firestone3112
Goto Top

VPN Zugriff mit Shrew auf Netgear FVS318v3

habe zum o.g. Netgear Router einen Software VPN Client bekommen welcher unter Windows 7 nicht mehr funktioniert. Einer der unter Windows 7 funktioniert ist kostenpflichtig. Diese Unternehmenspolitik finde ich nicht gut aber ein Supporter sagte mir das auch der kostenlose VPN Client Shrew unterstützt wird.

Ich habe diesen nun erst einmal unter Windows XP installilert (da dort der Netgear VPN CLient funktioniert) , aber da ich nun nicht der große VPN Experte bin, weiß ich nicht wirklich wie ich die Konfiguration vom Netgear VPN CLient auf den Shrew übertragen kann. Shrew verwendet teilweise andere Begrifflichkeiten.
Kann mir dabei behilflich sein?

Herzlichen Dank.

Beste Grüße.

Hans


Folgende Einstellungen verwendet der Netgear VPN Client:

Connection Security = Secure

Remote Party Identity:
ID Type = IP Subnet
Subnet = 10.10.5.0
Mask = 255.255.255.0
Protocol = All
Use = Secure Gateway Tunnel
ID Type = IP Address = x.x.x.x (feste IP des Providers)

My Identity:
Certificate = None
ID Type = E-mail Address = client1@ (dies muss laut Support so eingestellt werden und jeder Client wird fortlaufend nummeriert)
Virtual Adapter = Required
Internal Network IP Address = 10.10.3.3
Inernet Interface = Any

Phase 1 = Aggressive Mode
PFS Key Group = Diffie-Hellman Group 2
Enable Replay Detection = Y

Phase1:
Auth. Mode = Pre-Shared Key
Encrypt Alg. = 3Des
Hash Alg = SHA-1
SA Life = Unspecified
Key Group = Diffie-Hellman Group 2

Phase2:
SA Life = Unspecified
Compression = None
Encapsulation Protocol (ESP) = Y
Encrypt Alg. = 3Des
Hash Alg = SHA-1
Encapsulation = Tunnel

Content-ID: 151245

Url: https://administrator.de/forum/vpn-zugriff-mit-shrew-auf-netgear-fvs318v3-151245.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

aqui
aqui 17.09.2010 um 12:14:57 Uhr
Goto Top
Guckst du hier:
http://www.shrew.net/support/wiki/HowtoNetgear
Damit klappts auf Anhieb !
Firestone3112
Firestone3112 17.09.2010 um 12:25:21 Uhr
Goto Top
Habe ich doch glatt übersehen. Das werde ich gleich mal testen.

Vielen Dank.

Beste Grüße.

Hans
goscho
goscho 17.09.2010 um 16:20:24 Uhr
Goto Top
@Firestone3112,
installiere bitte nicht 2 unterschiedliche VPN-Clients parallel auf dies selbe Maschine.

Die in aquis Link in der IKE-Policy vorgeschlagene XAUTH-Configuration muss nicht zwingend eingesetzt werden.


@aqui,
dafür, dass du Netgear nicht leiden kannst, hast du aber extrem schnell den Link zur Shrew-Konfiguration parat. face-smile
aqui
aqui 17.09.2010 um 16:55:59 Uhr
Goto Top
@goscho
Na ja...der Feuerstein muss ja schon genug leiden als gebeutelter NetGear Knecht....da hilft man dann gerne face-wink
Beim nächsten Mal kauft er dann hoffentlich was anständiges...
goscho
goscho 17.09.2010 um 18:49:07 Uhr
Goto Top
Zitat von @aqui:
@goscho
Na ja...der Feuerstein muss ja schon genug leiden als gebeutelter NetGear Knecht....da hilft man dann gerne face-wink
So kenne ich dich. face-wink
Beim nächsten Mal kauft er dann hoffentlich was anständiges...
Bspw. das hier:
Besseres Gerät
aqui
aqui 18.09.2010 um 12:51:15 Uhr
Goto Top
...fängst du schon wieder mit dem NetGear Schrott an !!! Wie wärs mal mit was wirklich besserem wie Draytek, Lancom usw. ??
goscho
goscho 18.09.2010 um 13:58:34 Uhr
Goto Top
Zitat von @aqui:
...fängst du schon wieder mit dem NetGear Schrott an !!! Wie wärs mal mit was wirklich besserem wie Draytek, Lancom
usw. ??
Du lässt dich aber leicht provozieren. face-wink

Auch ist diese Aussage nichts als deine subjektive Meinung und hat demzufolge auch keinerlei Anspruch auf Allgemeingültigkeit.
aqui
aqui 19.09.2010 um 17:59:47 Uhr
Goto Top
Na ja....die zahllosen Threads zum Thema NetGear VPN allein in diesem Forum sprechen eine deutliche Sprache hier....mehr muss man dazu wohl nicht sagen. Allein die Zwangsverwendung eines Clients ist schon ein no go für diesen Hersteller....Aber egal, jeder darf das frei entscheiden was er mit seinem Geld macht face-wink
Zurück zum Thema....
Firestone3112 hat vermutlich eh schon den Mut oder das Interesse verloren wie man an seinem fehlenden Feedback hier ja deutlich sieht.
Bleibt also nur noch Wie kann ich einen Beitrag als gelöst markieren? ?!
Firestone3112
Firestone3112 20.09.2010 um 08:50:16 Uhr
Goto Top
Hallo,

hat er nicht face-wink
Bin nur erst heute wieder aus dem Ausland zurück.
Ich danke Euch erstmal recht herzlich für Eure Hilfe. Ja ich wurde auch nur vor volendete (Netgear-)tatsachen gesetzt.
Linksys (Cisco) usw. wären mir im Businessbereich auch lieber gewesen, aber was soll ich jetzt tun.
Ich mache mich jedenfalls jetzt an die Konfig mit Shrew und berichte wieder ob es ging.

Vielen Dank.

Beste Grüße.

Hans
Firestone3112
Firestone3112 20.09.2010 um 11:55:56 Uhr
Goto Top
Hi,

also ich habe jetzt alles mögliche hin un her probiert, aber irgendwie bekomme ich am Client immer die Fehlermeldung:

negotiation timeout occurred
tunnel disabled
detached from key daemon

am Router bekomme ich folgende Meldung:

[2010-09-20 01:33:14][==== IKE PHASE 1(from X.X.X.X) START (responder) ====]
[2010-09-20 01:33:14] RECEIVED FIRST MESSAGE OF AGGR MODE
[2010-09-20 01:33:14]<POLICY: > PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2010-09-20 01:33:14]SENDING NOTIFY MSG:
[2010-09-20 01:33:14]INVALID_ID_INFORMATION
[2010-09-20 01:33:14] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2010-09-20 01:33:14]<POLICY: > PAYLOADS: NOTIFY

Netgear hat damals gesagt, das ich als "Remote Identity Type" "Fully Qualified User Name" und als "Remote Identity Data" "client@" konfigurieren muss. Sonst würde das nicht funktionieren.
Jetzt habe ich zwar schon am ShrewClient rumprobiert, aber ich bekomme das irgendwie nicht hin.
Die Beschreibung oben ist übrigens nicht für den FVS318.

Vielen Dank.

Beste Grüße.

Hans
aqui
aqui 21.09.2010 um 14:31:48 Uhr
Goto Top
Das ist egal, sie gilt analog für dein Modell ebenfalls. Ist eh der gleiche Code der auf den netGears werkelt !!
Nimm als Identity lokal immer die IP Adresse ! Wenn du eine feste hast. sonst den FQDN Namen.
Halte dich strikt an das Shrew Tutorial, dann klappt es auf Anhieb !
Local
          • Identifier Type = Local Wan IP
          Remote
                  • Identifier Type = FQDN
                  • Identifier = client.domain.com
          Vergiss das was deren Hotline erzählt die haben meist nicht wirklich Ahnung....
Firestone3112
Firestone3112 22.09.2010 um 15:16:22 Uhr
Goto Top
Hi,

vielen Dank.
Das werde ich dann doch probieren.
Ich melde mich in jedem Fall wieder und ändere den Status dieses Posts.

Herzlichen Dank.

Beste Grüße.

Hans
Firestone3112
Firestone3112 23.09.2010 um 11:36:04 Uhr
Goto Top
Hi,

also ich habe jetzt alles mögliche hin und her getestet, aber ich bekomme das irgendwie nicht hin.
Die Einstellungen am 318er sind Teilweise auch andere als in der Beschreibung.
Am Router bekomme ich jetzt folgende VPN-Statusmeldung:

[2010-09-22 06:13:05][==== IKE PHASE 1(from X.X.X.X) START (responder) ====]
[2010-09-22 06:13:05] RECEIVED FIRST MESSAGE OF AGGR MODE
[2010-09-22 06:13:05]<POLICY: > PAYLOADS: SA,PROP,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2010-09-22 06:13:05]<LocalRID> Type=ID_FQDN,ID DATA=admin.domain.com
[2010-09-22 06:13:05]<RemoteLID> Type=ID_FQDN,ID DATA=admin.domain.com
[2010-09-22 06:13:08]<POLICY: admin> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2010-09-22 06:13:08] SENT OUT SECOND MESSAGE OF AGGR MODE
[2010-09-22 06:13:08] RECEIVED THIRD MESSAGE OF AGGR MODE
[2010-09-22 06:13:08]<POLICY: admin> PAYLOADS: HASH,NATD,NATD
[2010-09-22 06:13:08] AGGR MODE COMPLETED
[2010-09-22 06:13:08][==== IKE PHASE 1 ESTABLISHED====]
[2010-09-22 06:13:08] RECEIVED INFORMATIONAL EXCHANGE MESSAGE

Kann da noch jemand helfen?

Vielen Dank.

Beste Grüße.

Hans
goscho
goscho 23.09.2010, aktualisiert am 18.10.2012 um 18:43:34 Uhr
Goto Top
Hallo Firestone,
schau bitte mal hier rein:
Netgeat Router und Shrew VPN wo könnte es hängen?
Vielleicht hilft dir das dabei.

Ich habe folgende Erfahrungen gemacht:
Nimm als Shrew-Client bitte die 2.1.6-beta-7. Mit den anderen habe ich auch Probleme gehabt.
Firestone3112
Firestone3112 24.09.2010 um 19:39:38 Uhr
Goto Top
Wo kann ich diese Version denn finden?
Auf der Shrew Site ist diese nicht mehr.


Edit: Ahhh, in dem anderen Post zwischen den Zitaten...

BG

Hans
goscho
goscho 24.09.2010 um 21:40:33 Uhr
Goto Top
Zitat von @Firestone3112:
Wo kann ich diese Version denn finden?
Auf der Shrew Site ist diese nicht mehr.
Ja, stimmt ist keine Beta mehr vorhanden.
Dann musst du wohl die 2.1.6 Release versuchen.

Edit: Ahhh, in dem anderen Post zwischen den Zitaten...
Das habe ich nicht verstanden. Worauf bezieht sich diese Aussage?
Firestone3112
Firestone3112 24.09.2010 um 21:56:08 Uhr
Goto Top
Hi,

ich habe jetzt in diesem Forum einen Post gefunden in dem zwischen Fragen, Antworten und Zitaten ein Link zur Beta zu finden war.
Diese habe ich jetzt installiert. Jetzt habe ich noch weiter probiert und jetzt komme ich schon mal soweit, dass Phase 1 fertiggestellt ist.
Aber dann steht einfach alles und nichts passiert mehr.
Kann mir jemand sagen wie das sein kann?
Hier das jetzige log:

[2010-09-24 11:47:38][==== IKE PHASE 1(from X:X.X.X) START (responder) ====]
[2010-09-24 11:47:38] RECEIVED FIRST MESSAGE OF AGGR MODE
[2010-09-24 11:47:38]<POLICY: > PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2010-09-24 11:47:38]<LocalRID> Type=ID_FQDN,ID DATA=admin.domain.com
[2010-09-24 11:47:38]<RemoteLID> Type=ID_FQDN,ID DATA=admin.domain.com
[2010-09-24 11:47:41]<POLICY: admin> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2010-09-24 11:47:41] SENT OUT SECOND MESSAGE OF AGGR MODE
[2010-09-24 11:47:41] RECEIVED THIRD MESSAGE OF AGGR MODE
[2010-09-24 11:47:41]<POLICY: admin> PAYLOADS: HASH,NATD,NATD
[2010-09-24 11:47:41] AGGR MODE COMPLETED
[2010-09-24 11:47:41][==== IKE PHASE 1 ESTABLISHED====]
[2010-09-24 11:47:41] RECEIVED INFORMATIONAL EXCHANGE MESSAGE

Leider muss ich jetzt für eine Woche weg. Hoffentlich schaut dann noch jemand in diesen Post rein.
Ich werde auf jedenfall drann bleiben.


Vielen Dank.

BG

Hans
Firestone3112
Firestone3112 06.10.2010 um 14:23:40 Uhr
Goto Top
hat da noch jemand eine Idee?

BG

Hans