Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netgeat Router und Shrew VPN wo könnte es hängen?

Frage Netzwerke

Mitglied: webistefan

webistefan (Level 1) - Jetzt verbinden

02.05.2010, aktualisiert 18.10.2012, 7984 Aufrufe, 11 Kommentare

ich hatte vor kurzen hier ein Beitrag geschrieben in zusammenhang mit der Verbindung Netgear -> Fritzbox, dies lief dann nach eurer Hilfe, nun möchte ich gern ein User per Shrew Soft Anbinden.

Ich habe mich an die Anleitung von Shrew gehalten (jedoch sieht es bei der User Verwaltung nicht so aus wie bei Shrew beschrieben)

Ich erhalte Folgende Log von dem User der sich mit mir verbinden will.

2010 May 1 17:13:43 [SRXN3205] [IKE] Remote configuration for identifier "dyndns.net" found_
2010 May 1 17:13:43 [SRXN3205] [IKE] Received request for new phase 1 negotiation: 95.89.4.132[500]<=>91.64.232.181[500]_
2010 May 1 17:13:43 [SRXN3205] [IKE] Beginning Aggressive mode._
2010 May 1 17:13:43 [SRXN3205] [IKE] Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt_
2010 May 1 17:13:43 [SRXN3205] [IKE] Received unknown Vendor ID_
- Last output repeated twice -
2010 May 1 17:13:43 [SRXN3205] [IKE] Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02__
2010 May 1 17:13:43 [SRXN3205] [IKE] Received unknown Vendor ID_
- Last output repeated 2 times -
2010 May 1 17:13:43 [SRXN3205] [IKE] Received Vendor ID: DPD_
2010 May 1 17:13:43 [SRXN3205] [IKE] DPD is Enabled_
2010 May 1 17:13:43 [SRXN3205] [IKE] Received unknown Vendor ID_
- Last output repeated 2 times -
2010 May 1 17:13:43 [SRXN3205] [IKE] Received Vendor ID: CISCO-UNITY_
2010 May 1 17:13:43 [SRXN3205] [IKE] For 91.64.232.181[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02_
2010 May 1 17:13:44 [SRXN3205] [IKE] Setting DPD Vendor ID_
2010 May 1 17:13:44 [SRXN3205] [IKE] Floating ports for NAT-T with peer 91.64.232.181[4500]_
2010 May 1 17:13:44 [SRXN3205] [IKE] NAT-D payload does not match for 95.89.4.132[4500]_
2010 May 1 17:13:44 [SRXN3205] [IKE] NAT-D payload does not match for 91.64.232.181[4500]_
2010 May 1 17:13:44 [SRXN3205] [IKE] NAT detected: Local is behind a NAT device. and alsoPeer is behind a NAT device_
2010 May 1 17:13:44 [SRXN3205] [IKE] Sending Xauth request to 91.64.232.181[4500]_
2010 May 1 17:13:44 [SRXN3205] [IKE] ISAKMP-SA established for 95.89.4.132[4500]-91.64.232.181[4500] with spi:3e41d46fa0f4e430:20917f799b394ec5_
2010 May 1 17:13:44 [SRXN3205] [IKE] Received attribute type "ISAKMP_CFG_REPLY" from 91.64.232.181[4500]_
2010 May 1 17:13:44 [SRXN3205] [IKE] 0.0.0.0 IP address has been released by remote peer._
2010 May 1 17:13:44 [SRXN3205] [IKE] Login failed for user "test"_
2010 May 1 17:13:44 [SRXN3205] [IKE] Sending Informational Exchange: delete payload[]_
2010 May 1 17:13:44 [SRXN3205] [IKE] Failed to find proper address pool with id -1_
2010 May 1 17:13:44 [SRXN3205] [IKE] an undead schedule has been deleted: 'ph1_main'._



So vielleicht habt Ihr schon eine Ahnung? Also ich würd Tippen das die User Authentification Fehlschlägt steht da ja auch, oder könnte es noch was anderes sein, ich kann auch gern wie bei meinem anderen Topic noch Bilder hochladen wie alles eingerichtet ist.
Mitglied: aqui
03.05.2010 um 11:54 Uhr
Guckst du hier:
http://www.shrew.net/support/wiki/HowtoNetgear
bzw. Einstellungen für den Client:
http://www.shrew.net/static/howto/Netgear/netgear.vpn

Nach den obigen Fehlern stimmt was mit der IP Adressierung von Server und Client nicht bei dir. Vermutlich hast du in der Konfig ein falsches IP Netz angegeben fürs lokale Netz ?!
Bitte warten ..
Mitglied: goscho
03.05.2010, aktualisiert 18.10.2012
Hallo webistefan,
könntest du zuerst mal mitteilen, welchen Netgear VPN-Router du einsetzt.

o.k. ich habe 1 gefunden, du setzt einen SRXN3205 von Netgear ein.

Ich habe just vergangene Woche diese Konfigiration des Shrew-Clients mit mehreren Netgear-VPN-Routern zu Stande bekommen.
Das war aber nicht gerade sehr einfach.

Deinen SRXN3205 kenne ich nicht, allerdings sieht die Oberfläche der meines FVS336G sehr ähnlich.

Gibt es bei deinem Router die VPN-Variante ModeConfig?

Oder wie hast du die IKE und VPN-Policy konfiguriert?
Bitte warten ..
Mitglied: goscho
03.05.2010 um 15:26 Uhr
Zitat von aqui:
Guckst du hier:
http://www.shrew.net/support/wiki/HowtoNetgear
bzw. Einstellungen für den Client:
http://www.shrew.net/static/howto/Netgear/netgear.vpn

Nach den obigen Fehlern stimmt was mit der IP Adressierung von Server und Client nicht bei dir. Vermutlich hast du in der Konfig
ein falsches IP Netz angegeben fürs lokale Netz ?!

Hallo aqui,
die Anleitung auf der Shrew-Seite sind zwar nicht schlecht, leider aber nicht ganz korrekt.

Ich habe mir vergangene Woche beinahe einen Wolf konfiguriert, bis das geklappt hat. Der Netgear-Support hat auch versucht zu helfen.
Jetzt stehen alle Client-VPNs mit Windows 7 und Shrew zu den Netgear-Routern FVS114, 124, 336G wieder, die vorher mit XP und dem ProSafe-Client auch gingen.
Bitte warten ..
Mitglied: webistefan
03.05.2010 um 17:49 Uhr
So danke, genau es ist der SRXN3205,
nun hab ich es auch geschaft Bilder von meiner Config im Router zu machen.

Ja ich hab über ModeConfig das eingestellt, quasi wie die Anleitung bei shrew support ( so ist auch Shrew eingestellt)
Nur die Anleitung weicht bei mir bei dem User Punkt ab.

Daher hier erstmal die IP's Intern:

Router 192.168.1.1 / 255.255.255.0
PC 192.168.1.2 / 255.255.255.0
NAS 192.168.1.10/ 255.255.2550

Die gegenseite soll sich über Windows 7 per Shrew VPN Einwählen, Shrew ist eingestellt wie bei Shrew hier beschrieben: http://www.shrew.net/support/wiki/HowtoNetgear

Ich bin doch die Remote Stelle in dem Fall wenn er sich Verbinden will oder?

hier die Einstellung von Shrew aus der Export Datei:

n:version:2
s:network-host:seuss.homeip.net
n:network-ike-port:500
s:client-auto-mode:pull
n:network-mtu-size:1380
s:client-iface:virtual
n:client-addr-auto:1
s:network-natt-mode:enable
n:network-natt-port:4500
n:network-natt-rate:15
s:network-frag-mode:enable
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:1
n:client-wins-auto:1
n:client-dns-used:1
n:client-dns-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
s:auth-method:mutual-psk-xauth
s:ident-client-type:fqdn
s:ident-server-type:address
s:ident-client-data:meindynds.net
b:auth-mutual-psk:MTIzNDU2Nzg=
s:phase1-exchange:aggressive
n:phase1-dhgroup:2
s:phase1-cipher:auto
s:phase1-hash:auto
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:0
s:policy-list-include:192.168.1.0 / 255.255.255.0

3df5845e6b81ef58f882f94447028344 - Klicke auf das Bild, um es zu vergrößern
79f7015514d85e8daf75e4f78c774504 - Klicke auf das Bild, um es zu vergrößern
fe080f737013653c68d6c0862a98381d - Klicke auf das Bild, um es zu vergrößern
75324756fd7908d3bbe019a0260434fd - Klicke auf das Bild, um es zu vergrößern
4e851c77422cfb14478bcdb9d8cf2c93 - Klicke auf das Bild, um es zu vergrößern
84359ade4ed3523065eacd4e00b4edf5 - Klicke auf das Bild, um es zu vergrößern
8d1e9d6af7b49865ceda35fa6d4c4e41 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: goscho
03.05.2010 um 18:46 Uhr
Hallo webistefan,
bitte nimm die Einstellung XAUTH-Authentication heraus. Diese habe ich auch nicht genutzt.

Hast du einen eigenen DNS-Server im Einsatz?

Deine Pool-Einstellungen in der ModeConfig sind nicht korrekt, der DNS-Server 192.168.1.1 darf keine zu verwendende Adresse sein!

Nimm doch bspw. den Bereich 10.10.10.10 bis 10.10.10.50 für die VPN-Clients als 1.Pool. Keine Angst vor diesen Adressen, der Zugriff auf dein LAN aund anders herum vom LAN auf diese VPN-Clients klappt (Firewall richtig konfiguriert setze ich voraus).
Wenn die IPs der VPN-Clients aus deinem internen Netz (192.168.1.x) Verwendung finden, so wirst du von innen normal nicht auf einen VPN-Client zugreifen können.

PFS Key Group kannst du auf DH2 stellen.
Ich verwende bevorzugt AES-Schlüssel ab 128 BIT, weil 3DES knackbar ist und außerdem der Verbindungsaufbau langsamer sein soll.
Unter Traffic Tunnel Security Level trage bitte deinen gesamten Netzwerkbereich ein (192.168.1.0)

Im Shrew VPN-Client empfehle ich dir die Beta 2.1.6-beta-7, mit der anderen gings bei mir auch nicht.

Du stellst im Client - anders als in der Anleitung - folgendes ein:

General
-> 'auto configuration' auf 'IKE config push'
Den Haken bei 'obtain automatically' darfst du setzen, da du in ModeConfig ja einen Pool angegeben hast.
Client
Enable Daed Peer Detection laut Shrew bitte deaktivieren
Name Resolution
Enable DNS - DNS-Server eintragen ( bei dir 192.168.1.1)
DNS-Suffix (Dein DNS-Suffix eintragen)
Authentication
Local Identity
Method auf 'Mutual PSK' umstellen
FQDN aus IKE-Policy (bspw. clients.deine-domäne.com -> muss kein DYN-DNS-Name sein)
Remote Identity
auf IP-Adress (du hast ja einen feste) und unten den Haken rein
Credentials -> pre shared key eingeben (aus IKE-Config)
Phase1 und Phase2
analog zu deinen Policys im Netgear
Policy
hier bitte die Einstellungen aus Traffic Tunnel Security Level in Mode Config deines Netgear
Bitte warten ..
Mitglied: webistefan
03.05.2010 um 20:19 Uhr
also ein DNS Server hab ich nicht am laufen ich hab bei Windows den Router als DNS angegeben also die 192.168.1.1

ich probier die Einstellungen nun mal aus und poste dann wieder, ersteinmal danke
Bitte warten ..
Mitglied: webistefan
03.05.2010 um 20:45 Uhr
so er ist verbunden:

2010 May 3 19:30:32 [SRXN3205] [IKE] Remote configuration for identifier "dyndnst" found_
2010 May 3 19:30:32 [SRXN3205] [IKE] Received request for new phase 1 negotiation: 95.89.4.132[500]<=>91.64.232.181[500]_
2010 May 3 19:30:32 [SRXN3205] [IKE] Beginning Aggressive mode._
2010 May 3 19:30:32 [SRXN3205] [IKE] Received unknown Vendor ID_
- Last output repeated twice -
2010 May 3 19:30:32 [SRXN3205] [IKE] Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02__
2010 May 3 19:30:32 [SRXN3205] [IKE] Received unknown Vendor ID_
- Last output repeated 5 times -
2010 May 3 19:30:32 [SRXN3205] [IKE] Received Vendor ID: CISCO-UNITY_
2010 May 3 19:30:32 [SRXN3205] [IKE] For 91.64.232.181[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02_
2010 May 3 19:30:33 [SRXN3205] [IKE] Setting DPD Vendor ID_
2010 May 3 19:30:33 [SRXN3205] [IKE] Floating ports for NAT-T with peer 91.64.232.181[4500]_
2010 May 3 19:30:33 [SRXN3205] [IKE] NAT-D payload does not match for 95.89.4.132[4500]_
2010 May 3 19:30:33 [SRXN3205] [IKE] NAT-D payload does not match for 91.64.232.181[4500]_
2010 May 3 19:30:33 [SRXN3205] [IKE] NAT detected: Local is behind a NAT device. and alsoPeer is behind a NAT device_
2010 May 3 19:30:33 [SRXN3205] [IKE] 10.10.10.10 IP address is assigned to remote peer 91.64.232.181[4500]_
2010 May 3 19:30:33 [SRXN3205] [IKE] ISAKMP-SA established for 95.89.4.132[4500]-91.64.232.181[4500] with spi:963889372262c84c:4c6d0e65306b8ae7_
2010 May 3 19:30:33 [SRXN3205] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2010 May 3 19:30:38 [SRXN3205] [IKE] Responding to new phase 2 negotiation: 95.89.4.132[0]<=>91.64.232.181[0]_
2010 May 3 19:30:38 [SRXN3205] [IKE] Using IPsec SA configuration: 192.168.1.0/24<->10.10.10.0/24_
2010 May 3 19:30:38 [SRXN3205] [IKE] Adjusting peer's encmode 61443(61443)->Tunnel(1)_
2010 May 3 19:30:38 [SRXN3205] [IKE] less key length proposed, mine:128 peer:256. Use initiaotr's one._
2010 May 3 19:30:38 [SRXN3205] [IKE] IPsec-SA established[UDP encap 4500->4500]: ESP/Tunnel 91.64.232.181->95.89.4.132 with spi=83543904(0x4fac760)_
2010 May 3 19:30:38 [SRXN3205] [IKE] IPsec-SA established[UDP encap 4500->4500]: ESP/Tunnel 95.89.4.132->91.64.232.181 with spi=3250671024(0xc1c14db0)_


Nun noch eine Frage, ich will nun das er auf die 192.168.1.10 zugreifen kann, muss er im Explorer also Datei Manager dies oben eingeben?
Bitte warten ..
Mitglied: goscho
03.05.2010 um 21:38 Uhr
Zitat von webistefan:
so er ist verbunden:



Nun noch eine Frage, ich will nun das er auf die 192.168.1.10 zugreifen kann, muss er im Explorer also Datei Manager dies oben
eingeben?

Ja genau.
Bitte warten ..
Mitglied: aqui
06.05.2010 um 22:25 Uhr
Ooops...spielt da noch ein Cisco VPN Gerät mit ??

2010 May 3 19:30:32 [SRXN3205] [IKE] Received Vendor ID: CISCO-UNITY_ ???

Das ist ja schon irgendow verdächtig und sieht so aus als ob du schlicht und einfach eine falsche Ziel IP fürs VPN benutzt, denn da antwortet unzweifelhaft ein Cisco Device...
Der rest ist dann ziemlich eindeutig:

2010 May 3 19:30:32 [SRXN3205] [IKE] For 91.64.232.181[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02_
2010 May 3 19:30:33 [SRXN3205] [IKE] Setting DPD Vendor ID_
2010 May 3 19:30:33 [SRXN3205] [IKE] Floating ports for NAT-T with peer 91.64.232.181[4500]_
2010 May 3 19:30:33 [SRXN3205] [IKE] NAT-D payload does not match for 95.89.4.132[4500]_
2010 May 3 19:30:33 [SRXN3205] [IKE] NAT-D payload does not match for 91.64.232.181[4500]_
2010 May 3 19:30:33 [SRXN3205] [IKE] NAT detected: Local is behind a NAT device. and alsoPeer is behind a NAT device_

Hier hast du also ein Problem mit den IP Netzen und deiner Payload ??
Peer und auch lokales IP Netz befinden sich hinter dem NAT Router. Das das niemals funktionieren kann ist klar !
Und...du solltest mal klären wo die Cisco Device Kennung herkommt ??!! Mit einem Cisco VPN Client kannst du keine Verbindung auf einen NetGear realisieren...das sollte klar sein ?!
Bitte warten ..
Mitglied: webistefan
06.05.2010 um 23:04 Uhr
Aqui danke, aber soweit ist es gelöst, Verbindung baut er auf, am Wochenende muss ich noch testen ob er zugreifen kann.
Ich melde mich in kürze und berichte.
Danke für die Hilfe bis hierher
Bitte warten ..
Mitglied: goscho
07.05.2010 um 07:01 Uhr
Zitat von aqui:
Ooops...spielt da noch ein Cisco VPN Gerät mit ??

Hallo aqui,
der Shrew VPN-Client meldet sich so.
Man kann disen aber auch umstellen, dann meldet er sich als Checkpoint.

//
Hier hast du also ein Problem mit den IP Netzen und deiner Payload ??
Peer und auch lokales IP Netz befinden sich hinter dem NAT Router. Das das niemals funktionieren kann ist klar !

Das stimmr nicht so ganz.
Wenn der VPN-Client hinter einem NAT-Router liegt, so muss in diesem das VPN auf den Client weitergeleietet weren, per Portweiterleitung.
Der andere NAT-Router macht das VPN selbst.

Und...du solltest mal klären wo die Cisco Device Kennung herkommt ??!! Mit einem Cisco VPN Client kannst du keine Verbindung
auf einen NetGear realisieren...das sollte klar sein ?!

Ich habe dies zwar nich nicht gemacht, doch sollte das schon machbar sein, wenn beide IPSEC VPN unterstützen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Switche und Hubs
VPN Router (client) VPN Tunnel Bauen (26)

Frage von denndsd zum Thema Switche und Hubs ...

Router & Routing
Welcher Annex A Router mit VPN und Gigabit-LAN? (7)

Frage von kolloni zum Thema Router & Routing ...

Router & Routing
Centro Buisness Router mit VPN Peer2Peer (6)

Frage von msto1004 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...