Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netgear FVS318v3 Gateway-Gateway VPN DISCARDING RETRANSMITTED PACKET...

Mitglied: 38517

38517 (Level 1)

26.09.2007, aktualisiert 28.09.2007, 11054 Aufrufe, 6 Kommentare

Hallo Zusammen

Ich bin dabei ein Gateway to Gateway VPN mit 2 Netgear FVS318v3 (aktuelle Firmware) einzurichten. Die Firewalls stehen je hinter einem Netopia ADSL Router. Dabei verwende ich ein kaskadiertes System, so dass ADSL Router die Internet Verbindung herstellt und dann die Firewalls über eine Interne IP hinter dem NAT kommunizieren.

Beide Firealls sind identisch konfiguriert, einfach kreuzweise mit den VPN Informationen. Die ADSL Router haben als Default Sever die Firewalls drin, so dass diese alle Pakete bekommen.

Speziell ist, dass ich vom Standort A eine VPN Verbindung zu Standort B herstellen kann, jedoch keine Daten empfangen kann und diese Fehlermeldung erhalte: (siehe unterste 3 Zeilen)

*
[2007-09-26 21:29:51]
RECEIVED FOURTH MESSAGE OF MAIN MODE
[2007-09-26 21:29:51]<POLICY fresh-vpn> PAYLOADS KE,NONCE
[2007-09-26 21:29:52]
SENT OUT FIFTH MESSAGE OF MAIN MODE
[2007-09-26 21:29:54]
RECEIVED SIXTH MESSAGE OF MAIN MODE
[2007-09-26 21:29:54]<POLICY fresh-vpn> PAYLOADS ID,HASH
[2007-09-26 21:29:54]
MAIN MODE COMPLETED
[2007-09-26 21:29:54][
IKE PHASE 1 ESTABLISHED
]
[2007-09-26 21:29:54]<POLICY: fresh-vpn> PAYLOADS HASH,DEL
[2007-09-26 21:29:54]
SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2007-09-26 21:29:54]<POLICY fresh-vpn> PAYLOADS: HASH,DEL
[2007-09-26 21:30:10][
IKE PHASE 2(to xxx.xxx.xxx.xxx) START (initiator)
]
[2007-09-26 21:30:10]
SENT OUT FIRST MESSAGE OF QUICK MODE
[2007-09-26 21:30:10]<Initiator IPADDR=192.168.0.0,PORT=0>
[2007-09-26 21:30:10]<Responder IPADDR=192.168.3.0,PORT=0>
[2007-09-26 21:30:10]
RECEIVED SECOND MESSAGE OF QUICK MODE
[2007-09-26 21:30:10]<POLICY fresh-vpn> PAYLOADS: HASH,SA,PROP,TRANS,NONCE,ID,ID
[2007-09-26 21:30:10]<POLICY fresh-vpn> PAYLOADS: HASH
[2007-09-26 21:30:10]
SENT OUT THIRD MESSAGE OF QUICK MODE
[2007-09-26 21:30:10]
QUICK MODE COMPLETED
[2007-09-26 21:30:10][
IKE PHASE 2 ESTABLISHED
]
[2007-09-26 21:30:15]DISCARDING RETRANSMITTED PACKET...
[2007-09-26 21:30:20]DISCARDING RETRANSMITTED PACKET...
[2007-09-26 21:30:25]DISCARDING RETRANSMITTED PACKET...
*
Bei Standort B kann ich, wenn diese Verbindung durch A initiert wurde, beliebig Daten übers VPN senden, wie gewünscht.

Breche ich aber von B aus die Verbidung ab und möchte die Via B starten, erhalte ich keine Antwort von Standort A.


Sprich: Wenn A mit B verbunden ist, kann ich nur von B auf A zugreiffe und nicht von A auf B. Von B aus kann ich keine Verbindung starten.

Im Firewall Log von Standort A hatte ich noch dies:
*
Wed, 2007-09-26 21:27:07 - ICMP packet - Source: 192.168.1.1 - Destination: 192.168.1.2 - [ICMP Type: 3 Code: 1 Icmp error message received for uninitiated connection. Orginal Src 192.168.1.2 Dst xxx.xxx.xxx.xxx., dropping packet from WAN]
*

Was könnte das sein?

Danke für eure Hilfe!

Gruss
Manuel
Mitglied: FISICON
27.09.2007 um 08:38 Uhr
Hallo,

kann es sein das du an beiden Standorten den selbe IP Kreis hast ?
Poste bitte mal die Details der beiden Standorte.

Gruß

Fisicon
Bitte warten ..
Mitglied: 38517
27.09.2007 um 08:59 Uhr
Hallo!

Nein, ich habe 4 Subnetze, Wan & Lan A Wan & Lan B. Das sollte schon klappen.

Ich vermute, dass das Problem bei einem der ADSL Router liegt. Der ADSL Router von Standort A ( Cayman Model 3341 DSL USB)  ist schon 4 Jahre alt und unterstützt im Portforwarding nur TCP und UDP, jedenfalls kann ich nichts anderes auswählen. Ich habe jedoch den Default Server für Portforwarding gesetzt. Eventuell werden icmp Pakete doch nich inbound weiter geleitet. Der zweite ADSL Router ist erst 1 Jahr alt.

Könnte es eine Lösung sein, wenn ich bei Standort A den ADSL Router in den Brigding Modus stecke und denn via Netgear Firewall mich über PPoE zum ISP einwähle? Sollten dann auf jeden fall alle Protokolle korrekt duch den Netopia ADSL Router geroutet werden?

Leider konnte ich dies noch nicht testen.

Könnte das eine Erklärung sein, weshalb ich von Standort B aus Daten von Standort A laden kann, also Outbound von A, jedoch von A aus keine Daten von B aus laden kann?

Danke und Gruss
Manuel
Bitte warten ..
Mitglied: 38517
27.09.2007 um 09:37 Uhr
Folgendes habe ich gerade auf der Netopia Website (http://www.netopia.com/support/hardware/technotes/NIR_082.html) gefunden:

6.3.0 R7 Outbound IPSec is supported. Make sure the IPSec passthrough box is checked in the web GUI as shown below.

Inbound Passthrough - - Netopia 3300 / 3500 Series
6.30R7: Inbound passthrough is NOT supported.
7.1.1: Inbound passthrough is NOT supported.
7.1.2: Inbound passthrough is supported using the Software Hosting passthrough feature. See 7.1.2 documentation for a description of this feature.

Weil ich 6.3.0. R9 habe könnte dies ein Problem sein?

Umgehe ich die Einschränkungen, wenn die ADSL Modems im Bridge Modus sind und die Firewall dahinter sich beim ISP einloggt? Oder habe ich auf jeden Fall ein Problem?

Hallo Zusammen, ich versuche es auch mal mit einem Firmware Upgrade des ADSL Routers: http://www.netopia.com/equipment/intl/emea/ch/de/DE_aktual_swisscom.htm ...

Grüsse
Manuel
Bitte warten ..
Mitglied: 38517
27.09.2007 um 14:35 Uhr
Ich glaube, ich mache lieber den Web über den ADSL Router im Bridge Modus. Der Standort A habe ich nun im Bridge Modus mit einer Fixen IP (Webacces geht), jedoch erhalte ich noch die Discarding Fehlermeldungen. Heute Abend werde ich auch Standort B in den Brindgemodus nehmen.

Werden dann im Bridgemodus total die Einschränkungen des ADSL Routers übergangen, da nun die separate Firewall eine direkte IP via PPoE übers Internet hat? Oder könnte eine Tiefe Firmware auf dem ADSL Router (nicht exterme Firewall) Einfluss auf die VPN Verbindung haben?

Grüsse
Manuel
Bitte warten ..
Mitglied: 38517
27.09.2007 um 22:29 Uhr
Nachdem ich bei beiden ADSL Routern die Bridge Funktion aktiviert hatte und über die beide externen Firewall-Gateways mich einwählte + ein Firmware update eines alten ADSL Routers machte, funktioniert nun die VPN Verbindung auf beide Seten. Die Discarding Meldung kommt zwar immer noch, aber die Daten fliessen. Was könnte der Grund für die Meldung sein?

Grüsse
Manuel
Bitte warten ..
Mitglied: aqui
28.09.2007 um 16:30 Uhr
So ist die Konfig in jedem Falle richtig ! Wenn du VPN Betrieb machst solltest du niemals die VPN Gateways hinter NAT Router betreiben wenn diese wie in deinem Falle eine Einwahl ja auch selber vornehmen können.

Der Grund ist ein ganz einfacher und das wird auch dein Problem gewesen sein: Die musst das VPN Protokoll, wie in deinem Falle IPsec wahrscheinlich im ESP Modus (Encapsulation security Payload), revers über den NAT Router davor übertragen, was immer unschön ist da viele Systeme das nicht richtig können wie sehr wahrscheinlich dein altes Cayman System.
Wie du sicher selber weisst besteht IPsec(ESP) aus 3 Protokollen, IKE dem Schlüsselprotokoll auf UDP 500, dann ESP was in der IP Protokollsuite ein eigenes Protokoll mit der Nummer 50 ist und meist auch noch dem NAT-Traversal auf UDP 4500.
Leider kann man nur raten wie du das Port Forwarding auf den davor liegenden NAT Routern eingestellt hast aber scheinbar führt einer der Router das VPN Passthrough dann nicht sauber aus, so das es zu diesem Verhalten gekommen ist.
Wenn du mit dem Wireshark mal einen Trace gezogen hättest beim VPN Verbindungsaufbau hätte man dir das sofort sagen können aber leider fehlten diese Daten von dir so das man, wie gesagt, nur raten kann
Dadurch das du nun einen der Vorrouter zum dummen Modem gemacht hast, stellt sich das Problem nicht mehr denn die FVS haben nun eine direkte VPN Verbindung ohne NAT.
So oder so ist das aber technisch die beste Lösung es mit den VPN Routern direkt zu machen oder noch besser ist es gleich VPN aktive Router mit integriertem Modem zu nutzen !!!

Wenns das war bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
Debian
VPN - Squid alls Gateway
Frage von geforce28Debian7 Kommentare

Hallo. Ich beschreibe nun ein Scenario, was ich gerne irgendwie umsetzen möchte, aber noch nicht so recht weiß wie ...

Switche und Hubs
VPN Router, Gateway - Eure Empfehlung
gelöst Frage von mikado90Switche und Hubs3 Kommentare

Hi! Wir benötigen ein VPN Router / Gateway. Als Firewall kommt eine PaloAlto PA-500 zum Einsatz. Die VPN-Lösung sollte ...

Router & Routing
Route hinter VPN-Gateway
gelöst Frage von FA-jkaRouter & Routing6 Kommentare

Ich lerne gerade Netzwerktechnik und bastle ein bisschen mit OpenVPN herum. Folgendes Szenario auf dem Client (RoadWarrior): eth0 (Client) ...

Netzwerkmanagement

VPN Verbindung wird automatisch zum Gateway

gelöst Frage von fuguNetzwerkmanagement1 Kommentar

Moin Com, ich stelle mich gerade mal wieder doof an :D Ich habe mir eine VPN-Verbindung (PPTP) von zuhause ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 15 StundenErkennung und -Abwehr1 Kommentar

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 22 StundenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 2 TagenDrucker und Scanner3 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 3 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Heiß diskutierte Inhalte
Microsoft
VPN Verbindung kann nicht aufgebaut werden
Frage von AlexderITlerMicrosoft35 Kommentare

Hallo, Ich möchte an einem unserer PCs in unserer Tochterfirma eine VPN zu unserem Netzwerk einrichten. Das schlägt allerdings ...

Windows Server
Domäne einsilbig mit nur einem Namen benannt - sowie AD und MX auf einer VM Kardinalsfehler?
Frage von TomTestWindows Server27 Kommentare

Hallo liebe Freunde gepflegter Probleme, seit kurzem soll ich eine Domäne verwalten die zuvor von einem IT-Dienstleister erstellt und ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
gelöst Frage von Marcel1989Datenbanken19 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

DNS
Gibt es eine Art DNS Proxy?
Frage von icepietDNS15 Kommentare

Hallo Nerds, Ich würde gerne folgendes machen: ts.domain.de:3389 soll auf 1.2.3.4:3389 auflösen ts2.domain.de:3389 soll auf 1.2.3.4:3390 auflösen Gibt es ...