12
Shrew VPN-Access an Linksys Cisco RV082
Hallo zusammen,
für den Remote-Zugriff auf meinen Router Linksys/Cisco RV082 möchte ich von PPTP auf IPSec umstellen. Firmware ist 2.0.2.01-tm
Der Cisco QuickVPN-Client funktioniert leider nicht immer zuverlässig, so dass ich auf den kostenlosen Shrew VPN-Client umstellen möchte. Ich habe mich dabei genau an das Tutorial auf "https://www.shrew.net/support/Howto_Linksys" gehalten. Den QuickVPN-Client habe ich deinstalliert.
Mein Problem nun:
Seitens des Clients kann ich mich erfolgreich in das Netz einwählen: "tunnel enabled".
Dann komme ich jedoch nicht weiter: weder RDP, Ping, noch sonst irgendwas funktionert.
Seitens des RV082 sieht das so aus: In der Registerkarte VPN --> Summary bleibt "Connected Tunnels" auf "0". Die "Detail List" bleibt leer.
Die System-Log:
Ich habe auch schon versucht, die Firewall zu deaktivieren, oder Ausnahmen für RDP, Ping, usw. hinzuzufügen. Leider ohne Erfolg.
Wie komme ich per RDP auf einen PC, der am Router hängt?
Würde mich freuen, wenn mir jemand weiterhelfen kann.
Vielen Dank!
für den Remote-Zugriff auf meinen Router Linksys/Cisco RV082 möchte ich von PPTP auf IPSec umstellen. Firmware ist 2.0.2.01-tm
Der Cisco QuickVPN-Client funktioniert leider nicht immer zuverlässig, so dass ich auf den kostenlosen Shrew VPN-Client umstellen möchte. Ich habe mich dabei genau an das Tutorial auf "https://www.shrew.net/support/Howto_Linksys" gehalten. Den QuickVPN-Client habe ich deinstalliert.
Mein Problem nun:
Seitens des Clients kann ich mich erfolgreich in das Netz einwählen: "tunnel enabled".
Dann komme ich jedoch nicht weiter: weder RDP, Ping, noch sonst irgendwas funktionert.
Seitens des RV082 sieht das so aus: In der Registerkarte VPN --> Summary bleibt "Connected Tunnels" auf "0". Die "Detail List" bleibt leer.
Die System-Log:
Ich habe auch schon versucht, die Firewall zu deaktivieren, oder Ausnahmen für RDP, Ping, usw. hinzuzufügen. Leider ohne Erfolg.
Wie komme ich per RDP auf einen PC, der am Router hängt?
Würde mich freuen, wenn mir jemand weiterhelfen kann.
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 220171
Url: https://administrator.de/contentid/220171
Printed on: April 23, 2024 at 12:04 o'clock
12 Comments
Latest comment
Hallo Okami39,
hast Du die "Policy" im Client von ShrewSoft definiert? Das ist die letzte Karteikarte..
Dort mus Du das Netz angeben, in das Du dich einwählst.
Wenn dein PC die IP 192.168.1.5 hat so kannst Du nur zu dem PC Routen"192.168.1.5/255.255.255.255" oder das das gesamte Netz weiterleiten "192.168.1.0/255.255.255.255".
Prüfe nach ob das hilft..
Viel Erfolg...
flyworld
hast Du die "Policy" im Client von ShrewSoft definiert? Das ist die letzte Karteikarte..
Dort mus Du das Netz angeben, in das Du dich einwählst.
Wenn dein PC die IP 192.168.1.5 hat so kannst Du nur zu dem PC Routen"192.168.1.5/255.255.255.255" oder das das gesamte Netz weiterleiten "192.168.1.0/255.255.255.255".
Prüfe nach ob das hilft..
Viel Erfolg...
flyworld
Und....da du aus einem IP Fremdnetz mit dem Client kommt ist dir hoffentlich klar das die lokale Firewall der Rechner die du anpingst diese Pakete per Default blocken !
Die lassen nur Zugriffe zu aus dem lokalen Netzwerk.
Deine Firewall musst du also zwingend anpassen !!
Details zur Shrew Konfiguration kannst du auch hier nachlesen. Die ToDos gelten auch bei deiner HW:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Die lassen nur Zugriffe zu aus dem lokalen Netzwerk.
Deine Firewall musst du also zwingend anpassen !!
Details zur Shrew Konfiguration kannst du auch hier nachlesen. Die ToDos gelten auch bei deiner HW:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
1Zitat von @flyworld:
Hallo Okami39,
hast Du die "Policy" im Client von ShrewSoft definiert? Das ist die letzte Karteikarte..
Dort mus Du das Netz angeben, in das Du dich einwählst.
Wenn dein PC die IP 192.168.1.5 hat so kannst Du nur zu dem PC Routen"192.168.1.5/255.255.255.255" oder das das gesamte
Netz weiterleiten "192.168.1.0/255.255.255.255".
Prüfe nach ob das hilft..
Viel Erfolg...
flyworld
Hallo Okami39,
hast Du die "Policy" im Client von ShrewSoft definiert? Das ist die letzte Karteikarte..
Dort mus Du das Netz angeben, in das Du dich einwählst.
Wenn dein PC die IP 192.168.1.5 hat so kannst Du nur zu dem PC Routen"192.168.1.5/255.255.255.255" oder das das gesamte
Netz weiterleiten "192.168.1.0/255.255.255.255".
Prüfe nach ob das hilft..
Viel Erfolg...
flyworld
hab ich eingerichtet. Hilft leider nicht.
Zitat von @aqui:
Und....da du aus einem IP Fremdnetz mit dem Client kommt ist dir hoffentlich klar das die lokale Firewall der Rechner die du
anpingst diese Pakete per Default blocken !
Die lassen nur Zugriffe zu aus dem lokalen Netzwerk.
Deine Firewall musst du also zwingend anpassen !!
Details zur Shrew Konfiguration kannst du auch hier nachlesen. Die ToDos gelten auch bei deiner HW:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Und....da du aus einem IP Fremdnetz mit dem Client kommt ist dir hoffentlich klar das die lokale Firewall der Rechner die du
anpingst diese Pakete per Default blocken !
Die lassen nur Zugriffe zu aus dem lokalen Netzwerk.
Deine Firewall musst du also zwingend anpassen !!
Details zur Shrew Konfiguration kannst du auch hier nachlesen. Die ToDos gelten auch bei deiner HW:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Bis zur lokalen PC-Firewall komme ich ja gar nicht.
Denn dann müsste zumnidest in der Group VPN Connection List des Routers ein existierender Tunnel auftauchen. Da steht "0", obwohl mir der Shrew einen Tunnel als "enabled" meldet.
Keiner eine Idee?
Was immer unter allen Umständen anpingbar sein muss ist das lokale LAN Interface des VPN Routers, also des Cisco RVs.
Wenn das schon nicht gehen sollte hast du ein grundsätzliches Problem !!
Dann wird der Tunnel gar nicht aufgebaut.
Hilfreich für ein zielführendes Troubleshooting ist hier das Shrew Log und auch das des Cisco VPN Routers !
Dein Log Auszug oben zeigt keine erfolgreiche Phase 2 Authentication ! Damit ist der Tunnel gar nicht aktiv !
Wenn das schon nicht gehen sollte hast du ein grundsätzliches Problem !!
Dann wird der Tunnel gar nicht aufgebaut.
Hilfreich für ein zielführendes Troubleshooting ist hier das Shrew Log und auch das des Cisco VPN Routers !
Dein Log Auszug oben zeigt keine erfolgreiche Phase 2 Authentication ! Damit ist der Tunnel gar nicht aktiv !
Zitat von @aqui:
Was immer unter allen Umständen anpingbar sein muss ist das lokale LAN Interface des VPN Routers, also des Cisco RVs.
Wenn das schon nicht gehen sollte hast du ein grundsätzliches Problem !!
Dann wird der Tunnel gar nicht aufgebaut.
Hilfreich für ein zielführendes Troubleshooting ist hier das Shrew Log und auch das des Cisco VPN Routers !
Dein Log Auszug oben zeigt keine erfolgreiche Phase 2 Authentication ! Damit ist der Tunnel gar nicht aktiv !
Was immer unter allen Umständen anpingbar sein muss ist das lokale LAN Interface des VPN Routers, also des Cisco RVs.
Wenn das schon nicht gehen sollte hast du ein grundsätzliches Problem !!
Dann wird der Tunnel gar nicht aufgebaut.
Hilfreich für ein zielführendes Troubleshooting ist hier das Shrew Log und auch das des Cisco VPN Routers !
Dein Log Auszug oben zeigt keine erfolgreiche Phase 2 Authentication ! Damit ist der Tunnel gar nicht aktiv !
Dass ich ein grundsätzliches Problem habe, ist mir schon klar
Das möchte ich ja gerne lösen, mit Eurer Unterstützung.
Was kann ich denn tun, damit ich eine erfolgreiche Phase 2 Authentification durchführen kann?
Meine Einstellungen sind gemäß Shrew-Tutorial doch alle korrekt.
Die Incoming Log des RV082 meldet: Connection Accepted.
Ändere ich am Shrew spaßeshalber mal mein Passwort, bekomme ich auch entsprechend eine Ablehnung.
In den Logs des Shrew steht eigentlich nicht viel:
iked.log:
13/10/28 08:21:48 ## : IKE Daemon, ver 2.2.2
13/10/28 08:21:48 ## : Copyright 2013 Shrew Soft Inc.
13/10/28 08:21:48 ## : This product linked OpenSSL 1.0.1c 10 May 2012
ipsec.log:
13/10/28 08:21:48 ## : IPSEC Daemon, ver 2.2.2
13/10/28 08:21:48 ## : Copyright 2013 Shrew Soft Inc.
13/10/28 08:21:48 ## : This product linked OpenSSL 1.0.1c 10 May 2012
13/10/28 08:21:48 ## : This product linked zlib v1.2.3
Wo kann ich hier angreifen, damit ich weiterkomme?
Hängt der Cisco irgendwo hinter einem anderen (NAT) Router also eine Router Kaskade und fehlt da ggf. irgendwo das Port Forwarding für IPsec ?
Danke für die Rückmeldung.
Ja, der Cisco hängt hinter einem Telekom-Router für eine CompanyWeb-Standleitung. Dies ist auch ein Cisco, den ich allerdings nicht konfigurieren kann und darf (Telekom-Eigentum).
Hängt das damit zusammen? Warum geht dann PPTP und der QuickVPN-Client (wenn er denn geht)?
Was den QuickVPN-CLient betriftt: Ich habe von meinem Laptop innerhalb Deutschlands über Mobilfunk-WAN überhaupt keine Probleme damit. Er reagiert nur empfindlicher auf Netzüberlastung, als der PPTP-Zugang. Lediglich vom europäischen Ausland aus übers normale Internet funktioniert er seit geraumer Zeit einfach nicht mehr. Und genau das ist der Grund, warum ich den Shrew umstellen möchte.
Bin für jeden Hinweis dankbar!
Ja, der Cisco hängt hinter einem Telekom-Router für eine CompanyWeb-Standleitung. Dies ist auch ein Cisco, den ich allerdings nicht konfigurieren kann und darf (Telekom-Eigentum).
Hängt das damit zusammen? Warum geht dann PPTP und der QuickVPN-Client (wenn er denn geht)?
Was den QuickVPN-CLient betriftt: Ich habe von meinem Laptop innerhalb Deutschlands über Mobilfunk-WAN überhaupt keine Probleme damit. Er reagiert nur empfindlicher auf Netzüberlastung, als der PPTP-Zugang. Lediglich vom europäischen Ausland aus übers normale Internet funktioniert er seit geraumer Zeit einfach nicht mehr. Und genau das ist der Grund, warum ich den Shrew umstellen möchte.
Bin für jeden Hinweis dankbar!
Ahaaa....da kommen wir der Sache näher !!
Hast du das hier gelesen ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ganz besonders das Kapitel "OpenVPN hinter einem NAT Router betreiben" ??
Genau das gilt auch für dich ! Zwar ist hier der Port von OVPN anders, das Prinzip ist aber genau das gleiche !
Die NAT Firewall des Routers davor blockiert alle ESP Pakete der Phase II Negotiation so das dein VPN Tunnel niemals zustande kommt.
Du musst erstmal klären ob der Telekom Router überhaupt ein NAT Router ist oder....ob der Router ein reiner Internet Router ohne NAT ist !
Letzteres ist der Fall wenn du z.B. eine öffentliche IP Adresse am WAN Port des Ciscos hast. Das kannst du über das Setup leicht auslesen.
Es darf keine IP Adresse aus dem Bereich: 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16 sein !
Ist das der Fall musst du zusätzlich mal bei der Telekom fragen ob dort IPsec ggf. geblockt wird. Bei manchen nicht Business Traifen ist das hie und da mal der Fall.
Erst wenn das alles sicher geklärt ist kannst du weitermachen.
Ist der Router ein NAT Router musst du dort zwangsläufig ein Port Forwarding einrichten..oder einrichten lassen in deinem Fall.
Hast du das hier gelesen ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ganz besonders das Kapitel "OpenVPN hinter einem NAT Router betreiben" ??
Genau das gilt auch für dich ! Zwar ist hier der Port von OVPN anders, das Prinzip ist aber genau das gleiche !
Die NAT Firewall des Routers davor blockiert alle ESP Pakete der Phase II Negotiation so das dein VPN Tunnel niemals zustande kommt.
Du musst erstmal klären ob der Telekom Router überhaupt ein NAT Router ist oder....ob der Router ein reiner Internet Router ohne NAT ist !
Letzteres ist der Fall wenn du z.B. eine öffentliche IP Adresse am WAN Port des Ciscos hast. Das kannst du über das Setup leicht auslesen.
Es darf keine IP Adresse aus dem Bereich: 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16 sein !
Ist das der Fall musst du zusätzlich mal bei der Telekom fragen ob dort IPsec ggf. geblockt wird. Bei manchen nicht Business Traifen ist das hie und da mal der Fall.
Erst wenn das alles sicher geklärt ist kannst du weitermachen.
Ist der Router ein NAT Router musst du dort zwangsläufig ein Port Forwarding einrichten..oder einrichten lassen in deinem Fall.
Ok, jetzt kommt Licht ins Dunkel.
Die Standleitung heisst natürlich CompanyConnect, und nicht CompanyWeb von der Telekom
Der Telekom-Router ist einer aus der Cisco 800er-Serie. Mein LAN hat IP-Adressen im Bereich 192.168.111.1 bis 254. Subnet 255.255.255.0. Der RV082 hat die 254 als interne IP. In der WAN-Konfiguration des RV082 ist als Gateway die IP des Telekom-Routers angegeben xxx.xxx.xxx.xx1. Als Specify WAN IP Address die von außen erreichbare IP xxx.xxx.xxx.xx2. Die öffentliche IP ist also im RV082 eingetragen. Dahinter hängt dann noch das CC-Modem.
Ich werde als nächstes die Telekom kontaktieren. Das Ergebnis werde ich hier mitteilen.
Bis dann mal!
Die Standleitung heisst natürlich CompanyConnect, und nicht CompanyWeb von der Telekom
Der Telekom-Router ist einer aus der Cisco 800er-Serie. Mein LAN hat IP-Adressen im Bereich 192.168.111.1 bis 254. Subnet 255.255.255.0. Der RV082 hat die 254 als interne IP. In der WAN-Konfiguration des RV082 ist als Gateway die IP des Telekom-Routers angegeben xxx.xxx.xxx.xx1. Als Specify WAN IP Address die von außen erreichbare IP xxx.xxx.xxx.xx2. Die öffentliche IP ist also im RV082 eingetragen. Dahinter hängt dann noch das CC-Modem.
Ich werde als nächstes die Telekom kontaktieren. Das Ergebnis werde ich hier mitteilen.
Bis dann mal!
OK, dann sieht es so aus als ob du ein kleines Subnetz von der Telekom bekommst wenn "xxx.xxx.xxx.xx1" eine öffentliche IP ist und die Netzmaske größer als /24 ist ???
Das sähe dann so aus als ob das Internet dann dort transparent anliegt. Da solltest du aber nochmal genau fragen ob IPsec gefiltert wird oder nicht. Vermutlich nein aber sicher ist sicher...
Das sähe dann so aus als ob das Internet dann dort transparent anliegt. Da solltest du aber nochmal genau fragen ob IPsec gefiltert wird oder nicht. Vermutlich nein aber sicher ist sicher...
die Nachfrage bei der Telekom hat soeben ergeben, dass der Telekom-Router alles ungefiltert durchlässt. Von dieser Seite her wird also nichts gesperrt.
