Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Netgear FVS318v3 und Fritzbox 7170

Mitglied: Waldi76

Waldi76 (Level 1) - Jetzt verbinden

14.04.2008, aktualisiert 15.04.2008, 9390 Aufrufe, 12 Kommentare

Hallo,

ich habe zu hause eine Fritzbox 7170 mit Firmware (VPN) und in der Firma einen Router Netgear FVS318v3.

Die Fritzbox soll über VPN auf das Firmennetzwerk zugreifen können (natürlich auch umgekehrt).

Ich habe über FritzBox Fernzugang einrichten eine Konfiguration erstellt und diese in die Fritzbox eingefügt:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "83.221.xxx.xxx";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 83.221.xxx.xxx;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "xxxxxxx.homeftp.net";
}
remoteid {
ipaddr = 83.221.xxx.xxx;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxx";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.99.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

in der Netgear (FVS 318v3) habe ich folgende Einstellungen:

f7f5ab0d3f4eed94677d41fe169ad81b-vpn - Klicke auf das Bild, um es zu vergrößern

49470bdc62705f2de1c829bca1e3d781-ike - Klicke auf das Bild, um es zu vergrößern

Eine Verbindung kommt nicht zustande. Die Netgear Box bringt regelmäßig

[2008-04-14 14:59:11] SENT OUT FIRST MESSAGE OF AGGR MODE
[2008-04-14 14:59:11]<POLICY: AVM7170> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2008-04-14 14:59:31] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2008-04-14 14:59:31]<POLICY: AVM7170> PAYLOADS: DEL

Die Fritzbox zeigt nichts im Ereignisprotokoll:

Achtung! Hier handelt es sich nicht um einen Netgear Router hinter einer Fritzbox. Die beiden Geräte sind jeweils die Schnittstelle zwischen den Netzen.

Die Anleitungen von Netgear und AVM bringen mich nicht weiter, ich brächte dringend Hilfe!
Mitglied: aqui
14.04.2008 um 15:31 Uhr
Entscheident ist dein Satz "...es hanndelt sich um einen NetGear hinter einem AVM Router".
Erste Frage was soll das ??
2te Frage (und gleichzeitig Antwort) Dir ist selber klar das das IPsec ESP Protokoll was du verwendest nicht über eine NAT Firewall übertragbar ist sofern du kein NAT Traversal benutzt.

Leider sind deine Angaben zur Netzstruktur sehr spärlich und oberflächlich, so das eine qualifizierte Hilfe unmöglich wird bzw. in ein Kristallkugel sehen ausartet

Fakt ist aber wenn der NetGear hinter einem AVM sitzt der auch NAT macht musst du auf diesem ein Port Forwarding für IPsec ESP einrichten.
Das sind dann die folgenden Protokolle:
  • UDP Port 500 (IKE)
  • UDP Port 4500 (NAT Traversal)
  • ESP Protokoll, das ist die Protokoll Nummer 50 (Achtung nicht TCP oder UDP 50 ! ESP ist ein eigenes Protokoll)

Die Tatsache das du keine eingehenden Packete auf dem remoten AVM hast zeigt das schon das das an der NAT Firewall hängenbleibt...

Ferner musst du auch generell klären ob die remote AVM Box VPN Server sein kann also VPN Connections annehmen kann. Ggf. kann sie nur entweder Client oder Server sein. Die Tatsache allerdings das man mit dem VPM VPN Client auf so eine Box zugreifen kann lässt vermuten das sie Server sein kann. Vermutlich aber kein Client.
Der NetGear muss also besser immer die Verbindung initiieren als andersrum...
Bitte warten ..
Mitglied: n4426
14.04.2008 um 15:44 Uhr
Hi aqui,

Entscheident ist dein Satz "...es
hanndelt sich um einen NetGear hinter einem
AVM Router"
.

da steht doch nicht hinter einer Fritzbox.

Achtung! Hier handelt es sich nicht um einen
Netgear Router hinter einer Fritzbox. Die
beiden Geräte sind jeweils die
Schnittstelle zwischen den Netzen.

mfg

andi
Bitte warten ..
Mitglied: Waldi76
14.04.2008 um 15:46 Uhr
erstmal danke für deine schnelle Antwort:

Der Satz heißt: es handelt sich NICHT um einen Netgear hinter einem AVM Router (Wurde nur eingefügt, da es im Internet viele Anleitungen gibt, welche dieses Szenario betreffen).

NAT ist mir ein Begriff - Traversal hört mein Wissen auf.

Welche Info´s kann ich dem helfenden noch anbieten? Ich möchte dieses Problem lösen.
Bitte warten ..
Mitglied: Waldi76
14.04.2008 um 15:50 Uhr
Danke für die schnelle Hilfe

Entscheident ist dein Satz "...es
handelt sich um einen NetGear hinter einem
AVM Router"
.

Es handelt sich NICHT um einen Netgear hinter einer Fritzbox!!!

Da man zwei FB 7170 miteinander verbinden kann, sollte es ja auch zwischen FVS 318 und FB 7170 möglich sein.

Welche Info´s über Netzstruktur brauchst du? Ich hänge schon lange an diesem Problem und möchte endgültig eine Lösung
Bitte warten ..
Mitglied: aqui
14.04.2008 um 16:22 Uhr
Ooops, sorry. Wer lesen kann ist klar im Vorteil ! Das Wörtchen nicht ist mir doch glatt durchgerutscht. Vergiss also was dazu steht !!
Bitte warten ..
Mitglied: aqui
14.04.2008 um 16:29 Uhr
Die Info war nur auf eine Netzwerkstruktur bezogen. Dadurch das du keine 2 kaskadierten Router hast ist das obsolet.

IPsec kommt in mehreren Varianten daher. Man müsste also schon einmal einen Verbindungsaufbau beider Maschinen sehen um genaueres sagen zu können.
Du solltest deshalb mal einen www.WIRESHARK.org einschleifen in die WAN Leitung und die IPsec Session Initiierung mitsniffern. Da sieht man meistens sofort woran es hapert.

Verdächtig ist aber die Tatsache wie du schreibst das du scheinbar gar keine IPsec Packete auf der AVM Seite siehst (Fritzbox zeigt gar nichts im Ereignisprotokoll). D.h. die IPsec Packete kommen hier gar nicht an.
Das lässt dann vermuten das die IP nicht stimmt oder der FQN Domainname. Auch hier solltest du mal sniffern ob überhaupt IPsec Packete eingehen. Tun sie das überhaupt nicht kannst du ja lange suchen....

Im schlechtesten aller Fälle sind die beiden inkompatibel. NetGear hat sich hier nicht gerade mit Ruhm bekleckert, da die auch einen proprietären Client verwenden. IPsec ist nicht gerade die Stärke dieses Herstellers
Wenn alle Stricke reissen musst du die Router ersetzen mit 2 eines Herstellers. Draytek ist da dann nicht die falscheste Wahl was VPN Systeme anbetrifft.
Bitte warten ..
Mitglied: Waldi76
15.04.2008 um 09:18 Uhr
Da es auf der AVM Seite eine Anleitung gibt, wie man mit einem Netgear FVS 318 verbinden kann, glaube ich nicht, das sie inkompatibel sind.

Ich habe gerade eine Anleitung zur Nutzung von Wireshark gefunden und probiere es aus. Leider kann ich nicht die Capture-Adresse auf die des Routers einstellen. Wenn ich das Problem gelöst haben, kann ich nähere Angaben machen.

Da ich mich mit Wireshark nicht auskenne, würde ich gern Hilfe in Anspruch nehmen.

Danke besonders an Aqui für die Hilfe.
Bitte warten ..
Mitglied: aqui
15.04.2008 um 09:39 Uhr
Da hast du Recht, wenn es für den FVS 318 beschrieben ist sollte es natürlich klappen ! Vermutlich ist das nur eine kleine Einstellung die vergessen wurde...
Bitte warten ..
Mitglied: Waldi76
15.04.2008 um 09:51 Uhr
Und das ist das Problem seit zwei Wochen!

Hast du eine Idee wie ich den Verkehr des Netgear mit wireshark überwachen kann? Ich kann nicht die IP Adresse der Box 192.168.99.5 auswählen.
Bitte warten ..
Mitglied: aqui
15.04.2008 um 09:57 Uhr
Das musst du auch gar nicht. Einfach den Wireshark mit einem kleinen Hub in die WAN Leitung einschleifen und auf Capture klicken.

Du solltest in der Zeit keinen anderen Traffic erzeugen, denn den müsstest du nachher wieder wegfiltern. Du kannst aber auch gleich einen Capture Filter im Wireshark aktivieren, der dir dann nur den Routertraffic rausfiltert (z.B. nach der Router MAC Adresse auf dem WAN Interface) !
Technisch sähe das denn so aus:

c8c35a1713b395121226bf0264e25285-sniffer - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Waldi76
15.04.2008 um 10:22 Uhr
Ok das habe ich verstanden, aber warum erscheint bei Source oder Destination nicht die aufgelöste Adresse von xxxxxxx.homeftp.net?

Nach was muss ich filtern, damit ich genau den Verkehr sehe, den ich brauche? (Wir habe hier 8 Rechner die alle gleichzeitig im Internet unterwegs sind)
Bitte warten ..
Mitglied: aqui
15.04.2008 um 18:17 Uhr
Ziehe alle diese Rechner ab, damit die keinen Traffic erzeugen, denn die VPN Verbindung baut ja nur der Router auf. Wenn das nicht geht, dann checke im Router Setup welche IP Adresse du auf der DSL Schnittstelle bekommen hast !!
Das kannst du auch ganz einfach machen wenn du mit einem einzigen angeschlossenen Rechner mal auf www.wieistmeineip.de gehst.

Die IP die du dort siehst ist die Router DSL IP. Im Wireshark kannst du den Capture Filter dann auf diese IP als Source IP einstellen. Der Wireshark zeigt dann nur noch Packete die von dieser IP also dem Router kommen.

In jedem Falle musst du die aufgelöste IP von homeftp.net sehen. Wenn es daran schon scheitert, dann hast du ggf. vorher schon ein Problem bevor überhaupt die VPN Verbindung zustandekommt.
Dafür spricht das du im AVM Log keinerlei Aktivitäten siehst...
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Netgear FVS318v3 VPN - Tunnel steht, aber nichts erreichbar

Frage von Xaero1982Router & Routing10 Kommentare

Moin Zusammen, hab schon viel gesucht, aber irgendwie nichts weiter passendes gefunden. Ich muss ne VPN Verbindung zu og. ...

Switche und Hubs

Switch Netgear gs108 an Fritzbox 7170 Störung

gelöst Frage von Manu-SchSwitche und Hubs7 Kommentare

Meine Hardware: Router und DHCP Server: Fritzbox 7170 -neueste Firmware daran Switch Netgear gs108 v.2 Daran will ich meinen ...

LAN, WAN, Wireless

Leistungsprobleme mit Netgear Prosafe FVS318v3

gelöst Frage von CortexA8LAN, WAN, Wireless13 Kommentare

Hallo, ich habe leider festgestellt, dass bei meiner Netgear Firewall die Performance ziemlich mies ist. Ich habe eine 50.000er ...

Voice over IP

VoIP mit Netgear Router fvs318v3 möglich?

Frage von immobrauchVoice over IP8 Kommentare

Bisherige Konfiguration: TAE3-Dose Splitter Der Netgear Router fvs318v3 verbindet als VPN-Router 2 weitere Standorte mit der Zentrale Hallo zusammen, ...

Neue Wissensbeiträge
Soziale Netzwerke

Freitag, der 25.05 - Facebook baut weltgrößtes P.ähm Antip.archiv der Welt auf

Information von certifiedit.net vor 1 StundeSoziale Netzwerke1 Kommentar

Guten Morgen, da fragt man sich doch allen ernstes, was Facebook damit bezwecken möchte, ich tippe ja darauf, dass ...

Erkennung und -Abwehr

VPNFilter Maleware - Großes Botnetz auf NAS und Routern in 54 Ländern aufgedeckt

Information von Frank vor 2 StundenErkennung und -Abwehr2 Kommentare

Nach Angaben von Cisco und der Sicherheitsfirma Talos wurde ein sehr großes Botnet auf Routern und NAS-System entdeckt. Die ...

Windows Server

Scheduled Task zum Log - Löschen direkt aus der SCOM Console

Tipp von Juanito vor 8 StundenWindows Server

SCOM Agent Task - Create Log Deletion Job Einleitung: Viele Applikationen und Dienste die auf Servern laufen erstellen Log ...

Humor (lol)

Ratgeber: Die wichtigsten Fragen und Antworten zur neuen Datenschutz-Grundverordnung (DSGVO)

Information von BassFishFox vor 9 StundenHumor (lol)2 Kommentare

Hier bleiben keine Fragen offen. ;-)

Heiß diskutierte Inhalte
HTML
Link nicht vollständig
Frage von jensgebkenHTML33 Kommentare

Hallo Gemeinschaft, ich erstelle mit Word einen Serienbrief, den ich per Mail versende. Nun mein Problem der Wordserienbrief holt ...

Datenschutz
E-Mail Verschlüsselung DSGVO 2018
gelöst Frage von SoccerdeluxDatenschutz32 Kommentare

Hallo zusammen, ich verzweifele langsam und wende mich an euch und hoffe vielleicht ein paar Antworten zu finden. Ich ...

Rechtliche Fragen
DISKUSSION: Was bringt der Disclaimer "Wenn Sie nicht der Empfänger sind."
Frage von N8DragonRechtliche Fragen23 Kommentare

So oder ähnlich, lese ich immer wieder Kleingedrucktes am Ende diverser Mails. Letzten Endes wollen sie mir alle sagen, ...

Server-Hardware
HPE DL 360e GEN8 - P420 - Lüfter drehen auf nach Festplattenwechsel
Frage von maniacmacpainServer-Hardware20 Kommentare

Hallo, ich kenne den Effekt, dass man bei der GEN8 von HP ein Array eingerichtet haben muss, damit die ...