5
VPN: Netgear FVS336Gv2 Firewall mit Fritzbox als Router-Kaskade, kein Zugriff mit Shrew Client Lite, Ping nur bis Firewall
Hallo zusammen,
mir gelingt es bislang nicht eine VPN Verbindung zu unserem Netzwerk von ausserhalb zu erzeugen.
Also Modem/Router wird eine Fritzbox eingesetzt mit no-ip.com als DynDNS. Die Fritzbox wird als Router verwendet um ein getrennte Gäste WLAN zu ermöglichen (DMZ).
Dahinter hängt eine Netgear FVS336Gv2 als Firewall und DHCP für das restliche Netzwerk. Das alles funktioniert auch soweit.
Als Client wird Shrew VPN Client Lite eingesetzt, als Meldung kommt Tunnel enabled, Ping funktioniert aber nur bis zur Firewall. Seltsamerweise funktioniert unter Mac OS mit VPN Tracker es einwandfrei.
Fritzbox als Router: 192.168.39.22
Netgear FVS336Gv2 als Firewall: zur Fritzbox als 192.168.39.17
Innerhalb der Firewall: 11.11.43.17, DHCP Vergabe ab 11.11.43.17.100 - .200 Primary DNS Server: 11.11.43.43 (Windows Domain Server)
VPN IKE Policy:
Direction: Responder; Exchange: Aggresive; Local: FQDN: local.com; Remote: FQDN: remote.com
SA Parameter: 3DES, SHA1, Presharey Key: * DH Group 2, SA Lifetime 28800
XAUTH Configuration: Edge Device User Database
VPN Policy:
Select Local Gateway: WAN2; Remote Endpoint: FQDN: remote.com
Traffic Selection: Local IP: Any Remote IP Any
Auto Policy Parameters: 3600 Seconds 3DES SHA-1 DH Group2
Ich baue nun über den Shrew Client von ausserhalb eine Verbindung auf, Meldung Tunnel enabled kommt.
Anpingen kann ich die Fritzbox und die Firewall mit 192.168.39.17 und 192.168.39.22.
Ping / Trace an eine Kiste hinter der Firewall gehen alle ins leere.
Vielleicht hat jemand einen Tipp für mich.
Danke euch
mir gelingt es bislang nicht eine VPN Verbindung zu unserem Netzwerk von ausserhalb zu erzeugen.
Also Modem/Router wird eine Fritzbox eingesetzt mit no-ip.com als DynDNS. Die Fritzbox wird als Router verwendet um ein getrennte Gäste WLAN zu ermöglichen (DMZ).
Dahinter hängt eine Netgear FVS336Gv2 als Firewall und DHCP für das restliche Netzwerk. Das alles funktioniert auch soweit.
Als Client wird Shrew VPN Client Lite eingesetzt, als Meldung kommt Tunnel enabled, Ping funktioniert aber nur bis zur Firewall. Seltsamerweise funktioniert unter Mac OS mit VPN Tracker es einwandfrei.
Fritzbox als Router: 192.168.39.22
Netgear FVS336Gv2 als Firewall: zur Fritzbox als 192.168.39.17
Innerhalb der Firewall: 11.11.43.17, DHCP Vergabe ab 11.11.43.17.100 - .200 Primary DNS Server: 11.11.43.43 (Windows Domain Server)
VPN IKE Policy:
Direction: Responder; Exchange: Aggresive; Local: FQDN: local.com; Remote: FQDN: remote.com
SA Parameter: 3DES, SHA1, Presharey Key: * DH Group 2, SA Lifetime 28800
XAUTH Configuration: Edge Device User Database
VPN Policy:
Select Local Gateway: WAN2; Remote Endpoint: FQDN: remote.com
Traffic Selection: Local IP: Any Remote IP Any
Auto Policy Parameters: 3600 Seconds 3DES SHA-1 DH Group2
Ich baue nun über den Shrew Client von ausserhalb eine Verbindung auf, Meldung Tunnel enabled kommt.
Anpingen kann ich die Fritzbox und die Firewall mit 192.168.39.17 und 192.168.39.22.
Ping / Trace an eine Kiste hinter der Firewall gehen alle ins leere.
Vielleicht hat jemand einen Tipp für mich.
Danke euch
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265089
Url: https://administrator.de/contentid/265089
Printed on: April 28, 2024 at 08:04 o'clock
5 Comments
Latest comment
Hi bob,
Routerkaskaden sind bei VPN-Nutzung immer nachteilig.
Ich würde dir folgendes empfehlen:
Interneteinwahl über FVS336G, welcher hinter einem DSL-Modem hängt (aber reiner Modembetrieb, wie bspw. mit einem DSL-321B von DLINK) .
Dann sollte das VPN überhaupt kein Problem mehr sein.
Auf dem FVS konfigurierst du verschiedene LAN-Bereiche für verschiedene Schnittstellen, wahlweise auch mittels VLANs (sollten deine Switches/AP aber unterstützen).
An einen Anschluss hängst du einen AP (kann auch die FB sein) und an einen anderen Anschluss deinen Switch.
Dieser IP-Address-Bereich ist kein privater. Ich würde das ändern.
Routerkaskaden sind bei VPN-Nutzung immer nachteilig.
Ich würde dir folgendes empfehlen:
Interneteinwahl über FVS336G, welcher hinter einem DSL-Modem hängt (aber reiner Modembetrieb, wie bspw. mit einem DSL-321B von DLINK) .
Dann sollte das VPN überhaupt kein Problem mehr sein.
Auf dem FVS konfigurierst du verschiedene LAN-Bereiche für verschiedene Schnittstellen, wahlweise auch mittels VLANs (sollten deine Switches/AP aber unterstützen).
An einen Anschluss hängst du einen AP (kann auch die FB sein) und an einen anderen Anschluss deinen Switch.
Innerhalb der Firewall: 11.11.43.17, DHCP Vergabe ab 11.11.43.17.100 - .200 Primary DNS Server: 11.11.43.43 (Windows Domain Server)
Das ist bestimmt auch nicht dein Ernst, sondern ein Schreibfehler.Dieser IP-Address-Bereich ist kein privater. Ich würde das ändern.
Hi,
eine Portweiterleitung auf der Fritzbox für Port 500, Port 4500 eingerichtet ?
Für das ESP-Protokoll ebenfalls ?
Gruß orcape
eine Portweiterleitung auf der Fritzbox für Port 500, Port 4500 eingerichtet ?
Für das ESP-Protokoll ebenfalls ?
Gruß orcape
Wichtig ist vor allen Dingen auf der FB deren VPN abzuschalten, denn sonst denkt die das die IPsec Pakete für sie selber sind und leitet sie NICHT weiter an den NG.
Falls die NG Gurke den IPsec Tunnel terminiert, dann muss auf der FB natürlich Port Weiterleitung von UDP 500, UDP 4500 und dem ESP Protokoll (IP Nummer 50) auf die WAN IP des NG gemacht werden !
Statische WAN IP auf der NG sollte hier unbedingt Pflicht sein...
Vergessen sollte man auch nicht das wenn die angepingten Endgeräte Windows Rechner sein sollten das ICMP echo reply ab WIN 7 in der Firewall per Default deaktiviert ist !
Wie man es aktiviert steht hier:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Da via VPN von externen IPs zugegriffen wird müssen natürlich auch andere Dienste in der lokalen Firewall auch customized werden !
Falls die NG Gurke den IPsec Tunnel terminiert, dann muss auf der FB natürlich Port Weiterleitung von UDP 500, UDP 4500 und dem ESP Protokoll (IP Nummer 50) auf die WAN IP des NG gemacht werden !
Statische WAN IP auf der NG sollte hier unbedingt Pflicht sein...
Vergessen sollte man auch nicht das wenn die angepingten Endgeräte Windows Rechner sein sollten das ICMP echo reply ab WIN 7 in der Firewall per Default deaktiviert ist !
Wie man es aktiviert steht hier:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Da via VPN von externen IPs zugegriffen wird müssen natürlich auch andere Dienste in der lokalen Firewall auch customized werden !
Danke erstmal für eure Tips.
Ich habe es nun mit dem Netgear Client aka Greenbox zum Laufen gebracht. Sogar reproduzierbar. Allerdings ist ja bei der Firewall nur eine Lizenz dabei, Solo sind die Clients nicht gerade billig. Es muss doch mit dem Shrew Client auch erfolgreich ein Tunnel geöffnet werden können?
Ich habe es nun mit dem Netgear Client aka Greenbox zum Laufen gebracht. Sogar reproduzierbar. Allerdings ist ja bei der Firewall nur eine Lizenz dabei, Solo sind die Clients nicht gerade billig. Es muss doch mit dem Shrew Client auch erfolgreich ein Tunnel geöffnet werden können?
Hi bob,
der Netgear Client ist eine Katastrophe. Ich hatte den mal Testweise im Einsatz, um einen Fehler mit einem Router zu checken.
Ich habe den Shrew in vielen Umgebungen mit FVS336Gv2 im Einsatz und bin mir sicher, dass wir das zusammen hin bekommen.
Sobald ich ein wenig Zeit habe, schreibe ich dir ein paar Einstellungen des Shrew-Clients auf, mit welchen es auf jeden Fall klappen sollte.
der Netgear Client ist eine Katastrophe. Ich hatte den mal Testweise im Einsatz, um einen Fehler mit einem Router zu checken.
Ich habe den Shrew in vielen Umgebungen mit FVS336Gv2 im Einsatz und bin mir sicher, dass wir das zusammen hin bekommen.
Sobald ich ein wenig Zeit habe, schreibe ich dir ein paar Einstellungen des Shrew-Clients auf, mit welchen es auf jeden Fall klappen sollte.
