Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bintec R1202 IPSEC mit ShrewSoft VPN Client funktioniert nicht

Frage Netzwerke Router & Routing

Mitglied: Warrior88

Warrior88 (Level 1) - Jetzt verbinden

01.08.2012, aktualisiert 06.08.2012, 9070 Aufrufe, 12 Kommentare

Hallo,

folgendes Problem habe ich. Ich setze ein Bintec R1202 Router ein und möchte gerne eine IPSEC Verbindung vom Firmennetzwerk zu einer Privatperson herstellen.

Folgendes Szenario:

User A mit VPN CLient möchte auf den Terminalserver in der Firma zugreifen.

IPSEC Konfiguration am Bintec habe ich schon vorgenommen, kriege es aber nicht hin mit dem VPN Client eine Verbindung aufzubauen. Habe schon alles möglich ausporbiert. Eingesetzt wird ein ShrewSoft VPN Client in der neusten Version. Da ich mich leider mit dem Bintec und der VPN Client nicht auskennen, hoffe ich auf eure Hilfe. Eingerichtet habe ich den IPSEC Tunnel mit Hilfe des Wizards in der Weboberfläche. Ich habe mir dann auch zu Testzwecken andere Phase 1 und Phase 2 Profile angelegt. ALs Kex wird ein Presharedkey verwendet.

Screenshots werde ich von der Config des ShrewSoft VPN Clients und der Konfig vom Bintec anheften. Diese basieren auf der Config die ich verwende.

Der Bintec Router wurde von einem anderen IT Unternehmen übernommen, wo bereits IPSEC Tunnel konfiguriert waren. Diese funktionierten auch. Jedoch weiß ich nicht welcher VPN Client auf den Windows XP x86 CLients installiert ist und wie die Config aussah.

Als Fehlermeldung erhalten ich immer: "negotiation timout occurred"


Sollten noch irgendwelche Daten benötigt werden, bitte bescheid geben.

Ich hoffe ihr könnt mir helfen. Danke im vorraus.

a4ad9b3cb2e1e5ea5659ac0e630ae743 - Klicke auf das Bild, um es zu vergrößern

461a0adb7b40f8f5aa1816e26a3debe3 - Klicke auf das Bild, um es zu vergrößern

2a97cac41c03243226208a5e82924dc5 - Klicke auf das Bild, um es zu vergrößern

694fc27c8b9a10544ac7bc8b49d7cb36 - Klicke auf das Bild, um es zu vergrößern

3f9e840b8078db01e67fceadd3b68c08 - Klicke auf das Bild, um es zu vergrößern

048f176f8bfa3c77690503e2e34e7867 - Klicke auf das Bild, um es zu vergrößern

0aef62832f52a85d6b74d798f94af5cc - Klicke auf das Bild, um es zu vergrößern

95b0cd0ca9c0fcbec10f80c90c6cb35f - Klicke auf das Bild, um es zu vergrößern

199cfb03a95f271e0f5d688ea384ba52 - Klicke auf das Bild, um es zu vergrößern

67dc441f1cc628cef16a0ef76cb9acc2 - Klicke auf das Bild, um es zu vergrößern

76e68cbcd3eeda96b070fc518155c32a - Klicke auf das Bild, um es zu vergrößern

f7fab4c282fc92994f4dc09294f282c2 - Klicke auf das Bild, um es zu vergrößern

8f5c614f0424f1974f67d11fcb595d2f - Klicke auf das Bild, um es zu vergrößern

1e616cc95757f27d10a2f836e418c267 - Klicke auf das Bild, um es zu vergrößern

4720efe361cd81bfe481c510cbe51a3a - Klicke auf das Bild, um es zu vergrößern

8b83e8e1fb334028a9fd891efb088448 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Warrior88
01.08.2012 um 16:35 Uhr
Hallo, danke für den Link, habe dies schon ausprobiert. Der Link von der Bintec Seite funktioniert auch nicht mehr.
Das andere hab ich schon durchprobiert, aber hat nicht geklappt.

Gruß
Bitte warten ..
Mitglied: AndiEoh
02.08.2012 um 12:10 Uhr
Hallo

"negotiation timout occurred" richt stark danach das schon der Key-Exchange fehlschlägt. Wird bei euch NAT verwendet bzw. wie hängt die BinTEC an Netz?

Gruß

Andi
Bitte warten ..
Mitglied: aqui
02.08.2012 um 15:24 Uhr
Interessant wäre zudem noch das Log vom Bintec bei eingehender IPsec Verbindung. Dort dürfte auch der Grund ersichtlich sein. Riecht aber in der Tat ggf. nach einer NAT Firewall ?!
Bitte warten ..
Mitglied: Warrior88
02.08.2012 um 16:01 Uhr
Hallo ihr beiden,
ich habe jetzt mal die Screenshots angeängt, auch das Logfile beim verbinden. Hoffe das es das richtige ist. Der Bintec ist direkt mit dem Modem verbunden und stellt per PPoE eine Internetverbindung her. Die Wan Schnittstelle benutzt hierbei also das NAT. Keine andere Verbindung.

Gruß
Bitte warten ..
Mitglied: Warrior88
03.08.2012 um 13:11 Uhr
Hallo,
habe noch mal ein bisschen rumprobiert. Habe mal das Logfile vom Shrew VPN Client. Vielleicht könnt ihr damit was anfangen, er sagt immer das er Phase 2 nicht findet.

2/08/03 13:09:07 <A : peer config add message
12/08/03 13:09:07 DB : peer added ( obj count = 1 )
12/08/03 13:09:07 ii : local address 192.168.200.103 selected for peer
12/08/03 13:09:07 DB : tunnel added ( obj count = 1 )
12/08/03 13:09:07 <A : proposal config message
12/08/03 13:09:07 <A : proposal config message
12/08/03 13:09:07 <A : client config message
12/08/03 13:09:07 <A : local id 'Schroeder' message
12/08/03 13:09:07 <A : remote id '90.153.4.64' message
12/08/03 13:09:07 <A : preshared key message
12/08/03 13:09:07 <A : remote resource message
12/08/03 13:09:07 <A : peer tunnel enable message
12/08/03 13:09:07 DB : new phase1 ( ISAKMP initiator )
12/08/03 13:09:07 DB : exchange type is aggressive
12/08/03 13:09:07 DB : 192.168.200.103:500 <-> 90.153.4.64:500
12/08/03 13:09:07 DB : e6b8742722ae1fe0:0000000000000000
12/08/03 13:09:07 DB : phase1 added ( obj count = 1 )
12/08/03 13:09:07 >> : security association payload
12/08/03 13:09:07 >> : - proposal #1 payload
12/08/03 13:09:07 >> : -- transform #1 payload
12/08/03 13:09:07 >> : key exchange payload
12/08/03 13:09:07 >> : nonce payload
12/08/03 13:09:07 >> : identification payload
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v00 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v01 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v02 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( draft v03 )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports nat-t ( rfc )
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports FRAGMENTATION
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local supports DPDv1
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is SHREW SOFT compatible
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is NETSCREEN compatible
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is SIDEWINDER compatible
12/08/03 13:09:07 >> : vendor id payload
12/08/03 13:09:07 ii : local is CISCO UNITY compatible
12/08/03 13:09:07 >= : cookies e6b8742722ae1fe0:0000000000000000
12/08/03 13:09:07 >= : message 00000000
12/08/03 13:09:07 -> : send IKE packet 192.168.200.103:500 -> 90.153.4.64:500 ( 513 bytes )
12/08/03 13:09:07 DB : phase1 resend event scheduled ( ref count = 2 )
12/08/03 13:09:07 <- : recv IKE packet 90.153.4.64:500 -> 192.168.200.103:500 ( 488 bytes )
12/08/03 13:09:07 DB : phase1 found
12/08/03 13:09:07 ii : processing phase1 packet ( 488 bytes )
12/08/03 13:09:07 =< : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 =< : message 00000000
12/08/03 13:09:07 << : security association payload
12/08/03 13:09:07 << : - propsal #1 payload
12/08/03 13:09:07 << : -- transform #1 payload
12/08/03 13:09:07 ii : matched isakmp proposal #1 transform #1
12/08/03 13:09:07 ii : - transform = ike
12/08/03 13:09:07 ii : - cipher type = 3des
12/08/03 13:09:07 ii : - key length = default
12/08/03 13:09:07 ii : - hash type = md5
12/08/03 13:09:07 ii : - dh group = modp-1024
12/08/03 13:09:07 ii : - auth type = psk
12/08/03 13:09:07 ii : - life seconds = 900
12/08/03 13:09:07 ii : - life kbytes = 0
12/08/03 13:09:07 << : key exchange payload
12/08/03 13:09:07 << : nonce payload
12/08/03 13:09:07 << : identification payload
12/08/03 13:09:07 ii : phase1 id match ( natt prevents ip match )
12/08/03 13:09:07 ii : received = ipv4-host 90.153.4.64
12/08/03 13:09:07 << : hash payload
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : 0048e227 0bea8395 ed778d34 3cc2a076
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : 5cbeb399 eb835a7d 7a2eb495 905db061
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : 810fa565 f8ab1436 9105d706 fbd57279
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports nat-t ( draft v03 )
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports nat-t ( draft v02 )
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : unknown vendor id ( 16 bytes )
12/08/03 13:09:07 0x : cd604643 35df21f8 7cfdb2fc 68b6a448
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports nat-t ( draft v00 )
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports XAUTH
12/08/03 13:09:07 << : vendor id payload
12/08/03 13:09:07 ii : peer supports DPDv1
12/08/03 13:09:07 << : nat discovery payload
12/08/03 13:09:07 << : nat discovery payload
12/08/03 13:09:07 ii : nat discovery - local address is translated
12/08/03 13:09:07 ii : switching to src nat-t udp port 4500
12/08/03 13:09:07 ii : switching to dst nat-t udp port 4500
12/08/03 13:09:07 == : DH shared secret ( 128 bytes )
12/08/03 13:09:07 == : SETKEYID ( 16 bytes )
12/08/03 13:09:07 == : SETKEYID_d ( 16 bytes )
12/08/03 13:09:07 == : SETKEYID_a ( 16 bytes )
12/08/03 13:09:07 == : SETKEYID_e ( 16 bytes )
12/08/03 13:09:07 == : cipher key ( 32 bytes )
12/08/03 13:09:07 == : cipher iv ( 8 bytes )
12/08/03 13:09:07 == : phase1 hash_i ( computed ) ( 16 bytes )
12/08/03 13:09:07 >> : hash payload
12/08/03 13:09:07 >> : nat discovery payload
12/08/03 13:09:07 >> : nat discovery payload
12/08/03 13:09:07 >= : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 >= : message 00000000
12/08/03 13:09:07 >= : encrypt iv ( 8 bytes )
12/08/03 13:09:07 == : encrypt packet ( 88 bytes )
12/08/03 13:09:07 == : stored iv ( 8 bytes )
12/08/03 13:09:07 DB : phase1 resend event canceled ( ref count = 1 )
12/08/03 13:09:07 -> : send NAT-T:IKE packet 192.168.200.103:4500 -> 90.153.4.64:4500 ( 124 bytes )
12/08/03 13:09:07 == : phase1 hash_r ( computed ) ( 16 bytes )
12/08/03 13:09:07 == : phase1 hash_r ( received ) ( 16 bytes )
12/08/03 13:09:07 ii : phase1 sa established
12/08/03 13:09:07 ii : 90.153.4.64:4500 <-> 192.168.200.103:4500
12/08/03 13:09:07 ii : e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 ii : sending peer INITIAL-CONTACT notification
12/08/03 13:09:07 ii : - 192.168.200.103:4500 -> 90.153.4.64:4500
12/08/03 13:09:07 ii : - isakmp spi = e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 ii : - data size 0
12/08/03 13:09:07 >> : hash payload
12/08/03 13:09:07 >> : notification payload
12/08/03 13:09:07 == : new informational hash ( 16 bytes )
12/08/03 13:09:07 == : new informational iv ( 8 bytes )
12/08/03 13:09:07 >= : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:07 >= : message 19cc1b45
12/08/03 13:09:07 >= : encrypt iv ( 8 bytes )
12/08/03 13:09:07 == : encrypt packet ( 76 bytes )
12/08/03 13:09:07 == : stored iv ( 8 bytes )
12/08/03 13:09:07 -> : send NAT-T:IKE packet 192.168.200.103:4500 -> 90.153.4.64:4500 ( 108 bytes )
12/08/03 13:09:07 DB : phase2 not found
12/08/03 13:09:22 DB : phase1 found
12/08/03 13:09:22 ii : sending peer DPDV1-R-U-THERE notification
12/08/03 13:09:22 ii : - 192.168.200.103:4500 -> 90.153.4.64:4500
12/08/03 13:09:22 ii : - isakmp spi = e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 ii : - data size 4
12/08/03 13:09:22 >> : hash payload
12/08/03 13:09:22 >> : notification payload
12/08/03 13:09:22 == : new informational hash ( 16 bytes )
12/08/03 13:09:22 == : new informational iv ( 8 bytes )
12/08/03 13:09:22 >= : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 >= : message 91752034
12/08/03 13:09:22 >= : encrypt iv ( 8 bytes )
12/08/03 13:09:22 == : encrypt packet ( 80 bytes )
12/08/03 13:09:22 == : stored iv ( 8 bytes )
12/08/03 13:09:22 -> : send NAT-T:IKE packet 192.168.200.103:4500 -> 90.153.4.64:4500 ( 116 bytes )
12/08/03 13:09:22 ii : DPD ARE-YOU-THERE sequence 30b484cf requested
12/08/03 13:09:22 DB : phase1 found
12/08/03 13:09:22 -> : send NAT-T:KEEP-ALIVE packet 192.168.200.103:4500 -> 90.153.4.64:4500
12/08/03 13:09:22 <- : recv NAT-T:IKE packet 90.153.4.64:4500 -> 192.168.200.103:4500 ( 84 bytes )
12/08/03 13:09:22 DB : phase1 found
12/08/03 13:09:22 ii : processing informational packet ( 84 bytes )
12/08/03 13:09:22 == : new informational iv ( 8 bytes )
12/08/03 13:09:22 =< : cookies e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 =< : message cc360244
12/08/03 13:09:22 =< : decrypt iv ( 8 bytes )
12/08/03 13:09:22 == : decrypt packet ( 84 bytes )
12/08/03 13:09:22 <= : trimmed packet padding ( 4 bytes )
12/08/03 13:09:22 <= : stored iv ( 8 bytes )
12/08/03 13:09:22 << : hash payload
12/08/03 13:09:22 << : notification payload
12/08/03 13:09:22 == : informational hash_i ( computed ) ( 16 bytes )
12/08/03 13:09:22 == : informational hash_c ( received ) ( 16 bytes )
12/08/03 13:09:22 ii : informational hash verified
12/08/03 13:09:22 ii : received peer DPDV1-R-U-THERE-ACK notification
12/08/03 13:09:22 ii : - 90.153.4.64:4500 -> 192.168.200.103:4500
12/08/03 13:09:22 ii : - isakmp spi = e6b8742722ae1fe0:30dda586e4028468
12/08/03 13:09:22 ii : - data size 4
12/08/03 13:09:22 ii : DPD ARE-YOU-THERE-ACK sequence 30b484cf accepted
12/08/03 13:09:22 ii : next tunnel DPD request in 15 secs for peer 90.153.4.64:4500
Bitte warten ..
Mitglied: 104286
03.08.2012 um 18:19 Uhr
Was hast du jetzt im Router bei IPSec-Peers in "Routeneinträge" stehen?

Du hast übrigens nicht nur ein "bisschen" rumprobiert. Du hast es ja fast geschafft.
Bitte warten ..
Mitglied: Warrior88
06.08.2012, aktualisiert 28.08.2012
Hallo,
so habe jetzt vom Router mal die Screenshots gemacht.

8118e3c4bdcdbc8d98abd758d703db8d - Klicke auf das Bild, um es zu vergrößern

Gruß
Bitte warten ..
Mitglied: Warrior88
21.08.2012, aktualisiert um 11:08 Uhr
Hallo zusammen,
hat noch jemand eine Idee woran es momentan scheitert. Verbindung wird als verbunden angezeigt, zumindest in der Übersicht am Bintec Router jedoch gibt es noch ein Problem mit Phase 2.

Danke im voraus.

Gruß
Bitte warten ..
Mitglied: AndiEoh
21.08.2012 um 11:20 Uhr
Hallo

folgende Tips:
- Im ShrewSoft Client unter Authentication->Local Identity den Identification Type auf "User Fully Qualified Domain Name" setzen wenn eine Mailadresse verwendet wird. Diese auch unter Peer-ID auf der BinTEC eintragen
- In Phase1 und Phase2 des ShrewSoft Client nur den DH und PFS Typ setzen, die Algorithm auf "Auto" (Gateway Vorschlag wird akzeptiert)
- Unter Policy das getunnelte Netz prüfen, muss mit der BinTEC Vorstellung überein stimmen

Viel Erfolg

Andi
Bitte warten ..
Mitglied: Warrior88
21.08.2012 um 11:46 Uhr
danke, dies werde ich nochmal versuchen und würde mich dann melden.
Bitte warten ..
Mitglied: Oezay
17.09.2012 um 08:18 Uhr
morgen,


Bild 1: IP-Adressvergabe muss auf > Server im IKE-Konfigurationsmodus stehen
Bild 1: IP-Zuordnungspool muss Pool ausgewählt werden (dieser Punkt taucht erst auf nachdem auf IKE-Server gestellt.
Pool muss zuvor erstellt werden (Bild 1 oben rechts IP-Pools)
Bild 1: Lokale IP-Adresse ist = Interne IP des ROUTERS

in Screwsoft (Bild 11) muss an der Stelle wo jetzt deine E-Mailadresse steht die IP des Clients eingetragen werden
diese muss dem Eintrag in Bild 1 Peer-ID entsprechen. Falls der Client eine Dynamische IP hat dort einfach auf FQDN stellen und in Screwsoft auch und an beiden stellen den Identischen Wert eintragen (frei wählbar).

Sonnst alles o.k.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 10
gelöst Windows 10 interner vpn client funktioniert nicht (3)

Frage von tobias3355 zum Thema Windows 10 ...

LAN, WAN, Wireless
gelöst Windows 7 IP-Sec VPN Client Alternative (4)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Script bei starten einer VPN Verbindung mit Checkpoint-VPN Client (2)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Firewall
gelöst Sonicwall TZ 215 Global VPN Client (20)

Frage von Azubine zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...