haudieho
Goto Top

Welche Ports braucht der Netgear VPN Client?

Hallo,

ich habe folgendes Problem:
ich soll eine VPN Verbindung zu unserem Netgear 318v3 aufbauen,was von anderen Rechnern auch wunderbar klappt,außer von einem nicht,denn der sitzt hinter ner Firewall,die so gut wie nix durchlässt.
Nun will der Systemadmin von mir wissen,welche Ports die Netgear proSafe VPN Client Software benötigt. Diese Angaben konnte ich aber bisher nirgends finden.

Kann mir hier jemand vielleicht helfen?

Gibts vielleicht auch ein Programm,mit welchem man die Ports scannen kann.Also im Prinzip installiere ich das Proggi auf nem Rechner wo der VPN Client geht und sehe dann über welche Ports er kommuniziert.

MfG
Michael

EDIT:

Hier mal der Auszug aus dem Protokoll:

8-01: 09:51:21.984 My Connections\LeonhardtVPN - Attempting to resolve Hostname (xxx.dyndns.org)
8-01: 09:51:22.015
8-01: 09:51:22.015 My Connections\LeonhardtVPN - Initiating IKE Phase 1 (Hostname=xxx.dyndns.org) (IP ADDR=84.183.1xx.xxx)
8-01: 09:51:22.250 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-01: 09:51:37.718 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:51:37.718 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:51:52.718 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:51:52.718 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:52:07.718 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:52:07.718 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:52:22.718 My Connections\LeonhardtVPN - Exceeded 3 IKE SA negotiation attempts
8-01: 09:53:29.312 My Connections\LeonhardtVPN - Using cached address. (Hostname=xxx.dyndns.org) (IP ADDR=84.183.1xx.xxx)
8-01: 09:53:29.312 My Connections\LeonhardtVPN - Attempting to resolve Hostname (xxx.dyndns.org)
8-01: 09:53:29.484
8-01: 09:53:29.484 My Connections\LeonhardtVPN - Initiating IKE Phase 1 (Hostname=xxx.dyndns.org) (IP ADDR=84.183.1xx.xxx)
8-01: 09:53:29.703 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-01: 09:53:44.734 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:53:44.734 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:53:59.734 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:53:59.734 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:54:14.734 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:54:14.734 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:54:29.734 My Connections\LeonhardtVPN - Exceeded 3 IKE SA negotiation attempts

Content-ID: 65212

Url: https://administrator.de/contentid/65212

Ausgedruckt am: 15.11.2024 um 01:11 Uhr

aqui
aqui 01.08.2007 um 10:06:42 Uhr
Goto Top
Ja, so ein Programm gibt es natürlich und das auch noch kostenlos ! Einmal den bekannten Wireshark (www.wireshark.org) oder den NetMonitor von Windows selber (www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8-4213-8d17-2f6dde7d7aac&DisplayLang=en#filelist)

In der Doku vom NetGear Client sollte eigentlich in jedem Falle aufgeführt sein welches VPN Protokoll dieser benutzt. Eigentlich ist das eine Minimalanforderung an die Doku damit du in solchen Fragen wie deinen entsprechend reagieren kannst. Aber NetGear kommt halt aus der Geiz ist geil Consumer Ecke und da darf man sich über solche (und andere) Dinge halt nicht wundern...
Die Fehlermeldung lässt ein Blocken von IKE oder ESP oder eines Protokollteils stark vermuten (message not received..)

Sehr wahrscheinlich nutzt der VPN Client wie fast alle anderen Clients auch IPsec im ESP (Encapsulation Security Payload) Modus. Wenn dies der Fall ist, was ein Anruf bei der NetGear Hotline klären sollte, dann musst du auf der Firewall den Port UDP 500 (IKE, Internet Key Exchange) und das ESP Protokoll (das ist die IP Protokoll Nummer 50, Achtung NICHT TCP/UDP 50 !!) vorwarden.
Es ist auch möglich das IPsec im AH (Authentication Header) Modus benutzt wird. Dann ist es statt ESP eben AH mit der Protokoll Nummer 51. AH ist aber technisch NICHT über NAT Firewalls zu übertragen, ergo funktioniert es nur wenn du in der FW kein NAT machst, sonst MUSS der Client in den ESP Modus gebracht werden sofern er es nicht schon sowieso macht.

Ein Sniffertrace des IP Verbindungsaufbaus mit den o.a. Tools zeigt dir aber sofort auf den ersten Blick welches Verfahren verwendet wird !!! Damit sollte dann sofort klar sein was du auf der FW einstellen musst...
ThorstenA
ThorstenA 13.11.2007 um 15:52:00 Uhr
Goto Top
Danke für den Tip mit dem IKE-Protokoll: Ich hatte mit dem Netgear ProSafe Client keine Verbindung zu einem Lancom 1823 herstellen können, und der Grund war mein DSL-Router Speedport W700V. Dort war eine Portweiterleitung von UDP 500 zum Client notwendig.

Thorsten
aqui
aqui 13.11.2007 um 19:39:57 Uhr
Goto Top
Das ist auch zwingend erforderlich bei IPsec im ESP Modus wie oben schon beschrieben !! face-wink
Scheinbar hat Haudieho es ggf. auch so gelöst und leider
Wie kann ich einen Beitrag als gelöst markieren?
vergessen face-sad
ThorstenA
ThorstenA 13.11.2007 um 19:54:34 Uhr
Goto Top
Aber grundsätzlich ist das natürlich keine Lösung, wenn man diesen VPN-Client von mehreren Rechnern aus im selben Netz nutzen möchte. Dito, wenn man unterwegs wäre.

Ich hatte vorher mit Shrew VPN Client experimentiert; dort war das Setzen eines Port-Forwardings interessanterweise (mit exakt selben VPN-Einstellungen an der Gegenstelle) nicht notwendig. Offensichtlich ein anderer Protokollablauf?

Thorsten
aqui
aqui 13.11.2007 um 19:58:49 Uhr
Goto Top
Das ist in der Tat richtig. Bei mehreren Clients sollte man einen Router mit VPN Funktion wie z.B. die Modelle von Draytek verwenden die dann selber die VPN Verbindungen zentral aufbauen.

Besser als solche VPN Clients sind dann SSL VPNs für mobile User die Daten über eine SSL Verbindung mit einem Browser realisieren. Dort ist man dann völlig frei von irgendwelchen Port Forwarding Maßnahmen etc.
OpenVPN ist ein klassischer Vertreter dieses Genres im Freeware Bereich der allerdings einen dedizierten Client benutzt und keinen Browser über Port TCP 443.
ThorstenA
ThorstenA 16.11.2007 um 17:12:52 Uhr
Goto Top
Einen Draytek-Router für Lan2Lan hatte ich früher auch erfolgreich eingesetzt und wollte auch schon wieder einen kaufen. Kannst Du noch andere Router mit eingebautem VPN-Server empfehlen außer Draytek im Bereich um die 100€? Bislang hatte ich nur ein Modell von Netgear DG834G angeschaut (war nicht zuverlässig) und ein Modell von Zyxel P-661HW gefunden (beides DSL-Router mit WLAN + VPN-Server). Solche Router würden sich ganz gut dazu eignen, an ein paar Teleworker verteilt zu werden. Der Draytek 2700 G käme natürlich auch in Frage; kostet aber auch mehr. Die Teile müssen sich mit einem Lancom-Router verbinden.

Thorsten
aqui
aqui 19.11.2007 um 12:34:34 Uhr
Goto Top
Draytek ist nun mal sehr zuverlässig was das Thema VPN anbetrifft, eins der Gründe warum die hier im Forum so oft genannt sind.
Wenns dir aber nur aufs Geld ankommt, ist dies z.B. eine preiswerte Alternative:


Allerdings solltest du bei einer professionellen Lösung dir wirklich überlegen ob popelige 40 € Unterschied dir nicht ein sicheres Funktionieren wert sind ??!!