johannesh
Goto Top

VPN Verbindung zwischen FVS318V1 und FVS318V3

"Rookie" braucht hilfe

Da dies mein erster Eintrag ist, erst einmal ein "Hallo" an alle !

Ich hoffe a) das ich hier richtig bin und b) das ich vorher richtig gesucht habe und nicht eine Lösung zu meinem Problem übersehen habe !

Zu meinem Problem:

Ich möchte zwischen zwei Netgear Routern (einmal FVS318V1 und einmal FVS318V3) einen VPN Tunnel aufbauen.
Da beide Geräte über unterschiedliche Konfigurationsmasken verfügen und dies mein erster Versuch ist VPN einzusetzen, bin ich ein wenig "überfordert".
Bisher habe ic hversucht nach der VPN- Anleitung von Netgear die Verbindung aufzubauen, was aber lt Logfiles nicht funktioniert.
Leider habe ich den "Versuchsaufbau" momentan bereits wieder rückgängi gemacht, um nicht irgenwelche Lücken offen zu lassen.
Daher liegen aktuell keine LogFiles zum posten vor, werden aber bei Bedarf zeitnah erstellt.

Meine Frage wäre nun, ob jemand von Euch bereits eine VPN Verbindung mit zwei Routern dieses Typs aufgebaut hat und betreibt und ob dieser jemand mir entsprechend Tips geben kann, auf was ich achten muss.

Bin für jede Kritik und Anregung offen

Grüße
Johannes

Content-Key: 42513

Url: https://administrator.de/contentid/42513

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: switch6343
switch6343 18.10.2006 um 18:40:13 Uhr
Goto Top
Die Logfiles sind schon wichtig, also ich empfehle dir diese hier zu publizieren. Hast du die neueste Firmwares von NETGEAR aufgespielt?

Übrigens, bitte die Logfiles von beide Geräte publizieren. Dann werden wir mal schauen warum es nicht funktioniert. Setzt du Pre-Shared keys ein? Sollten bei NETGEAR nicht länger sein als 49 alpha-numerische Zeichen. Auch wichtig: Policy Name immer klein schreiben z.B. roadwarrior (und nicht z.B. Roadwarrior).
Mitglied: johannesh
johannesh 18.10.2006 um 19:23:05 Uhr
Goto Top
OK baue das ganze wieder auf und poste dann die jeweiligen Logs.
Da ich heute noch bis um 22:00 Uhr am Schreibtisch sitze, werde ich vermutlich erst morgen dazu kommen ...

so long
Johannes
Mitglied: johannesh
johannesh 19.10.2006 um 23:33:44 Uhr
Goto Top
OK,

hab jetzt alles nocheinmal aufgebaut und versuche hier möglichst alles komplett wiederzugeben (wenn was fehlt --> schreien !!!)

*

Router Config Standort A:

Router FVS318 V1

Alle Einträge wurden durch verwendung des VPN-Wizards erzeugt

VPN Settings – Main Mode

Connection Name: Test2
Local IPSec Identifier: 0.0.0.0
Remote IPSec Identifier: 0.0.0.0
Tunnel can be accesd from: a subnet of local address
Local LAN start IP Adress: 192.168.0.0
Local LAN IP Subnetmask: 255.255.255.0
Tunnel can access: a subnet of remote address
Remote Lan start IP: 192.168.10.0
Remote LAN IP Subnetmask: 255.255.255.0
Remote WAN IP or FQDN: StandortB.dyndns.org
Secure Association: Main Mode
Perfect Forward Secrecy: Disabled
Encryption Protocol: 3DES
PSK: 43 stellig durch generator erzeugt (hatte gelesen, das der Netgear keine vollen 63 Stellen abkann
Key Life: 28800
IKE Life Time: 86400
Netbios: Enable

*

VPN Protokoll vom Standort A: (Verbindungsaufbau gestartet durch ping auf 192.168.10.3)

START LOG:

Wed, 10/18/2006 23:21:57 - FVS318 IPsec:call ipsecdoi_initiate
Wed, 10/18/2006 23:21:57 - FVS318 IPsec:New State index:0, sno:1
Wed, 10/18/2006 23:21:57 - FVS318 IPsec:Initiating Main Mode
Wed, 10/18/2006 23:21:57 - FVS318 IKE:[Test2] Initializing IKE Main Mode
Wed, 10/18/2006 23:21:57 - FVS318 IKE:[Test2] TX >> MM_I1 : 84.152.0.238
Wed, 10/18/2006 23:21:57 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #1
Wed, 10/18/2006 23:21:57 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:21:57 - FVS318 IKE:[Test2] RX << MM_R1 : 84.152.0.238
Wed, 10/18/2006 23:21:57 - FVS318 IPsec:Oakley Transform 0 accepted
Wed, 10/18/2006 23:21:57 - FVS318 IKE:OAKLEY_PRESHARED_KEY/OAKLEY_3DES_CBC/MODP1024
Wed, 10/18/2006 23:21:57 - FVS318 IKE:[Test2] TX >> MM_I2 : 84.152.0.238
Wed, 10/18/2006 23:21:57 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #1
Wed, 10/18/2006 23:21:59 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:21:59 - FVS318 IKE:[Test2] RX << MM_R2 : 84.152.0.238
Wed, 10/18/2006 23:21:59 - FVS318 IKE:[Test2] TX >> MM_I3 : 84.152.0.238
Wed, 10/18/2006 23:21:59 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #1
Wed, 10/18/2006 23:22:05 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:22:05 - FVS318 IPsec:loglog[3] discarding duplicate packet; already STATE_MAIN_I3
Wed, 10/18/2006 23:22:07 - FVS318 IPsec:handling event EVENT_RETRANSMIT for 549800ee "Test2" #1
Wed, 10/18/2006 23:22:07 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #1
Wed, 10/18/2006 23:22:13 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:22:13 - FVS318 IPsec:loglog[3] discarding duplicate packet; already STATE_MAIN_I3
Wed, 10/18/2006 23:22:17 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:22:17 - FVS318 IPsec:loglog[3] discarding duplicate packet; already STATE_MAIN_I3
Wed, 10/18/2006 23:22:23 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:22:23 - FVS318 IKE:[Test2] RX << XCHG_INFO : 84.152.0.238
Wed, 10/18/2006 23:22:23 - FVS318 IPsec:Enter Process_DeleteSA() spi_len=16
Wed, 10/18/2006 23:22:23 - FVS318 IKE:RX << DELETE ISAKMP SA : 84.152.0.238 ,I-R=2a 9e 78 65 fd 95 20 cd 71 53 f2 b3 b5 26 87 e5
Wed, 10/18/2006 23:22:23 - FVS318 IKE:[Test2] ISAKMP SAs were Deleted!
Wed, 10/18/2006 23:22:27 - FVS318 IPsec:call ipsecdoi_initiate
Wed, 10/18/2006 23:22:27 - FVS318 IPsec:New State index:0, sno:2
Wed, 10/18/2006 23:22:27 - FVS318 IPsec:Initiating Main Mode
Wed, 10/18/2006 23:22:27 - FVS318 IKE:[Test2] Initializing IKE Main Mode
Wed, 10/18/2006 23:22:27 - FVS318 IKE:[Test2] TX >> MM_I1 : 84.152.0.238
Wed, 10/18/2006 23:22:27 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #2
Wed, 10/18/2006 23:22:27 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:22:27 - FVS318 IKE:[Test2] RX << MM_R1 : 84.152.0.238
Wed, 10/18/2006 23:22:27 - FVS318 IPsec:Oakley Transform 0 accepted
Wed, 10/18/2006 23:22:27 - FVS318 IKE:OAKLEY_PRESHARED_KEY/OAKLEY_3DES_CBC/MODP1024
Wed, 10/18/2006 23:22:27 - FVS318 IKE:[Test2] TX >> MM_I2 : 84.152.0.238
Wed, 10/18/2006 23:22:27 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #2
Wed, 10/18/2006 23:22:29 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:22:29 - FVS318 IKE:[Test2] RX << MM_R2 : 84.152.0.238
Wed, 10/18/2006 23:22:29 - FVS318 IKE:[Test2] TX >> MM_I3 : 84.152.0.238
Wed, 10/18/2006 23:22:29 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #2
Wed, 10/18/2006 23:22:35 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:22:35 - FVS318 IPsec:loglog[3] discarding duplicate packet; already STATE_MAIN_I3
Wed, 10/18/2006 23:22:37 - FVS318 IPsec:handling event EVENT_RETRANSMIT for 549800ee "Test2" #2
Wed, 10/18/2006 23:22:37 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #2
Wed, 10/18/2006 23:22:41 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:22:41 - FVS318 IPsec:loglog[3] discarding duplicate packet; already STATE_MAIN_I3
Wed, 10/18/2006 23:22:47 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:22:47 - FVS318 IPsec:loglog[3] discarding duplicate packet; already STATE_MAIN_I3
Wed, 10/18/2006 23:22:51 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:22:51 - FVS318 IKE:[Test2] RX << XCHG_INFO : 84.152.0.238
Wed, 10/18/2006 23:22:51 - FVS318 IPsec:Enter Process_DeleteSA() spi_len=16
Wed, 10/18/2006 23:22:51 - FVS318 IKE:RX << DELETE ISAKMP SA : 84.152.0.238 ,I-R=99 b1 50 32 aa a a6 a3 37 7c 50 48 c4 64 8c b0
Wed, 10/18/2006 23:22:51 - FVS318 IKE:[Test2] ISAKMP SAs were Deleted!
Wed, 10/18/2006 23:23:01 - FVS318 IPsec:call ipsecdoi_initiate
Wed, 10/18/2006 23:23:01 - FVS318 IPsec:New State index:0, sno:3
Wed, 10/18/2006 23:23:01 - FVS318 IPsec:Initiating Main Mode
Wed, 10/18/2006 23:23:01 - FVS318 IKE:[Test2] Initializing IKE Main Mode
Wed, 10/18/2006 23:23:01 - FVS318 IKE:[Test2] TX >> MM_I1 : 84.152.0.238
Wed, 10/18/2006 23:23:01 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #3
Wed, 10/18/2006 23:23:01 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:23:01 - FVS318 IKE:[Test2] RX << MM_R1 : 84.152.0.238
Wed, 10/18/2006 23:23:01 - FVS318 IPsec:Oakley Transform 0 accepted
Wed, 10/18/2006 23:23:01 - FVS318 IKE:OAKLEY_PRESHARED_KEY/OAKLEY_3DES_CBC/MODP1024
Wed, 10/18/2006 23:23:01 - FVS318 IKE:[Test2] TX >> MM_I2 : 84.152.0.238
Wed, 10/18/2006 23:23:01 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #3
Wed, 10/18/2006 23:23:03 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:23:03 - FVS318 IKE:[Test2] RX << MM_R2 : 84.152.0.238
Wed, 10/18/2006 23:23:03 - FVS318 IKE:[Test2] TX >> MM_I3 : 84.152.0.238
Wed, 10/18/2006 23:23:03 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #3
Wed, 10/18/2006 23:23:09 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:23:09 - FVS318 IPsec:loglog[3] discarding duplicate packet; already STATE_MAIN_I3
Wed, 10/18/2006 23:23:11 - FVS318 IPsec:handling event EVENT_RETRANSMIT for 549800ee "Test2" #3
Wed, 10/18/2006 23:23:11 - FVS318 IPsec:inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #3
Wed, 10/18/2006 23:23:17 - FVS318 IPsec:Receive Packet address:0x1396850 from 84.152.0.238
Wed, 10/18/2006 23:23:17 - FVS318 IPsec:loglog[3] discarding duplicate packet; already STATE_MAIN_I3

End of Log ----------

*

Router Config Standort B:

Router Netgear FVS318 V3

Hier ist es notwendig erst eine IKE Policy zu erstellen und dann kann erst der VPN Wizard gestartet werden.

Config der IKE Policy:

General
Policy Name: BRK-Hasler
Direction/Typ: Both Directions
Exchange Mode: Main Mode

Local
Local Identify Type: FQDN
Local Identify Data: StandortB.dyndns.org

Remote
Remote Identify Type: FQDN
Local Identify Data: StandortA.dyndns.org

IKE SA Parameters
Encryption Algorithm: 3DES
Authentication Algorithm: SHA-1
Authentication Method: PSK
PSK: identischer 43 stelliger Key wie im Standort A
Diffie-Hellman (DH) Group: Group2(1024Bit)
SA Life Time: 86400 secs


VPN Auto Policy Daten:

Policy Name: BRK-Hasler
IKE-Policy: BRK-Hasler (per drop Down augewählt)
Remote VPN Endpoint: Adress Type: FQDN
Adress Data: StandortA.dyndns.org

SA Life Time: 3600 sec
100000 kbytes

IPSEC PFS: PFS Key Group: Group2(1024Bit)

Traffic Selector:

Local IP: Any
Remote IP: Any

AH Configuration: nicht aktiviert

ESP Configuration:

Enable Encryption: Encryption Algorithm: 3DES
Enable Authentication: Authentication Algorith: SHA-1

Netbios enabled

*

VPN Protokoll vom Standort B (Verbindungsaufbau gestartet mit Ping auf 192.168.0.1):


[2006-10-18 21:43:27][==== IKE PHASE 1(to 88.64.21.191) START (initiator) ====]
[2006-10-18 21:43:27] SENT OUT FIRST MESSAGE OF MAIN MODE
[2006-10-18 21:43:27]<POLICY: BRK-Hasler> PAYLOADS: SA,PROP,TRANS
[2006-10-18 21:43:47] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2006-10-18 21:43:47]<POLICY: BRK-Hasler> PAYLOADS: DEL
[2006-10-18 21:44:19][==== IKE PHASE 1(to 88.64.21.191) START (initiator) ====]
[2006-10-18 21:44:19] SENT OUT FIRST MESSAGE OF MAIN MODE
[2006-10-18 21:44:19]<POLICY: BRK-Hasler> PAYLOADS: SA,PROP,TRANS
[2006-10-18 21:44:40] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2006-10-18 21:44:40]<POLICY: BRK-Hasler> PAYLOADS: DEL
[2006-10-18 21:44:41][==== IKE PHASE 1(to 88.64.21.191) START (initiator) ====]
[2006-10-18 21:44:41] SENT OUT FIRST MESSAGE OF MAIN MODE
[2006-10-18 21:44:41]<POLICY: BRK-Hasler> PAYLOADS: SA,PROP,TRANS
[2006-10-18 21:45:01] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2006-10-18 21:45:01]<POLICY: BRK-Hasler> PAYLOADS: DEL
[2006-10-18 21:45:02][==== IKE PHASE 1(to 88.64.21.191) START (initiator) ====]
[2006-10-18 21:45:02] SENT OUT FIRST MESSAGE OF MAIN MODE
[2006-10-18 21:45:02]<POLICY: BRK-Hasler> PAYLOADS: SA,PROP,TRANS
[2006-10-18 21:45:22] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2006-10-18 21:45:22]<POLICY: BRK-Hasler> PAYLOADS: DEL
[2006-10-18 21:45:25][==== IKE PHASE 1(to 88.64.21.191) START (initiator) ====]
[2006-10-18 21:45:25] SENT OUT FIRST MESSAGE OF MAIN MODE
[2006-10-18 21:45:25]<POLICY: BRK-Hasler> PAYLOADS: SA,PROP,TRANS
[2006-10-18 21:45:45] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2006-10-18 21:45:45]<POLICY: BRK-Hasler> PAYLOADS: DEL
[2006-10-18 21:45:47][==== IKE PHASE 1(to 88.64.21.191) START (initiator) ====]
[2006-10-18 21:45:47] SENT OUT FIRST MESSAGE OF MAIN MODE
[2006-10-18 21:45:47]<POLICY: BRK-Hasler> PAYLOADS: SA,PROP,TRANS

***

Mir ist beim anschauen der Protokolle aufgefallen, das die Zeit des Routers an Standort B nicht stimmt!
Das Protokoll wurde heute morgen um 07:45 geschrieben. Routerzeit sollte also eigentlich 06:45 sein !?

Sonst weiß ich leider nicht, was ich falsch mache oder übersehe.
Wie gesagt, die beiden unterschiedlichen Configurationswege überfordern mich ein wenig …

Mit der Bitte um Hilfe
Grüße
Johannes
Mitglied: switch6343
switch6343 20.10.2006 um 03:42:38 Uhr
Goto Top
Du hasst Perfect Forward Secrecy in FVS318V1 disabled und in FVS318V3 enabled, wie ich das verstehe. Entweder beide disablen oder enablen. Zuerst mal beide disablen.

Dann sehen wir weiter.
Mitglied: johannesh
johannesh 20.10.2006 um 08:45:41 Uhr
Goto Top
PFS am Standort B abgeschaltet,
Ping auf 192.168.0.1

LOG vom Standort B:

[2006-10-19 22:43:02]<POLICY: BRK-Hasler> PAYLOADS: DEL
[2006-10-19 22:43:04][==== IKE PHASE 1(to 88.64.7.171) START (initiator) ====]
[2006-10-19 22:43:04] SENT OUT FIRST MESSAGE OF MAIN MODE
[2006-10-19 22:43:04]<POLICY: BRK-Hasler> PAYLOADS: SA,PROP,TRANS
[2006-10-19 22:43:25] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2006-10-19 22:43:25]<POLICY: BRK-Hasler> PAYLOADS: DEL
[2006-10-19 22:43:27][==== IKE PHASE 1(to 88.64.7.171) START (initiator) ====]
[2006-10-19 22:43:27] SENT OUT FIRST MESSAGE OF MAIN MODE
[2006-10-19 22:43:27]<POLICY: BRK-Hasler> PAYLOADS: SA,PROP,TRANS
[2006-10-19 22:43:47] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2006-10-19 22:43:47]<POLICY: BRK-Hasler> PAYLOADS: DEL
[2006-10-19 22:43:48][==== IKE PHASE 1(to 88.64.7.171) START (initiator) ====]
[2006-10-19 22:43:48] SENT OUT FIRST MESSAGE OF MAIN MODE
[2006-10-19 22:43:48]<POLICY: BRK-Hasler> PAYLOADS: SA,PROP,TRANS

Log vom Standort A kann ich leider erst wieder abends posten.

Johannes
Mitglied: switch6343
switch6343 20.10.2006 um 15:44:10 Uhr
Goto Top
Du solltest Policy names and Connection names so einfach wie möglich gestalten:

1. kleinschreiben z.B test, aber nicht Test oder test1 oder Test2.
2. nur alphabetisch, also nicht BK-Hasler aber z.B. bkhasler (keine Symbolen wie -) und nicht test1 oder test2 aber test.

Jetz mal schauen wie es jetzt geht.
Mitglied: johannesh
johannesh 20.10.2006 um 18:59:39 Uhr
Goto Top
Werde das heute noch umsetzen und sehen was passiert.
Was mir beim ändern des Connection Names an Standort A jetzt noch aufgefallen ist, das hier im Router unter Local IPSec ID und Remote IPSec ID jeweils 0.0.0.0 eingetragen ist.
Dieser Wert ist doch aber meines Wissens auch wichtig für das zustandekommen der Verbindung ?
Wenn ja, wo trage ich das beim Router an Standort B ein ? Ein sobezeichnetes Feld gibt es nicht, oder bin ich blind ?

Johannes
Mitglied: switch6343
switch6343 20.10.2006 um 19:51:25 Uhr
Goto Top
IP Address 0.0.0.0 bedeutet dass es jede IP Address sein kann. Die Alternative wäre, dass du eine bestimmte IP Addresse eingibst.

Zum Beispiel ein Virtual Adapter hat IP Addresse 0.0.0.0.
Mitglied: switch6343
switch6343 20.10.2006 um 20:21:10 Uhr
Goto Top
zur Zeit ist netgear.de down. Aber wenn es wieder online ist empfehle ich dir dieses Dokumnet herunter zu laden: "VPN-Beispielkonfigurationen". Es ist eine 113 Seitige PDF file. Sehr zu empfehlen!
Mitglied: johannesh
johannesh 23.10.2006 um 16:37:48 Uhr
Goto Top
habe mir das Dokument runtergeladen und werde es ersteinmal ausgiebig studieren, sollten dann noch fragen offen sein, werde ich auf jeden Fall wieder "schreien" ...

Bis dahin ersteinmal danke für die Hilfe
Johannes