12
VPN Netgear FVS318v3 und Fritzbox 7170
Hallo,
ich habe zu hause eine Fritzbox 7170 mit Firmware (VPN) und in der Firma einen Router Netgear FVS318v3.
Die Fritzbox soll über VPN auf das Firmennetzwerk zugreifen können (natürlich auch umgekehrt).
Ich habe über FritzBox Fernzugang einrichten eine Konfiguration erstellt und diese in die Fritzbox eingefügt:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "83.221.xxx.xxx";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 83.221.xxx.xxx;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "xxxxxxx.homeftp.net";
}
remoteid {
ipaddr = 83.221.xxx.xxx;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxx";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.99.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
in der Netgear (FVS 318v3) habe ich folgende Einstellungen:
Eine Verbindung kommt nicht zustande. Die Netgear Box bringt regelmäßig
[2008-04-14 14:59:11] SENT OUT FIRST MESSAGE OF AGGR MODE
[2008-04-14 14:59:11]<POLICY: AVM7170> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2008-04-14 14:59:31] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2008-04-14 14:59:31]<POLICY: AVM7170> PAYLOADS: DEL
Die Fritzbox zeigt nichts im Ereignisprotokoll:
Achtung! Hier handelt es sich nicht um einen Netgear Router hinter einer Fritzbox. Die beiden Geräte sind jeweils die Schnittstelle zwischen den Netzen.
Die Anleitungen von Netgear und AVM bringen mich nicht weiter, ich brächte dringend Hilfe!
ich habe zu hause eine Fritzbox 7170 mit Firmware (VPN) und in der Firma einen Router Netgear FVS318v3.
Die Fritzbox soll über VPN auf das Firmennetzwerk zugreifen können (natürlich auch umgekehrt).
Ich habe über FritzBox Fernzugang einrichten eine Konfiguration erstellt und diese in die Fritzbox eingefügt:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "83.221.xxx.xxx";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 83.221.xxx.xxx;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "xxxxxxx.homeftp.net";
}
remoteid {
ipaddr = 83.221.xxx.xxx;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxx";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.99.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF
in der Netgear (FVS 318v3) habe ich folgende Einstellungen:
Eine Verbindung kommt nicht zustande. Die Netgear Box bringt regelmäßig
[2008-04-14 14:59:11] SENT OUT FIRST MESSAGE OF AGGR MODE
[2008-04-14 14:59:11]<POLICY: AVM7170> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2008-04-14 14:59:31] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2008-04-14 14:59:31]<POLICY: AVM7170> PAYLOADS: DEL
Die Fritzbox zeigt nichts im Ereignisprotokoll:
Achtung! Hier handelt es sich nicht um einen Netgear Router hinter einer Fritzbox. Die beiden Geräte sind jeweils die Schnittstelle zwischen den Netzen.
Die Anleitungen von Netgear und AVM bringen mich nicht weiter, ich brächte dringend Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 85459
Url: https://administrator.de/contentid/85459
Printed on: April 23, 2024 at 12:04 o'clock
12 Comments
Latest comment
Entscheident ist dein Satz "...es hanndelt sich um einen NetGear hinter einem AVM Router".
Erste Frage was soll das ??
2te Frage (und gleichzeitig Antwort) Dir ist selber klar das das IPsec ESP Protokoll was du verwendest nicht über eine NAT Firewall übertragbar ist sofern du kein NAT Traversal benutzt.
Leider sind deine Angaben zur Netzstruktur sehr spärlich und oberflächlich, so das eine qualifizierte Hilfe unmöglich wird bzw. in ein Kristallkugel sehen ausartet
Fakt ist aber wenn der NetGear hinter einem AVM sitzt der auch NAT macht musst du auf diesem ein Port Forwarding für IPsec ESP einrichten.
Das sind dann die folgenden Protokolle:
Die Tatsache das du keine eingehenden Packete auf dem remoten AVM hast zeigt das schon das das an der NAT Firewall hängenbleibt...
Ferner musst du auch generell klären ob die remote AVM Box VPN Server sein kann also VPN Connections annehmen kann. Ggf. kann sie nur entweder Client oder Server sein. Die Tatsache allerdings das man mit dem VPM VPN Client auf so eine Box zugreifen kann lässt vermuten das sie Server sein kann. Vermutlich aber kein Client.
Der NetGear muss also besser immer die Verbindung initiieren als andersrum...
Erste Frage was soll das ??
2te Frage (und gleichzeitig Antwort) Dir ist selber klar das das IPsec ESP Protokoll was du verwendest nicht über eine NAT Firewall übertragbar ist sofern du kein NAT Traversal benutzt.
Leider sind deine Angaben zur Netzstruktur sehr spärlich und oberflächlich, so das eine qualifizierte Hilfe unmöglich wird bzw. in ein Kristallkugel sehen ausartet
Fakt ist aber wenn der NetGear hinter einem AVM sitzt der auch NAT macht musst du auf diesem ein Port Forwarding für IPsec ESP einrichten.
Das sind dann die folgenden Protokolle:
- UDP Port 500 (IKE)
- UDP Port 4500 (NAT Traversal)
- ESP Protokoll, das ist die Protokoll Nummer 50 (Achtung nicht TCP oder UDP 50 ! ESP ist ein eigenes Protokoll)
Die Tatsache das du keine eingehenden Packete auf dem remoten AVM hast zeigt das schon das das an der NAT Firewall hängenbleibt...
Ferner musst du auch generell klären ob die remote AVM Box VPN Server sein kann also VPN Connections annehmen kann. Ggf. kann sie nur entweder Client oder Server sein. Die Tatsache allerdings das man mit dem VPM VPN Client auf so eine Box zugreifen kann lässt vermuten das sie Server sein kann. Vermutlich aber kein Client.
Der NetGear muss also besser immer die Verbindung initiieren als andersrum...
Hi aqui,
da steht doch nicht hinter einer Fritzbox.
mfg
andi
Entscheident ist dein Satz "...es
hanndelt sich um einen NetGear hinter einem
AVM Router".
hanndelt sich um einen NetGear hinter einem
AVM Router".
da steht doch nicht hinter einer Fritzbox.
Achtung! Hier handelt es sich nicht um einen
Netgear Router hinter einer Fritzbox. Die
beiden Geräte sind jeweils die
Schnittstelle zwischen den Netzen.
Netgear Router hinter einer Fritzbox. Die
beiden Geräte sind jeweils die
Schnittstelle zwischen den Netzen.
mfg
andi
erstmal danke für deine schnelle Antwort:
Der Satz heißt: es handelt sich NICHT um einen Netgear hinter einem AVM Router (Wurde nur eingefügt, da es im Internet viele Anleitungen gibt, welche dieses Szenario betreffen).
NAT ist mir ein Begriff - Traversal hört mein Wissen auf.
Welche Info´s kann ich dem helfenden noch anbieten? Ich möchte dieses Problem lösen.
Der Satz heißt: es handelt sich NICHT um einen Netgear hinter einem AVM Router (Wurde nur eingefügt, da es im Internet viele Anleitungen gibt, welche dieses Szenario betreffen).
NAT ist mir ein Begriff - Traversal hört mein Wissen auf.
Welche Info´s kann ich dem helfenden noch anbieten? Ich möchte dieses Problem lösen.
Danke für die schnelle Hilfe
Es handelt sich NICHT um einen Netgear hinter einer Fritzbox!!!
Da man zwei FB 7170 miteinander verbinden kann, sollte es ja auch zwischen FVS 318 und FB 7170 möglich sein.
Welche Info´s über Netzstruktur brauchst du? Ich hänge schon lange an diesem Problem und möchte endgültig eine Lösung
Entscheident ist dein Satz "...es
handelt sich um einen NetGear hinter einem
AVM Router".
handelt sich um einen NetGear hinter einem
AVM Router".
Es handelt sich NICHT um einen Netgear hinter einer Fritzbox!!!
Da man zwei FB 7170 miteinander verbinden kann, sollte es ja auch zwischen FVS 318 und FB 7170 möglich sein.
Welche Info´s über Netzstruktur brauchst du? Ich hänge schon lange an diesem Problem und möchte endgültig eine Lösung
Ooops, sorry. Wer lesen kann ist klar im Vorteil ! 
Das Wörtchen nicht ist mir doch glatt durchgerutscht. Vergiss also was dazu steht !!
Das Wörtchen nicht ist mir doch glatt durchgerutscht. Vergiss also was dazu steht !!
Die Info war nur auf eine Netzwerkstruktur bezogen. Dadurch das du keine 2 kaskadierten Router hast ist das obsolet.
IPsec kommt in mehreren Varianten daher. Man müsste also schon einmal einen Verbindungsaufbau beider Maschinen sehen um genaueres sagen zu können.
Du solltest deshalb mal einen www.WIRESHARK.org einschleifen in die WAN Leitung und die IPsec Session Initiierung mitsniffern. Da sieht man meistens sofort woran es hapert.
Verdächtig ist aber die Tatsache wie du schreibst das du scheinbar gar keine IPsec Packete auf der AVM Seite siehst (Fritzbox zeigt gar nichts im Ereignisprotokoll). D.h. die IPsec Packete kommen hier gar nicht an.
Das lässt dann vermuten das die IP nicht stimmt oder der FQN Domainname. Auch hier solltest du mal sniffern ob überhaupt IPsec Packete eingehen. Tun sie das überhaupt nicht kannst du ja lange suchen....
Im schlechtesten aller Fälle sind die beiden inkompatibel. NetGear hat sich hier nicht gerade mit Ruhm bekleckert, da die auch einen proprietären Client verwenden. IPsec ist nicht gerade die Stärke dieses Herstellers
Wenn alle Stricke reissen musst du die Router ersetzen mit 2 eines Herstellers. Draytek ist da dann nicht die falscheste Wahl was VPN Systeme anbetrifft.
IPsec kommt in mehreren Varianten daher. Man müsste also schon einmal einen Verbindungsaufbau beider Maschinen sehen um genaueres sagen zu können.
Du solltest deshalb mal einen www.WIRESHARK.org einschleifen in die WAN Leitung und die IPsec Session Initiierung mitsniffern. Da sieht man meistens sofort woran es hapert.
Verdächtig ist aber die Tatsache wie du schreibst das du scheinbar gar keine IPsec Packete auf der AVM Seite siehst (Fritzbox zeigt gar nichts im Ereignisprotokoll). D.h. die IPsec Packete kommen hier gar nicht an.
Das lässt dann vermuten das die IP nicht stimmt oder der FQN Domainname. Auch hier solltest du mal sniffern ob überhaupt IPsec Packete eingehen. Tun sie das überhaupt nicht kannst du ja lange suchen....
Im schlechtesten aller Fälle sind die beiden inkompatibel. NetGear hat sich hier nicht gerade mit Ruhm bekleckert, da die auch einen proprietären Client verwenden. IPsec ist nicht gerade die Stärke dieses Herstellers
Wenn alle Stricke reissen musst du die Router ersetzen mit 2 eines Herstellers. Draytek ist da dann nicht die falscheste Wahl was VPN Systeme anbetrifft.
Da es auf der AVM Seite eine Anleitung gibt, wie man mit einem Netgear FVS 318 verbinden kann, glaube ich nicht, das sie inkompatibel sind.
Ich habe gerade eine Anleitung zur Nutzung von Wireshark gefunden und probiere es aus. Leider kann ich nicht die Capture-Adresse auf die des Routers einstellen. Wenn ich das Problem gelöst haben, kann ich nähere Angaben machen.
Da ich mich mit Wireshark nicht auskenne, würde ich gern Hilfe in Anspruch nehmen.
Danke besonders an Aqui für die Hilfe.
Ich habe gerade eine Anleitung zur Nutzung von Wireshark gefunden und probiere es aus. Leider kann ich nicht die Capture-Adresse auf die des Routers einstellen. Wenn ich das Problem gelöst haben, kann ich nähere Angaben machen.
Da ich mich mit Wireshark nicht auskenne, würde ich gern Hilfe in Anspruch nehmen.
Danke besonders an Aqui für die Hilfe.
Da hast du Recht, wenn es für den FVS 318 beschrieben ist sollte es natürlich klappen ! Vermutlich ist das nur eine kleine Einstellung die vergessen wurde...
Und das ist das Problem seit zwei Wochen!
Hast du eine Idee wie ich den Verkehr des Netgear mit wireshark überwachen kann? Ich kann nicht die IP Adresse der Box 192.168.99.5 auswählen.
Hast du eine Idee wie ich den Verkehr des Netgear mit wireshark überwachen kann? Ich kann nicht die IP Adresse der Box 192.168.99.5 auswählen.
Das musst du auch gar nicht. Einfach den Wireshark mit einem kleinen Hub in die WAN Leitung einschleifen und auf Capture klicken.
Du solltest in der Zeit keinen anderen Traffic erzeugen, denn den müsstest du nachher wieder wegfiltern. Du kannst aber auch gleich einen Capture Filter im Wireshark aktivieren, der dir dann nur den Routertraffic rausfiltert (z.B. nach der Router MAC Adresse auf dem WAN Interface) !
Technisch sähe das denn so aus:
Du solltest in der Zeit keinen anderen Traffic erzeugen, denn den müsstest du nachher wieder wegfiltern. Du kannst aber auch gleich einen Capture Filter im Wireshark aktivieren, der dir dann nur den Routertraffic rausfiltert (z.B. nach der Router MAC Adresse auf dem WAN Interface) !
Technisch sähe das denn so aus:
Ok das habe ich verstanden, aber warum erscheint bei Source oder Destination nicht die aufgelöste Adresse von xxxxxxx.homeftp.net?
Nach was muss ich filtern, damit ich genau den Verkehr sehe, den ich brauche? (Wir habe hier 8 Rechner die alle gleichzeitig im Internet unterwegs sind)
Nach was muss ich filtern, damit ich genau den Verkehr sehe, den ich brauche? (Wir habe hier 8 Rechner die alle gleichzeitig im Internet unterwegs sind)
Ziehe alle diese Rechner ab, damit die keinen Traffic erzeugen, denn die VPN Verbindung baut ja nur der Router auf. Wenn das nicht geht, dann checke im Router Setup welche IP Adresse du auf der DSL Schnittstelle bekommen hast !!
Das kannst du auch ganz einfach machen wenn du mit einem einzigen angeschlossenen Rechner mal auf www.wieistmeineip.de gehst.
Die IP die du dort siehst ist die Router DSL IP. Im Wireshark kannst du den Capture Filter dann auf diese IP als Source IP einstellen. Der Wireshark zeigt dann nur noch Packete die von dieser IP also dem Router kommen.
In jedem Falle musst du die aufgelöste IP von homeftp.net sehen. Wenn es daran schon scheitert, dann hast du ggf. vorher schon ein Problem bevor überhaupt die VPN Verbindung zustandekommt.
Dafür spricht das du im AVM Log keinerlei Aktivitäten siehst...
Das kannst du auch ganz einfach machen wenn du mit einem einzigen angeschlossenen Rechner mal auf www.wieistmeineip.de gehst.
Die IP die du dort siehst ist die Router DSL IP. Im Wireshark kannst du den Capture Filter dann auf diese IP als Source IP einstellen. Der Wireshark zeigt dann nur noch Packete die von dieser IP also dem Router kommen.
In jedem Falle musst du die aufgelöste IP von homeftp.net sehen. Wenn es daran schon scheitert, dann hast du ggf. vorher schon ein Problem bevor überhaupt die VPN Verbindung zustandekommt.
Dafür spricht das du im AVM Log keinerlei Aktivitäten siehst...
