.22.
Ping / Trace an eine Kiste hinter der Firewall gehen alle ins leere.
Vielleicht hat jemand einen Tipp für mich.
Danke euch
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 265089
Url: https://administrator.de/contentid/265089
Ausgedruckt am: 23.11.2024 um 14:11 Uhr
5 Kommentare
Neuester Kommentar
Hi bob,
Routerkaskaden sind bei VPN-Nutzung immer nachteilig.
Ich würde dir folgendes empfehlen:
Interneteinwahl über FVS336G, welcher hinter einem DSL-Modem hängt (aber reiner Modembetrieb, wie bspw. mit einem DSL-321B von DLINK) .
Dann sollte das VPN überhaupt kein Problem mehr sein.
Auf dem FVS konfigurierst du verschiedene LAN-Bereiche für verschiedene Schnittstellen, wahlweise auch mittels VLANs (sollten deine Switches/AP aber unterstützen).
An einen Anschluss hängst du einen AP (kann auch die FB sein) und an einen anderen Anschluss deinen Switch.
Dieser IP-Address-Bereich ist kein privater. Ich würde das ändern.
Routerkaskaden sind bei VPN-Nutzung immer nachteilig.
Ich würde dir folgendes empfehlen:
Interneteinwahl über FVS336G, welcher hinter einem DSL-Modem hängt (aber reiner Modembetrieb, wie bspw. mit einem DSL-321B von DLINK) .
Dann sollte das VPN überhaupt kein Problem mehr sein.
Auf dem FVS konfigurierst du verschiedene LAN-Bereiche für verschiedene Schnittstellen, wahlweise auch mittels VLANs (sollten deine Switches/AP aber unterstützen).
An einen Anschluss hängst du einen AP (kann auch die FB sein) und an einen anderen Anschluss deinen Switch.
Innerhalb der Firewall: 11.11.43.17, DHCP Vergabe ab 11.11.43.17.100 - .200 Primary DNS Server: 11.11.43.43 (Windows Domain Server)
Das ist bestimmt auch nicht dein Ernst, sondern ein Schreibfehler.Dieser IP-Address-Bereich ist kein privater. Ich würde das ändern.
Wichtig ist vor allen Dingen auf der FB deren VPN abzuschalten, denn sonst denkt die das die IPsec Pakete für sie selber sind und leitet sie NICHT weiter an den NG.
Falls die NG Gurke den IPsec Tunnel terminiert, dann muss auf der FB natürlich Port Weiterleitung von UDP 500, UDP 4500 und dem ESP Protokoll (IP Nummer 50) auf die WAN IP des NG gemacht werden !
Statische WAN IP auf der NG sollte hier unbedingt Pflicht sein...
Vergessen sollte man auch nicht das wenn die angepingten Endgeräte Windows Rechner sein sollten das ICMP echo reply ab WIN 7 in der Firewall per Default deaktiviert ist !
Wie man es aktiviert steht hier:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Da via VPN von externen IPs zugegriffen wird müssen natürlich auch andere Dienste in der lokalen Firewall auch customized werden !
Falls die NG Gurke den IPsec Tunnel terminiert, dann muss auf der FB natürlich Port Weiterleitung von UDP 500, UDP 4500 und dem ESP Protokoll (IP Nummer 50) auf die WAN IP des NG gemacht werden !
Statische WAN IP auf der NG sollte hier unbedingt Pflicht sein...
Vergessen sollte man auch nicht das wenn die angepingten Endgeräte Windows Rechner sein sollten das ICMP echo reply ab WIN 7 in der Firewall per Default deaktiviert ist !
Wie man es aktiviert steht hier:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Da via VPN von externen IPs zugegriffen wird müssen natürlich auch andere Dienste in der lokalen Firewall auch customized werden !
Hi bob,
der Netgear Client ist eine Katastrophe. Ich hatte den mal Testweise im Einsatz, um einen Fehler mit einem Router zu checken.
Ich habe den Shrew in vielen Umgebungen mit FVS336Gv2 im Einsatz und bin mir sicher, dass wir das zusammen hin bekommen.
Sobald ich ein wenig Zeit habe, schreibe ich dir ein paar Einstellungen des Shrew-Clients auf, mit welchen es auf jeden Fall klappen sollte.
der Netgear Client ist eine Katastrophe. Ich hatte den mal Testweise im Einsatz, um einen Fehler mit einem Router zu checken.
Ich habe den Shrew in vielen Umgebungen mit FVS336Gv2 im Einsatz und bin mir sicher, dass wir das zusammen hin bekommen.
Sobald ich ein wenig Zeit habe, schreibe ich dir ein paar Einstellungen des Shrew-Clients auf, mit welchen es auf jeden Fall klappen sollte.