ivknobloch
Goto Top

VPN mit Netgear und FVS318 mit Windows 7

Ich brauche hier mal Eure Hilfe.

Es hat unter Windows XP Pro sehr gut funktioniert. Und mit Windows 7 funktioniert der Prosave Client nicht mehr. Ich suche jetzt noch einer VPN Lösung mit nur Windows 7 mitteln. Kann mir jemand dafür eine Anleitung geben, oder sagen was ich am Router einstellen muss damit es unter W7 geht?

Vielen Dank Ingo

Content-Key: 148770

Url: https://administrator.de/contentid/148770

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: goscho
goscho 11.08.2010 um 11:28:02 Uhr
Goto Top
Morgen Ingo,

du solltest dazu den kostenlosen Shrew-VPN-Client nutzen. Damit klappt das sehr gut. Ich habe einige Clients durch Shrew mit Netgear VPN-Routern verbunden.

Hier geht's weiter:
http://www.shrew.net/home

Auf der Seite gibt es Anleitungen und falls das nicht genügt, dann kannst du deine Fragen auch hier posten. face-wink
Mitglied: Connor1980
Connor1980 11.08.2010 um 11:33:10 Uhr
Goto Top
Hallo Ingo,

ich habe eine Suche bei Google angestossen, über den dritten Link bin ich hierauf gestossen. Also die aktuelle Version runterladen und gut scheint zu sein.
Für die Einrichtung mit Bordmitteln könnten die weiterführenden Links im ProSecure Forum evtl. helfen.

Grüße
Mitglied: ivknobloch
ivknobloch 11.08.2010 um 11:38:01 Uhr
Goto Top
Danke für die Info, den habe ich schon installiert aber unter dem FVS318 nicht ans laufen bekommen Fehler:

Client:
config loaded for site '*'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ..

Router:
[2010-08-11 10:35:08] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2010-08-11 10:35:08]<POLICY: VPN-2> PAYLOADS: NOTIFY
[2010-08-11 10:35:09][==== IKE PHASE 1(from 84.186.169.66) START (responder) ====]
[2010-08-11 10:35:09] RECEIVED FIRST MESSAGE OF AGGR MODE
[2010-08-11 10:35:09]<POLICY: > PAYLOADS: SA,PROP,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2010-08-11 10:35:09]<LocalRID> Type=ID_FQDN,ID DATA=VPN-1
[2010-08-11 10:35:09]<RemoteLID> Type=ID_FQDN,ID DATA=VPN-2
[2010-08-11 10:35:09]<LocalRID> Type=ID_FQDN,ID DATA=VPN-2
[2010-08-11 10:35:09]<RemoteLID> Type=ID_FQDN,ID DATA=VPN-2
[2010-08-11 10:35:09]ERROR# NO MATCHING ISAKMP PROPOSAL
[2010-08-11 10:35:09]SENDING NOTIFY MSG:
[2010-08-11 10:35:09]NO_PROPOSAL_CHOSEN
[2010-08-11 10:35:09] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2010-08-11 10:35:09]<POLICY: VPN-2> PAYLOADS: NOTIFY
[2010-08-11 10:35:14][==== IKE PHASE 1(from +++.+++.+++.+++) START (responder) ====]
[2010-08-11 10:35:14] RECEIVED FIRST MESSAGE OF AGGR MODE
[2010-08-11 10:35:14]<POLICY: > PAYLOADS: SA,PROP,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2010-08-11 10:35:14]<LocalRID> Type=ID_FQDN,ID DATA=VPN-1
[2010-08-11 10:35:14]<RemoteLID> Type=ID_FQDN,ID DATA=VPN-2
[2010-08-11 10:35:14]<LocalRID> Type=ID_FQDN,ID DATA=VPN-2
[2010-08-11 10:35:14]<RemoteLID> Type=ID_FQDN,ID DATA=VPN-2
[2010-08-11 10:35:14]ERROR# NO MATCHING ISAKMP PROPOSAL
[2010-08-11 10:35:14]SENDING NOTIFY MSG:
[2010-08-11 10:35:14]NO_PROPOSAL_CHOSEN
[2010-08-11 10:35:14] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2010-08-11 10:35:14]<POLICY: VPN-2> PAYLOADS: NOTIFY

hast Du da eine Idee?
Mitglied: aqui
aqui 11.08.2010 um 12:13:31 Uhr
Goto Top
Die o.a. Fehlermeldung zeigt ein Password Problem der PSK Passwörter. vermutlich hast du einen Tippfehler begangen oder Passwörter mit Sonderzeichen verwendet !!

Der freie Shrew Client funktioniert absolut problemlos unter Win 7 mit dem FVS. Eine genaue Installationsanweisung ist hier:
http://www.shrew.net/support/wiki/HowtoNetgear

Wichtig: NetGears ProSave Client darf NICHT zusammen mit dem Shrew Client installiert sein ! Du musst den Prosave Client also vorher zwingend über die Systemsteuerung vollständig deinstallieren. (Oder andersrum den Shrew)
Es darf nur einen aktiven IPsec Client geben !
In der Regel läuft der Shrew Client stabiler und performanter als Der NetGear Client. Generell ist NetGear keine gute Wahl bei VPN. Siehe die zahllosen Threads hier.
Andere Hersteller wie Draytek, AVM usw. können das erheblich besser !
Da diese auch die bordeigenen VPN Protokolle L2TP und PPTP supporten ist dort ein VPN nur mit Bordmitteln problemlos möglich. Der Netgear supportet das nicht und kann nur mit einem externen Client bedient werden. Ein weiterer Grund von NetGear bei VPN die Finger zu lassen !
Mitglied: ivknobloch
ivknobloch 11.08.2010 um 13:27:35 Uhr
Goto Top
ja aber die ist nicht für den FVS318v3 und ja das war früher gut aber seit W7 naja....
Mitglied: goscho
goscho 11.08.2010, aktualisiert am 18.10.2012 um 18:43:06 Uhr
Goto Top
Zitat von @aqui:
Die o.a. Fehlermeldung zeigt ein Password Problem der PSK Passwörter. vermutlich hast du einen Tippfehler begangen oder
Passwörter mit Sonderzeichen verwendet !!
Vermute ich ebenso. Bitte mal die komplette Konfig überprüfen.
Der freie Shrew Client funktioniert absolut problemlos unter Win 7 mit dem FVS. Eine genaue Installationsanweisung ist hier:
http://www.shrew.net/support/wiki/HowtoNetgear

Benutze aber bitte die Version: 2.1.6-beta-7. Hier ist der Downloadlink:
http://www.shrew.net/download/vpn/vpn-client-2.1.6-beta-7.exe

Mit den anderen habe ich keine Verbindung zu Netgear-Routern hinbekommen (speziell FVS336 oder FVS124).

Wichtig: NetGears ProSave Client darf NICHT zusammen mit dem Shrew Client installiert sein ! Du musst den Prosave Client also
vorher zwingend über die Systemsteuerung vollständig deinstallieren. (Oder andersrum den Shrew)
Es darf nur einen aktiven IPsec Client geben !
Genau, da er aber W7 hat un der Prosafe (der alte) nicht damit geht, sollte dieser auch nicht installiert sein. face-wink
In der Regel läuft der Shrew Client stabiler und performanter als Der NetGear Client.
Kann ich so nicht bestätigen, der Prosafe rennt bis Vista eigentlich recht gut, kann höchstens mal mit AV-Suiten Probleme haben, aber wer hat die nicht? face-big-smile
Generell ist NetGear keine gute Wahl
bei VPN. Siehe die zahllosen Threads hier.
Einspruch.

Nur weil viele hier posten, dass sie ein Problem mit etwas haben, so bedeutet dies im Umkehrschluss nicht zwangsläufig, dass das Produkt schlecht ist.

Andere Hersteller wie Draytek, AVM usw. können das erheblich besser !
Da diese auch die bordeigenen VPN Protokolle L2TP und PPTP supporten ist dort ein VPN nur mit Bordmitteln problemlos möglich.
Der Netgear supportet das nicht und kann nur mit einem externen Client bedient werden. Ein weiterer Grund von NetGear bei VPN die
Finger zu lassen !
Das ist deine persönliche Meinung.

Meine ist eine andere. VPN für KMU ist mit Netgear-Produkten sehr gut einsetzbar.
Jetzt zeig mir doch bitte noch, wie ich ein PPTP/L2TP mit 'ner Fritzbox einrichte . Das kann die AFAIR auch nicht!
AVM-VPN ist IMHO nicht für Business sondern für Heimanwender gemacht.

Zu Draytek kann ich jetzt nichts sagen, auch nichts negatives. face-smile

@ingo
Schau mal hier rein, da ging es auch um ein VPN zwischen einem Netgear ROuter und dem Shrew-Client:
Netgeat Router und Shrew VPN wo könnte es hängen?
Mitglied: ivknobloch
ivknobloch 11.08.2010 um 19:00:50 Uhr
Goto Top
Danke für Eure Infos geht aber immer noch nicht face-sad
Meldung von Router:

[2010-08-11 17:53:39][==== IKE PHASE 1(from 84.186.169.66) START (responder) ====]
[2010-08-11 17:53:39] RECEIVED FIRST MESSAGE OF AGGR MODE
[2010-08-11 17:53:39]<POLICY: > PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2010-08-11 17:53:39]<LocalRID> Type=ID_FQDN,ID DATA=VPN2
[2010-08-11 17:53:39]<RemoteLID> Type=ID_FQDN,ID DATA=VPN2
[2010-08-11 17:53:42]<POLICY: VPN2> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2010-08-11 17:53:42] SENT OUT SECOND MESSAGE OF AGGR MODE

Meldung vom Client:
config loaded for site 'XXXXXXX'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
invalid message from gateway
tunnel disabled
detached from key daemon ...

Config vom Client:
n:version:3
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:1
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
n:client-wins-used:1
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:28800
n:phase1-life-kbytes:0
n:phase2-life-secs:13600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
n:vendor-chkpt-enable:0
s:network-host:server.dyndns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-server-type:ufqdn
s:ident-client-data:VPN2
s:ident-server-data:server.dyndns.org
b:auth-mutual-psk:YXNkZmdoamts
s:phase1-exchange:aggressive
s:phase1-cipher:3des
s:phase1-hash:sha1
s:phase2-transform:auto
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
n:phase2-pfsgroup:2

hat jemand eine Idee?
Mitglied: goscho
goscho 11.08.2010 um 22:43:18 Uhr
Goto Top
Zitat von @ivknobloch:
Danke für Eure Infos geht aber immer noch nicht face-sad
O.K. ich versuche es nochmal.
Welche Version des Shrew-Clients hast du installiert?

Ich schreibe nur dort was hin, wo ich Änderungen vornehmen würde:
Config vom Client:
n:version:3
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
Dead Peer Detection disable
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:1
n:client-dns-auto:1
n:client-dns-suffix-auto:1
DNS-Server manuell eintragen, auch DNS-Suffix
n:client-splitdns-used:1
n:client-splitdns-auto:1
disable
n:client-wins-used:1
n:client-wins-auto:1
Hast du einen Wins in der Router-Config hinterlegt?
n:phase1-dhgroup:2
n:phase1-life-secs:28800
n:phase1-life-kbytes:0
n:phase2-life-secs:13600
Warum nimmst du unterschiedliche lifetimes?
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
Ich habe hier eine manuelle Policy hinzugefügt, in welcher mein LAN eingetragen ist.
n:vendor-chkpt-enable:0
Habe ich enabled
s:network-host:server.dyndns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-server-type:ufqdn
Ich nutze hier den fqdn (geht aber auch mit ufqdn, wenn in der Router-Config so angegeben)
s:ident-client-data:VPN2
s:ident-server-data:server.dyndns.org
b:auth-mutual-psk:YXNkZmdoamts
s:phase1-exchange:aggressive
s:phase1-cipher:3des
s:phase1-hash:sha1

s:phase2-transform:auto
festlegen und nicht auf auto stehen lassen
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
n:phase2-pfsgroup:2

Lass doch mal hören, ob es klappt und wenn nicht, überprüf auch die Konfiguration des Routers.
Mitglied: ivknobloch
ivknobloch 12.08.2010 um 22:13:41 Uhr
Goto Top
Guten Abend,
also ich habe den Router noch mal angepasst und die Config am Client, ich bekomme jetzt (laut Client einen Tunnel aber keine IP Verbindung zum Server

Client Log:
config loaded for site 'logbonn'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled

Client Config:
n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:0
n:client-banner-enable:0
n:network-notify-enable:0
n:client-wins-used:0
n:client-wins-auto:0
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
s:client-ip-addr:192.168.0.77
s:client-ip-mask:255.255.255.0
s:network-host:log.dyndns.org
s:client-auto-mode:disabled
s:client-iface:direct
s:network-natt-mode:disable
s:network-frag-mode:disable
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-server-type:fqdn
s:ident-client-data:win7
s:ident-server-data:log.dyndns.org
b:auth-mutual-psk:QXNkZmdoamts
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:2

Log vom Router

[2010-08-12 12:10:23][==== IKE PHASE 1(from 84.186.149.208) START (responder) ====]
[2010-08-12 12:10:23] RECEIVED FIRST MESSAGE OF AGGR MODE
[2010-08-12 12:10:23]<POLICY: > PAYLOADS: SA,PROP,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,KE,NONCE,ID,VID,VID,VID,VID
[2010-08-12 12:10:23]<LocalRID> Type=ID_FQDN,ID DATA=win7
[2010-08-12 12:10:23]<RemoteLID> Type=ID_FQDN,ID DATA=win7
[2010-08-12 12:10:26]<POLICY: win7> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH
[2010-08-12 12:10:26] SENT OUT SECOND MESSAGE OF AGGR MODE
[2010-08-12 12:10:26] RECEIVED THIRD MESSAGE OF AGGR MODE
[2010-08-12 12:10:26]<POLICY: win7> PAYLOADS: HASH
[2010-08-12 12:10:26] AGGR MODE COMPLETED
[2010-08-12 12:10:26][==== IKE PHASE 1 ESTABLISHED====]
[2010-08-12 12:10:26] RECEIVED INFORMATIONAL EXCHANGE MESSAGE
[2010-08-12 12:10:30][==== IKE PHASE 2(from 84.186.149.208) START (responder) ====]
[2010-08-12 12:10:30] RECEIVED FIRST MESSAGE OF QUICK MODE
[2010-08-12 12:10:30]<POLICY: win7> PAYLOADS: HASH,SA,PROP,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,NONCE,KE,ID,ID
[2010-08-12 12:10:30] FOUND IDs,EXTRACT ID INFO
[2010-08-12 12:10:30]<Initiator IPADDR=192.168.0.77>
[2010-08-12 12:10:30]<Responder IPADDR=0.0.0.0 MASK=0.0.0.0>

hast Du da eine Idee?
Version 2.1.6 Shrew VPN Client
Mitglied: goscho
goscho 13.08.2010 um 09:11:30 Uhr
Goto Top
Zitat von @ivknobloch:
hast Du da eine Idee?
Version 2.1.6 Shrew VPN Client
Morgen,
welche 2.1.6?

Ich habe es mit der 2.1.6 RC2 nicht zum Laufen gebracht, auf die 2.1.6-Beta-7 gewechselt (RC deinstalliert, Beta installiert ohne Neustart) und es lief sofort.
Mitglied: ivknobloch
ivknobloch 13.08.2010 um 09:36:51 Uhr
Goto Top
Ja so hatte ich es auch gemacht aber leider geht es bei mir micht
vpn-client-2.1.6-beta-7
Mitglied: ivknobloch
ivknobloch 13.08.2010 um 20:35:15 Uhr
Goto Top
mit dem Kauf Clint von NetGear geht es jetzt, aber nicht mit der von Shrew Soft.

n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:0
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:0
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-life-secs:28800
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
s:network-host:log.dyndns.org
s:client-auto-mode:push
s:client-iface:virtual
s:client-ip-addr:10.10.10.1
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-server-type:fqdn
s:ident-client-data:VPN2
s:ident-server-data:fvs_remote.com
b:auth-mutual-psk:QXNkZmdoamtM
s:phase1-exchange:aggressive
s:phase1-cipher:3des
s:phase1-hash:sha1
s:phase2-transform:auto
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
n:phase2-pfsgroup:2
s:policy-list-include:192.168.0.0 / 255.255.255.0


NetGear
  1. Do not edit this file. It is overwritten by VpnConf.
  2. SIGNATURE MD5 = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  3. Creation Date : 2010-08-13 at 13:37:48
  4. Written by VpnConf 4

[General]
Shared-SADB = Defined
Retransmits = 5
Exchange-max-time = 80
Default-phase-1-lifetime = 28800,900:86400
Bitblocking = 0
Xauth-interval = 20
DPD-interval = 30
DPD_retrans = 5
DPD_wait = 15

[Default-phase-2-lifetime]
LIFE_TYPE = SECONDS
LIFE_DURATION = 1200,600:86400

  1. ==================== PHASES 1 ====================

[Phase 1]
logbonn.dyndns.org = VPN2-P1

[VPN2-aggressive-mode]
DOI = IPSEC
EXCHANGE_TYPE = AGGRESSIVE
Transforms = 3DES-SHA-GRP2

[VPN2-P1]
Phase = 1
Address = log.dyndns.org
Transport = udp
Configuration = VPN2-aggressive-mode
Authentication = "123456789"
ID = VPN2-ID
Remote-ID = VPN2-REMOTEID

[VPN2-ID]
ID-Type = FQDN
Name = fvs_remote.com

[VPN2-REMOTEID]
ID-Type = FQDN
Name = fvs_local.com

  1. ==================== PHASES 2 ====================

[Phase 2]
Manual-connections = VPN2-VPN2-P2

[VPN2-VPN2-P2]
Phase = 2
ISAKMP-peer = VPN2-P1
Local-ID = VPN2-local-addr
Remote-ID = VPN2-remote-addr
Configuration = VPN2-quick-mode
AutoStart = 0
USBStart = 0

  1. ==================== Ipsec ID ====================

[VPN2-local-addr]
ID-type = IPV4_ADDR
Address = 10.10.10.1

[VPN2-remote-addr]
ID-type = IPV4_ADDR_SUBNET
Network = 192.168.0.0
Netmask = 255.255.255.0

  1. ==================== TRANSFORMS ====================

[VPN2-quick-mode]
DOI = IPSEC
EXCHANGE_TYPE = QUICK_MODE
Suites = VPN2-quick-mode-suite

[VPN2-quick-mode-suite]
Protocols = TGBQM-ESP-3DES-SHA-PFSGRP2-TUN

[TGBQM-ESP-3DES-SHA-PFSGRP2-TUN]
PROTOCOL_ID = IPSEC_ESP
Transforms = TGBQM-ESP-3DES-SHA-PFSGRP2-TUN-XF

[TGBQM-ESP-3DES-SHA-PFSGRP2-TUN-XF]
TRANSFORM_ID = 3DES
AUTHENTICATION_ALGORITHM = HMAC_SHA
GROUP_DESCRIPTION = MODP_1024
ENCAPSULATION_MODE = TUNNEL
Life = Default-phase-2-lifetime

  1. ==================== CERTIFICATES ====================

noch eine Idee?
Mitglied: goscho
goscho 14.08.2010 um 12:02:00 Uhr
Goto Top
Morgen Ingo,

ich hoffe mal, du hattest nicht beide Clients parallel installiert. face-wink

Darüberhinaus könntest du mal mit ein paar Einstellungen 'spielen',
z.B. 'Enable Checkpoint Compatible Vendor ID', 'IKE Config Push' (General Auto Configuration) einschalten.
Hast du in deinem Netz DNS-Server, WINS-Server zur Verfügung?

Wie ich schon schrieb, habe ich zu mehreren (unterschiedlichen) Netgear Router VPN-Verbindungen durch Shrew aufgebaut.
Den selben Client nutze ich jetzt auch auf älteren Betriebssystemen, obwohl dort die Lizenzen vom Prosafe vorhanden wären.

Allerdings hatte ich auch kaum Probleme diese Verbindungen mit dem Netgear Prosafe aufzubauen, bis Windows 7 kam ...
Mitglied: ivknobloch
ivknobloch 15.08.2010 um 20:38:53 Uhr
Goto Top
Abend,
nein natürlich nicht, sondern auf zwei anderen Systemen. Ich habe leider keinen DNS zur Verfügung. Ich bekomm das mit dem nicht hin *schmoll* Ja vor W7 war das alles schön, aber hilft ja nichts. Ja ich habe auch schon mit diesen Einstellungen gespielt. Aber ohne Erfolg immer die selbe Fehlermeldung.

Ich glaube ich gebe es auf face-sad

Ingo

Außer Du hast doch noch ne Idee
Mitglied: DocChaotica
DocChaotica 05.10.2010 um 15:20:28 Uhr
Goto Top
Hallo Allerseits,
ich musste im Internet feststellen, dass doch recht viele Leute Probleme haben, mittels ShrewSoft und Netgear eine VPN-Verbindung zu erstellen. Mir ging es auch so und es hat mich einiges an Zeit und Nerven gekostet bis es lief. Evtl. helfen meine Erfahrungen weiter, damit andere das Problem auch lösen.

Hier kurz meine Konfiguration:
Router: Netgear VPN Firewall FVG318 FW v2.1.2-67R
VPN-Client: ShrewSoft 2.1.7beta (auch mit 2.1.6 getestet)
Client-OS: Windows 7 64Bit
DynDNS-Services: DynDNS

Generell scheinen die meisten Probleme von der Netgear-Hardware her zu kommen, wenn sie mit nicht-Netgear-Hard-/Software kommunizieren soll. Zwar bekommt man recht oft einen "Tunnel enabled", was darauf hindeutet, dass die Phase 1 der Authentisierung stattfindet, aber Phase 2 klappt dann nicht und man erhält keine SA - Sprich: nix geht durch den Tunnel.
Als aber erst mal alles lief, habe ich beim Shrew-Soft-Client ziemlich viel verbiegen müssen bis es dann nicht mehr ging. Die Hauptprobleme waren letztenendes auf unsauberes Routing zurückzuführen.

Hier meine gesammelte Erfahrung:
1. Offenbar haben manche Netgear-VPN-Router Probleme, wenn nur 1 IKE/VPN-Policy existiert. Daher im Zweifelsfall mal eine 2. anlegen (dummy oder was auch immer) und notfalls auf inaktiv setzen
2. IP-Ranges. Zwischen dem IP-Range des Clients (auf dem Shrew-VPN läuft) und dem IP-Range des Gateway-/Routers-Netzes muss virtuell ein neues Netz eingezogen werden. Siehe unten.
3. Möglichst alle "Auto-Funktionen" im Shrew-Soft-Client deaktivieren. Zumindest der Netgear FVG318 hat damit Probleme.

Konfiguration:

Beispielnetze:
Client-Netz (Shrew) : 192.168.0.0 Mask: 255.255.255.0
Gateway/Router-Netz : 192.168.1.0 Mask: 255.255.255.0
Virtuelles Zwischen-Netz : 192.168.2.0 Mask: 255.255.255.0 Beispiel Feste IP: 192.168.2.10

I) Shrew-VPN-Client

1. Reiter General:
a) Hostname or IP-Address: Die DynDNS-Adresse des VPN-Routers (Oder IP, falls Statische-IP)
b) Auto Configuration: ike config pull
c) Address Method: Use a virtual adapter and assign address
d) Obtain Automatically: OFF (!!!)
e) Address: z.B. 192.168.2.10 (Virtuelle Adresse)
Netzmask: 255.255.255.0

2. Reiter Client
a) NAT-Traversal: enable
b) NAT-Taversal Port 4500
c) Keep Alive packet rate 15 secs
d) IKE Fragmentation: enable
e) Mex packet size 540 Bytes
f) Other Options:
Enable Dead Pear Detection: on
Enable ISAKMP Failure Notifications : on
Enable Client Login Banner: off

3. Reiter Name Resolution
All off !!!!!

4. Authenticaiton
a) Local Identity: Fully Qualified Domain Name
hier die DynDNS Adresse des Clients auf dem Shrew-VPN läuft eintragen
b) Remote Identity: Fully Qualified Domain Name
DynDNS Adresse des Netgear VPN-Routers eintragen (oder IP wenn Static IP)
c) Credentials: Authentication Method: Mutual PSK
hier Pre-Shared Key eingeben

5. Phase 1
Hier kann fast alles auf Auto bleiben, ich rate aber zur spiegelbildlichen Konfiguration wie im Netgear.
Exchange-Type auf jeden Fall: aggressive

6. Phase 2
Hier kann alles auf Auto bleiben, ich rate aber zur spiegelbildlichen Konfiguration wie im Netgear

7. Policy
a) Policy Generation Level: require
b) Maintain Persistent Security Associations: off
c) Obtain Topology Automatically or Tunnel All: off
d) Add Remote Network Ressource:
Hier den Range des Routers angeben, in diesem Beispiel also:
INCLUDE 192.168.1.0, MASK 255.255.255.0


Netgear FVG318

1. Dummy IKE und VPN Policy anlegen
(WENN nicht ohnehin mehr als 1 Regel geplant ist)

2. IKE Definieren,
a) Exchange Type aggressive
b) Local und Remote Identifcation die jeweiligen DynDNS-Einträge des routers und des clients (local / remote)
c) IKE-SA Parameter wie man sie haben will und den Pre-Shared Key angeben. Dies sollte dann auch so im Shrew-Soft-VPN Client wiedergegeben werden.

3. VPN-Policy
a) Remote Endpoint: Die DynDNS-Adresse des Client-Rechners, auf dem der Shrew-Soft-Client läuft
b) Traffic Selection:
Local IP: Subnet.
Hier das Subnet des Routers, also
Start IP: 192.168.1.1
Subnet: 255.255.255.0

Remote IP: Any
(oder: Single: IP: 192.168.2.10, MASK 255.255.255.0
(dies ist die im Shrew-Soft-Client festgelegte Adresse im "virtuellen Netzbereich 192.168.2.0))

c) Restlichen Parameter können unverändert bleiben.


Mit diesen Einstellungen habe ich das ganze dann zum Fliegen gebracht face-smile Natürlich muss dafür gesorgt sein, dass Router und Client immer brav ihre DynDNS-Adressen updaten. Im Router am besten die dortige Funktion nutzen, beim Client nehme ich den DynDNS-Updater von DynDNS.

Hoffe, es hilft dem einen oder anderen Leidensgenossen weiter.
Mich hat es ca. 1 Woche in den Wahnsinn getrieben.

Gruss
Doc Chaotica
Mitglied: goscho
goscho 05.10.2010 um 16:14:23 Uhr
Goto Top
Hallo Doc Chaotica,
schön, dass es bei dir so geklappt hat, möglicherweise hilft es sogar dem TO

aber

ich kann deinen Ausführungen so nicht wirklich folgen.

Warum muss der Client-Rechner mit Shrew eine Dyn-DNS-Adresse bekommen?
Du kannst die Authentifizierung auch mit Fully Qualified User Name vornehmen oder einen FQDN nutzen, der sonst keine Verwendung findet.

3. Reiter Name Resolution
All off !!!!!
Das ist ausgemachter Unsinn! Wenn du eine eigene Domäne mit eigenem DNS-Server besitzt, sollte hier natürlich dieser hinein.

Auch die anderen Einstellungen zeigen mir, dass du nicht so wirklich viele Erfahrungen mit dieser VPN-Konstellation (Netgear-VPN-Router <-> Shrew-VPN-Client) hast.
Mitglied: DocChaotica
DocChaotica 05.10.2010 um 16:32:45 Uhr
Goto Top
Hallo goscho,
Danke für Deine Anmerkungen. Ich sage ja nicht, dass meine Lösung die einzige ist face-smile.


Warum muss der Client-Rechner mit Shrew eine Dyn-DNS-Adresse bekommen?
Du kannst die Authentifizierung auch mit Fully Qualified User Name vornehmen oder einen FQDN nutzen, der sonst keine Verwendung
findet.
Diese Variante habe ich noch nicht ausprobiert, bei mir ging es auf Anhieb dann mit der DynDNS-Adresse.


> 3. Reiter Name Resolution
> All off !!!!!
Das ist ausgemachter Unsinn! Wenn du eine eigene Domäne mit eigenem DNS-Server besitzt, sollte hier natürlich dieser
hinein.
Und wenn nicht?
Auch hier gilt: Meine Lösung ist das Beispiel, wie es bei mir funktioniert hat. Tatsächlich ging es nicht, als ich einen DNS bei mir im Netz eingetragen habe, daher habe ich das nicht weiter verfolgt. Ist aber evtl. einen 2. Blick wert.


Auch die anderen Einstellungen zeigen mir, dass du nicht so wirklich viele Erfahrungen mit dieser VPN-Konstellation
(Netgear-VPN-Router <-> Shrew-VPN-Client) hast.
Richtig, sonst hätte ich ja anfänglich nicht diese Schwierigkeiten gehabt face-smile
Lerne aber gern dazu.
Dann schließe ich dem doch gerade noch eine Frage an:
Wie sieht die Einstellung aus, damit der GESAMTE Traffic durch den Tunnel geht?
Mitglied: lorddawid
lorddawid 04.09.2011 um 10:32:56 Uhr
Goto Top
Hallo zusammen, Hallo DocChaotica,

ich will auch mit Shrew 2.1.7 eine VPN Verbindung zum Netgear FVS318v3 aufbauen.

Der Anfang läuft auch wie das Log vom Netgear anzeigt. Nur über Phase 1 komme ich nicht hinaus!

Kann da jemand was zu sagen????

[LOG NETGEAR START]
[--------------------------------]
[2011-09-04 09:51:39][==== IKE PHASE 1(from XXX.XXX.XXX.XXX) START (responder) ====]
[2011-09-04 09:51:39] RECEIVED FIRST MESSAGE OF AGGR MODE
[2011-09-04 09:51:39]<POLICY: > PAYLOADS: SA,PROP,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2011-09-04 09:51:42]<POLICY: XXXXX> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2011-09-04 09:51:42] SENT OUT SECOND MESSAGE OF AGGR MODE
[2011-09-04 09:51:42] RECEIVED THIRD MESSAGE OF AGGR MODE
[2011-09-04 09:51:42]<POLICY: XXXXX> PAYLOADS: HASH,NATD,NATD
[2011-09-04 09:51:42] AGGR MODE COMPLETED
[2011-09-04 09:51:42][==== IKE PHASE 1 ESTABLISHED====]
[2011-09-04 09:51:42] RECEIVED INFORMATIONAL EXCHANGE MESSAGE
[-------------------------------]
[LOG NETGEAR STOP]

[KONFIG SHREW START]
[-------------------------------]
n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:0
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:phase1-dhgroup:2
n:phase1-keylen:256
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
s:network-host:XXXXXXXXXXXXXXX.dyndns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.168.250.250
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:client-splitdns-list:
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-server-type:fqdn
s:ident-client-data:CLIENT.DOMAIN.VPN
s:ident-server-data:SERVER.DOMAIN.VPN
b:auth-mutual-psk:JVZQTjROYWNrZTc0OA==
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:0
s:policy-level:require

[-------------------------------]
[KONFIG SHREW STOP]

[LOG SHREW START]
[-------------------------------]
11/09/04 09:54:38 ii : ipc client process thread begin ...
11/09/04 09:54:38 <A : peer config add message
11/09/04 09:54:38 <A : proposal config message
11/09/04 09:54:38 <A : proposal config message
11/09/04 09:54:38 <A : client config message
11/09/04 09:54:38 <A : local id 'YYYYYYYYYYYYYY' message
11/09/04 09:54:38 <A : remote id 'XXXXXXXXXXXXXX' message
11/09/04 09:54:38 <A : preshared key message
11/09/04 09:54:38 <A : peer tunnel enable message
11/09/04 09:54:38 ii : local supports nat-t ( draft v00 )
11/09/04 09:54:38 ii : local supports nat-t ( draft v01 )
11/09/04 09:54:38 ii : local supports nat-t ( draft v02 )
11/09/04 09:54:38 ii : local supports nat-t ( draft v03 )
11/09/04 09:54:38 ii : local supports nat-t ( rfc )
11/09/04 09:54:38 ii : local supports FRAGMENTATION
11/09/04 09:54:38 ii : local supports DPDv1
11/09/04 09:54:38 ii : local is SHREW SOFT compatible
11/09/04 09:54:38 ii : local is NETSCREEN compatible
11/09/04 09:54:38 ii : local is SIDEWINDER compatible
11/09/04 09:54:38 ii : local is CISCO UNITY compatible
11/09/04 09:54:38 ii : local is CHECKPOINT compatible
11/09/04 09:54:38 >= : cookies 22cbe955b49cb6d6:0000000000000000
11/09/04 09:54:38 >= : message 00000000
11/09/04 09:54:41 ii : processing phase1 packet ( 384 bytes )
11/09/04 09:54:41 =< : cookies 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:54:41 =< : message 00000000
11/09/04 09:54:41 ii : matched isakmp proposal #1 transform #2
11/09/04 09:54:41 ii : - transform = ike
11/09/04 09:54:41 ii : - cipher type = aes
11/09/04 09:54:41 ii : - key length = 256 bits
11/09/04 09:54:41 ii : - hash type = sha1
11/09/04 09:54:41 ii : - dh group = modp-1024
11/09/04 09:54:41 ii : - auth type = psk
11/09/04 09:54:41 ii : - life seconds = 86400
11/09/04 09:54:41 ii : - life kbytes = 0
11/09/04 09:54:41 ii : phase1 id match
11/09/04 09:54:41 ii : received = fqdn XXXXXXXXXXXXXXXX.dyndns.org
11/09/04 09:54:41 ii : peer supports nat-t ( draft v00 )
11/09/04 09:54:41 ii : nat discovery - local address is translated
11/09/04 09:54:41 >= : cookies 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:54:41 >= : message 00000000
11/09/04 09:54:41 ii : phase1 sa established
11/09/04 09:54:41 ii : xxx.xxx.xxx.xxx:500 <-> 192.168.178.103:500
11/09/04 09:54:41 ii : 22cbe955b49cb6d6:368204d3d9d9bb9
11/09/04 09:54:41 ii : sending peer INITIAL-CONTACT notification
11/09/04 09:54:41 ii : - 192.168.178.103:500 -> xxx.xxx.xxx.xxx:500
11/09/04 09:54:41 ii : - isakmp spi = 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:54:41 ii : - data size 0
11/09/04 09:54:41 >= : cookies 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:54:41 >= : message b65b74ec
11/09/04 09:54:41 ii : building config attribute list
11/09/04 09:54:41 ii : sending config pull request
11/09/04 09:54:41 >= : cookies 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:54:41 >= : message 81529e3f
11/09/04 09:54:46 -> : resend 1 config packet(s) 192.168.178.103:500 -> xxx.xxx.xxx.xxx:500
11/09/04 09:54:51 -> : resend 1 config packet(s) 192.168.178.103:500 -> xxx.xxx.xxx.xxx:500
11/09/04 09:54:56 -> : resend 1 config packet(s) 192.168.178.103:500 -> xxx.xxx.xxx.xxx:500
11/09/04 09:55:01 ii : resend limit exceeded for config exchange
11/09/04 09:57:56 <A : peer tunnel disable message
11/09/04 09:57:56 DB : removing tunnel config references
11/09/04 09:57:56 DB : removing tunnel phase2 references
11/09/04 09:57:56 DB : removing tunnel phase1 references
11/09/04 09:57:56 ii : sending peer DELETE message
11/09/04 09:57:56 ii : - 192.168.178.103:500 -> 178.1.1.131:500
11/09/04 09:57:56 ii : - isakmp spi = 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:57:56 ii : - data size 0
11/09/04 09:57:56 >= : cookies 22cbe955b49cb6d6:368204d30d9d9bb9
11/09/04 09:57:56 >= : message 0897543c
11/09/04 09:57:56 ii : phase1 removal before expire time
11/09/04 09:57:56 DB : removing all peer tunnel refrences
11/09/04 09:57:56 ii : ipc client process thread exit ...
[-------------------------------]
[LOG SHREW STOP]
Mitglied: aqui
aqui 05.09.2011, aktualisiert am 18.10.2012 um 18:48:10 Uhr
Goto Top
Achte darauf das du keinen anderen VPN Client parallel auf dem Rechner hast. Du darfst niemals multiple IPsec Clients parallel installiert haben, da diese sich gegenseitig "behindern". Also alles was an nicht Shrew IPsec da sein sollte über die Systemsteuerung --> Software entfernen.
Zusätzlich solltest du auf deine IP Adressierung achten:
VPNs einrichten mit PPTP
Die Phase 2 scheitert oft daran das der Tnnelendpunkt unterschiedlich bezeichnet ist. Achte also darauf das am Client und Server immer einheitlich FQDN oder IP Adresse stehen !
NetGear ist keine gute Hardware wenn es ums Thema VPN geht (Kollege Goscho ist da anderer Ansicht) aber die tausende Leidensthreads hier sprechen eine deutliche Sprache. Achte also auch darauf das du die aktuellste Firmware in der NetGear Gurke geflasht hast !
Denk auch daran das du auf der Client Seite zwingend ein Port Forwarding am NAT Router einrichten musst mit UDP 500 und UDP 4500 sowie dem ESP protokoll, sofern due kein NAT Traversal am Server und Client aktiviert hast.
Erst mit aktivem NAT Traversal kannst du bei IPsec NAT Firewall Router (jeder DSL Router) problemlos überwinden !
Mitglied: goscho
goscho 05.09.2011 um 10:21:52 Uhr
Goto Top
Morgen Leute,

@lorddawid,
ich hatte zuletzt auch mal ein Problem mit der Verbindung von Shrew 2.1.x zu einem FVS bei der Verwendung von 'Mutual PSK + XAuth'.
Nachdem ich Shrew auf die Version 2.2.0 upgedatet hatte, lief es problemfrei.

DPD (Dead Peer Detection) habe ich aber disabled.
Bei deinem FVS318 würde ich als Verschlüsselung zuerst 3DES versuchen und erst wenn es damit geklappt hat AES mit 128 Bit einrichten.

Die IP 192.168.178.x lässt auf ein Netz mit Fritzbox schließen, aus welchem du dich per Shrew-VPN verbinden willst. face-wink
Das könnte, wie aqui schon richtig geschrieben hat, ein NAT-T Problem sein.
Um dieses auszuschließen, solltest du nach Möglichkeit zuerst mal mit einer direkten Internet-Verbindung (FB als Modem oder Client per UMTS) versuchen, dein VPN aufzubauen.


@aqui,
ich bin nicht der Meinung, dass Netgear die beste Wahl bei VPN-Hardware ist.
Da ich bisher alle VPNs auch mit den Netgear-Gurken zum Laufen gekriegt habe, heißt es zumindest mal, dass VPN mit denen prinzipiell geht. face-wink
Anfangs hatte ich aber - vor allem auf Grund fehlender eigener Grundlagen bei VPN - ziemlich zu tun, bis diese stabil standen.

Die Probleme, die in Foren geschildert werden, sind oftmals im fehlenden Herstellersupport zu suchen.
Wer ein Gerät für 50,- bis 100,- € kauft, hat andere Vorstellungen (und meist auch administrative Voraussetzungen) als jemand, der sich ein Profigerät für 500,- € - 1.000,- € zulegt.

Beim Admin eines teureren Profigerätes wird zuerst der (mitgekaufte) Herstellersupport bemüht, wenn es Probleme mit dem VPN gibt.
Mitglied: lorddawid
lorddawid 05.09.2011, aktualisiert am 18.10.2012 um 18:48:11 Uhr
Goto Top
hi aqui

Zitat von @aqui:
Achte darauf das du keinen anderen VPN Client parallel auf dem Rechner hast. Du darfst niemals multiple IPsec Clients parallel
installiert haben, da diese sich gegenseitig "behindern". Also alles was an nicht Shrew IPsec da sein sollte über
die Systemsteuerung --> Software entfernen.

Ich habe extra ein System ohne weiteren VPN Clienten genommen!

Zusätzlich solltest du auf deine IP Adressierung achten:
VPNs einrichten mit PPTP

Wie man sieht habe ich hier 192.168.178.0 (Clientnetz) 192.168.10.0 (Zielnetz) 192.168.250.250 Virtuelle IP des VPN Clienten.
Sollte doch ok sein oder?

Die Phase 2 scheitert oft daran das der Tnnelendpunkt unterschiedlich bezeichnet ist. Achte also darauf das am Client und Server
immer einheitlich FQDN oder IP Adresse stehen !

Ich habe extra geguckt das die gleichen FQDN im Clienten und Router stehen (nicht existierende kann man doch nehmen, so wie ich woanders gelesen haben oder?)

NetGear ist keine gute Hardware wenn es ums Thema VPN geht (Kollege Goscho ist da anderer Ansicht) aber die tausende
Leidensthreads hier sprechen eine deutliche Sprache.

Tjo... wurde mit der Betreuung der IT in unserem Unternehmen beauftragt...

Achte also auch darauf das du die aktuellste Firmware in der NetGear Gurke
geflasht hast !

Mit dem flashen bin ich immer etwas vorsichtig. Derzeit ist .23 auf dem Router und .28 verfügbar. Andere Verbindungen die eingerichtet sind (Externe IT Dienstleister, Aussendienstmitarbeiter) funktionieren ja. Wenn meistens auch nur Netz-zu-Netz und mit ProSafe Client->Netz.

Denk auch daran das du auf der Client Seite zwingend ein Port Forwarding am NAT Router einrichten musst mit UDP 500 und UDP 4500
sowie dem ESP protokoll, sofern due kein NAT Traversal am Server und Client aktiviert hast.

NAT-T ist aktiviert face-smile

Erst mit aktivem NAT Traversal kannst du bei IPsec NAT Firewall Router (jeder DSL Router) problemlos überwinden !



Leider geht es immer noch nicht... grummel grummel....

Was sagt Ihr zu einem ZyXEL ZyWALL 35 ???

Dort sind sogar 35 VPN Zugänge möglich...
Mitglied: lorddawid
lorddawid 05.09.2011 um 18:36:04 Uhr
Goto Top
Zitat von @goscho:
Morgen Leute,


Hi goscho

@lorddawid,
ich hatte zuletzt auch mal ein Problem mit der Verbindung von Shrew 2.1.x zu einem FVS bei der Verwendung von 'Mutual PSK +
XAuth'.
Nachdem ich Shrew auf die Version 2.2.0 upgedatet hatte, lief es problemfrei.

Habe nur Mutual PSK.


DPD (Dead Peer Detection) habe ich aber disabled.
Bei deinem FVS318 würde ich als Verschlüsselung zuerst 3DES versuchen und erst wenn es damit geklappt hat AES mit 128
Bit einrichten.

Habe ich gerade probiert und geht leider auch nicht.


Die IP 192.168.178.x lässt auf ein Netz mit Fritzbox schließen, aus welchem du dich per Shrew-VPN verbinden willst.
face-wink

JAWOHL! Habe zuhause ne Fritzbox. Mit dieser habe ich auch eine Netz-zu-Netz Verbindung erfolgreich! hergestellt. Nur
muss ich auch einzelne Clients mit dem Unternehmensnetzwerk verbinden lassen.

Das könnte, wie aqui schon richtig geschrieben hat, ein NAT-T Problem sein.
Um dieses auszuschließen, solltest du nach Möglichkeit zuerst mal mit einer direkten Internet-Verbindung (FB als Modem
oder Client per UMTS) versuchen, dein VPN aufzubauen.

Werde ich gleich mal mit meinem Netbook und meinem Handy als Hotspot probieren. Melde mich dann nochmal.


@aqui,
ich bin nicht der Meinung, dass Netgear die beste Wahl bei VPN-Hardware ist.
Da ich bisher alle VPNs auch mit den Netgear-Gurken zum Laufen gekriegt habe, heißt es zumindest mal, dass VPN mit denen
prinzipiell geht. face-wink
Anfangs hatte ich aber - vor allem auf Grund fehlender eigener Grundlagen bei VPN - ziemlich zu tun, bis diese stabil standen.

Die Probleme, die in Foren geschildert werden, sind oftmals im fehlenden Herstellersupport zu suchen.
Wer ein Gerät für 50,- bis 100,- € kauft, hat andere Vorstellungen (und meist auch administrative Voraussetzungen)
als jemand, der sich ein Profigerät für 500,- € - 1.000,- € zulegt.

Beim Admin eines teureren Profigerätes wird zuerst der (mitgekaufte) Herstellersupport bemüht, wenn es Probleme mit dem
VPN gibt.


Was hälst du vom
ZyXEL ZyWALL 35???
Mitglied: lorddawid
lorddawid 05.09.2011 um 20:41:16 Uhr
Goto Top
Also meine lieben Forenmitglieder....

IKE Phase1 konnte hergestellt werden.

Aber Netgear meldet Phase 2 = Idle.

Im Log...

[2011-09-05 20:26:18][==== IKE PHASE 1(from 2.203.168.237) START (responder) ====]
[2011-09-05 20:26:18] RECEIVED FIRST MESSAGE OF AGGR MODE
[2011-09-05 20:26:18]<POLICY: > PAYLOADS: SA,PROP,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2011-09-05 20:26:18]<LocalRID> Type=ID_FQDN,ID DATA=client.domain.vpn
[2011-09-05 20:26:18]<RemoteLID> Type=ID_FQDN,ID DATA=client.domain.vpn
[2011-09-05 20:26:21]<POLICY: VPN> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH,VID,NATD,NATD,NATD
[2011-09-05 20:26:21] SENT OUT SECOND MESSAGE OF AGGR MODE
[2011-09-05 20:26:21] RECEIVED THIRD MESSAGE OF AGGR MODE
[2011-09-05 20:26:21]<POLICY: VPN> PAYLOADS: HASH,NATD,NATD
[2011-09-05 20:26:21] AGGR MODE COMPLETED
[2011-09-05 20:26:21][==== IKE PHASE 1 ESTABLISHED====]
[2011-09-05 20:26:21] RECEIVED INFORMATIONAL EXCHANGE MESSAGE


Und jetzt gehts nicht weiter...

Hat einer von euch ne Idee???


Mit dem VPN Client von Netgear geht es auch über die Fritzbox... möchte es aber mit einem Freewareclienten zum laufen bringen...
Mitglied: goscho
goscho 06.09.2011 um 09:04:25 Uhr
Goto Top
Zitat von @lorddawid:
Also meine lieben Forenmitglieder....

IKE Phase1 konnte hergestellt werden.

Aber Netgear meldet Phase 2 = Idle.
Und jetzt gehts nicht weiter...

Hat einer von euch ne Idee???
Ja, probieren, probieren, probieren.

Mit dem VPN Client von Netgear geht es auch über die Fritzbox... möchte es aber mit einem Freewareclienten zum laufen
bringen...
Hast du den neuesten Prosafe-Client (für Win 7) über deine FB mit dem FVS verbunden?
Dann würde das bedeuten, dass NAT-T funktioniert.

Bist du bei der Nutzung von Shrew mit dem FVS genau nach dieser Anleitung auf der Shrew-Seite vorgegangen?
Mitglied: lorddawid
lorddawid 06.09.2011 um 20:03:24 Uhr
Goto Top
Zitat von @goscho:
> Zitat von @lorddawid:
> ----
> Also meine lieben Forenmitglieder....
>
> IKE Phase1 konnte hergestellt werden.
>
> Aber Netgear meldet Phase 2 = Idle.
> Und jetzt gehts nicht weiter...
>
> Hat einer von euch ne Idee???
Ja, probieren, probieren, probieren.


hmmmm

>
> Mit dem VPN Client von Netgear geht es auch über die Fritzbox... möchte es aber mit einem Freewareclienten zum
laufen
> bringen...
Hast du den neuesten Prosafe-Client (für Win 7) über deine FB mit dem FVS verbunden?
Dann würde das bedeuten, dass NAT-T funktioniert.

Ja den neuesten 10.80 ist glaube ich der neueste...

Damit hatte es in einer Virtuellen XP Maschine eine Verbindung aufgebaut und ich konnte auf die Netzresourcen zugreifen.


Bist du bei der Nutzung von Shrew mit dem FVS genau nach dieser Anleitung auf der
Shrew-Seite vorgegangen?

was heist denn hier genau? Hier ist ja eine 318er im EInsatz.

Aber hier nochmal meine Config:

Netgear:

IKE:
General
Policy Name: VPN
Direction/Type: Responder
Exchange Mode: Aggressive

Local
Local Identity Type: FQDN
Local Identity Data: server.domain.vpn (hier eine "Fake" Domain angegeben, dieses gehte mit dem Netgear Clienten)

Remote
Remote Identity Type: FQDN
Remote Identity Data client.domain.vpn (hier eine "Fake" Domain angegeben, dieses gehte mit dem Netgear Clienten)

IKE SA Parameters
Encryption Algorithm: 3DES
Authentication Algorithm: SHA-1
Authentication Method: Pre-shared Key
Diffie-Hellman (DH) Group: Group 2
SA Life Time: 28.800

VPN
VPN - Auto Policy

General
Policy Name: VPN
IKE policy: VPN

IKE Keep Alive: NEIN
Ping IP Address: KEINE

Remote VPN Endpoint
Address Type: IP Adress
Address Data: 192.168.250.250
SA Life Time (Seconds): 28.800
(Kbytes): 100.000

IPSec PFS: JA
PFS Key Group: Group 2

Traffic Selector
Local IP: Subnet Adress
Start IP address: 192.168.10.0
Finish IP address: KEINE
Subnet Mask: 255.255.255.0

Remote IP: Single Adress
Start IP address: 192.168.250.250
Finish IP address: KEINE
Subnet Mask: KEINE

AH Configuration
Enable Authentication:NEIN
Authentication Algorithm:MD5


ESP Configuration
Enable Encryption: JA
Encryption Algorithm: 3DES
Enable Authentication: JA
Authentication Algorithm:SHA-1

NETBIOS Enable: JA

Netgear Client V10.7.2

Bilder:
http://img687.imageshack.us/img687/4240/20110906071121.jpg
http://img827.imageshack.us/img827/8527/20110906071325.jpg
http://img851.imageshack.us/img851/2047/20110906071412.jpg
http://img840.imageshack.us/img840/5341/20110906071504.jpg
http://img6.imageshack.us/img6/5034/20110906071537.jpg


Das hatte mal funktioniert....
Mitglied: goscho
goscho 06.09.2011 um 20:57:07 Uhr
Goto Top
Hi,
probiere mal User Fully Qualified Domain Name (z.b. client_domain).