silent.bob
Goto Top

VPN: Netgear FVS336Gv2 Firewall mit Fritzbox als Router-Kaskade, kein Zugriff mit Shrew Client Lite, Ping nur bis Firewall

Hallo zusammen,

mir gelingt es bislang nicht eine VPN Verbindung zu unserem Netzwerk von ausserhalb zu erzeugen.
Also Modem/Router wird eine Fritzbox eingesetzt mit no-ip.com als DynDNS. Die Fritzbox wird als Router verwendet um ein getrennte Gäste WLAN zu ermöglichen (DMZ).
Dahinter hängt eine Netgear FVS336Gv2 als Firewall und DHCP für das restliche Netzwerk. Das alles funktioniert auch soweit.
Als Client wird Shrew VPN Client Lite eingesetzt, als Meldung kommt Tunnel enabled, Ping funktioniert aber nur bis zur Firewall. Seltsamerweise funktioniert unter Mac OS mit VPN Tracker es einwandfrei.

Fritzbox als Router: 192.168.39.22
Netgear FVS336Gv2 als Firewall: zur Fritzbox als 192.168.39.17
Innerhalb der Firewall: 11.11.43.17, DHCP Vergabe ab 11.11.43.17.100 - .200 Primary DNS Server: 11.11.43.43 (Windows Domain Server)


VPN IKE Policy:
Direction: Responder; Exchange: Aggresive; Local: FQDN: local.com; Remote: FQDN: remote.com
SA Parameter: 3DES, SHA1, Presharey Key: * DH Group 2, SA Lifetime 28800
XAUTH Configuration: Edge Device User Database

VPN Policy:
Select Local Gateway: WAN2; Remote Endpoint: FQDN: remote.com
Traffic Selection: Local IP: Any Remote IP Any
Auto Policy Parameters: 3600 Seconds 3DES SHA-1 DH Group2

Ich baue nun über den Shrew Client von ausserhalb eine Verbindung auf, Meldung Tunnel enabled kommt.
Anpingen kann ich die Fritzbox und die Firewall mit 192.168.39.17 und 192.168.39.22.
Ping / Trace an eine Kiste hinter der Firewall gehen alle ins leere.

Vielleicht hat jemand einen Tipp für mich.
Danke euch

Content-ID: 265089

Url: https://administrator.de/contentid/265089

Ausgedruckt am: 23.11.2024 um 14:11 Uhr

goscho
goscho 03.03.2015 aktualisiert um 14:01:02 Uhr
Goto Top
Hi bob,

Routerkaskaden sind bei VPN-Nutzung immer nachteilig.

Ich würde dir folgendes empfehlen:

Interneteinwahl über FVS336G, welcher hinter einem DSL-Modem hängt (aber reiner Modembetrieb, wie bspw. mit einem DSL-321B von DLINK) .
Dann sollte das VPN überhaupt kein Problem mehr sein.

Auf dem FVS konfigurierst du verschiedene LAN-Bereiche für verschiedene Schnittstellen, wahlweise auch mittels VLANs (sollten deine Switches/AP aber unterstützen).
An einen Anschluss hängst du einen AP (kann auch die FB sein) und an einen anderen Anschluss deinen Switch.

Innerhalb der Firewall: 11.11.43.17, DHCP Vergabe ab 11.11.43.17.100 - .200 Primary DNS Server: 11.11.43.43 (Windows Domain Server)
Das ist bestimmt auch nicht dein Ernst, sondern ein Schreibfehler.
Dieser IP-Address-Bereich ist kein privater. Ich würde das ändern. face-wink
orcape
orcape 03.03.2015 um 14:25:57 Uhr
Goto Top
Hi,
eine Portweiterleitung auf der Fritzbox für Port 500, Port 4500 eingerichtet ?
Für das ESP-Protokoll ebenfalls ?
Gruß orcape
aqui
aqui 03.03.2015 aktualisiert um 22:14:31 Uhr
Goto Top
Wichtig ist vor allen Dingen auf der FB deren VPN abzuschalten, denn sonst denkt die das die IPsec Pakete für sie selber sind und leitet sie NICHT weiter an den NG.
Falls die NG Gurke den IPsec Tunnel terminiert, dann muss auf der FB natürlich Port Weiterleitung von UDP 500, UDP 4500 und dem ESP Protokoll (IP Nummer 50) auf die WAN IP des NG gemacht werden !
Statische WAN IP auf der NG sollte hier unbedingt Pflicht sein...
Vergessen sollte man auch nicht das wenn die angepingten Endgeräte Windows Rechner sein sollten das ICMP echo reply ab WIN 7 in der Firewall per Default deaktiviert ist !
Wie man es aktiviert steht hier:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Da via VPN von externen IPs zugegriffen wird müssen natürlich auch andere Dienste in der lokalen Firewall auch customized werden !
silent.bob
silent.bob 06.03.2015 um 09:35:20 Uhr
Goto Top
Danke erstmal für eure Tips.

Ich habe es nun mit dem Netgear Client aka Greenbox zum Laufen gebracht. Sogar reproduzierbar. Allerdings ist ja bei der Firewall nur eine Lizenz dabei, Solo sind die Clients nicht gerade billig. Es muss doch mit dem Shrew Client auch erfolgreich ein Tunnel geöffnet werden können?
goscho
goscho 06.03.2015 um 11:06:31 Uhr
Goto Top
Hi bob,

der Netgear Client ist eine Katastrophe. Ich hatte den mal Testweise im Einsatz, um einen Fehler mit einem Router zu checken.

Ich habe den Shrew in vielen Umgebungen mit FVS336Gv2 im Einsatz und bin mir sicher, dass wir das zusammen hin bekommen.
Sobald ich ein wenig Zeit habe, schreibe ich dir ein paar Einstellungen des Shrew-Clients auf, mit welchen es auf jeden Fall klappen sollte.