5
Draytek v3300 VPN Problem
So sieht mein Netzwerk aus und habe Probleme eine Verbindung per IPSEC aufzubauen.
V3300 ----- ISP ------ Client direkt ohne Router
Habe mit Anleitung ein IPsec Tunnel gebaut aber so richtig geht es nicht.
Anmeldung scheint auf der Workstation zu gehen, ich bekomme via DHCP over IPSec eine Adresse. Beim v3300 kann ich aber nirgends im Status sehen das wirklich eine Verbindung steht. Auch die VPN Lampe geht nicht an. Ein Ping von dem Client ins Netz wird mir mit "IP Sicherheit wird verhandelt" quitiert.
Eine L2TP sowie eine PPTP Verbindung habe ich hinbekommen (VPN Lampe leuchtet aber nicht) Pings etc gehen aber alles. Eigentlich möchte ich gerne eine IPSec over L2TP fahren aber da geht garnichts. Denn Sinn mit den Profilen bei beiden Protokolen leuchtet mir aber nicht ein.
Kann mir jemand hier etwas unter die Arme greifen. Die Dokus von Draytek bringen mich nicht wirklich weiter.
Chris
V3300 ----- ISP ------ Client direkt ohne Router
Habe mit Anleitung ein IPsec Tunnel gebaut aber so richtig geht es nicht.
Anmeldung scheint auf der Workstation zu gehen, ich bekomme via DHCP over IPSec eine Adresse. Beim v3300 kann ich aber nirgends im Status sehen das wirklich eine Verbindung steht. Auch die VPN Lampe geht nicht an. Ein Ping von dem Client ins Netz wird mir mit "IP Sicherheit wird verhandelt" quitiert.
Eine L2TP sowie eine PPTP Verbindung habe ich hinbekommen (VPN Lampe leuchtet aber nicht) Pings etc gehen aber alles. Eigentlich möchte ich gerne eine IPSec over L2TP fahren aber da geht garnichts. Denn Sinn mit den Profilen bei beiden Protokolen leuchtet mir aber nicht ein.
Kann mir jemand hier etwas unter die Arme greifen. Die Dokus von Draytek bringen mich nicht wirklich weiter.
Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 110856
Url: https://administrator.de/contentid/110856
Printed on: April 19, 2024 at 20:04 o'clock
5 Comments
Latest comment
L2TP benutzt selber IPsec also "IPsec over L2TP" ist also mehr oder weniger Unsinn wenn du so willst.
Was für einen IPsec Client benutzt du auf dem Client und... hast du den Main oder Agressive Mode in Benutzung bei IPsec ???
Der Draytek bietet die Möglichkeit alle seine Logmeldungen in einem Syslog mitzuschreiben.
Installier dir also:
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
und aktivier den Syslog Server auf dem Draytek !!!
In der Beziehung ist deine Beschreibung sehr oberflächlich für eine qualifizierte Antwort.
Interessant ist in jedem Falle die Syslog Message bei IPsec Verbindungsaufbau.
Dort steht meist sofort wo der Hase im Pfeffer liegt...
Was für einen IPsec Client benutzt du auf dem Client und... hast du den Main oder Agressive Mode in Benutzung bei IPsec ???
Der Draytek bietet die Möglichkeit alle seine Logmeldungen in einem Syslog mitzuschreiben.
Installier dir also:
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
und aktivier den Syslog Server auf dem Draytek !!!
In der Beziehung ist deine Beschreibung sehr oberflächlich für eine qualifizierte Antwort.
Interessant ist in jedem Falle die Syslog Message bei IPsec Verbindungsaufbau.
Dort steht meist sofort wo der Hase im Pfeffer liegt...
Hallo,
erstmal danke für die Antworte, ich werde die Protokolle nachreichen. Setze mich heute Abend nochmal ran. Ich nutze dem Smart VPN Client von Draytek. Mit dem L2TP habe ich mir auch gedacht was soll das. Es ist doch schon verschlüsselt. Aber in dem VPN Client könnte ich noch extra L2TP over IPSEC einstellen bzw. nur IPSEC Tunnel oder auch nur L2TP. Eine L2TP Verbindung habe ich wunderbar hinbekommen. Mich hat es nur Verweundert das die VPN Lampe am Router nicht Leichtet obwolh eine Verbindung da ist. Aber was ist dann der Sinn eines IPSEC Tunnels ?
Mehr aber heute Abend.
Chris
erstmal danke für die Antworte, ich werde die Protokolle nachreichen. Setze mich heute Abend nochmal ran. Ich nutze dem Smart VPN Client von Draytek. Mit dem L2TP habe ich mir auch gedacht was soll das. Es ist doch schon verschlüsselt. Aber in dem VPN Client könnte ich noch extra L2TP over IPSEC einstellen bzw. nur IPSEC Tunnel oder auch nur L2TP. Eine L2TP Verbindung habe ich wunderbar hinbekommen. Mich hat es nur Verweundert das die VPN Lampe am Router nicht Leichtet obwolh eine Verbindung da ist. Aber was ist dann der Sinn eines IPSEC Tunnels ?
Mehr aber heute Abend.
Chris
Der IPsec Tunnel stellt die VPN Verbindung dar !!
Im VPN Tunnel werden die eigentlichen IP Daten zum Verbindungsnetz verschlüsselt übertragen....das ist ja der tiefere Sinn eines VPNs !!!
Details dazu kannst du hier nachlesen:
http://www.heise.de/netze/Virtuelle-private-Netze-unter-Windows--/artik ...
Aktivier den Syslog Server, dann siehst du sofort wo der Fehler ist !!
Im VPN Tunnel werden die eigentlichen IP Daten zum Verbindungsnetz verschlüsselt übertragen....das ist ja der tiefere Sinn eines VPNs !!!
Details dazu kannst du hier nachlesen:
http://www.heise.de/netze/Virtuelle-private-Netze-unter-Windows--/artik ...
Aktivier den Syslog Server, dann siehst du sofort wo der Fehler ist !!
So, nun nochmal probiert. Die Konfig hat sich geändert
Client------ISP------Fritz Box --------WAN draytek----------
192.168.5.1 192.168.1.254
folgende VPN Log bei der Verbindung über IPSEC, Draytek VPN Client steht auf IPSEC Tunnel.
1 09:54:50 03/09 cannot respond to IPsec SA request, no connection is known for 0.0.0.0/0===192.168.5.254:4500...91.64.xxx.xxx:4500===192.168.1.201/32
2 09:54:50 03/09 {1_christian}:receive QuickI1
3 09:54:50 03/09 receive ISAKMP packet: src:{91.64.xxx.xxx}, dst:{192.168.5.254}, MsgID:{0x1526bce3}, Ci:{31 88 B5 8F 6C 59 6B 30}, Cr:{DE 07 21 82 64 3B EE 54}
4 09:54:50 03/09 {1_christian}:using algorithm: 3DES_CBC_192-SHA-MODP1024
5 09:54:50 03/09 {1_christian}:sent MR3, ISAKMP SA established.
6 09:54:50 03/09 {1_christian}:emitting initial contact payload
7 09:54:50 03/09 {1_christian}:authentication succeeded
8 09:54:50 03/09 Peer ID is ID_IPV4_ADDR: '91.64.xxx.xxx'
9 09:54:50 03/09 {1_christian}:receive MainI3
10 09:54:50 03/09 receive ISAKMP packet: src:{91.64.xxx.xxx}, dst:{192.168.5.254}, MsgID:{0x00000000}, Ci:{31 88 B5 8F 6C 59 6B 30}, Cr:{DE 07 21 82 64 3B EE 54}
11 09:54:50 03/09 {1_christian}:sent MR2, expecting MI3.
12 09:54:50 03/09 NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
13 09:54:50 03/09 {1_christian}:receive MainI2
14 09:54:50 03/09 receive ISAKMP packet: src:{91.64.xxx.xxx}, dst:{192.168.5.254}, MsgID:{0x00000000}, Ci:{31 88 B5 8F 6C 59 6B 30}, Cr:{DE 07 21 82 64 3B EE 54}
15 09:54:50 03/09 {1_christian}:sent MR1, expecting MI2.
16 09:54:50 03/09 {1_christian}:receive MainI1
17 09:54:50 03/09 ignoring Vendor ID payload [26244d38eddb61b3...]
18 09:54:50 03/09 received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
19 09:54:50 03/09 ignoring Vendor ID payload [FRAGMENTATION]
20 09:54:50 03/09 ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
21 09:54:50 03/09 receive ISAKMP packet: src:{91.64.xxx.xxx}, dst:{192.168.5.254}, MsgID:{0x00000000}, Ci:{31 88 B5 8F 6C 59 6B 30}, Cr:{00 00 00 00 00 00 00 00}
Client------ISP------Fritz Box --------WAN draytek----------
192.168.5.1 192.168.1.254
folgende VPN Log bei der Verbindung über IPSEC, Draytek VPN Client steht auf IPSEC Tunnel.
1 09:54:50 03/09 cannot respond to IPsec SA request, no connection is known for 0.0.0.0/0===192.168.5.254:4500...91.64.xxx.xxx:4500===192.168.1.201/32
2 09:54:50 03/09 {1_christian}:receive QuickI1
3 09:54:50 03/09 receive ISAKMP packet: src:{91.64.xxx.xxx}, dst:{192.168.5.254}, MsgID:{0x1526bce3}, Ci:{31 88 B5 8F 6C 59 6B 30}, Cr:{DE 07 21 82 64 3B EE 54}
4 09:54:50 03/09 {1_christian}:using algorithm: 3DES_CBC_192-SHA-MODP1024
5 09:54:50 03/09 {1_christian}:sent MR3, ISAKMP SA established.
6 09:54:50 03/09 {1_christian}:emitting initial contact payload
7 09:54:50 03/09 {1_christian}:authentication succeeded
8 09:54:50 03/09 Peer ID is ID_IPV4_ADDR: '91.64.xxx.xxx'
9 09:54:50 03/09 {1_christian}:receive MainI3
10 09:54:50 03/09 receive ISAKMP packet: src:{91.64.xxx.xxx}, dst:{192.168.5.254}, MsgID:{0x00000000}, Ci:{31 88 B5 8F 6C 59 6B 30}, Cr:{DE 07 21 82 64 3B EE 54}
11 09:54:50 03/09 {1_christian}:sent MR2, expecting MI3.
12 09:54:50 03/09 NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
13 09:54:50 03/09 {1_christian}:receive MainI2
14 09:54:50 03/09 receive ISAKMP packet: src:{91.64.xxx.xxx}, dst:{192.168.5.254}, MsgID:{0x00000000}, Ci:{31 88 B5 8F 6C 59 6B 30}, Cr:{DE 07 21 82 64 3B EE 54}
15 09:54:50 03/09 {1_christian}:sent MR1, expecting MI2.
16 09:54:50 03/09 {1_christian}:receive MainI1
17 09:54:50 03/09 ignoring Vendor ID payload [26244d38eddb61b3...]
18 09:54:50 03/09 received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
19 09:54:50 03/09 ignoring Vendor ID payload [FRAGMENTATION]
20 09:54:50 03/09 ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
21 09:54:50 03/09 receive ISAKMP packet: src:{91.64.xxx.xxx}, dst:{192.168.5.254}, MsgID:{0x00000000}, Ci:{31 88 B5 8F 6C 59 6B 30}, Cr:{00 00 00 00 00 00 00 00}
Wenn der IPsec Client eine RFC 1918 IP Adresse
http://de.wikipedia.org/wiki/Private_IP-Adresse
bekommt (192.168.5.x) kann durch das NAT Gateway des Providers keine IPsec Verbindung aufgebaut werden !!
Siehe dieser Thread hier:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
Nur mit einer öffentlichen IP und OHNE NAT ist das möglich.
Mit NAT nur wenn du ein Port Forwarding am Client einrichten kannst (UDP 500, 4500 und ESP)
Mit einem NAT am Provider ist das aber logischerweise nicht möglich !
http://de.wikipedia.org/wiki/Private_IP-Adresse
bekommt (192.168.5.x) kann durch das NAT Gateway des Providers keine IPsec Verbindung aufgebaut werden !!
Siehe dieser Thread hier:
VPN per UMTS Karte - Tunnel steht - aber Netz dahinter nicht anpingbar !?
Nur mit einer öffentlichen IP und OHNE NAT ist das möglich.
Mit NAT nur wenn du ein Port Forwarding am Client einrichten kannst (UDP 500, 4500 und ESP)
Mit einem NAT am Provider ist das aber logischerweise nicht möglich !
