Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco RV180 über VPN nicht erreichbar

Frage Netzwerke Router & Routing

Mitglied: RoadRunner88

RoadRunner88 (Level 1) - Jetzt verbinden

19.10.2013 um 17:06 Uhr, 5968 Aufrufe, 8 Kommentare

Hallo Profis,

habe ein kleines Problem mit meinem VPN-Router.

Habe hier einen Cisco RV180 VPN Router und habe die VPN-Funktion eingerichtet.
Leider scheint der Router keine Anfragen von außen zu beantworten(?).

Über einen DynDNS-Anbieter habe ich meine öffentliche IP-Adresse gespeichert.

Der Router wurde mit einer voreingestellten IP-Sec-Richtlinie und nach Benutzerhandbuch konfiguriert.

Leider kann ich mittels eines IP-Sec Clients keine Verbindung aufbauen.

Benutze als IPSec-Client VPNSwan.

Dieser gibt mir immer "Gateway ist nicht erreichbar " als Fehlermeldung zurück.

Habe es mit folgenden Gateway-Adressen probiert:

WAN-IP Adresse.
DynDNS Hostname(mit WAN-IP Adresse)
Von zuhause aus im Lan, mit der lokalen IP-Adresse des Routers.

Immer das selbe Ergebnis.

Log Des VPN-Clients(Von außen mit Handy):

Oct 19 16:59:39 00[DMN] Starting IKE charon daemon (strongSwan 5.1.1dr4, Linux 3.0.31-889555, armv7l)
Oct 19 16:59:39 00[KNL] kernel-netlink plugin might require CAP_NET_ADMIN capability
Oct 19 16:59:39 00[LIB] loaded plugins: androidbridge charon android-log openssl fips-prf random nonce pubkey pkcs1 pkcs8 pem xcbc hmac socket-default kernel-netlink eap-identity eap-mschapv2 eap-md5 eap-gtc
Oct 19 16:59:39 00[LIB] unable to load 9 plugin features (9 due to unmet dependencies)
Oct 19 16:59:39 00[JOB] spawning 16 worker threads
Oct 19 16:59:39 15[IKE] initiating IKE_SA android[4] to xxxxxxxxxxx
Oct 19 16:59:39 15[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Oct 19 16:59:39 15[NET] sending packet: from xxxxxxxxxxx[42500] to xxxxxxxxxxx[500] (756 bytes)
Oct 19 16:59:41 03[IKE] retransmit 1 of request with message ID 0
Oct 19 16:59:41 03[NET] sending packet: from xxxxxxxxxxx[42500] to xxxxxxxxxxx[500] (756 bytes)
Oct 19 16:59:44 01[IKE] retransmit 2 of request with message ID 0
Oct 19 16:59:44 01[NET] sending packet: from xxxxxxxxxxx[42500] to xxxxxxxxxxx[500] (756 bytes)
Oct 19 16:59:48 12[IKE] retransmit 3 of request with message ID 0
Oct 19 16:59:48 12[NET] sending packet: from xxxxxxxxxxx[42500] to xxxxxxxxxxx[500] (756 bytes)
Oct 19 16:59:54 09[IKE] giving up after 3 retransmits
Oct 19 16:59:54 09[IKE] peer not responding, trying again (2/0)
Oct 19 16:59:54 09[IKE] initiating IKE_SA android[4] to xxxxxxxxxxx
Oct 19 16:59:54 09[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Oct 19 16:59:54 09[NET] sending packet: from xxxxxxxxxxx[42500] to xxxxxxxxxxx[500] (756 bytes)
Oct 19 16:59:54 00[IKE] destroying IKE_SA in state CONNECTING without notification



Ich habe den Verdacht das es an der Firewall des Routers liegt. Hat jemand eine Idee?

Mitglied: aqui
19.10.2013, aktualisiert um 17:40 Uhr
Ja, laut dem Log Auszug ist das eindeutig ! Der Client hat gar keine IP Connectivity zum Router selber und da schlägt natürlich dann das VPN fehl...klar !
Ein besserer Client als der Cisco Client ist übrigens der freie Shrew Client:
https://www.shrew.net/download

Leider schreibst du recht wenig zu deinem Netzdesign so das du uns nun hier wieder zum Nachfragen und Raten zwingst...
Gemäß Datenblatt:
http://www.cisco.com/en/US/prod/collateral/routers/ps10907/ps9923/ps119 ...
hat der Router kein integriertes DSL oder Kabel Modem deshalb solltest du folgende Fragen wasserdicht beantworten für eine zielführende Hilfe:
  • WIE ist dieser Router ans Internet angebunden ?? Mit einem reinen DSL oder TV Kabel Modem (kein Router !) davor oder mit einem NAT Router (also einer Router Kaskade) davor ?
  • Falls es letzteres ist, hast du dann auf dem davorliegenden NAT Router die IPsec Ports UDP 500, UDP 4500 und das ESP Protokoll (IP Nummer 50) entsprechend im Port Forwarding freigegeben auf den WAN Port des Cisco ??
  • Benutzt der Cisco oder der evtl. davorliegende Router eine öffentliche IP Adresse am WAN / Providerport oder arbeitet der Provider mit privaten RFC 1918 IP Adressen. Wichtig ! Das kannst du im Router Setup nachsehen in den Statistiken zum WAN Port.
  • WIE machst du den Client Zugriff ?? Ist der wirklich remote oder versuchst du aus dem internen Netz auf dem WAN IP des Routers zuzugreifen ?

Ein Zugriff mit dem VPN Client aus dem lokalen LAN des Routers schlägt generell immer fehl, denn diese Router supporten KEIN Hairpin NAT !!
Was das ist und warum es fehlschlägt kannst du hier nachlesen:
http://wiki.mikrotik.com/wiki/Hairpin_NAT

Einen wasserdichten Test kannst du ganz einfach fahren indem du dem WAN Port im Cisco Router Setup mal eine statische IP gibst.
Dann schliesst du den VPN Client PC mit einem Kabel am Cisco WAN Port an und gibst dem ebenfalls eine statische IP Adresse.
Damit hast du den Client dann direkt am Router und ein VPN Aufbau sollte fehlerlos funktionieren !
Grundlagen zum IPsec VPN findest du zusätzlich noch in diesen Forumstutorials:
http://www.administrator.de/contentid/73117
und
http://www.administrator.de/contentid/115798

Da der Router ein VPN Router ist sind die IPsec Ports am WAN Port in seiner Firewall generell frei. Daran sollte es also nicht liegen. Eher an den o.g. Punkten.
Bitte warten ..
Mitglied: RoadRunner88
19.10.2013, aktualisiert um 18:45 Uhr
Ich danke dir für diese Infos!

Ja, etwas mehr sollte ich schon schreiben.

Am WAN-Port befindet sich ein Cisco-Kabelmodem(Cisco EPC3208G). Der Router läuft in NAT-Modus und ist auf "Dynamisch vom ISP abrufen eingestellt" und arbeitet im Dual-Stack Modus also IPv4 und v6.

Im Kabelmodem ist IP-Sec Passthrough aktiviert.

In der Firewall-Konfig des Modems eingestellt:

SPI-Firewall Schutz: niedrig
IPv6Firewall: ein

KEINE Häckchen gesetzt bei: Fragmentierte IP-Pakete blockieren, Port-Scan-Erkennung blockieren, IP-Flooding Erkennung

Häckchen gesetzt bei:

Anonyme Internet-Anfragen blockieren


Ich versuche übrigens via Andorid-Handy übers öffentliche Netz eine VPN-Verbindung aufzubauen, der Android-integrierte VPN-Client geht überigens auch nicht. Andorid-Version 4.1.2.


Hoffe das hilft weiter.

Gruß
Bitte warten ..
Mitglied: aqui
20.10.2013, aktualisiert um 10:20 Uhr
Das "Kabelmodem" arbeitet also nicht als Modem sondern als NAT Router, richtig ??
Das IPsec Passthrough aktiviert ist nützt dir in deinem Szenario rein gar nichts, denn das bedeutet nur das IPsec Verbindungen von innen nach außen durchkommen.
Bei dir ist es ja genau umgedreht, du musst die Verbindungen von außen nach innen durchlassen !!
Deshalb musst du auf dem davorliegenden Kabelrouter zwingend die 3 oben genannten Ports bzw. Protokolle freigeben sonnst klappt das niemals, denn IPsec Anfragen von außen könnten ohne das Port Forwarding niemals die interne NAT Firewall dieses Routers überwinden !!
Du betreibst damit eine Router Kaskade wie sie hier in der "Alternative 2" beschrieben ist !
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...

Da ist dann auch die o.a. Fehlermeldung vollkommen klar, denn daran kannst du schon sehen das diese NAT Firewall deine Verbindung vollkommen blockiert: "Oct 19 16:59:54 09[IKE] peer not responding, trying again (2/0)"
...der VPN Router antwortet also gar nicht !!
Mit keinem IPsec Client egal ob auf iPhone, Android oder PC kannst du den VPN Router dann erreichen !!

Solange du das Port Forwarding der o.a. 3 Ports auf dem Kabel Router auf den danach folgenden Cisco 180V nicht korrekt einstellst wird sich daran auch nix ändern !!
Da liegt dein fataler Setup Fehler !! Wenn das richtig eingestellt ist funktioniert das fehlerfrei !
Bitte warten ..
Mitglied: RoadRunner88
20.10.2013 um 10:27 Uhr
Ich verstehe deine Erklärung auch ohne den inflationären Gebrauch von !!!. Ich benutze das Modem so, wie es mein Kabelanbieter mir gegeben hat. Nach deiner Erklärung sehe ich das jetzt auch so und werde mal sehen ob das Einstellbar ist.

Danke!
Bitte warten ..
Mitglied: RoadRunner88
20.10.2013, aktualisiert um 10:50 Uhr
Ok laut anderen Quellen folgendes:

UnityMedia weißt Neukunden eine IPv6-Adresse zu. Das Modem beherrscht seit dem letzten FIrmwareupgrade kein Forwarding mehr.
Es "Nat"ted IPv6 zu IPv4.

VPN ist wohl nicht machbar.
Bitte warten ..
Mitglied: aqui
20.10.2013, aktualisiert um 10:46 Uhr
OK, dann hast du keinerlei Chance ein laufendes VPN damit herzustellen. Das gilt für alle VPN Protokolle dann.
Das ist leider das Los derer die sich an einen Provider mit Zwangsroutern verkaufen. Weiss man als Netzwerker aber ja vorher.

Als Rettung kann man aber sagen das du wie immer bei solcherlei Threads hier das Handbuch nicht richtig gelesen hast !! (Sorry, aber wie soll man sonst "ärgern" ausdrücken ?)
http://www.kabelbw.de/kabelbw/cms/downloads/kabel-bw-handbuch-kabel-gat ...
Auf Seite 63 unten steht ganz genau WIE diese Portweiterleitung im Kabelrouter zu machen ist !
Wenn es schon an solchen banalen Basics scheitert wie Handbuch lesen macht ein Troubleshooting auch ohne "!" (wieder sorry, das musste jetzt da rein) nicht wirklich Spaß wie du dir sicher selber denken kann...auch wenn heute Sonntag ist.

Eine Minimalchance hast du noch (solltest du ein anderes Setup GUI haben als das obige) wenn du den Kabelrouter im Setup als reines Modem konfigurieren kannst und das eigentliche Routing dann mit dem Cisco 180V machst.
Das würde dein Problem auch lösen.

Klappt das auch nicht ist dein Anschluss eben nicht VPN fähig...so einfach ist das.
Bitte warten ..
Mitglied: RoadRunner88
20.10.2013 um 10:54 Uhr
"Das ist leider das Los derer die sich an einen Provider mit Zwangsroutern verkaufen."

Sorry aber was ist das denn für eine dumme Aussage?

Wenn man schnelles Internet will gibts nur 2 Möglichkeiten:

Entweder die Telekom hat dir Glasfaser in die Straße gelegt oder es gibt Kabel.

Da hier nur Kabel von einem Provider liegt, war die Auswahl nicht sehr groß.


....


Danke trotzdem.
Bitte warten ..
Mitglied: aqui
20.10.2013 um 15:41 Uhr
Die Antwort ist mindestens ebenso dumm, aber nundenn !
Hauptsache du bekommst dein VPN zum Fliegen...?!
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Router & Routing
TP-Link Router VPN Verbindung Router Oberfläche nicht erreichbar (3)

Frage von D46505Pl zum Thema Router & Routing ...

Router & Routing
Cisco 800 Series und VPN over Fritzbox und Telekom VDSL (4)

Frage von Ra1976 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (17)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...