Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Shrew VPN-Access an Linksys Cisco RV082

Frage Netzwerke Router & Routing

Mitglied: 113802

113802 (Level 1)

23.10.2013, aktualisiert 11:41 Uhr, 3145 Aufrufe, 12 Kommentare, 1 Danke

Hallo zusammen,

für den Remote-Zugriff auf meinen Router Linksys/Cisco RV082 möchte ich von PPTP auf IPSec umstellen. Firmware ist 2.0.2.01-tm

Der Cisco QuickVPN-Client funktioniert leider nicht immer zuverlässig, so dass ich auf den kostenlosen Shrew VPN-Client umstellen möchte. Ich habe mich dabei genau an das Tutorial auf "https://www.shrew.net/support/Howto_Linksys" gehalten. Den QuickVPN-Client habe ich deinstalliert.

Mein Problem nun:

Seitens des Clients kann ich mich erfolgreich in das Netz einwählen: "tunnel enabled".
Dann komme ich jedoch nicht weiter: weder RDP, Ping, noch sonst irgendwas funktionert.

Seitens des RV082 sieht das so aus: In der Registerkarte VPN --> Summary bleibt "Connected Tunnels" auf "0". Die "Detail List" bleibt leer.

Die System-Log:

ce3c6063052286a43b7e3c6f68db9752 - Klicke auf das Bild, um es zu vergrößern

Ich habe auch schon versucht, die Firewall zu deaktivieren, oder Ausnahmen für RDP, Ping, usw. hinzuzufügen. Leider ohne Erfolg.

Wie komme ich per RDP auf einen PC, der am Router hängt?

Würde mich freuen, wenn mir jemand weiterhelfen kann.

Vielen Dank!

Mitglied: flyworld
24.10.2013 um 14:30 Uhr
Hallo Okami39,

hast Du die "Policy" im Client von ShrewSoft definiert? Das ist die letzte Karteikarte..
Dort mus Du das Netz angeben, in das Du dich einwählst.
Wenn dein PC die IP 192.168.1.5 hat so kannst Du nur zu dem PC Routen"192.168.1.5/255.255.255.255" oder das das gesamte Netz weiterleiten "192.168.1.0/255.255.255.255".

Prüfe nach ob das hilft..

Viel Erfolg...
flyworld
Bitte warten ..
Mitglied: aqui
24.10.2013 um 15:35 Uhr
Und....da du aus einem IP Fremdnetz mit dem Client kommt ist dir hoffentlich klar das die lokale Firewall der Rechner die du anpingst diese Pakete per Default blocken !
Die lassen nur Zugriffe zu aus dem lokalen Netzwerk.
Deine Firewall musst du also zwingend anpassen !!

Details zur Shrew Konfiguration kannst du auch hier nachlesen. Die ToDos gelten auch bei deiner HW:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: 113802
25.10.2013 um 11:31 Uhr
Zitat von flyworld:
Hallo Okami39,

hast Du die "Policy" im Client von ShrewSoft definiert? Das ist die letzte Karteikarte..
Dort mus Du das Netz angeben, in das Du dich einwählst.
Wenn dein PC die IP 192.168.1.5 hat so kannst Du nur zu dem PC Routen"192.168.1.5/255.255.255.255" oder das das gesamte
Netz weiterleiten "192.168.1.0/255.255.255.255".

Prüfe nach ob das hilft..

Viel Erfolg...
flyworld

hab ich eingerichtet. Hilft leider nicht.
Bitte warten ..
Mitglied: 113802
25.10.2013, aktualisiert um 11:32 Uhr
Zitat von aqui:
Und....da du aus einem IP Fremdnetz mit dem Client kommt ist dir hoffentlich klar das die lokale Firewall der Rechner die du
anpingst diese Pakete per Default blocken !
Die lassen nur Zugriffe zu aus dem lokalen Netzwerk.
Deine Firewall musst du also zwingend anpassen !!

Details zur Shrew Konfiguration kannst du auch hier nachlesen. Die ToDos gelten auch bei deiner HW:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...

Bis zur lokalen PC-Firewall komme ich ja gar nicht.

Denn dann müsste zumnidest in der Group VPN Connection List des Routers ein existierender Tunnel auftauchen. Da steht "0", obwohl mir der Shrew einen Tunnel als "enabled" meldet.

Keiner eine Idee?
Bitte warten ..
Mitglied: aqui
25.10.2013 um 18:47 Uhr
Was immer unter allen Umständen anpingbar sein muss ist das lokale LAN Interface des VPN Routers, also des Cisco RVs.
Wenn das schon nicht gehen sollte hast du ein grundsätzliches Problem !!
Dann wird der Tunnel gar nicht aufgebaut.
Hilfreich für ein zielführendes Troubleshooting ist hier das Shrew Log und auch das des Cisco VPN Routers !
Dein Log Auszug oben zeigt keine erfolgreiche Phase 2 Authentication ! Damit ist der Tunnel gar nicht aktiv !
Bitte warten ..
Mitglied: 113802
28.10.2013 um 09:25 Uhr
Zitat von aqui:
Was immer unter allen Umständen anpingbar sein muss ist das lokale LAN Interface des VPN Routers, also des Cisco RVs.
Wenn das schon nicht gehen sollte hast du ein grundsätzliches Problem !!
Dann wird der Tunnel gar nicht aufgebaut.
Hilfreich für ein zielführendes Troubleshooting ist hier das Shrew Log und auch das des Cisco VPN Routers !
Dein Log Auszug oben zeigt keine erfolgreiche Phase 2 Authentication ! Damit ist der Tunnel gar nicht aktiv !

Dass ich ein grundsätzliches Problem habe, ist mir schon klar
Das möchte ich ja gerne lösen, mit Eurer Unterstützung.

Was kann ich denn tun, damit ich eine erfolgreiche Phase 2 Authentification durchführen kann?
Meine Einstellungen sind gemäß Shrew-Tutorial doch alle korrekt.

Die Incoming Log des RV082 meldet: Connection Accepted.

Ändere ich am Shrew spaßeshalber mal mein Passwort, bekomme ich auch entsprechend eine Ablehnung.

In den Logs des Shrew steht eigentlich nicht viel:

iked.log:

13/10/28 08:21:48 ## : IKE Daemon, ver 2.2.2
13/10/28 08:21:48 ## : Copyright 2013 Shrew Soft Inc.
13/10/28 08:21:48 ## : This product linked OpenSSL 1.0.1c 10 May 2012

ipsec.log:

13/10/28 08:21:48 ## : IPSEC Daemon, ver 2.2.2
13/10/28 08:21:48 ## : Copyright 2013 Shrew Soft Inc.
13/10/28 08:21:48 ## : This product linked OpenSSL 1.0.1c 10 May 2012
13/10/28 08:21:48 ## : This product linked zlib v1.2.3


Wo kann ich hier angreifen, damit ich weiterkomme?
Bitte warten ..
Mitglied: aqui
29.10.2013 um 19:07 Uhr
Hängt der Cisco irgendwo hinter einem anderen (NAT) Router also eine Router Kaskade und fehlt da ggf. irgendwo das Port Forwarding für IPsec ?
Bitte warten ..
Mitglied: 113802
29.10.2013 um 20:33 Uhr
Danke für die Rückmeldung.

Ja, der Cisco hängt hinter einem Telekom-Router für eine CompanyWeb-Standleitung. Dies ist auch ein Cisco, den ich allerdings nicht konfigurieren kann und darf (Telekom-Eigentum).

Hängt das damit zusammen? Warum geht dann PPTP und der QuickVPN-Client (wenn er denn geht)?

Was den QuickVPN-CLient betriftt: Ich habe von meinem Laptop innerhalb Deutschlands über Mobilfunk-WAN überhaupt keine Probleme damit. Er reagiert nur empfindlicher auf Netzüberlastung, als der PPTP-Zugang. Lediglich vom europäischen Ausland aus übers normale Internet funktioniert er seit geraumer Zeit einfach nicht mehr. Und genau das ist der Grund, warum ich den Shrew umstellen möchte.

Bin für jeden Hinweis dankbar!
Bitte warten ..
Mitglied: aqui
30.10.2013, aktualisiert um 09:25 Uhr
Ahaaa....da kommen wir der Sache näher !!
Hast du das hier gelesen ??
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Ganz besonders das Kapitel "OpenVPN hinter einem NAT Router betreiben" ??

Genau das gilt auch für dich ! Zwar ist hier der Port von OVPN anders, das Prinzip ist aber genau das gleiche !
Die NAT Firewall des Routers davor blockiert alle ESP Pakete der Phase II Negotiation so das dein VPN Tunnel niemals zustande kommt.
Du musst erstmal klären ob der Telekom Router überhaupt ein NAT Router ist oder....ob der Router ein reiner Internet Router ohne NAT ist !
Letzteres ist der Fall wenn du z.B. eine öffentliche IP Adresse am WAN Port des Ciscos hast. Das kannst du über das Setup leicht auslesen.
Es darf keine IP Adresse aus dem Bereich: 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16 sein !
Ist das der Fall musst du zusätzlich mal bei der Telekom fragen ob dort IPsec ggf. geblockt wird. Bei manchen nicht Business Traifen ist das hie und da mal der Fall.
Erst wenn das alles sicher geklärt ist kannst du weitermachen.
Ist der Router ein NAT Router musst du dort zwangsläufig ein Port Forwarding einrichten..oder einrichten lassen in deinem Fall.
Bitte warten ..
Mitglied: 113802
31.10.2013, aktualisiert um 12:55 Uhr
Ok, jetzt kommt Licht ins Dunkel.

Die Standleitung heisst natürlich CompanyConnect, und nicht CompanyWeb von der Telekom

Der Telekom-Router ist einer aus der Cisco 800er-Serie. Mein LAN hat IP-Adressen im Bereich 192.168.111.1 bis 254. Subnet 255.255.255.0. Der RV082 hat die 254 als interne IP. In der WAN-Konfiguration des RV082 ist als Gateway die IP des Telekom-Routers angegeben xxx.xxx.xxx.xx1. Als Specify WAN IP Address die von außen erreichbare IP xxx.xxx.xxx.xx2. Die öffentliche IP ist also im RV082 eingetragen. Dahinter hängt dann noch das CC-Modem.

Ich werde als nächstes die Telekom kontaktieren. Das Ergebnis werde ich hier mitteilen.

Bis dann mal!
Bitte warten ..
Mitglied: aqui
31.10.2013 um 13:01 Uhr
OK, dann sieht es so aus als ob du ein kleines Subnetz von der Telekom bekommst wenn "xxx.xxx.xxx.xx1" eine öffentliche IP ist und die Netzmaske größer als /24 ist ???
Das sähe dann so aus als ob das Internet dann dort transparent anliegt. Da solltest du aber nochmal genau fragen ob IPsec gefiltert wird oder nicht. Vermutlich nein aber sicher ist sicher...
Bitte warten ..
Mitglied: 113802
04.11.2013 um 10:39 Uhr
die Nachfrage bei der Telekom hat soeben ergeben, dass der Telekom-Router alles ungefiltert durchlässt. Von dieser Seite her wird also nichts gesperrt.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...