20
VPN verbindung wird geblockt
Moin liebe Community,
habe hier schon öfter Lösungen für meine Probleme gefunden, aber am aktuellen scheiter es leider.
Folgender Hintergrund:
Ich möchte von Zuhause eine VPN Verbindung mit dem Programm ShrewSoft VPN auf unseren Server (Windows 2008) herstellen. Die VPN Verbindung geht über einen Lancom 1721+ Router.
Mein Problem ist, dass mein PC diese Verbindung irgendwie blockt. In der Arbeit kommt das IKE-Paket zum Aufbauen an und es wird auch eins zurück geschickt. Via Microsoft Network Monitor sehe ich, dass dieses Antwortpaket auch auf meinem PC ankommt, allerdings bekommt die ShrewSoft das nicht mit. Beim eigenen Monitorinprogramm wird kein Paket erkannt.
Mir ist auch aufgefallen, dass das Windows bei der Installation den "Shrew Soft Virtual Adapter" erst einmal deaktiviert. Allerdings bekomme ich auch keine Verbindung aufgebaut, wenn selbiger aktiviert ist.
Kennt jemand dieses Problem oder kann mir dementsprechen noch einmal einen Hinweiß liefern, wo ich nachsehen könnte was, wie, warum blockiert?
Mit freundlichen Grüßen
Edit:
Natürlich wieder die Hälfte vergessen: Ich habe Win7 Professional 64Bit installiert, Windows Firewall ist deaktiviert und auch meine Router lassen alles durch. Mit meinem Arbeitslaptop geht alles im gleichen Netz (via WLAN) über den gleichen Router, also gesperrte Ports können es nicht sein, da es ja auch am PC ankommt.
habe hier schon öfter Lösungen für meine Probleme gefunden, aber am aktuellen scheiter es leider.
Folgender Hintergrund:
Ich möchte von Zuhause eine VPN Verbindung mit dem Programm ShrewSoft VPN auf unseren Server (Windows 2008) herstellen. Die VPN Verbindung geht über einen Lancom 1721+ Router.
Mein Problem ist, dass mein PC diese Verbindung irgendwie blockt. In der Arbeit kommt das IKE-Paket zum Aufbauen an und es wird auch eins zurück geschickt. Via Microsoft Network Monitor sehe ich, dass dieses Antwortpaket auch auf meinem PC ankommt, allerdings bekommt die ShrewSoft das nicht mit. Beim eigenen Monitorinprogramm wird kein Paket erkannt.
Mir ist auch aufgefallen, dass das Windows bei der Installation den "Shrew Soft Virtual Adapter" erst einmal deaktiviert. Allerdings bekomme ich auch keine Verbindung aufgebaut, wenn selbiger aktiviert ist.
Kennt jemand dieses Problem oder kann mir dementsprechen noch einmal einen Hinweiß liefern, wo ich nachsehen könnte was, wie, warum blockiert?
Mit freundlichen Grüßen
Edit:
Natürlich wieder die Hälfte vergessen: Ich habe Win7 Professional 64Bit installiert, Windows Firewall ist deaktiviert und auch meine Router lassen alles durch. Mit meinem Arbeitslaptop geht alles im gleichen Netz (via WLAN) über den gleichen Router, also gesperrte Ports können es nicht sein, da es ja auch am PC ankommt.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 269938
Url: https://administrator.de/forum/vpn-verbindung-wird-geblockt-269938.html
Ausgedruckt am: 22.04.2025 um 08:04 Uhr
20 Kommentare
Neuester Kommentar
Hallo,
Und macht der eine einfache Durchleitung deiner VPN (welches?) oder blockt der schon?
Gruß,
Peter
[Edit]
Huch, dat war gerade noch nicht da.....
[/Edit]
Und macht der eine einfache Durchleitung deiner VPN (welches?) oder blockt der schon?
allerdings bekommt die ShrewSoft das nicht mit.
Huch, dein Schrewsoft will sich nicht unterhalten? Er schickt raus aber nimmt nichts an?Beim eigenen Monitorinprogramm wird kein Paket erkannt.
?!? Hast du nicht gerade geschrieben das der MS Netzwerkmonitor auf dein Schrewsoft PC die ankommenden Pakete erkennt?Mir ist auch aufgefallen, dass das Windows bei der Installation den "Shrew Soft Virtual Adapter" erst einmal
Falsches Windows oder fehlende Rechte?kann mir dementsprechen noch einmal einen Hinweiß liefern, wo ich nachsehen könnte was, wie, warum blockiert?
Supportseiten SchrewSoft? Was sagt der Programmierer deiner eigenen uns unbekannten Fenster Version?Gruß,
Peter
[Edit]
Huch, dat war gerade noch nicht da.....
Ich habe Win7 Professional 64Bit
OKFirewall ist deaktiviert und auch meine Router lassen alles durch
Das gute alte Internet ist immer noch am besten ohne jeglichen Schutz Mit meinem Arbeitslaptop geht alles im gleichen Netz (via WLAN) über den gleichen Router
?!?[/Edit]
Moin Peter,
Mit meinem Arbeitslaptop kann ich mich Zuhause im WLAN einloggen (Win 7 Prof 64Bit, ShrewSoft VPN, WLAN an dem Router, an welchem auch mein PC via LAN hängt) und es klappt auf anhieb.
mir ist eben noch aufgefallen, dass wenn ich den Treiber im Gerätemanager aktiviere und neustarte, dieser wieder deaktiviert ist. Wo könnte ich nachsehen wodurch dieser deaktiviert wird? Hab eben in der Ereignisanzeige nichts gefunden (aber auch nich richtig gesucht :>)
Und macht der eine einfache Durchleitung deiner VPN (welches?) oder blockt der schon?
Der Router empfängt und schickt brav ein paket raus. Is ein IPSEC-VPNHuch, dein Schrewsoft will sich nicht unterhalten? Er schickt raus aber nimmt nichts an?
Sehr richtig, der Response wird nicht empfangen.?!? Hast du nicht gerade geschrieben das der MS Netzwerkmonitor auf dein Schrewsoft PC die ankommenden Pakete erkennt?
Genau dass wunder mich ja auchThe Shrew Soft Client works with 32bit and 64bit versions of Micorsoft Windows 2000, XP Vista and 7 operating systems.
Am Windows liegts also auch nicht.Das gute alte Internet ist immer noch am besten ohne jeglichen Schutz
Mit alles durchlassen ist gemeint, dass die Router alles erforderliche durchlassen ;) (UDP Port 500)Mit meinem Arbeitslaptop kann ich mich Zuhause im WLAN einloggen (Win 7 Prof 64Bit, ShrewSoft VPN, WLAN an dem Router, an welchem auch mein PC via LAN hängt) und es klappt auf anhieb.
mir ist eben noch aufgefallen, dass wenn ich den Treiber im Gerätemanager aktiviere und neustarte, dieser wieder deaktiviert ist. Wo könnte ich nachsehen wodurch dieser deaktiviert wird? Hab eben in der Ereignisanzeige nichts gefunden (aber auch nich richtig gesucht :>)
Moin,
kannst Du mir den Grund nennen, warum Du das VPN via shrew nicht über Deinen Lancom-Router abfackelst?
LG, Thomas
kannst Du mir den Grund nennen, warum Du das VPN via shrew nicht über Deinen Lancom-Router abfackelst?
LG, Thomas
kannst Du mir den Grund nennen, warum Du das VPN via shrew nicht über Deinen Lancom-Router abfackelst?
Wie meinen?Virtual adapters are intended to remain disabled until a connection is established. This should happen automatically.
Deswegen ist der Treiber nicht aktiv, allerdings wird dieser auch nicht aktiv wenn ich die VPN-Verbindung aktivieren möchte. Denke ich schreib mal dem Support von Shrewsoft, hilft ja nix.
Hallo,
Gruß,
Peter
Zitat von @h0d3nt3uf3l:
Mit meinem Arbeitslaptop kann ich mich Zuhause im WLAN einloggen (Win 7 Prof 64Bit, ShrewSoft VPN, WLAN an dem Router, an welchem auch mein PC via LAN hängt) und es klappt auf anhieb.
Hat dein Firmenlaptop vielleicht noch etwas was dein Privatrechner nicht hat oder kennt z.B. Zertifikat(e)? Die dir bekannten Zugangsdaten sind ebenfalls alle korrekt und der Privatrechner wird nicht schon an der Tür vom Firmenadmin abgewiesen?Mit meinem Arbeitslaptop kann ich mich Zuhause im WLAN einloggen (Win 7 Prof 64Bit, ShrewSoft VPN, WLAN an dem Router, an welchem auch mein PC via LAN hängt) und es klappt auf anhieb.
Wie meinen?
Warum macht dort ein Windows Server das VPN (RRAS) wenn der Lancom es auch könnte.Gruß,
Peter
Moin,
@h0d3nt3uf3l
ist noch eine andere VPN-Client-Software auf dem Privat-PC installiert (bspw. Fritz Fernzugang, The Greenbow, Lancom Advanced VPN Client, etc)?
Wenn ja, dann bitte deinstallieren.
Überprüfe nochmals die Unterschiede in der Konfiguration des Shrew-Clients vom Firmenlaptop und deines Privat-PCs, schau auch, ob du die selbe Version des Clients installiert hast.
@h0d3nt3uf3l
ist noch eine andere VPN-Client-Software auf dem Privat-PC installiert (bspw. Fritz Fernzugang, The Greenbow, Lancom Advanced VPN Client, etc)?
Wenn ja, dann bitte deinstallieren.
Überprüfe nochmals die Unterschiede in der Konfiguration des Shrew-Clients vom Firmenlaptop und deines Privat-PCs, schau auch, ob du die selbe Version des Clients installiert hast.
Ich möchte von Zuhause eine VPN Verbindung mit dem Programm ShrewSoft VPN auf unseren Server (Windows 2008) herstellen.
Das wird vermutlich scheitern, denn 2008 supportet kein native IPsec wie es der Shrew macht sondern nur L2TP und diese VPN Protokolle sind nicht kompatibel !Die VPN Verbindung geht über einen Lancom 1721+ Router.
Warum terminierst du dann nicht auf dem Lancom ? Wäre doch das naheliegenste und das technisch am sinnvollsten ?!Mein Problem ist, dass mein PC diese Verbindung irgendwie blockt.
Kann schon sein, denn Winblows ist etwas dümmlich und deklariert virtuelle Interfaces (wie dein Tunnel Interface) durch das fehlende Gateway dann oft in der lokalen Firewall als öffentliches netz und dann blockt die Firewall dort jeglichen eingehenden Traffic.Das erfordert dann natürlich einen kleinen manuellen Eingriff in der Firewall. Typisches Winblows Problem aber mit dem Customizen der FW Settings in 1 Minute gefixt !
auf meinem PC ankommt, allerdings bekommt die ShrewSoft das nicht mit. Beim eigenen Monitorinprogramm wird kein Paket erkannt.
Klar ! Da hat die lokale FW schon zugeschlagen !Windows Firewall ist deaktiviert und auch meine Router lassen alles durch.
Das erzählen alle hier und in 90% der Fälle stimmt es nicht !!!WAS lässt dein Router denn durch ? Wenn du ihn für L2TP konfiguriert hast greift das nicht für IPsec und andersrum. Da geht es nämlich dann schon los ?!
Hochachtungsvoll, mit freundlichen Grüßen
Ihr Administrator.de Forum
Moin moin,
das Forum gefällt mir richtig gut schön viele konstruktive Vorschläge. Anscheinend habe ich zur Verwirrung beigetragen.
Auf meinem Arbeitslaptop habe ich den VPN Advanced Cliend von Lancom Installiert, ja, nutze diese allerdings nicht. Ich verwende genauso wie auf dem PC die ShrewSoft VPN Software und habe von meinem Laptop die Daten exportiert, ergo stimmen die Daten (Ja auch der Preshared-Key), und die Version ist auch die gleiche.
Ich Verbinde mich auf den LancomRouter und nicht auf den Windows Server via IPSEC.
Die Firewall habe ich deaktiviert indem ich den Dienst deaktiviert habe. Das die Firewall immernoch aktiv ist wenn man das Ding auf "Aus" stellt habe ich auch schon früher mitbekommen ;)
Mein Router lässt das IKE-Paket (UDP, Port 500) durch welches zum Anfang geschickt wird und laut Tracing-Log von dem Lancomrouter kommt dieses auch an, es wird wie gesagt sogar ein IKE-Paket zurück geschickt. Dieses kommt laut MS Networkmonitor auch an, wird aber von ShrewSoft nicht verarbeitet.
Am Laptop habe ich nun noch einmal nachgesehen und tatsächlich: Wenn ich mich hier Verbinde wird der ShrewSoft Treiber aktiviert und die Verbindung wird hergestellt. Am PC wird der Treiber nicht aktiviert!
Also bitte glaubt mir, es ist alles richtig konfiguriert und die Einstellungen passen alle soweit. Es liegt kein Konfigurationsproblem am Router vor und auch nicht in meiner Software da es 1 zu 1 von meinem Laptop kopiert ist. Meines erachtens liegt das Problem an diesem Treiber, welcher von der Software nicht aktiviert wird und ich weiß nicht warum. Selbst das Programm als Administrator auszuführen bringt nichts (wahrscheinlich weil das ShrewSoft Ding zum öffnen und Auswählen der Verbindung nur das Frontend ist und hinten rum ein anderes Programm zum Verbindungsaufbau gestartet wird.)
das Forum gefällt mir richtig gut
schön viele konstruktive Vorschläge. Anscheinend habe ich zur Verwirrung beigetragen.Auf meinem Arbeitslaptop habe ich den VPN Advanced Cliend von Lancom Installiert, ja, nutze diese allerdings nicht. Ich verwende genauso wie auf dem PC die ShrewSoft VPN Software und habe von meinem Laptop die Daten exportiert, ergo stimmen die Daten (Ja auch der Preshared-Key), und die Version ist auch die gleiche.
Ich Verbinde mich auf den LancomRouter und nicht auf den Windows Server via IPSEC.
Die Firewall habe ich deaktiviert indem ich den Dienst deaktiviert habe. Das die Firewall immernoch aktiv ist wenn man das Ding auf "Aus" stellt habe ich auch schon früher mitbekommen ;)
Mein Router lässt das IKE-Paket (UDP, Port 500) durch welches zum Anfang geschickt wird und laut Tracing-Log von dem Lancomrouter kommt dieses auch an, es wird wie gesagt sogar ein IKE-Paket zurück geschickt. Dieses kommt laut MS Networkmonitor auch an, wird aber von ShrewSoft nicht verarbeitet.
Am Laptop habe ich nun noch einmal nachgesehen und tatsächlich: Wenn ich mich hier Verbinde wird der ShrewSoft Treiber aktiviert und die Verbindung wird hergestellt. Am PC wird der Treiber nicht aktiviert!
Also bitte glaubt mir, es ist alles richtig konfiguriert und die Einstellungen passen alle soweit. Es liegt kein Konfigurationsproblem am Router vor und auch nicht in meiner Software da es 1 zu 1 von meinem Laptop kopiert ist. Meines erachtens liegt das Problem an diesem Treiber, welcher von der Software nicht aktiviert wird und ich weiß nicht warum. Selbst das Programm als Administrator auszuführen bringt nichts (wahrscheinlich weil das ShrewSoft Ding zum öffnen und Auswählen der Verbindung nur das Frontend ist und hinten rum ein anderes Programm zum Verbindungsaufbau gestartet wird.)
Anscheinend habe ich zur Verwirrung beigetragen.
Bei deinem Nickname ist das ja scheinbar Programm 
habe ich den VPN Advanced Cliend von Lancom Installiert, ja, nutze diese allerdings nicht. Ich verwende genauso wie auf dem PC die ShrewSoft VPN Software
Dann solltest du aber dringenst einen von beiden vom Laptop deinstallieren ! Bei IPsec Clients ist es höchst kontraproduktiv beide installiert zu haben was häufig zur Fehlfunktion des Clients führt.Ich Verbinde mich auf den LancomRouter und nicht auf den Windows Server via IPSEC.
Das ist auch die sinnvollste Variante allerdings solltest du das auch wirklich Ernst meinen.Es ist möglich das du auf dem Router einen Port Weiterleitung auf den Server konfiguriert hast !
Dann verbindest du dich logischerweise aus VPN Client Sicht nur fiktiv mit dem Router denn dahinter wird der VPN Traffic dann auf den eigentlichen Server weitergeleitet !
Einzig Relevant ist also der VPN Server, sprich WO du die ganze VPN spezifische Einrichtung gemacht hast. Ist das der Router terminierst du auch wirklich am Router und dann ist natürlich auch ein Port Forwarding dort obsolet, klar !
Der Rest deiner obigen Ausführung lässt nämlich durchaus auch vermuten das du eine Port Weiterleitung machst ?
Kläre das also bitte noch einmal ganz genau !! Ansonsten drehen wir uns hier alle im Kreis und kommen nicht weiter !
Fakt ist das der VPN Router ja selber IPsec spricht. Meinst du mit deinen Ausführungen also nur eine Port Weiterleitung, dann scheitert das VPN, da der Router das nicht forwardet ohne den eigenen VPN Prozess zu deaktivieren im Setup.
Am Windows Server (sollte der doch der VPN Server sein ?!) kommt also nie was an.
Hier tut sich dann auch die Frage auf WO du denn mit dem MS Netmonitor misst ??
Wenn du auf dem Router selber den VPN Tunnel terminierst, dann kannst du nichts messen mit IKE usw., denn das kommt ja logischerweise nie aus dem Router raus !?! Wo also willst du was messen ?
In sofern nährt das wieder den Verdacht das du uns mit deiner Aussage: "Ich verbinde mich auf den LancomRouter und nicht auf den Windows Server via IPSEC." uns hier technisch doch verar... bzw. an der Nase rumführst.
Ob das nun aus völliger Unkenntniss der Materie passiert oder was auch immer.
WICHTIG ist hier das du diesen Sachverhalt sicher und wasserdicht klärst sonst kommen wir keinen Schritt weiter !
Soviel zum Thema zu deiner Verwirrung !!
Wenn ich mich hier Verbinde wird der ShrewSoft Treiber aktiviert und die Verbindung wird hergestellt. Am PC wird der Treiber nicht aktiviert!
Das ist wieder Verwirrung und sinnfreier Kauderwelsch ?!- Ein Treiber wird nie aktiviert...Blödsinn !
- WO wird die Verbindung hersgestellt ?? Poste ein Log Auszug des Shrew Client und des Router Logs bitte !
- WAS für ein PC aktiviert Treiber ? Mal abgesehen davon das das wieder Blödsinn ist mit der "Aktivierung" ist die Frage was der "PC" ist ? Der Server ?
Also bitte glaubt mir, es ist alles richtig konfiguriert
Sorry, aber nach dem fürchterlichen Unsinn von oben kann man dir genau DAS nun wahrlich NICHT mehr glauben !Meines erachtens liegt das Problem an diesem Treiber, welcher von der Software nicht aktiviert wird
Wie gesagt... Kein Wunder wenn du beide Clients parallel installiert hast. Deinstalliere einen davon, dann klappt das auch !
Moin,
bei Deinem Kenntnisstand würde ich zum Lancom-VPN-Client und zur Konfiguration über den Assistenten raten ... färdsch in 5 Minuten und freuen.
??
LG, Thomas
bei Deinem Kenntnisstand würde ich zum Lancom-VPN-Client und zur Konfiguration über den Assistenten raten ... färdsch in 5 Minuten und freuen.
Die Firewall habe ich deaktiviert indem ich den Dienst deaktiviert habe. Das die Firewall immernoch aktiv ist wenn man das Ding auf "Aus" stellt habe ich auch schon früher mitbekommen ;)
Hmmh, die firewall wird wohl eher auf dem Lancom aktiv sein ??LG, Thomas
Alles klar, hier einmal die kompletten Konfigurationen und Logs:
ShrewSoft VPN Konfiguration auf Heim-PC und Arbeits-Laptop:
Log nach einem Verbindungsversuch des Home-PCs mit dem Server (Von ShrewSoft):
Log des Servers bei diesem Versuch (LanMonitor von Lancom):
(Die Leerzeile entstand durch weitere pakete, welche an meinen Laptop geschickt wurden, irgendwie muss ich ja gerade auf den Server zugreifen ;)
Zeile drei ausgeschrieben, bevor sich jemand an dem "failed" aufhängt:
[VPN-Status] 2015/04/23 20:57:08,384 Devicetime: 2015/04/23 20:57:09,585
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2)
MS-Netmon Log, gemessen auf dem Home-PC:
Folgendes hat mich auf den Treiber gebracht:
Quelle: https://lists.shrew.net/pipermail/vpn-help/2010-March/011599.html
Folgender Treiber ist gemeint (Beispiel am Arbeitslaptop, Verbindung getrennt):
Verbindung hergestellt:
Die Regel im LancomRouter besagt, dass alle VPN-Clients (erkannt über den FQDN-String denke ich) ungefiltert (alle Ports) in das IP_Local des Firmennetzes weiterleitet.
Also ich baue die Verbindung nicht mit dem Windows Server über eine Port-Weiterleitung auf.
Ja ich habe von VPN nicht wirklich viel Ahnung aber ich weiß wie ich es Konfigurieren muss und habe das schon öfter für diverse Laptops gemacht mit der ShrewSoft.
ShrewSoft VPN Konfiguration auf Heim-PC und Arbeits-Laptop:
Log nach einem Verbindungsversuch des Home-PCs mit dem Server (Von ShrewSoft):
15/04/23 19:41:50 ## : IKE Daemon, ver 2.2.2
15/04/23 19:41:50 ## : Copyright 2013 Shrew Soft Inc.
15/04/23 19:41:50 ## : This product linked OpenSSL 1.0.1c 10 May 2012
15/04/23 19:41:50 ii : opened 'C:\Program Files\ShrewSoft\VPN Client\debug\iked.log'
15/04/23 19:41:50 ii : rebuilding vnet device list ...
15/04/23 19:41:50 ii : device ROOT\VNET\0000 disabled
15/04/23 19:41:50 ii : network process thread begin ...
15/04/23 19:41:50 ii : pfkey process thread begin ...
15/04/23 19:41:50 ii : ipc server process thread begin ...
15/04/23 19:41:55 ii : ipc client process thread begin ...
15/04/23 19:41:55 <A : peer config add message
15/04/23 19:41:55 <A : proposal config message
15/04/23 19:41:55 <A : proposal config message
15/04/23 19:41:55 <A : client config message
15/04/23 19:41:55 <A : local id 'XXXXXX' message
15/04/23 19:41:55 <A : remote id 'XXXXXX' message
15/04/23 19:41:55 <A : preshared key message
15/04/23 19:41:55 <A : remote resource message
15/04/23 19:41:55 <A : peer tunnel enable message
15/04/23 19:41:55 DB : peer added ( obj count = 1 )
15/04/23 19:41:55 ii : local address 192.168.1.100 selected for peer
15/04/23 19:41:55 DB : tunnel added ( obj count = 1 )
15/04/23 19:41:55 DB : new phase1 ( ISAKMP initiator )
15/04/23 19:41:55 DB : exchange type is aggressive
15/04/23 19:41:55 DB : 192.168.1.100:500 <-> xxx.yyy.zzz.xxx:500
15/04/23 19:41:55 DB : d13ef73b0e49d8f5:0000000000000000
15/04/23 19:41:55 DB : phase1 added ( obj count = 1 )
15/04/23 19:41:55 >> : security association payload
15/04/23 19:41:55 >> : - proposal #1 payload
15/04/23 19:41:55 >> : -- transform #1 payload
15/04/23 19:41:55 >> : key exchange payload
15/04/23 19:41:55 >> : nonce payload
15/04/23 19:41:55 >> : identification payload
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 ii : local supports DPDv1
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 ii : local is SHREW SOFT compatible
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 ii : local is NETSCREEN compatible
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 ii : local is SIDEWINDER compatible
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 ii : local is CISCO UNITY compatible
15/04/23 19:41:55 >= : cookies d13ef73b0e49d8f5:0000000000000000
15/04/23 19:41:55 >= : message 00000000
15/04/23 19:41:55 -> : send IKE packet 192.168.1.100:500 -> xxx.yyy.zzz.xxx:500 ( 423 bytes )
15/04/23 19:41:55 DB : phase1 resend event scheduled ( ref count = 2 )
15/04/23 19:42:00 -> : resend 1 phase1 packet(s) [0/2] 192.168.1.100:500 -> xxx.yyy.zzz.xxx:500
15/04/23 19:42:05 -> : resend 1 phase1 packet(s) [1/2] 192.168.1.100:500 -> xxx.yyy.zzz.xxx:500
15/04/23 19:42:10 -> : resend 1 phase1 packet(s) [2/2] 192.168.1.100:500 -> xxx.yyy.zzz.xxx:500
15/04/23 19:42:15 ii : resend limit exceeded for phase1 exchange
15/04/23 19:42:15 ii : phase1 removal before expire time
15/04/23 19:42:15 DB : phase1 deleted ( obj count = 0 )
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : removing tunnel config references
15/04/23 19:42:15 DB : removing tunnel phase2 references
15/04/23 19:42:15 DB : removing tunnel phase1 references
15/04/23 19:42:15 DB : tunnel deleted ( obj count = 0 )
15/04/23 19:42:15 DB : removing all peer tunnel references
15/04/23 19:42:15 DB : peer deleted ( obj count = 0 )
15/04/23 19:42:15 ii : ipc client process thread exit ...
15/04/23 19:41:50 ## : Copyright 2013 Shrew Soft Inc.
15/04/23 19:41:50 ## : This product linked OpenSSL 1.0.1c 10 May 2012
15/04/23 19:41:50 ii : opened 'C:\Program Files\ShrewSoft\VPN Client\debug\iked.log'
15/04/23 19:41:50 ii : rebuilding vnet device list ...
15/04/23 19:41:50 ii : device ROOT\VNET\0000 disabled
15/04/23 19:41:50 ii : network process thread begin ...
15/04/23 19:41:50 ii : pfkey process thread begin ...
15/04/23 19:41:50 ii : ipc server process thread begin ...
15/04/23 19:41:55 ii : ipc client process thread begin ...
15/04/23 19:41:55 <A : peer config add message
15/04/23 19:41:55 <A : proposal config message
15/04/23 19:41:55 <A : proposal config message
15/04/23 19:41:55 <A : client config message
15/04/23 19:41:55 <A : local id 'XXXXXX' message
15/04/23 19:41:55 <A : remote id 'XXXXXX' message
15/04/23 19:41:55 <A : preshared key message
15/04/23 19:41:55 <A : remote resource message
15/04/23 19:41:55 <A : peer tunnel enable message
15/04/23 19:41:55 DB : peer added ( obj count = 1 )
15/04/23 19:41:55 ii : local address 192.168.1.100 selected for peer
15/04/23 19:41:55 DB : tunnel added ( obj count = 1 )
15/04/23 19:41:55 DB : new phase1 ( ISAKMP initiator )
15/04/23 19:41:55 DB : exchange type is aggressive
15/04/23 19:41:55 DB : 192.168.1.100:500 <-> xxx.yyy.zzz.xxx:500
15/04/23 19:41:55 DB : d13ef73b0e49d8f5:0000000000000000
15/04/23 19:41:55 DB : phase1 added ( obj count = 1 )
15/04/23 19:41:55 >> : security association payload
15/04/23 19:41:55 >> : - proposal #1 payload
15/04/23 19:41:55 >> : -- transform #1 payload
15/04/23 19:41:55 >> : key exchange payload
15/04/23 19:41:55 >> : nonce payload
15/04/23 19:41:55 >> : identification payload
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 ii : local supports DPDv1
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 ii : local is SHREW SOFT compatible
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 ii : local is NETSCREEN compatible
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 ii : local is SIDEWINDER compatible
15/04/23 19:41:55 >> : vendor id payload
15/04/23 19:41:55 ii : local is CISCO UNITY compatible
15/04/23 19:41:55 >= : cookies d13ef73b0e49d8f5:0000000000000000
15/04/23 19:41:55 >= : message 00000000
15/04/23 19:41:55 -> : send IKE packet 192.168.1.100:500 -> xxx.yyy.zzz.xxx:500 ( 423 bytes )
15/04/23 19:41:55 DB : phase1 resend event scheduled ( ref count = 2 )
15/04/23 19:42:00 -> : resend 1 phase1 packet(s) [0/2] 192.168.1.100:500 -> xxx.yyy.zzz.xxx:500
15/04/23 19:42:05 -> : resend 1 phase1 packet(s) [1/2] 192.168.1.100:500 -> xxx.yyy.zzz.xxx:500
15/04/23 19:42:10 -> : resend 1 phase1 packet(s) [2/2] 192.168.1.100:500 -> xxx.yyy.zzz.xxx:500
15/04/23 19:42:15 ii : resend limit exceeded for phase1 exchange
15/04/23 19:42:15 ii : phase1 removal before expire time
15/04/23 19:42:15 DB : phase1 deleted ( obj count = 0 )
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : policy not found
15/04/23 19:42:15 DB : removing tunnel config references
15/04/23 19:42:15 DB : removing tunnel phase2 references
15/04/23 19:42:15 DB : removing tunnel phase1 references
15/04/23 19:42:15 DB : tunnel deleted ( obj count = 0 )
15/04/23 19:42:15 DB : removing all peer tunnel references
15/04/23 19:42:15 DB : peer deleted ( obj count = 0 )
15/04/23 19:42:15 ii : ipc client process thread exit ...
Log des Servers bei diesem Versuch (LanMonitor von Lancom):
Zeile drei ausgeschrieben, bevor sich jemand an dem "failed" aufhängt:
[VPN-Status] 2015/04/23 20:57:08,384 Devicetime: 2015/04/23 20:57:09,585
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 2)
MS-Netmon Log, gemessen auf dem Home-PC:
Folgendes hat mich auf den Treiber gebracht:
Quelle: https://lists.shrew.net/pipermail/vpn-help/2010-March/011599.html
Virtual adapters are intended to remain disabled until a connection is established. This should happen automatically.
Folgender Treiber ist gemeint (Beispiel am Arbeitslaptop, Verbindung getrennt):
Verbindung hergestellt:
Es ist möglich das du auf dem Router einen Port Weiterleitung auf den Server konfiguriert hast !
Die Regel im LancomRouter besagt, dass alle VPN-Clients (erkannt über den FQDN-String denke ich) ungefiltert (alle Ports) in das IP_Local des Firmennetzes weiterleitet.
Also ich baue die Verbindung nicht mit dem Windows Server über eine Port-Weiterleitung auf.
Ja ich habe von VPN nicht wirklich viel Ahnung aber ich weiß wie ich es Konfigurieren muss und habe das schon öfter für diverse Laptops gemacht mit der ShrewSoft.
Zitat von @h0d3nt3uf3l:
Ja ich habe von VPN nicht wirklich viel Ahnung aber ich weiß wie ich es Konfigurieren muss und habe das schon öfter
für diverse Laptops gemacht mit der ShrewSoft.
Ja ich habe von VPN nicht wirklich viel Ahnung aber ich weiß wie ich es Konfigurieren muss und habe das schon öfter
für diverse Laptops gemacht mit der ShrewSoft.
Du klingst jetzt nicht so anfängerhaft in VPN-Angelegenheiten, wie viele andere, die hier Fragen stellen.
Hast du jetzt alle weiteren IPSEC-Clients von dem PC deinstalliert?
Ich würde dir sogar raten, alle VPN-Clients zu deinstallieren und nach einem Neustart nur den Shrew-Client zu installieren, erneuter Neustart, Config importieren und dein VPN steht.
Danke für die Blumen ;)
Auf meinem Home PC ist kein anderer VPN-Client installiert und war es auch nicht.
Der PC ist im Grunde frisch aufgesetzt (2 Wochen) und hat vorher nicht einmal kontakt gehabt mit jeglicher SW.
Auf dem Arbeitslaptop sind 2 VPN-Clienten installiert aber da funktioniert alles. Trotzdem werde ich es da bei gelegenheit tun.
Weil ja auch mal die Frage aufkam warum ich dann nicht mit dem Laptop arbeite:
Da ich sowieso den PC am Abend eingeschalten habe bin ich dagegen zusätzlich den Laptop zu benutzen bzw. mag ich auch das Arbeiten am Laptop überhaupt nicht. (Ausserdem hat der kein Num-Block)
Auf meinem Home PC ist kein anderer VPN-Client installiert und war es auch nicht.
Der PC ist im Grunde frisch aufgesetzt (2 Wochen) und hat vorher nicht einmal kontakt gehabt mit jeglicher SW.
Auf dem Arbeitslaptop sind 2 VPN-Clienten installiert aber da funktioniert alles. Trotzdem werde ich es da bei gelegenheit tun.
Weil ja auch mal die Frage aufkam warum ich dann nicht mit dem Laptop arbeite:
Da ich sowieso den PC am Abend eingeschalten habe bin ich dagegen zusätzlich den Laptop zu benutzen bzw. mag ich auch das Arbeiten am Laptop überhaupt nicht. (Ausserdem hat der kein Num-Block)
resend 1 phase1 packet(s) [2/2] 192.168.1.100:500 -> xxx.yyy.zzz.xxx:500
Das ist vermutlich das Problem. Wie du hier siehst antwortet xxx.yyy.zzz.xxx:500 nicht auf den IKE Request so das das mehrfach wiederholt wird aber keinerlei Antwort, deshalb bricht logischerweise die Phase 1 ab und der Tunnelaufbau schlägt fehl !Checke warum die IKA Antworten von xxx.yyy.zzz.xxx:500 nicht den Absender 192.168.1.100:500 erreichen !
Vermutlich irgendein Firewall Problem.
Checke warum die IKA Antworten von xxx.yyy.zzz.xxx:500 nicht den Absender 192.168.1.100:500 erreichen !
Genau das ist das Problem. Die Windows Firewall (der Dienst) ist deaktiviert. Das einzige was noch drauf wäre ist Avira Free ohne Browserschutz. Der MS Network Monitor zeigt die Pakete am Home PC an aber sie kommen nicht zum Programm. Meine Vermutung liegt wie gesagt am deaktivierten virtuellen Netzwerkadapter.
Wie kann ich es noch checken ausser über den MS Network Monitor?
Moin moin,
ich hab das Problem gefunden.
Es liegt am Treiber meiner Netzwerkkarte. Ich habe ein MSI Z97 Gaming Motherboard mit einem Killer Network Adapter. Wenn ich den Treiber von der CD installiere wird dieser hier Installiert (Treiberfile: e22w7x64.sys Treibername: Killer e2200 Gigabit Ethernet Controller (NDIS 6.30)) http://www.herdprotect.com/e22w7x64.sys-05a775471be2c62746bde2add47e3b0 ...
Wenn ich diesen Treiber deinstalliere und von der CD den Treiber aus dem Installationsfolder mir nehme (Treiberfile: l1c51x64.sys, finde Leider keine Referenz. Im Gerätemanager steht folgendes:
Mit diesem Treiber installiert, kann ich die VPN-Verbindung ganz einfach aufbauen und alles klappt.
Hat einer eine Ahnung woher das kommen kann oder mir evtl. einen Hinweiß geben wo ich nachsehen kann warum der Treiber was wie blockt? Oder is die ShrewSoft einfach zu "variabel" programmiert und guckt nach dem ersten Treiber der eine "virtuelle Netzwerkkarte" sein könnte und versucht dann seine Befehle über diesen abzuarbeiten?
ich hab das Problem gefunden.
Es liegt am Treiber meiner Netzwerkkarte. Ich habe ein MSI Z97 Gaming Motherboard mit einem Killer Network Adapter. Wenn ich den Treiber von der CD installiere wird dieser hier Installiert (Treiberfile: e22w7x64.sys Treibername: Killer e2200 Gigabit Ethernet Controller (NDIS 6.30)) http://www.herdprotect.com/e22w7x64.sys-05a775471be2c62746bde2add47e3b0 ...
Wenn ich diesen Treiber deinstalliere und von der CD den Treiber aus dem Installationsfolder mir nehme (Treiberfile: l1c51x64.sys, finde Leider keine Referenz. Im Gerätemanager steht folgendes:
Treiberanbieter: Qualcomm Atheros
Treiberdatum: 19.04.2013
Treiberversion: 2.1.0.2
Signaturgeber: Qualcomm Atheros, Inc.
) wird dieser ohne probleme Installiert und im Gerätmanager erscheint der Name "BFTN.L1F%". Keine Ahnung was das heißen soll.Treiberdatum: 19.04.2013
Treiberversion: 2.1.0.2
Signaturgeber: Qualcomm Atheros, Inc.
Mit diesem Treiber installiert, kann ich die VPN-Verbindung ganz einfach aufbauen und alles klappt.
Hat einer eine Ahnung woher das kommen kann oder mir evtl. einen Hinweiß geben wo ich nachsehen kann warum der Treiber was wie blockt? Oder is die ShrewSoft einfach zu "variabel" programmiert und guckt nach dem ersten Treiber der eine "virtuelle Netzwerkkarte" sein könnte und versucht dann seine Befehle über diesen abzuarbeiten?
Hallo,
Klar. Deine Hardware hat es dir doch gar angedroht -
Du bist uns aber nicht Phöse wenn wir deine Hardware nicht kannten. Wir geloben unsere Glaskugeln in Zukunft besser zu Putzen
Gruß
Peter
Klar. Deine Hardware hat es dir doch gar angedroht -
mit einem Killer Network Adapter.
Du bist uns aber nicht Phöse wenn wir deine Hardware nicht kannten. Wir geloben unsere Glaskugeln in Zukunft besser zu Putzen
Gruß
Peter
1
Und installieren sollte man IMMER den aktuellsten Treiber vom Chipsatz Hersteller (Download Website)
Niemals den der schon monatelang auf einer CD sein Dasien fristet...logisch und weiss eigentlich jeder ?!
Niemals den der schon monatelang auf einer CD sein Dasien fristet...logisch und weiss eigentlich jeder ?!
Killer ist eine Marke für gaming Hardware.
Es geht nicht darum dass "ihr eure Glaskugeln nicht richtig geputzt habt" sondern darum, dass es mir nicht bewusst war dass ein Treiber einen anderen sperren kann.
Es geht nicht darum dass "ihr eure Glaskugeln nicht richtig geputzt habt" sondern darum, dass es mir nicht bewusst war dass ein Treiber einen anderen sperren kann.
Killer ist eine Marke für gaming Hardware.
Vertrauenserweckend klingt das nicht gerade und wie man sieht ist das auch nur ein dummer Marketing Name denn es steckt Atheros / Qualcom dahinter...dass es mir nicht bewusst war dass ein Treiber einen anderen sperren kann.
Kommt wohl auch nur beim dummen Winblows vor ?!
