Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netgear FVS338 VPN: NAT-D payload does not match

Frage Netzwerke Router & Routing

Mitglied: ChrisDaHub2

ChrisDaHub2 (Level 1) - Jetzt verbinden

15.12.2006, aktualisiert 18.12.2006, 11970 Aufrufe, 3 Kommentare

VPN Verbindung wird nicht aufgebaut zwischen FVS338 und FVS338. Ausschnitt des Logs anbei

Hallo,

ich beise mir hier dran noch die Zähne aus.. Kann mir jemand sagen warum hier keine VPN-Verbindung aufgebaut wird? Was bedeutet "NAT-D payload does not match" ??? Was muss ich machen um endlich die Verbindung zu bekommen?

Die beiden FVS338 hängen hinter je einer FritzBox 7170. Die Ports 1701 (TCP), 1723 (TCP), 500 (UDP) und ESP sind weitergeleitet auf die VPN-Router. Was mach ich noch falsch?

Hier ein Teil des Logs:

2006-12-15 19:33:37: INFO: remote configuration for identifier "(dyndns-Adresse remote-point)" found
2006-12-15 19:33:37: INFO: Received request for new phase 1 negotiation: (local wan ip)[500]<=>(remote ip)[500]
2006-12-15 19:33:37: INFO: Beginning Identity Protection mode.
2006-12-15 19:33:37: INFO: Received Vendor ID: RFC XXXX
2006-12-15 19:33:37: INFO: For (remote ip)[500], Selected NAT-T version: RFC XXXX
2006-12-15 19:33:38: INFO: Received Vendor ID: KAME/racoon
2006-12-15 19:33:38: INFO: NAT-D payload does not match for (local wan ip)[500]
2006-12-15 19:33:38: INFO: NAT-D payload does not match for (remote ip)[500]
2006-12-15 19:33:38: INFO: NAT detected: ME PEER
2006-12-15 19:34:38: ERROR: Phase 1 negotiation failed due to time up for (remote ip)[500].


Kann damit jemand was anfangen? Ich bin jedem für Hilfe dankbar!

Gruß
Chris
Mitglied: aqui
17.12.2006 um 11:55 Uhr
Das hört sich so an als ob du gerade KEIN IPsec im ESP Mode sondern AH (Authentication Header) benutzt ! Ist aber nur eine vage Vermutung anhand der doch etwas kryptischen Fehlermeldung.
IPsec AH ist technisch nicht ! über einen NAT Prozess (deine davorgeschalteten FBs) übertragbar und erfordern in jedem Falle einen direkten Internet Anschluss ! AH vermutet durch die nicht matchenden IP Adressen im Payload und Header eine "Man in the Middle" Attacke und verweigert den Verbindungsaufbau !
Du musst also die IPsec Variante zwingend umschalten oder statt IPsec PPTP nutzen.
Für IPsec benötigst du Port 1701 und 1723 nicht die sind lediglich für PPTP da.
Bitte warten ..
Mitglied: ChrisDaHub2
17.12.2006 um 18:02 Uhr
Hallo,

danke für die Info. Habe gleich mal die Ports die ich nicht mehr brauche zu Hause abgeschaltet.

AH ist deaktiviert.

In der Firma muss ich noch mal schauen was da genau weitergeleitet wird. Aufgrund der beiden Logs hier vermute ich, dass die Weiterleitung des ESP Protokolls nicht aktiviert ist in der Firma.

Firma:

2006-12-17 17:06:24: INFO: remote configuration for identifier "(dyndns-Adresse zu Hause)" found
2006-12-17 17:06:24: INFO: Received request for new phase 1 negotiation: (Lokale WAN IP hinter FritzBox)[500]<=>(aufgelöste IP-Adresse zu Hause)[500]
2006-12-17 17:06:24: INFO: Beginning Identity Protection mode.
2006-12-17 17:06:24: INFO: Received Vendor ID: RFC XXXX
2006-12-17 17:06:24: INFO: For (aufgelöste IP-Adresse zu Hause)[500], Selected NAT-T version: RFC XXXX
2006-12-17 17:06:25: INFO: Received Vendor ID: KAME/racoon
2006-12-17 17:06:25: INFO: NAT-D payload does not match for (Lokale WAN IP hinter FritzBox)[500]
2006-12-17 17:06:25: INFO: NAT-D payload does not match for (aufgelöste IP-Adresse zu Hause)[500]
2006-12-17 17:06:25: INFO: NAT detected: ME PEER
2006-12-17 17:07:25: ERROR: Phase 1 negotiation failed due to time up for (aufgelöste IP-Adresse zu Hause)[500].


zu Hause:

2006-12-17 17:06:24: INFO: Using IPsec SA configuration: (Subnetz zu Hause)<->(Subnetz Firma)
2006-12-17 17:06:24: INFO: remote configuration for identifier "(dyndns-Adresse Firma)" found
2006-12-17 17:06:24: INFO: Initiating new phase 1 negotiation: (Lokale WAN IP hinter FritzBox)[500]<=>(aufgelöste IP-Adresse Firma)[500]
2006-12-17 17:06:24: INFO: Beginning Identity Protection mode.
2006-12-17 17:06:25: INFO: Received Vendor ID: RFC XXXX
2006-12-17 17:06:25: INFO: Received Vendor ID: KAME/racoon
2006-12-17 17:06:25: INFO: For (aufgelöste IP-Adresse Firma)[500], Selected NAT-T version: RFC XXXX
2006-12-17 17:06:25: INFO: Received Vendor ID: KAME/racoon
2006-12-17 17:06:25: INFO: NAT-D payload does not match for (Lokale WAN IP hinter FritzBox)[500]
2006-12-17 17:06:25: INFO: NAT-D payload does not match for (aufgelöste IP-Adresse Firma)[500]
2006-12-17 17:06:25: INFO: NAT detected: ME PEER
2006-12-17 17:06:25: INFO: for debugging :: changing ports2006-12-17 17:06:25: INFO: port changed !!
2006-12-17 17:06:36: NOTIFY: The packet is retransmitted by (aufgelöste IP-Adresse Firma)[500].
2006-12-17 17:06:46: NOTIFY: The packet is retransmitted by (aufgelöste IP-Adresse Firma)[500].
2006-12-17 17:06:55: ERROR: Phase 2 negotiation failed due to time up waiting for phase1. ESP (aufgelöste IP-Adresse Firma)->(Lokale WAN IP hinter FritzBox)
2006-12-17 17:06:56: NOTIFY: The packet is retransmitted by (aufgelöste IP-Adresse Firma)[500].
2006-12-17 17:07:06: NOTIFY: The packet is retransmitted by (aufgelöste IP-Adresse Firma)[500].
2006-12-17 17:07:15: INFO: Using IPsec SA configuration: (Subnetz zu Hause)<->(Subnetz Firma)
2006-12-17 17:07:15: INFO: remote configuration for identifier "(dyndns-Adresse Firma)" found
2006-12-17 17:07:16: NOTIFY: The packet is retransmitted by (aufgelöste IP-Adresse Firma)[500].
2006-12-17 17:07:26: ERROR: Phase 1 negotiation failed due to time up for (aufgelöste IP-Adresse Firma)[4500].
2006-12-17 17:07:46: ERROR: Phase 2 negotiation failed due to time up waiting for phase1. ESP (aufgelöste IP-Adresse Firma)->(Lokale WAN IP hinter FritzBox)


Ich melde mich auf jeden Fall noch mal wenns das war.

Warum wechselt der FVS338 zu Hause eigentlich den Port - und wohin?? Kann man das sehen?

Wenn jemand noch eine andere Idee hat - dann bitte melden. Danke!

Gruß
Chris
Bitte warten ..
Mitglied: ChrisDaHub2
18.12.2006 um 12:20 Uhr

In der Firma muss ich noch mal schauen was
da genau weitergeleitet wird. Aufgrund der
beiden Logs hier vermute ich, dass die
Weiterleitung des ESP Protokolls nicht
aktiviert ist in der Firma.


Das wars dummerweise nicht.. Hier in der Firma war auch alles weitergeleitet.
Jetzt steh ich wieder da... Hat denn keiner noch ne Idee?

Chris
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Netgear FVS338 - NAT VPN
gelöst Frage von MultitaskRouter & Routing9 Kommentare

Hallo, Situation: Netgear FVS338 in der Zentrale mit diversen VPN-Tunneln (IPSec) zu den Aussenstellen - funktioniert seit Jahren wunderbar. ...

Router & Routing
D-NAT auf Mikrotik
gelöst Frage von 118080Router & Routing11 Kommentare

Moin Wie einige evtl. mitbekommen haben hatte ich mit meinem Mikrotik ein wenig Trubel und habe mich ein wenig ...

Netzwerke
Cisco 886VA VPN - "Xauth authentication by pre-shared key offered but does not match policy!"
gelöst Frage von Bernhard-BNetzwerke7 Kommentare

Hallo, nachdem mein Cisco 886VA Router am Internet hängt habe ich versucht eine VPN Verbindung via IPsec einzurichten, dabei ...

DNS
Mxtoolbox error SMTP Reverse DNS Mismatch Warning Reverse DNS does not match SMTP Banner
gelöst Frage von davidiOSDNS3 Kommentare

Hallo, Vorab, alle IPs sowie Domain namen wurden hier manipuliert. ich habe einen Fehler festgestellt der mir einige Probleme ...

Neue Wissensbeiträge
Datenschutz

Weitere Inforamtionen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 5 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 7 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 10 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 16 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1017 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...