m.mcfly
Aug 08, 2013
view2487
view14
0
Goto Top

Probleme beim Aufbau einer VPN Verbindung zu Netgear Router

GermanQuestionRouters, RoutingNetworks
Hallo zusammen,

ich taste mich gerade etwas an das Thema VPN Tunneling ran. Nun versuche ich schon seit einiger Zeit mittels des Netgear ProSafe VPN Client eine Verbindung zu einem FVG318 Router aufzubauen. Ich habe mich nach und nach weitergearbeitet und Fehler beseitigt, nur komme ich an dieser Stelle nicht weiter, bzw finde keine aussagekräftigen Hinweise zu meinem Fehler.

LogFile VPN Client:
 8-08: 14:06:59.202 
 8-08: 14:06:59.202 My Connections\TestBaer - Initiating IKE Phase 1 (IP ADDR=90.XXX.XXX.XXX)
 8-08: 14:06:59.374 My Connections\TestBaer - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
 8-08: 14:07:14.809 My Connections\TestBaer - message not received! Retransmitting!
 8-08: 14:07:14.809 My Connections\TestBaer - SENDING>>>> ISAKMP OAK AG (Retransmission)
 8-08: 14:07:15.904 My Connections\TestBaer - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID 2x, NAT-D 2x)
 8-08: 14:07:15.904 My Connections\TestBaer - Peer is NAT-T draft-02 capable
 8-08: 14:07:15.904 My Connections\TestBaer - NAT is detected for Client and Peer
 8-08: 14:07:15.904 My Connections\TestBaer - Floating to IKE non-500 port
 8-08: 14:07:16.091 My Connections\TestBaer - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, 
 NOTIFY:STATUS_INITIAL_CONTACT)
 8-08: 14:07:16.091 My Connections\TestBaer - Established IKE SA
 8-08: 14:07:16.091 My Connections\TestBaer -   MY COOKIE b7 b8 99 20 7c 37 56 54
 8-08: 14:07:16.091 My Connections\TestBaer -   HIS COOKIE ea 5b 6e e fa 9c b 1f
 8-08: 14:07:16.201 My Connections\TestBaer - Initiating IKE Phase 2 with Client IDs (message id: 7F4B8818)
 8-08: 14:07:16.201 My Connections\TestBaer -   Initiator = IP ADDR=192.168.0.151, prot = 0 port = 0
 8-08: 14:07:16.201 My Connections\TestBaer -   Responder = IP SUBNET/MASK=192.168.20.0/255.255.255.0, prot = 0 port = 0
 8-08: 14:07:16.201 My Connections\TestBaer - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
 8-08: 14:07:31.823 My Connections\TestBaer - QM re-keying timed out. Retry count: 1
 8-08: 14:07:31.823 My Connections\TestBaer - SENDING>>>> ISAKMP OAK QM *(Retransmission)
 8-08: 14:07:46.836 My Connections\TestBaer - QM re-keying timed out. Retry count: 2
 8-08: 14:07:46.836 My Connections\TestBaer - SENDING>>>> ISAKMP OAK QM *(Retransmission)
 8-08: 14:08:01.848 My Connections\TestBaer - QM re-keying timed out. Retry count: 3
 8-08: 14:08:01.848 My Connections\TestBaer - SENDING>>>> ISAKMP OAK QM *(Retransmission)
 8-08: 14:08:16.861 My Connections\TestBaer - Exceeded 3 attempts (message id: 7F4B8818)
 8-08: 14:08:16.876 My Connections\TestBaer - Disconnecting IKE SA negotiation
 8-08: 14:08:16.876 My Connections\TestBaer - Deleting IKE SA (IP ADDR=90.XXX.XXX.XXX)
 8-08: 14:08:16.876 My Connections\TestBaer -   MY COOKIE b7 b8 99 20 7c 37 56 54
 8-08: 14:08:16.876 My Connections\TestBaer -   HIS COOKIE ea 5b 6e e fa 9c b 1f
 8-08: 14:08:16.876 My Connections\TestBaer - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)

LogFile Router:

2013-08-08 : INFO:  Remote configuration for identifier "fvg_remote.com" found
2013-08-08 : INFO:  Received request for new phase 1 negotiation: 192.168.19.20[500]<=>217.XXX.XXX.XXX[500]
2013-08-08 : INFO:  Beginning Aggressive mode.
2013-08-08 : INFO:  Received unknown Vendor ID
2013-08-08 : INFO:  Received unknown Vendor ID
2013-08-08 : INFO:  Received unknown Vendor ID
2013-08-08 : INFO:  Received unknown Vendor ID
2013-08-08 : INFO:  Received unknown Vendor ID
2013-08-08 : INFO:  Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02

2013-08-08 : INFO:  For 217.XXX.XXX.XXX[500], Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
2013-08-08 : ERROR:  Phase 1 negotiation failed due to time up for 217.XXX.XXX.XXX[500]. b7b899207c375654:ea5b6e0efa9c0b1f
Mir geht es dann vorallem um die letzte Zeile im Router Log.

Kann mir irgendjemand evtl einen Hinweis geben auf was ich noch genauer schauen muss? Bzw braucht ihr sonst noch irgendwelche Infos, die zum besseren Verständnis beitragen können?


Danke schonmal für Hilfe


Gruss Alex
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 213744

Url: https://administrator.de/contentid/213744

Printed on: April 26, 2024 at 15:04 o'clock

14 Comments
Latest comment
Goto Top
Mitglied: 108012
108012 Aug 08, 2013 at 13:11:47 (UTC)
Goto Top
Hallo,

von dem Netgear FVG318 gibt es 5 verschiedene Modelle es wäre daher schon einmal nett zu wissen um welches Modell
es sich denn hier nun wirklich handelt! (FVG318v1, FVG318v2, FVG318v3, FVG318G und FVG318N)

- Ist die Firmware auf der Firewall aktuell? (Version xxxx vom xx.xx.xx)
- Welcher VPN Klient bzw. welche VPN Klient Software ist denn dort im Einsatz?
- Welches Betriebssystem ist denn auf der anderen Seite (VPN Klient) im Einsatz?

Gruß
Dobby
Member: Dani
Dani Aug 08, 2013 at 13:33:14 (UTC)
Goto Top
Moin,
ich erweitere den Fragepool noch:
- Steht der Netgear FVG318 direkt im Internet oder steht davor noch ein anderer Router?
- Welche Ports hast für VPN geöffnet?


Grüße,
Dani
Member: m.mcfly
m.mcfly Aug 08, 2013 at 13:41:56 (UTC)
Goto Top
Hallo Dobby und Dani,

zu der Modellvariante muss ich leider gestehen kann ich nichts sagen. Laut der Bezeichnung ist es ein FVG318. Von daher würde ich jetzt einfach mal vermuten ein 318v1

Firmware ist zur Zeit v2.1.2-43R. muss ich bei Gelegenheit noch aktualisieren. Aktuellste ist nach meinem Wissensstand die v2.1.2-67

Als Client Software nutze ich den NETGEAR ProSafe VPN Client v10.8.0 (Build 20) auf einem Win XP Prof (SP3)

Ja, ich habe zuvor noch einen anderen Router. Nutze die Verbindung auf der Routerseite für Testzwecke über einen UMTS Stick.

Auf diesem Router habe ich die Ports 50, 51 und 500 freigegeben. Firewall ist deaktiviert.

Gruss Alex
Member: Dani
Dani Aug 08, 2013 at 13:47:07 (UTC)
Goto Top
Auf diesem Router habe ich die Ports 50, 51 und 500 freigegeben. Firewall ist deaktiviert.
Du hast die Firewall auf dem Router deaktiviert? Mutig!

Egal, du musst folgende Ports mit folgenden Protokoll weiterleiten auf die FVG318:
UDP 500
UDP 4500
UDP 1701

Kein TCP für die Ports!
UMTS würde erstmal vergessen, nicht das der Provider noch mit NAT o.ä. spielt.


Grüße,
dani
Member: m.mcfly
m.mcfly Aug 08, 2013 updated at 14:19:34 (UTC)
Goto Top
Du hast die Firewall auf dem Router deaktiviert? Mutig!

Naja, zumindest auf dem UMTS Router, dass ich da nicht nur unnoetige Schwierigkeiten rein bekomme. Hab dahinter auch nur ein einzelnes Notebook haengen. Ist ja wie gesagt auch nur zu Testzwecken.

Egal, du musst folgende Ports mit folgenden Protokoll weiterleiten auf die FVG318:
UDP 500
UDP 4500
UDP 1701

Also ich habe die Ports freigegeben, jedoch keine Veraenderung.

UMTS würde erstmal vergessen, nicht das der Provider noch mit NAT o.ä. spielt.
Kann das Probleme machen? Ich mach das darueber, dass meine beiden Netze auch wirklich uber WAN "getrennt" sind und ich trotzdem an einem Arbeitsplatz testen kann. Ich habe jetzt auf dem UMTS Router NAT aktivert. Korrekt?!

Ich bin in Sachen Netzwerktechnik noch ziemlich unbefleckt. Arbeite mich zur Zeit in so Grundsachen erst noch rein.


EDIT:

Ok, um es vielleicht nochmal zu verdeutlichen. Haette die Info vielleicht gleich dazu geben sollen; Mein Client haengt fest in einem Firmennetzwerk und der Rechner (bzw in Zukunft mal das Netz) auf den ich zugreifen moechte, haengt an dem Netgear FVG318. Dieser wiederrum ist an einen (wie schon gesagt) Router angeschlossen, der uber einen Vodafone UMTS Stick ins Netz geht.
Member: goscho
goscho Aug 08, 2013 at 15:53:43 (UTC)
Goto Top
Hi mcfly,

bekommt dein Vodafone UMTS eine öffentliche IP-Adresse (auf dem UMTS-Router nachschauen)?
Mitglied: 108012
108012 Aug 08, 2013 updated at 19:09:26 (UTC)
Goto Top
Naja, zumindest auf dem UMTS Router, dass ich da nicht nur unnoetige Schwierigkeiten rein bekomme. Hab dahinter auch nur ein einzelnes Notebook haengen. Ist ja wie gesagt auch nur zu Testzwecken.
Bei vielen UMTS Anbietern gibt es zwei verschiedene Tarifmodelle, einmal für den Privatbereich und einmal für den
s.g. Business Bereich, die unterscheiden sich mitunter darin, dass der Private Tarif keine öffentlichen IP Adressen
erhält das liegt an einen dazwischen geschaltetem Privaten Netzwerk des Providers, bei dem Business Tarif sollte das
nicht so sein und man erhält eine öffentliche Adresse die dann auch durch das Internet geroutet werden kann und man somit auch keine Probleme mit dem VPN bekommt.

Also Router mit aktueller Firmware flashen und mal bei dem UMTS Anbieter nachfragen, kostet meist nur einen Anruf beim Support!


Gruß
Dobby
Member: goscho
goscho Aug 09, 2013 at 06:28:06 (UTC)
Goto Top
Zitat von @108012:
Also Router mit aktueller Firmware flashen und mal bei dem UMTS Anbieter nachfragen, kostet meist nur einen Anruf beim Support!
Die aktuelle Firmware hat mit der public IP mal eben gar nichts zu tun.
Und die IP-Adresse des UMTS-Anschlusses sollte der Router eigentlich preisgeben, irgendwo in seinem Monitoring.
Dafür muss man nicht beim Support anrufen und dem Telefonautomaten dutzende Fragen beantworten, damit man anschließend an einen unwissenden Mitarbeiter in einem Call-Center verbunden wird.face-wink
Member: m.mcfly
m.mcfly Aug 09, 2013 at 07:01:47 (UTC)
Goto Top
bekommt dein Vodafone UMTS eine öffentliche IP-Adresse?

nach meinen Informationen, ja. Er gibt mir ja z.B. auf wieistmeineip.de auch ne IP Adresse aus.

Die Firmware hab ich jetzt auch aktualisiert.
Leider immer noch derselbe Fehler wie vorher.


Gruss Alex
Member: Dani
Dani Aug 09, 2013 at 08:30:21 (UTC)
Goto Top
Moin,
nach meinen Informationen, ja. Er gibt mir ja z.B. auf wieistmeineip.de auch ne IP Adresse aus.
Das hat nichts zu sagen... wenn du über einen transparenten Proxy ins Internet gehst, erscheint auch nicht deine IP-Adresse. Bitte auf dem Router nachschauen.


Grüße,
Dani
heart1
Mitglied: 108012
108012 Aug 09, 2013 at 09:16:13 (UTC)
Goto Top
nach meinen Informationen, ja. Er gibt mir ja z.B. auf wieistmeineip.de auch ne IP Adresse aus.
Und wie hieß diese denn nun? Ich meine man kann ja auch 2 Zahlen ändern, am besten immer die letzten,
aber dann ist eben auch ausgeschlossen, dass es eben genau daran liegt.
z.B. aus 192.168.15.9 wird 192.168.25.50 dann kann man mit einem Blick sagen was für eine Adresse es ist.

Die Firmware hab ich jetzt auch aktualisiert.
Dann kann man das nun auch ausschließen!

Leider immer noch derselbe Fehler wie vorher.
Siehst Du dann wird es eben ein Konfigurationsfehler sein und/oder eine Inkompatibilität eines Programms oder OSs.

Gruß
Dobby
Member: aqui
aqui Aug 09, 2013 at 14:06:37 (UTC)
Goto Top
Die o.a. Portliste zum Forwarden bei einer Router Kaskade ist auch schlicht FALSCH !!
Netgear nutzt IPsec und da sind die folgenden Ports relevant:
  • UDP 500
  • UDP 4500
  • ESP Protokoll (IP Protokoll Nummer 50, nicht TCP/UDP 50 ! ESP ist ein eigenes IP Protokoll !)
1701 ist Unsinn.
Wenn du diese 3 Protokolle forwardest funktioniert es ohne Probleme.
Zum Rest ist oben ja schon alles gesagt..!
Member: m.mcfly
m.mcfly Aug 09, 2013 at 14:26:50 (UTC)
Goto Top
Hallo Leute,

vielen Dank nochmal fuer eure Hilfe. Bin heute leider nicht dazu gekommen, was zu testen. Mal sehen, ob ich am Wochenende was schaffe.

Hoffe, ich kann auch naechste Woche noch auf eure Hilfe zaehlen, falls es bis dahin immernoch nicht hinhaut face-smile


Gruss Alex
Member: Dani
Dani Aug 09, 2013 at 16:01:34 (UTC)
Goto Top
@aqui
Ahh.. Danke. Für was war 1701 nochmal da?


Grüße,
Dani
GermanQuestionRouters, RoutingNetworks