13
VPN Verbindung zwischen Einzel-PC zum Firmennetz mit Router Netgear DG834B
Ich versuche seit Tagen eine VPN Verbindung zwischen einem Einzel-PC (Windows Vista Business) und dem Netgear Router DG834B hinzubekommen, aber es geht einfach nicht.
Ich habe schon viele Foren durchforstet und auch viele nützliche Ansätze gefunden aber keiner davon hat mir wirlich geholfen.
Folgende Konstelation
Einzel PC
Betriebsystem: Windows Vista Business SP1
Internetzugang: UMTS Flat Moobicent (handykarte)
VPN Client: NetScreen Remote VPN Client (gleicher Aufbau wie Netgear Safe Pro VPN Client)
Firmennetzwerk:
Router: Netgear DG834B
2 Rechner (Windows Vista) sind am Router angeschlossen.
Beim Router habe ich den Tunnel wie laut Netgear Support eingerichtet.
Den Client ebendso, aber trotzdem kommt keine Verbindung zu stande.
Protokoll vom Client
My Connections\TEST - Using cached address. (Hostname=hostname.dyndns.info) (IP ADDR=xx.xx.xx.xx)
My Connections\TEST - Attempting to resolve Hostname (hostname.dyndns.info)
My Connections\TEST - Filter entry 5 added: SECURE & 192.168.000.000&255.255.255.000 091.014.082.085
My Connections\TEST - Initiating IKE Phase 1 (Hostname=hostname.dyndns.info) (IP ADDR=xx.xx.xx.xx)
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
My Connections\TEST - message not received! Retransmitting!
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (Retransmission)
My Connections\TEST - message not received! Retransmitting!
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (Retransmission)
My Connections\TEST - message not received! Retransmitting!
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (Retransmission)
My Connections\TEST - Exceeded 3 IKE SA negotiation attempts
My Connections\TEST - Filter entry 5 removed: SECURE & 192.168.000.000&255.255.255.000 091.014.082.085
Beim Router steht nichts im Protokoll, also gehe ich davon aus, das nix ankommt, Oder?
Was läuft da falsch.
Habe auch schon oft gelesen das einige das gleiche Problem hatten es aber dann lösen konnten.
Das blöde daran, sie haben es dann nicht niedergeschrieben wie man es geschaft hat.
Vielleicht kann mir jemand hier helfen, Ihr seit meine letzte aber auch wirklich letzte Hoffnung.
By und vielen Dank im Voraus für Eure eventuellen Bemühungen.
Wenn es noch Fragen gibt, ich beantworte sie gerne, wenn es zu Lösung beiträgt.
Ich habe schon viele Foren durchforstet und auch viele nützliche Ansätze gefunden aber keiner davon hat mir wirlich geholfen.
Folgende Konstelation
Einzel PC
Betriebsystem: Windows Vista Business SP1
Internetzugang: UMTS Flat Moobicent (handykarte)
VPN Client: NetScreen Remote VPN Client (gleicher Aufbau wie Netgear Safe Pro VPN Client)
Firmennetzwerk:
Router: Netgear DG834B
2 Rechner (Windows Vista) sind am Router angeschlossen.
Beim Router habe ich den Tunnel wie laut Netgear Support eingerichtet.
Den Client ebendso, aber trotzdem kommt keine Verbindung zu stande.
Protokoll vom Client
My Connections\TEST - Using cached address. (Hostname=hostname.dyndns.info) (IP ADDR=xx.xx.xx.xx)
My Connections\TEST - Attempting to resolve Hostname (hostname.dyndns.info)
My Connections\TEST - Filter entry 5 added: SECURE & 192.168.000.000&255.255.255.000 091.014.082.085
My Connections\TEST - Initiating IKE Phase 1 (Hostname=hostname.dyndns.info) (IP ADDR=xx.xx.xx.xx)
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
My Connections\TEST - message not received! Retransmitting!
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (Retransmission)
My Connections\TEST - message not received! Retransmitting!
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (Retransmission)
My Connections\TEST - message not received! Retransmitting!
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (Retransmission)
My Connections\TEST - Exceeded 3 IKE SA negotiation attempts
My Connections\TEST - Filter entry 5 removed: SECURE & 192.168.000.000&255.255.255.000 091.014.082.085
Beim Router steht nichts im Protokoll, also gehe ich davon aus, das nix ankommt, Oder?
Was läuft da falsch.
Habe auch schon oft gelesen das einige das gleiche Problem hatten es aber dann lösen konnten.
Das blöde daran, sie haben es dann nicht niedergeschrieben wie man es geschaft hat.
Vielleicht kann mir jemand hier helfen, Ihr seit meine letzte aber auch wirklich letzte Hoffnung.
By und vielen Dank im Voraus für Eure eventuellen Bemühungen.
Wenn es noch Fragen gibt, ich beantworte sie gerne, wenn es zu Lösung beiträgt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92642
Url: https://administrator.de/contentid/92642
Ausgedruckt am: 24.11.2024 um 22:11 Uhr
13 Kommentare
Neuester Kommentar
Welche IP Adresse gibst du den als Zieladresse im VPN Client ein ???
Dir sollte klar sein das das die öffentliche DSL Adresse des NetGear Routers sein muss. Wenn du keine feste IP vom DSL Provider hast wird dir eine dynamische zugeteilt die sich täglich ändert.
Welche du aktuell hast kannst du sehen wenn du mit einem der PCs hinter dem Router auf z.B. www.wieistmeineip.de gehst.
Diese angezeigte IP muss dann die Ziel IP des VPN Clients sein ! Jedenfalls in dem Moment !
Besser ist es hier den DynDNS Client im Router zu aktivieren, denn dann hast du immer einen festen Hostnamen den du connecten kannst unabhängig von der wechselnden IP Adresse des Providers !!
Als 2ter Fallstrick lauert dein Mobilfunkprovider Netz. Manche Provider wie Eplus und O2 setzen hier hier private IPs nach RFC 1918 im Funknetz ein und NATten dann das Mobilfunknetz zentral über ein Gateway ins Internet.
Ist das der Fall hast du keinerlei Chancen dein Szenario zum Fliegen zu bringen, denn VPN Protokolle (wie z.B. dein IPsec) werden über so ein zentrales NAT (Adress Translation Gateway) eines Provider nicht übertragen !!!
Ob du Opfer so eines Providers bist kannst du schnell selber rausfinden:
Buch dich mit deiner UMTS Flat Moobicent (Handykarte) bei deinem Provider ein und gebe mal in der Eingabeaufforderung ipconfig ein.
Damit kannst du sehen welche IP dir der Provider auf dem DFÜ Interface (UMTS) zugewiesen hat.
Ist es eine RFC 1918 Adresse:
http://de.wikipedia.org/wiki/Private_IP-Adresse
(10.x.x.x, 172.16-32.x.x, 192.168.x.x)
hast du keinerlei Chance ! Das klappt dann nur wenn du den Provider oder den Tarif wechselst und eine öffentliche IP bekommst.
Diese beiden Punkte gilt es also zu checken !!!
Dir sollte klar sein das das die öffentliche DSL Adresse des NetGear Routers sein muss. Wenn du keine feste IP vom DSL Provider hast wird dir eine dynamische zugeteilt die sich täglich ändert.
Welche du aktuell hast kannst du sehen wenn du mit einem der PCs hinter dem Router auf z.B. www.wieistmeineip.de gehst.
Diese angezeigte IP muss dann die Ziel IP des VPN Clients sein ! Jedenfalls in dem Moment !
Besser ist es hier den DynDNS Client im Router zu aktivieren, denn dann hast du immer einen festen Hostnamen den du connecten kannst unabhängig von der wechselnden IP Adresse des Providers !!
Als 2ter Fallstrick lauert dein Mobilfunkprovider Netz. Manche Provider wie Eplus und O2 setzen hier hier private IPs nach RFC 1918 im Funknetz ein und NATten dann das Mobilfunknetz zentral über ein Gateway ins Internet.
Ist das der Fall hast du keinerlei Chancen dein Szenario zum Fliegen zu bringen, denn VPN Protokolle (wie z.B. dein IPsec) werden über so ein zentrales NAT (Adress Translation Gateway) eines Provider nicht übertragen !!!
Ob du Opfer so eines Providers bist kannst du schnell selber rausfinden:
Buch dich mit deiner UMTS Flat Moobicent (Handykarte) bei deinem Provider ein und gebe mal in der Eingabeaufforderung ipconfig ein.
Damit kannst du sehen welche IP dir der Provider auf dem DFÜ Interface (UMTS) zugewiesen hat.
Ist es eine RFC 1918 Adresse:
http://de.wikipedia.org/wiki/Private_IP-Adresse
(10.x.x.x, 172.16-32.x.x, 192.168.x.x)
hast du keinerlei Chance ! Das klappt dann nur wenn du den Provider oder den Tarif wechselst und eine öffentliche IP bekommst.
Diese beiden Punkte gilt es also zu checken !!!
Also vielen dank schon mal.
Diese Vermutung mit der RFC 1918 Adresse hatte ich auch schon.
Unter ipconfig zeigt er mir eine 72.24.105.xxx an, das wird dann wohl so eine sein.
Habe auch schon in der Windows Firwall die Ports freigeschaltet, aber ein scan beweist das sie troztdem zu sind von aussen.
Naja, werde es dann mal mit einem DSL Zugang (z.B. T-Online) testen.
schön wäre noch zu wisssen, welche Ports genau für die IPSEC geschichte oder auch PPTP benötigt werden,
Also ich melde mich dann nochmal.
Diese Vermutung mit der RFC 1918 Adresse hatte ich auch schon.
Unter ipconfig zeigt er mir eine 72.24.105.xxx an, das wird dann wohl so eine sein.
Habe auch schon in der Windows Firwall die Ports freigeschaltet, aber ein scan beweist das sie troztdem zu sind von aussen.
Naja, werde es dann mal mit einem DSL Zugang (z.B. T-Online) testen.
schön wäre noch zu wisssen, welche Ports genau für die IPSEC geschichte oder auch PPTP benötigt werden,
Also ich melde mich dann nochmal.
Hallo,
dein Router macht sicher auch NAT, auch da müssen die Ports 'weitergeleitet' werden.
PPTP:
TCP 1723
GRE
IPSec:
UDP 500
(UDP 4500) NAT-T
ESP
AH
Grüße, Steffen
dein Router macht sicher auch NAT, auch da müssen die Ports 'weitergeleitet' werden.
PPTP:
TCP 1723
GRE
IPSec:
UDP 500
(UDP 4500) NAT-T
ESP
AH
Grüße, Steffen
Du kannst scheinbar nicht lesen oder hast dir den Wiki Artikel nicht richtig durchgelesen !!!
Private IP Adressen haben wie oben bereits geschrieben: (10.x.x.x, 172.16-32.x.x, 192.168.x.x)
Man kann nicht erkennen das diese Privaten IPs mit 72.x.x.x anfangen oder ?? Folglich ist dann wohl deine IP eine öffentliche und du hast Glück !
Fazit: Das Problem fällt also schon mal weg, denn die 72.x.x.x ist eine öffentliche IP.
Hast du denn wenigstens mal in der Eingabeaufforderung versucht die DSL IP Adresse des Routers zu pingen ??
Auch dazu schreibst du leider rein gar nix
IPsec und PPTP nutzen folgende Ports:
IPsec
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll (Protokoll Nummer 50)
PPTP
TCP 1723
GRE Protokoll (Protokoll Nummer 47)
PPTP ist aber für dich obsolet, da dein NetGear nur den IPsec Zugang supportet mit einem proprietären Client (NetGear ProSafe).
PPTP supportet der nicht. VPN technisch ist NetGear leider nicht die erste Wahl bei Hardware
Besser wäre hier ein Router von z.B. Draytek gewesen, der auch das bordeigene PPTP supportet was Windows, Mac, Linux und fast alle PDAs schon von sich aus an Bord haben und eben keinen externen Client erfordert.
Damit funktionieren VPN dann fast immer auf Mausklick !
Private IP Adressen haben wie oben bereits geschrieben: (10.x.x.x, 172.16-32.x.x, 192.168.x.x)
Man kann nicht erkennen das diese Privaten IPs mit 72.x.x.x anfangen oder ?? Folglich ist dann wohl deine IP eine öffentliche und du hast Glück !
Fazit: Das Problem fällt also schon mal weg, denn die 72.x.x.x ist eine öffentliche IP.
Hast du denn wenigstens mal in der Eingabeaufforderung versucht die DSL IP Adresse des Routers zu pingen ??
Auch dazu schreibst du leider rein gar nix
IPsec und PPTP nutzen folgende Ports:
IPsec
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll (Protokoll Nummer 50)
PPTP
TCP 1723
GRE Protokoll (Protokoll Nummer 47)
PPTP ist aber für dich obsolet, da dein NetGear nur den IPsec Zugang supportet mit einem proprietären Client (NetGear ProSafe).
PPTP supportet der nicht. VPN technisch ist NetGear leider nicht die erste Wahl bei Hardware
Besser wäre hier ein Router von z.B. Draytek gewesen, der auch das bordeigene PPTP supportet was Windows, Mac, Linux und fast alle PDAs schon von sich aus an Bord haben und eben keinen externen Client erfordert.
Damit funktionieren VPN dann fast immer auf Mausklick !
Danke für deine offene Art.
Klar kann ich lesen, nur hab ich heute echt kein kopf mehr dafür, weil wir das langsam an die nerven geht.
Hier also was du wissen willst.
Beim router habe ich eine Dyndns eingerichtet.
die IP des routers ist 91.14.xx.xxx
also auch öffentlich, Glück gehabt
Im Client steht auch die Hostadresse von Dyndns dir,sprich: xxxxxx.dyndns.info
So nun stellt sich aber die Frage, trozt das ich die Ports geöffnet habe, zeigt der scan das alles zu ist.
Und gerne würde ich noch wissen, wie man das ESP Protokoll (Protokoll Nummer 50) unter Windows Vista akteviert.
Man bedenke ich kann nur in der Firewall Einstellungen vornehmen.
Klar kann ich lesen, nur hab ich heute echt kein kopf mehr dafür, weil wir das langsam an die nerven geht.
Hier also was du wissen willst.
Beim router habe ich eine Dyndns eingerichtet.
die IP des routers ist 91.14.xx.xxx
also auch öffentlich, Glück gehabt
Im Client steht auch die Hostadresse von Dyndns dir,sprich: xxxxxx.dyndns.info
So nun stellt sich aber die Frage, trozt das ich die Ports geöffnet habe, zeigt der scan das alles zu ist.
Und gerne würde ich noch wissen, wie man das ESP Protokoll (Protokoll Nummer 50) unter Windows Vista akteviert.
Man bedenke ich kann nur in der Firewall Einstellungen vornehmen.
Was meinst du mit "aktiviert" ??? Das es durch die Firewall kommt ??
ESP (Encapsulation Security Payload) ist Teil des IPsec Stacks.
Ggf. schaltest du die Firewall von Vista einmal testweise aus sofern sie das ausgehend blockieren sollte, was aber höchst ungewöhnlich wäre !
Installier dir sonst schnell mal einen Paket Sniffer wie den Wireshark oder den MS NetMonitor
http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8- ...
und checke ob die IPsec bzw. ESP Packete überhaupt rausgehen !
ESP (Encapsulation Security Payload) ist Teil des IPsec Stacks.
Ggf. schaltest du die Firewall von Vista einmal testweise aus sofern sie das ausgehend blockieren sollte, was aber höchst ungewöhnlich wäre !
Installier dir sonst schnell mal einen Paket Sniffer wie den Wireshark oder den MS NetMonitor
http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8- ...
und checke ob die IPsec bzw. ESP Packete überhaupt rausgehen !
Ok, werde ich tun.
Die Firewall hatte ich schon testweise aus, aber ging trotzdem nix
Die Firewall hatte ich schon testweise aus, aber ging trotzdem nix
Was noch stutzig macht ist das du zum NetGear nicht deren VPN Client benutzt das kann auch ein Problem sein. Netscreen ist ein Juniper Client der vermutlich nicht mit dem NetGear supportet ist auch das musst du in Erwägung ziehen.
VPN Client ist nicht VPN Client wenn es IPsec ist. Bei PPTP sieht das etwas anders aus !
VPN Client ist nicht VPN Client wenn es IPsec ist. Bei PPTP sieht das etwas anders aus !
Nochmal, auch das NAT kann den Traffic blocken. NAT setzt üblicherweise vor SIF an.
Guten Morgen,
NetMonitor hat mir unteranderem dies hier ausgespuckt.
DNS: QueryId = 0x248C, QUERY (Standard query), Query for wpad of type ALL on class Internet
DNS: QueryId = 0x248C, QUERY (Standard query), Response - Success
DNS DNS: QueryId = 0xFEBE, QUERY (Standard query), Query for xxx.dyndns.info of type Host DNS: QueryId = 0xFEBE, QUERY (Standard query), Response - Success
xxx.dyndns.info IKE IKE: version = 1.0, Identity protection (Main Mode), Flags = ..., Length = 112
xxx.dyndns.info BIRKHOLZ-PC ICMP ICMP: Destination Unreachable Message, 77.24.115.xxx
BIRKHOLZ-PC 10.11.12.13 NbtNs NbtNs: Refresh Request for BIRKHOLZ-PC <0x20> File Server Service, 77.24.115.164
xxx.dyndns.info IKE IKE: version = 1.0, Identity protection (Main Mode), Flags = ..., Length = 112
xxx.dyndns.info BIRKHOLZ-PC ICMP ICMP: Destination Unreachable Message, 77.24.115.164
NbtNs NbtNs: Refresh Request for BIRKHOLZ-PC <0x20> File Server Service, 77.24.115.xxx
NbtNs NbtNs: Refresh Request for BIRKHOLZ-PC <0x20> File Server Service, 77.24.115.xxx
NbtNs: Refresh Request for BIRKHOLZ-PC <0x00> Workstation Service, 77.24.115.xxx
NetMonitor hat mir unteranderem dies hier ausgespuckt.
DNS: QueryId = 0x248C, QUERY (Standard query), Query for wpad of type ALL on class Internet
DNS: QueryId = 0x248C, QUERY (Standard query), Response - Success
DNS DNS: QueryId = 0xFEBE, QUERY (Standard query), Query for xxx.dyndns.info of type Host DNS: QueryId = 0xFEBE, QUERY (Standard query), Response - Success
xxx.dyndns.info IKE IKE: version = 1.0, Identity protection (Main Mode), Flags = ..., Length = 112
xxx.dyndns.info BIRKHOLZ-PC ICMP ICMP: Destination Unreachable Message, 77.24.115.xxx
BIRKHOLZ-PC 10.11.12.13 NbtNs NbtNs: Refresh Request for BIRKHOLZ-PC <0x20> File Server Service, 77.24.115.164
xxx.dyndns.info IKE IKE: version = 1.0, Identity protection (Main Mode), Flags = ..., Length = 112
xxx.dyndns.info BIRKHOLZ-PC ICMP ICMP: Destination Unreachable Message, 77.24.115.164
NbtNs NbtNs: Refresh Request for BIRKHOLZ-PC <0x20> File Server Service, 77.24.115.xxx
NbtNs NbtNs: Refresh Request for BIRKHOLZ-PC <0x20> File Server Service, 77.24.115.xxx
NbtNs: Refresh Request for BIRKHOLZ-PC <0x00> Workstation Service, 77.24.115.xxx
Der macht lediglich nur eine DynDNS Abfrage per DNS auf deinen DynDNS Hostnamen ! Von IPsec oder einem VPN Tunnelaufbau ist da weit und breit nichts zu sehen !!!
Kann auch gar nicht nicht, denn wie du am Sniffer Trace ganz klar sehen kannst bekommt dein Client eine ICMP Unreachable Message !!
xxx.dyndns.info BIRKHOLZ-PC ICMP ICMP: Destination Unreachable Message, 77.24.115.164
zurück !!!
Da scheitert also schon grundsätzlich das IP Routing zu 77.24.115.164 so das es gar nicht erst zu einem Tunnelaufbau des IPsec VPN Tunnels kommt.
Da musst du wohl erstmal das Routingproblem beseitigen !
Kannst du die 77.24.115.164 pingen ???
Was sagt ein Traceroute oder Pathping auf diese IP ?? (Bzw. die aktuelle IP des VPN Routers) ?
Kann auch gar nicht nicht, denn wie du am Sniffer Trace ganz klar sehen kannst bekommt dein Client eine ICMP Unreachable Message !!
xxx.dyndns.info BIRKHOLZ-PC ICMP ICMP: Destination Unreachable Message, 77.24.115.164
zurück !!!
Da scheitert also schon grundsätzlich das IP Routing zu 77.24.115.164 so das es gar nicht erst zu einem Tunnelaufbau des IPsec VPN Tunnels kommt.
Da musst du wohl erstmal das Routingproblem beseitigen !
Kannst du die 77.24.115.164 pingen ???
Was sagt ein Traceroute oder Pathping auf diese IP ?? (Bzw. die aktuelle IP des VPN Routers) ?
Hallo,
ich bin jetzt mal bei dem, wo das ganze funktionieren soll, der hat eine FritzBox 7050 und DsL T-Online.
Also pathping sagt folgendes:
routenverfolgung zu xxx.dyndns.info
Über max. 30 Abschnitte
0 Chef 192.168.178.29
1 Fritz.fonwlan.box 192.168.178.1
2 * * *
Berechnungen der Statistiken dauert 25 Sekunden
und dann listet er den chef rechner und die fritzbox nochal auf und das wars dann auch,
kommt wohl beim router garnicht an
wenn ich normal ping an xxx.dyndns.info dan geht es aber und zeigt auch die ip dazu
ich bin jetzt mal bei dem, wo das ganze funktionieren soll, der hat eine FritzBox 7050 und DsL T-Online.
Also pathping sagt folgendes:
routenverfolgung zu xxx.dyndns.info
Über max. 30 Abschnitte
0 Chef 192.168.178.29
1 Fritz.fonwlan.box 192.168.178.1
2 * * *
Berechnungen der Statistiken dauert 25 Sekunden
und dann listet er den chef rechner und die fritzbox nochal auf und das wars dann auch,
kommt wohl beim router garnicht an
wenn ich normal ping an xxx.dyndns.info dan geht es aber und zeigt auch die ip dazu
Es ist die Frage woher die ICMP unreachable Meldung her kommt. Die gibt eine Router immer aus an den Client wenn er keine Route zum Zielnetz hat.
In der Beziehung kommen die Connect Request Packete des VPN Clients niemals am Ziel an, was dein Log im VPN Router ja auch ganz klar zeigt. Theoretisch kann es sein das IPsec gefiltert wird aber das wäre sehr ungewöhnlich....
In der Beziehung kommen die Connect Request Packete des VPN Clients niemals am Ziel an, was dein Log im VPN Router ja auch ganz klar zeigt. Theoretisch kann es sein das IPsec gefiltert wird aber das wäre sehr ungewöhnlich....
