Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Netgear FVX538 VPN mit User Authentifizierung

Mitglied: Supaman

Supaman (Level 3) - Jetzt verbinden

27.07.2007, aktualisiert 28.07.2007, 12055 Aufrufe, 4 Kommentare

grüße,

ich möchte mich von einem Windows-XP Client per VPN mit einem Netgear FVX538v2 verbinden. Dazu habe ich die Netgear VPN Client Software benutzt und die Parameter nach dieser Anleitung eigegeben: ftp://downloads.netgear.com/files/vpn_to_0_0_0_01_final1.pdf

Funktioniert prima, allerdings ist die einzige Authentifizierung derzeit der Preshared-Key. Von der IP-Adresse abgesehen, ist der Verbindungsaufbau "anonym", sprich im Log kann nicht nachvollzoger werden, wer eine verbindung aufgebaut hat. Auch finde ich es nicht sehr elegant, wenn alle User dieselbe Zugangskennung benutzen.

Wie muss ich das konfigurieren, damit Username und Passwort die im FVX538 angelegt worden sind benutzt werden?


Gruß,

Supa



(Hier noch mal das Log eines erfolgreichen Verbindungsaufbaus)

2007-07-27 07:28:52: INFO: IKE started
2007-07-27 07:28:52: INFO: Adding IKE configuration with identifer "default"
2007-07-27 07:28:52: INFO: Adding IPSec configuration with identifier "default"
2007-07-27 07:28:52: INFO: accept a request to establish IKE-SA: 0.0.0.0
2007-07-27 07:28:57: ERROR: no policy found: for dst: 0.0.0.0[0]
2007-07-27 07:28:57: ERROR: attempt of establishing IKE-SA: failed: 0.0.0.0
2007-07-27 07:29:02: ERROR: no policy found: for dst: 0.0.0.0[0]
2007-07-27 07:29:02: ERROR: attempt of establishing IKE-SA: failed: 0.0.0.0
2007-07-27 07:29:07: ERROR: no policy found: for dst: 0.0.0.0[0]
2007-07-27 07:29:07: ERROR: attempt of establishing IKE-SA: failed: 0.0.0.0
2007-07-27 07:29:12: ERROR: Reached max retry limit for SA creation
2007-07-27 07:37:00: INFO: Anonymous configuration selected for 172.16.1.10[500].
2007-07-27 07:37:00: INFO: Received request for new phase 1 negotiation: 172.16.1.54[500]<=>172.16.1.10[500]
2007-07-27 07:37:00: INFO: Beginning Aggressive mode.
2007-07-27 07:37:00: INFO: Received unknown Vendor ID
2007-07-27 07:37:00: INFO: Received unknown Vendor ID
2007-07-27 07:37:00: INFO: Received unknown Vendor ID
2007-07-27 07:37:00: INFO: Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
2007-07-27 07:37:00: INFO: Received unknown Vendor ID
2007-07-27 07:37:00: INFO: Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02

2007-07-27 07:37:00: INFO: For 172.16.1.10[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
2007-07-27 07:37:01: INFO: NAT-D payload matches for 172.16.1.54[500]
2007-07-27 07:37:01: INFO: NAT-D payload matches for 172.16.1.10[500]
2007-07-27 07:37:01: WARNING: Ignore REPLAY-STATUS notification from 172.16.1.10[500].
2007-07-27 07:37:01: WARNING: Ignore INITIAL-CONTACT notification from 172.16.1.10[500] because it is only accepted after phase1.
2007-07-27 07:37:01: INFO: NAT not detected
2007-07-27 07:37:01: INFO: ISAKMP-SA established for 172.16.1.54[500]-172.16.1.10[500] with spi:c26db5b7f00a2d1a:32aa245a56319592
2007-07-27 07:37:01: INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT]
2007-07-27 07:37:01: INFO: Responding to new phase 2 negotiation: 172.16.1.54[0]<=>172.16.1.10[0]
2007-07-27 07:37:01: INFO: Using IPsec SA configuration: anonymous
2007-07-27 07:37:01: INFO: No policy found, generating the policy : 172.16.1.10/32[0] 192.168.1.0/24[0] proto=any dir=in
2007-07-27 07:37:01: INFO: IPsec-SA established: ESP/Tunnel 172.16.1.10->172.16.1.54 with spi=172128427(0xa4278ab)
2007-07-27 07:37:01: INFO: IPsec-SA established: ESP/Tunnel 172.16.1.54->172.16.1.10 with spi=4118202017(0xf576c6a1)
Mitglied: aqui
27.07.2007 um 12:04 Uhr
Sehr komisch das sowas im NetGear möglich ist ??? Andere Router wie z.B. der Draytek verlangen mit preshared Keys einen dedizierten Benutzer, den man auch problemlos anlegen kann und natürlich im Syslog tracken kann wer sich wann und von wo per VPN eingeloggt hat. So sollte es in einer sauberen VPN Implementation ja auch sein.....
Das ist dann wohl mehr ein NetGear hauseigenes Problem wenn das nicht konfigurierbar ist oder die gehen nur von einem einzigen User aus.
Ein fragwürdiger Ansatz den NetGear da verfolgt....und lässt die Vermutung aufkommen das deren VPN Lösung eher ein quick and dirty Hack für den Consumer Bereich denn einer sauberen Implementation für ein professionelles Umfeld ist....
Als Alternative hast du dann nur die Chance mit Benutzer Zertifikaten zu arbeiten, die du vorher mit PuttyGen oder MS generieren musst.
Bitte warten ..
Mitglied: Supaman
28.07.2007 um 14:16 Uhr
und es geht doch

1. parameter für router + client nach dieser anleitung einrichten: ftp://downloads.netgear.com/files/vpn_to_0_0_0_01_final1.pdf
2. IKE policy unter XAUTH auf "edge device + user database" setzen
3. in der client software unter "Authentication - Phase1 - Proposal 1" die Authentication method auf "Pre-shared Key ; Extended Authentication" setzen

beim verbindungsaufbau erscheint dann ein pop-up fenster, wo man user name und pw eingeben kann.
Bitte warten ..
Mitglied: aqui
28.07.2007 um 21:24 Uhr
...doch noch die Ehrenrettung für NetGear.....
Nebenbei bemerkt gibt es da aber Hertsteller die das etwas intelligenter gelöst haben
Bitte warten ..
Mitglied: Supaman
28.07.2007 um 22:39 Uhr
du kannst ruhig sagen welche produkte besser geeignet sind. ich brauchte seinerzeit eine hardware-firewall mit dmz (kein exposed host) und vpn funktionalität und hatte auf die schnelle nichts anderes gefunden, was den gewünschten funktionsumfang bei einem recht günstigen preis & einem übersichtlichen user interface geboten hatte.

entweder war nur eine fake-dmz (exposed host) vorhanden, zu teuer oder nur mit spezial schulung administrierbar (cisco).
Bitte warten ..
Ähnliche Inhalte
Windows Server
NPS Server Domain User Authentifizierung
Frage von samet22Windows Server1 Kommentar

Hallo Leute, Eine kleine Frage an euch da ich dies zum ersten mal mache:) In meiner Firma will ich ...

LAN, WAN, Wireless
VPN Server und Netgear Router
Frage von ProtectedLAN, WAN, Wireless16 Kommentare

Hallo, ich benötige eure Hilfe! Das Ziel ist es, dass ich IP-Adressen (öffentliche von einem rz) intern (privater Abschluß) ...

Router & Routing

VPN Netgear Prosafe Konfigurationsproblem

gelöst Frage von JukeboxmichlRouter & Routing5 Kommentare

Hallo! Ich habe seit Jahren mit Hilfe der Netgear Prosafe Software auf dem Notebook einen Tunnel zu meinem Netgear ...

Router & Routing

Netgear FVS338 - NAT VPN

gelöst Frage von MultitaskRouter & Routing9 Kommentare

Hallo, Situation: Netgear FVS338 in der Zentrale mit diversen VPN-Tunneln (IPSec) zu den Aussenstellen - funktioniert seit Jahren wunderbar. ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 9 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 20 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 20 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 20 StundenHardware11 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux25 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...