7
Welche Ports braucht der Netgear VPN Client?
Hallo,
ich habe folgendes Problem:
ich soll eine VPN Verbindung zu unserem Netgear 318v3 aufbauen,was von anderen Rechnern auch wunderbar klappt,außer von einem nicht,denn der sitzt hinter ner Firewall,die so gut wie nix durchlässt.
Nun will der Systemadmin von mir wissen,welche Ports die Netgear proSafe VPN Client Software benötigt. Diese Angaben konnte ich aber bisher nirgends finden.
Kann mir hier jemand vielleicht helfen?
Gibts vielleicht auch ein Programm,mit welchem man die Ports scannen kann.Also im Prinzip installiere ich das Proggi auf nem Rechner wo der VPN Client geht und sehe dann über welche Ports er kommuniziert.
MfG
Michael
EDIT:
Hier mal der Auszug aus dem Protokoll:
8-01: 09:51:21.984 My Connections\LeonhardtVPN - Attempting to resolve Hostname (xxx.dyndns.org)
8-01: 09:51:22.015
8-01: 09:51:22.015 My Connections\LeonhardtVPN - Initiating IKE Phase 1 (Hostname=xxx.dyndns.org) (IP ADDR=84.183.1xx.xxx)
8-01: 09:51:22.250 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-01: 09:51:37.718 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:51:37.718 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:51:52.718 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:51:52.718 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:52:07.718 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:52:07.718 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:52:22.718 My Connections\LeonhardtVPN - Exceeded 3 IKE SA negotiation attempts
8-01: 09:53:29.312 My Connections\LeonhardtVPN - Using cached address. (Hostname=xxx.dyndns.org) (IP ADDR=84.183.1xx.xxx)
8-01: 09:53:29.312 My Connections\LeonhardtVPN - Attempting to resolve Hostname (xxx.dyndns.org)
8-01: 09:53:29.484
8-01: 09:53:29.484 My Connections\LeonhardtVPN - Initiating IKE Phase 1 (Hostname=xxx.dyndns.org) (IP ADDR=84.183.1xx.xxx)
8-01: 09:53:29.703 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-01: 09:53:44.734 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:53:44.734 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:53:59.734 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:53:59.734 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:54:14.734 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:54:14.734 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:54:29.734 My Connections\LeonhardtVPN - Exceeded 3 IKE SA negotiation attempts
ich habe folgendes Problem:
ich soll eine VPN Verbindung zu unserem Netgear 318v3 aufbauen,was von anderen Rechnern auch wunderbar klappt,außer von einem nicht,denn der sitzt hinter ner Firewall,die so gut wie nix durchlässt.
Nun will der Systemadmin von mir wissen,welche Ports die Netgear proSafe VPN Client Software benötigt. Diese Angaben konnte ich aber bisher nirgends finden.
Kann mir hier jemand vielleicht helfen?
Gibts vielleicht auch ein Programm,mit welchem man die Ports scannen kann.Also im Prinzip installiere ich das Proggi auf nem Rechner wo der VPN Client geht und sehe dann über welche Ports er kommuniziert.
MfG
Michael
EDIT:
Hier mal der Auszug aus dem Protokoll:
8-01: 09:51:21.984 My Connections\LeonhardtVPN - Attempting to resolve Hostname (xxx.dyndns.org)
8-01: 09:51:22.015
8-01: 09:51:22.015 My Connections\LeonhardtVPN - Initiating IKE Phase 1 (Hostname=xxx.dyndns.org) (IP ADDR=84.183.1xx.xxx)
8-01: 09:51:22.250 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-01: 09:51:37.718 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:51:37.718 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:51:52.718 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:51:52.718 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:52:07.718 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:52:07.718 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:52:22.718 My Connections\LeonhardtVPN - Exceeded 3 IKE SA negotiation attempts
8-01: 09:53:29.312 My Connections\LeonhardtVPN - Using cached address. (Hostname=xxx.dyndns.org) (IP ADDR=84.183.1xx.xxx)
8-01: 09:53:29.312 My Connections\LeonhardtVPN - Attempting to resolve Hostname (xxx.dyndns.org)
8-01: 09:53:29.484
8-01: 09:53:29.484 My Connections\LeonhardtVPN - Initiating IKE Phase 1 (Hostname=xxx.dyndns.org) (IP ADDR=84.183.1xx.xxx)
8-01: 09:53:29.703 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
8-01: 09:53:44.734 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:53:44.734 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:53:59.734 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:53:59.734 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:54:14.734 My Connections\LeonhardtVPN - message not received! Retransmitting!
8-01: 09:54:14.734 My Connections\LeonhardtVPN - SENDING>>>> ISAKMP OAK AG (Retransmission)
8-01: 09:54:29.734 My Connections\LeonhardtVPN - Exceeded 3 IKE SA negotiation attempts
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 65212
Url: https://administrator.de/contentid/65212
Printed on: April 19, 2024 at 17:04 o'clock
7 Comments
Latest comment
Ja, so ein Programm gibt es natürlich und das auch noch kostenlos ! Einmal den bekannten Wireshark (www.wireshark.org) oder den NetMonitor von Windows selber (www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8-4213-8d17-2f6dde7d7aac&DisplayLang=en#filelist)
In der Doku vom NetGear Client sollte eigentlich in jedem Falle aufgeführt sein welches VPN Protokoll dieser benutzt. Eigentlich ist das eine Minimalanforderung an die Doku damit du in solchen Fragen wie deinen entsprechend reagieren kannst. Aber NetGear kommt halt aus der Geiz ist geil Consumer Ecke und da darf man sich über solche (und andere) Dinge halt nicht wundern...
Die Fehlermeldung lässt ein Blocken von IKE oder ESP oder eines Protokollteils stark vermuten (message not received..)
Sehr wahrscheinlich nutzt der VPN Client wie fast alle anderen Clients auch IPsec im ESP (Encapsulation Security Payload) Modus. Wenn dies der Fall ist, was ein Anruf bei der NetGear Hotline klären sollte, dann musst du auf der Firewall den Port UDP 500 (IKE, Internet Key Exchange) und das ESP Protokoll (das ist die IP Protokoll Nummer 50, Achtung NICHT TCP/UDP 50 !!) vorwarden.
Es ist auch möglich das IPsec im AH (Authentication Header) Modus benutzt wird. Dann ist es statt ESP eben AH mit der Protokoll Nummer 51. AH ist aber technisch NICHT über NAT Firewalls zu übertragen, ergo funktioniert es nur wenn du in der FW kein NAT machst, sonst MUSS der Client in den ESP Modus gebracht werden sofern er es nicht schon sowieso macht.
Ein Sniffertrace des IP Verbindungsaufbaus mit den o.a. Tools zeigt dir aber sofort auf den ersten Blick welches Verfahren verwendet wird !!! Damit sollte dann sofort klar sein was du auf der FW einstellen musst...
In der Doku vom NetGear Client sollte eigentlich in jedem Falle aufgeführt sein welches VPN Protokoll dieser benutzt. Eigentlich ist das eine Minimalanforderung an die Doku damit du in solchen Fragen wie deinen entsprechend reagieren kannst. Aber NetGear kommt halt aus der Geiz ist geil Consumer Ecke und da darf man sich über solche (und andere) Dinge halt nicht wundern...
Die Fehlermeldung lässt ein Blocken von IKE oder ESP oder eines Protokollteils stark vermuten (message not received..)
Sehr wahrscheinlich nutzt der VPN Client wie fast alle anderen Clients auch IPsec im ESP (Encapsulation Security Payload) Modus. Wenn dies der Fall ist, was ein Anruf bei der NetGear Hotline klären sollte, dann musst du auf der Firewall den Port UDP 500 (IKE, Internet Key Exchange) und das ESP Protokoll (das ist die IP Protokoll Nummer 50, Achtung NICHT TCP/UDP 50 !!) vorwarden.
Es ist auch möglich das IPsec im AH (Authentication Header) Modus benutzt wird. Dann ist es statt ESP eben AH mit der Protokoll Nummer 51. AH ist aber technisch NICHT über NAT Firewalls zu übertragen, ergo funktioniert es nur wenn du in der FW kein NAT machst, sonst MUSS der Client in den ESP Modus gebracht werden sofern er es nicht schon sowieso macht.
Ein Sniffertrace des IP Verbindungsaufbaus mit den o.a. Tools zeigt dir aber sofort auf den ersten Blick welches Verfahren verwendet wird !!! Damit sollte dann sofort klar sein was du auf der FW einstellen musst...
Danke für den Tip mit dem IKE-Protokoll: Ich hatte mit dem Netgear ProSafe Client keine Verbindung zu einem Lancom 1823 herstellen können, und der Grund war mein DSL-Router Speedport W700V. Dort war eine Portweiterleitung von UDP 500 zum Client notwendig.
Thorsten
Thorsten
Das ist auch zwingend erforderlich bei IPsec im ESP Modus wie oben schon beschrieben !! 
Scheinbar hat Haudieho es ggf. auch so gelöst und leider
How can I mark a post as solved?
vergessen
Scheinbar hat Haudieho es ggf. auch so gelöst und leider
How can I mark a post as solved?
vergessen
Aber grundsätzlich ist das natürlich keine Lösung, wenn man diesen VPN-Client von mehreren Rechnern aus im selben Netz nutzen möchte. Dito, wenn man unterwegs wäre.
Ich hatte vorher mit Shrew VPN Client experimentiert; dort war das Setzen eines Port-Forwardings interessanterweise (mit exakt selben VPN-Einstellungen an der Gegenstelle) nicht notwendig. Offensichtlich ein anderer Protokollablauf?
Thorsten
Ich hatte vorher mit Shrew VPN Client experimentiert; dort war das Setzen eines Port-Forwardings interessanterweise (mit exakt selben VPN-Einstellungen an der Gegenstelle) nicht notwendig. Offensichtlich ein anderer Protokollablauf?
Thorsten
Das ist in der Tat richtig. Bei mehreren Clients sollte man einen Router mit VPN Funktion wie z.B. die Modelle von Draytek verwenden die dann selber die VPN Verbindungen zentral aufbauen.
Besser als solche VPN Clients sind dann SSL VPNs für mobile User die Daten über eine SSL Verbindung mit einem Browser realisieren. Dort ist man dann völlig frei von irgendwelchen Port Forwarding Maßnahmen etc.
OpenVPN ist ein klassischer Vertreter dieses Genres im Freeware Bereich der allerdings einen dedizierten Client benutzt und keinen Browser über Port TCP 443.
Besser als solche VPN Clients sind dann SSL VPNs für mobile User die Daten über eine SSL Verbindung mit einem Browser realisieren. Dort ist man dann völlig frei von irgendwelchen Port Forwarding Maßnahmen etc.
OpenVPN ist ein klassischer Vertreter dieses Genres im Freeware Bereich der allerdings einen dedizierten Client benutzt und keinen Browser über Port TCP 443.
Einen Draytek-Router für Lan2Lan hatte ich früher auch erfolgreich eingesetzt und wollte auch schon wieder einen kaufen. Kannst Du noch andere Router mit eingebautem VPN-Server empfehlen außer Draytek im Bereich um die 100€? Bislang hatte ich nur ein Modell von Netgear DG834G angeschaut (war nicht zuverlässig) und ein Modell von Zyxel P-661HW gefunden (beides DSL-Router mit WLAN + VPN-Server). Solche Router würden sich ganz gut dazu eignen, an ein paar Teleworker verteilt zu werden. Der Draytek 2700 G käme natürlich auch in Frage; kostet aber auch mehr. Die Teile müssen sich mit einem Lancom-Router verbinden.
Thorsten
Thorsten
Draytek ist nun mal sehr zuverlässig was das Thema VPN anbetrifft, eins der Gründe warum die hier im Forum so oft genannt sind.
Wenns dir aber nur aufs Geld ankommt, ist dies z.B. eine preiswerte Alternative:
Allerdings solltest du bei einer professionellen Lösung dir wirklich überlegen ob popelige 40 € Unterschied dir nicht ein sicheres Funktionieren wert sind ??!!
Wenns dir aber nur aufs Geld ankommt, ist dies z.B. eine preiswerte Alternative:
Allerdings solltest du bei einer professionellen Lösung dir wirklich überlegen ob popelige 40 € Unterschied dir nicht ein sicheres Funktionieren wert sind ??!!
