amyklas
Goto Top

HowTo - VPN-Verbindung mit Netgear DG834B ADSL-Firewall-Router

Anmerkung:

In diesem HowTo wird beschrieben wie man eine VPN-Verbindung mit dem Netgear ProSafe-Client zu einem Netgear DG834B ADSL-Firewall-Router aufbaut. Dieses HowTo zeigt nur EINE Möglichkeit von vielen. In diesem konkreten Fall wird eine VPN-Verbindung von einem Client mit öffentlicher IP (wobei die IP-Adresse selbst egal ist), auf dem der Netgear ProSafe-Client 10.5.1 (Build 8) installiert ist, zu einem Netgear DG834B ADSL-Firewall-Router mit fester IP und der Firmware V3.01.25 aufgebaut.

Konfiguration des Netgear DG834B

Erstmal legt man unter "VPN-Richtlinien" eine "manuelle Policy" mit folgenden Werten an:

Allgemeines
Policy-Name: Möglichst ein aussagekräftiger Name der die VPN-Verbindung kennzeichnet.
Entfernter VPN-Endpunkt: Der "Adresstyp" ist in diesem Fall eine "Dynamische IP-Adresse", der Rest ist dann automatisch ausgegraut. "IKE Keep Alive" vernachlässige ich hier.

Lokales LAN
Ip-Adresse: "Adressbereich" auswählen, dann in die Felder die "Anfangs-IP-Adresse" und die "End-IP-Adresse" des in diesem Falle privaten lokalen Netzes eintragen. Die Werte können unter "LAN-IP-Konfiguration" eingesehen und verändert werden.

Entferntes LAN
"Einzelner PC – kein Subnetz" auswählen, der Rest ist dann automatisch ausgegraut.

4597d1e2a3a54bb99673e472a06f61e8-pic2

IKE
Bis auf "Lokaler Identitätstyp" und "Entfernter Identitätstyp" kann hier nichts verändert werden. Bei "Lokaler Identitätstyp" wählt man "WAN-IP-Adresse" und bei "Entfernter Identitätstyp" "IP-Adresse" aus.

Parameter
Bei "Verschlüsselungsalgorithmus" "3DES" wählen.
Bei "Pre-Shared Key" eine beliebige, mindestens 8 Zeichen lange Zeichenkette eingeben
Die "SA-Lebenszeit" ist in diesem Beispiel auf den Standardwert von 3600 Sekunden eingestellt. Zu guter Letzt bei "PFS" ein Häkchen machen (sicher ist sicher face-wink).

f4b24bfb66a1a00d7ef7e447439ce4f8-pic3

Nach dem man die Policy angelegt hat sollte es in der Übersicht ungefähr so aussehen (allerdings mit nur einer Policy):

99f556e0f0450dfac8e4de8bd4d76b7f-pic1

Wichtig ist der Haken bei "Aktivieren", und zu guter Letzt noch mal auf "Anwenden" klicken. Damit ist die Router-VPN-Konfiguration abgeschlossen. Zu beachten gilt noch das nur eine aktive Policy mit dynamischer IP-Adresse erlaubt ist!


Konfiguration des Netgear ProSafe Clients

Mit einem Rechtsklick legt man unter "My Connections" eine neue Verbindung an die idealerweise den gleichen Namen wie die Policy auf dem Netgear Router trägt.

Remote Party Identity and Addressing
Bei "ID Type" "IP Address Range" wählen und denselben Adressbereich eintragen der schon beim Router unter Lokales LAN eingetragen wurde. Auf jeden Fall das Häkchen setzen und "Secure Gateway Tunnel" auswählen. Der "ID Type" ist in diesem Fall "IP Address", wie auf dem Router unter "Lokaler Identitätstyp" eingestellt. In das Feld die öffentliche IP Adresse des Routers eintragen. Wenn der Router keine feste öffentliche IP Adresse besitzt müssen die Einstellungen am Router unter "Lokaler Identitätstyp" und am ProSafe Client unter "ID Type" entsprechend angepasst werden!

7301f589632c1ac3fb7c850e6ee01abf-pic4

My Identity
Wichtig ist das bei "Select Certificate" "None" ausgewählt wird damit der Pre-Shared-Key eingegeben werden kann. (Rechts oben der Button). Den Button drücken und haargenau den selben Key eingeben der auch auf dem Router eingegeben worden ist.
"ID Type" ist "IP Address". Bei "Virtual Adapter" ist in diesem Fall "Required" ausgewäht, die Bedeutung bitte in der Hilfe nachlesen.

Internet Interface
Bei "Name" "Any" auswählen, der Wert wird dann automatisch bei "ID Type" eingetragen. Diese Einstellung ist identisch zu denen unter "Entfernter VPN-Endpunkt" und "Entfernter Identitätstyp" auf dem Router. Da auf dem Router "Dynamische IP-Adresse" gewählt worden ist, ist die IP-Adresse des Clients egal.

958be1957d865de39f9cace5ea8c7c77-pic5

Security Policy
Hier unbedingt "Main Mode" auswählen und wie auf dem Router auch bei "PFS" den Haken setzen.Bei "PFS Key Group" "Diffie-Hellman Group 2" wählen.

531da90394702a82da111854ed1ea9de-pic6

Authentication Method and Algorithms
Hier ist es sehr wichtig bei "Authentication Method" "Pre-Shared Key" auszuwählen.

e47b8caaf5c14274caa39a68f89c34ec-pic7

Die restlichen Einstellungen sind im Grossen und Ganzen die Standard-Einstellungen, diese Einstellungen bitte dem Bild entnehmen.

d8f315b88942258a6fc42256106b1242-pic8


Ich hoffe dieses HowTo ist hilfreich, wer Rechtschreibfehler findet darf sie behalten!face-wink

Geschrieben von Amyklas am 08.11.2006.

Content-ID: 43988

Url: https://administrator.de/tutorial/howto-vpn-verbindung-mit-netgear-dg834b-adsl-firewall-router-43988.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

38697
38697 21.11.2006 um 10:30:49 Uhr
Goto Top
Der Hauptmodus - mainmode - ist dafür gedacht wenn beide Seiten eine feste IP Adresse haben. Mittels dieser IP-Adresse identifizieren sich beide Endpunkte. Falls ein Peer eine dynamische Adresse hat, muss der agressive-mode genutzt werden und eine Identifikation mit geschickt werden - oftmals in Form einer E-Mail-Adresse. Im Policy Editor wäre das bei "my identity" das Feld ID Type.

Ich habe auch vor kurzem eine Anleitung zum DG834GB mit FW 3.01.25 geschrieben und mir ist dabei aufgefallen, dass mein verwendeter Router keinen aggressive-mode unterstützt. Ich weiß ja nicht, wie das beim DG834B ist.
Amyklas
Amyklas 23.11.2006 um 15:48:28 Uhr
Goto Top
Der DG834B unterstützt nur den Hauptmodus! Wobei hier der Hauptmodus definitiv auch mit einem Client mit dynamischer IP funktioniert! Die Aussage das der Hauptmodus oder auch Main-Mode mit PSKs nur mit festen IPs funktionieren sollte ist richtig, weil im Main Mode ein PSK fest an die IP-Adresse der Gegenstelle gekoppelt ist und nicht nur zur Authentifizierung dient. Der PSK geht nämlich in die Berechnung des Schlüssels SKEYID ein. Ohne die feste Zuordnung könnte eine Gegenstelle die beiden letzten chiffrierten Nachrichten nicht entschlüsseln. Allerdings sorgt Netgear, wie andere Hersteller auch, wohl letztendlich dafür, daß vor Aufbau der IPSec-Verbindung die IP-Adressen ausgetauscht werden und somit eine Main-Mode Verbindung auch über dynamische Adressen hergestellt werden kann.
GPRacing
GPRacing 02.12.2006 um 08:21:03 Uhr
Goto Top
Amyklas,
ich finde das Klasse von dir. Da hat sich wirklich jemand Muehe gemacht und genau alle Schritte zur erfolgreichen VPN Verbindung beschrieben. Ich habe den gleichen Router und wollte sofort mit der Konfiguration anfangen.

Mein Problem:
Bei meinem Router war keine Netgear ProSafe Software dabei.
Ein Download bei Netgear steht nicht zur Verfuegung
Netgear Hotline erklaert, ich bekomme die Software beim Computer Haendler
Der sagt mir, dass das Quatsch ist.
Ich hab dann einen Problem Case bei Netgear aufgemacht.... keine Reaktion.
Wie komme ich unkompliziert zu dieser Software?
Hab auch schon ueberlegt, das Geraet wieder zurueckzubringen und einen anderen Hersteller zu waehlen.

Was ich damit machen moechte:
Ueber's Internet auf meine lokalen Netzwerk Resourcen NAS und Drucker zugreifen.
Der Router muss den Transfer machen, ich moechte keinen Server PC permanent laufen lassen.

Vielen Dank fuer jede Unterstuetzung
Rainer
GPRacing
GPRacing 14.12.2006 um 22:43:30 Uhr
Goto Top
Hallo Amyklas,
Danke für deine Tips. Ich hab mir inzwischen die VPN Software gekauft, war leider alt. Ich habe aber bei Netgear ein Update auf die neueste Version bekommen. Geht doch.
Nach der Konfiguration habe ich das gleiche Problem wie Henning.
Der Hostname wird noch aufgelöst, dann 3 Sendeversuche und Abbruch.
Ich hab's aus dem eigenen Netzwerk und von "draussen" probiert. Kein Unterschied.
Im Moment habe ich noch keine Idee, was das sein könnte.

Gruss
Rainer
Chfm
Chfm 05.02.2007 um 11:17:16 Uhr
Goto Top
Hallo an alle.
Habt ihr mittlerweile rausgefunden an was das liegen kann?
Ich hab nämlich das gleiche Problem.
Wäre super wenn da jemand helfen könnte.
Gruß
Christian
gdnexus
gdnexus 23.02.2007 um 08:43:48 Uhr
Goto Top
Guten Morgen,

habe ebenfalls das gleiche Problem wie Henning. Hat denn mittlerweile jemand eine Lösung dafür?

Gruss
Michael
Amyklas
Amyklas 23.02.2007 um 10:36:17 Uhr
Goto Top
Morgen!

Hmmm....Ich bin mir nicht ganz sicher, aber ich meine mich daran erinnern zu können das ich bei mir in den Firewall-Einstellungen des Routers bei den eingehenden Verbindungen alle Regeln die VPN betrafen deaktivieren musste.
angoletti1
angoletti1 01.03.2007, aktualisiert am 18.10.2012 um 18:31:42 Uhr
Goto Top
Hallo,

ich habe auch das Problem wie Henning.
Habe schon so ziemlich alles an Einstellungen durch, aber klappt nicht.

Hat noch jemand eine Idee?

Ich habe folgende Konstellation:
(auch hier nachzulesen: VPN Verbindung über AVM Fritzbox WLAN FON 7050 (VPN pass trought zum VPN Rechnerauf WinXP Basis))

VPN Client -> FritzBox -> DLS -> Netgear VPN Router (DG834)

In den LOGs des Netgear Routers sehe ich das was ankommt, aber er kann den Key wohl nicht austauschen.
Im VPN Client sehe ich, dass 3x der Key gesendet wurde.

Woran liegt es?
Ich vermute mal, das ich in der FritzBox bestimmte Ports an die Client weiterleiten muss.
Die FritzBox ist eine "FRITZ!Box Fon WLAN 7141" leider habe ich hier nichts mit VPN-Pass-Through" gefunden.

Bitte helft mir
aqui
aqui 10.10.2008 um 02:58:56 Uhr
Goto Top
Der Netgear VPN Client benutzt IPsec im ESP Modus als VPN Protokoll.
Wie IMMER bei solchen Konstellationen wo der VPN Client sich (...wie bei dir) hinter einem NAT Router befindet muessen bei IPsec folgende Ports auf die lokale IP Adresse des VPN Clients in der Port Weiterleitungstabelle des Routers eingetragen werden:

UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP Protokoll (IP Protokoll Nummer 50, Achtung: Nicht TCP oder UDP 50 !!)

Dann klappts auch mit dem NetGear Client !
Supaman
Supaman 09.12.2008 um 19:50:37 Uhr
Goto Top
falls der router nur portweiterleitungen für udp+tcp unterstützt, kann man den pc wo die netgear vpn-software benutzt wird auch in die DMZ setzen. sollte man aber nur kuzzeitig machen oder eine VM benutzen, plus installierter software firewall.

wenn sowas auftritt
12-11: 22:43:56.148 My Connections\Conn1 - Attempting to resolve
Hostname (vpn.subdomain.de)
12-11: 22:43:56.498 My Connections\Conn1 - Initiating IKE Phase 1
(Hostname=vpn.subdomain.de) (IP ADDR=123.321.1.22)
12-11: 22:43:56.538 My Connections\Conn1 - SENDING>>>>
ISAKMP OAK MM (SA, VID 2x)
12-11: 22:44:42.094 My Connections\Conn1 - message not received!
Retransmitting!
12-11: 22:44:42.094 My Connections\Conn1 - SENDING>>>>
ISAKMP OAK MM (Retransmission)
12-11: 22:45:27.349 My Connections\Conn1 - message not received!
Retransmitting!

trotz korekter konfiguration lt. der netgear anleitung, kann man die MTU größe mal testweise auf 1400 setzen, das hat bei mir geholfen.
fontemagno
fontemagno 18.02.2009 um 16:59:41 Uhr
Goto Top
Hallo,

habe mal eine Verständnisfrage:

Ich habe einen FVS318 mit FW 2.4 und Netgear VPN Client (Build 10.1). Ich möchte mich von unterwegs mit meinem Notebook in mein privates Heimnetz einloggen. Dieses besteht aktuell aus dem Netgearrouter (192.168.0.1), einem W2K3-Server (192.168.0.2) und zwei PCs. Ich möchte nun gerne mit meinem Notebook von außen auf Daten auf dem Server zugreifen. Im Router habe ich bereits einen DynDNS-Namen gesetzt, da mein Provider (Versatel) nur dynamisch IPs anbietet. Soweit, so gut. Oblgeich ich mich dann an die offizielle Netgearanleitung zum Einrichten einer VPN-Verbindung vom Client->Router gehalten habe, schaffe ich es nicht, eine Verbindung aufzubauen. Ich erhalte 3x in Folge die bekannte RESENDING-Message im Logfile und das war's. Meine Fragen sind daher:

1. Muss ich im Router VPN-relevante Ports öffnen? Bislang habe ich das nicht gemacht. Wenn ja, welche sind dies?
2. Wenn ich in meinem Netzwerk für lokale Geräte die Adressen 192.168.1-5 verwende, trage ich dann für mein Notebook in der VPN-Config z.B. 192.168.0.6 ein oder MUSS es ein ganz anderes Netz sein. Meinem Verständnis nach wird ein über VPN angeschlossenes Gerät Mitglied des angewählten Netzes, d.h. es bekommt in meinem Fall auch eine IP aus dem Bereich 192.168.0/24, oder?

Bei Bedarf poste ich gerne mal die Logs, allerdings habe ich vor einiger Zeit die ganze Config wieder eingestampft und müsste vorher alles noch einmal einrichten.

Falls jemand Screenshots einer laufenden Config der Kombination FVS318+Netgear Client hat, wäre das bestimmt echt hilfreich.

Danke im Voraus!