kein vpn empfang mit fritzbox und netgear

ich habe jetzt tage probiert und nichts passiert. bei vpn hab ich auch ehrlich gesagt keine ahnung und will es zur remote verbindung und zum datenaustausch nutzen. ich weiß es gibt andere wege aber mein eifer zwingt mich das jetzt durchzuziehen und es soll einfach klappen denn verbunden bin ich aber mehr auch nicht.

ich habe an 2 verschiedenen orten rechner stehen auf die ich zugreifen will sind 2 macs die hinter einer fritzbox 7270 hängen. diese box ist fertig konfiguriert zumindest so das ich mich verbinden kann. ich hier sitze hinter einem netgear router der ipsec pass through kann. die vpn verbindung zur fritzbox steht bereits nur leider steht in der statistik immer das ich sende aber nichts empfange.wenn ich miich mit einem rechner über ip verbinden will oder es anpingen will kommt auch nix zurück.ich habe übrigens auch einen MAC

die ip der fritzbox: 192.168.2.1 / 255.255.255.0
die ip die ich haben soll: 192.168.2.19 / 255.255.255.0
verbindung per dyndns

meine ip hier: 192.168.0.13

hatte auch schon mehrere ports freigegeben erst 500 jetzt hab ich 4500 udp auf fritz und netgear freigegeben.

ich benutze ipsecuritas hier zum einwählen.hier mal ein bild was das protokoll erstmal beim verbinden sagt.

dann bin ich verbunden und die fritzbox sagt auch das die verbindung hergestellt ist.

als statistik sehe ich nur das folgende:

hier die daten der fritzbox einstellung des vpn:

/*
 * C:\Users\cc-lex\AppData\Roaming\AVM\FRITZ!Fernzugang\xxx-xxx_dyndns_org\fritzbox_xxx-xxx_dyndns_org.cfg
 * Thu Aug 13 12:55:38 2009
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "xxx@web.de";  
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.2.19;
                remoteid {
                        user_fqdn = "xxx@web.de";  
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "123456789123456789123456789";  
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.2.1;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.2.19;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = 
                             "permit ip 192.168.2.1 255.255.255.0 192.168.2.19 255.255.255.0";  
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",   
                            "udp 0.0.0.0:4500 0.0.0.0:4500";  
}


// EOF

BITTE UM HILFE!!!

Please also mark the comments that contributed to the solution of the article

Content-Key: 122728

Url: https://administrator.de/contentid/122728

Printed on: April 16, 2024 at 18:04 o'clock

10 Comments

Latest comment

OK, wie man IPsecuritas mit der Fritzbox zum Laufen bringt steht hier:

http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...

Das sollte also für dich problemlos einrichtbar sein.... ?!

NetGear ist so gut wie immer ein Stolperstein, da deren VPN Passthrough Funktion oft nicht laufen.
Allerwichtigstes ToDo ist hier unbedingt eine aktuelle Firmware zu verwenden !!

Die FB macht reines IPsec im ESP Modus
Damit müssen die Ports UDP 500 (IKE) und UDP 4500 (NAT Traversal) und das ESP Protokoll auf die lokale IP deines IPsecuritas Clients geforwardet werden.
ESP hat die IP Protokoll Nummer 50 (Achtung nicht TCP oder UDP 50 !!).

Vermutlich forwardet der NetGear wie so oft trotz Passthrough kein ESP an den Client, so das die Verbindung nicht zustandekommt.
Was sagt den das FB bzw. das IPsecuritas Log ??

Alternativ testest du es mal direkt aus indem du den Mac Client direkt ans DSL klemmst um die NAT Firewall des NetGear zu umgehen... Das muss dann in jedem Fall klappen !

danke erstmal für die tolle antwort...das ging ja echt schnell.
also was der log sagt von ipsecuritas steht im ersten beitrag und zwar das erste bild(musst anklicken dann kann man es auch lesen).
nochmal was zu dem oben gesagten. wenn ich im netgear 500 freigebe und 4500 und noch 50 dazu lässt er mich die 50 nicht weil er sagt port konflikt.
hab noch ein linksys befsx41 stehen und hab das gestern abend probiert, und habe 4500 und 500 freigegeben, aber selbst in diesem router (VPN ROUTER) gab es nur udp und tcp kein esp.
vielleicht kennt jemand diesen router und kann mir sagen wie ich es mit dem linbksys hinbekomme.

werde heute abend aber auch mal die option probieren direkt vom dsl auf den mac zu gehen, was aber selbst wenn es funktioniert mir irgendwie nicht erklärt was das problem ist. sollte es nicht gehen wenn ich es (nur kurz) mal mit dmz auf den port des ipsecuritas lege?weil das hatte ich bereits gemacht und es hat keinen erfolg gebracht.

vielleicht sieht ja jemand oben in den ersten beiden bildern die (falls vorhanden) fehler, die ich beim einrichten gemacht hab.

achso wo finde ich das FB log? weil bei ereignissen zeigt er ja nur an verbunden oder nicht verbunden.

noch eine frage nebenbei:sollte ich wenn ich erfolgreich verbunden bin bei der fritzbox in der übersicht netzwerk meine zugeteilte ip(in meinem fall 192.168..2.19) sehen?

sollte ich die ports 500 und 4500 und esp auch auf der gegenstelle bei den rechner auf die ich zugreifen will per udp bzw. esp freigeben?

Sorry, richtig mit dem Log ! Wer lesen kann...

Das sieht aber nach einem einfachen Fehler aus !
Deine Authentication im IPsecuritas macht MD5 Encryption und die FB macht SHA. Das ist nicht kompatibel aber wenn du das einheitlich machst (entweder FB oder IPsecuritas anpassen) sollte es auf Schlag klappen !

ja also in ipsecuritas steht es auch auf sha ...und wie ich das in der FB ändere wüsste ich jetzt nicht.

zusatz: hab es gerade geändert.es stand in phase 2 auch ein haken bei ipsecuritas auf md5 den hab ich weggenommen.aber alles beimalten nur der log sieht jetzt um eins anders aus das die md5 fehlermeldung weg ist. er sendet immernoch daten und empfängt nix!!!

Die Fehlermeldung sagt es ja im Log wenn das o.a. Log IPsecuritas ist:

my (also meine Seite): hmac-md5
und
peer (remote Seite): hmac-sha

Es kann also nicht sein das der IPsecuritas auf SHA steht, denn er sagt ja selber er macht MD5 im Log.

Hier hast du einen Leitfaden wo man es einstellen kann:
http://www.phinex.ch/fileadmin/manuals/manual_ipsecuritas.pdf

also "authtyped mismatched" ist aus dem protokoll weg. allerdings ist der rest beim alten...kein empfang....

das ärgert mich wirklich sehr...

also ich hab jetzt meinen mac direkt am dsl und es ist alles immernoch das selbe.scheinbar liegt es an der fritzbox nicht an meinem gerät hier....
verdammt...ich find den fehler nicht

Ja das liegt dann 100% an der Fritzbox sofern dir die lokale FW des Mac keinen Streich spielt.

Was sagt denn da das Log ??

Da AVM aber selber dies als Lösung auf seinem VPN Portal veröffentlicht kann es eigentlich nur ein Konfig Fehler sein ?!

Hiermit rennt es wenigstens fehlerlos !

hmmm....ja denk ich dann auch.

aber nochmal ne frage. ich habe festgestellt das die fritzbox die ip 192.168.2.1 hat und subnetzmaske 255.255.255.0

wenn ich per fritzfernzugang einrichten alles einstell eund diese ip oben angebe wählt er automatisch die subnetzmaske 255.255.255.255, und das ist auch nicht veränderbar.

ich muss erst über editor im erstellten konfigurationsscript die subnetzmaske auf 255.255.255.0 setzen

kann es daran liegen?

ich wollte dann in der fritzbox die subnetzmaske ändern, da sagt er mir sie sei ungültig.dann wollte ich die ip auf 192.168.2.0 stellen, da sagt er die ip würde das subnetz beschreiben und ich kann darauf nicht wechseln.

schon komisch...

ne antwort darauf wäre echt nett....war zumindest alles bisher sehr nett von dir geschrieben und nicht wie in anderen foren sehr herablassend.danke schonmal

und nur mal zur erklärung.ich wollte vpn zu 95 dazu um die rechner hinter der fritzbox per apple remote warten zu können. da apple nur ein port für die wartung aus dem internet angibt....3283
deshalb mus ich bisher immer auf den router dort per dyndns zugreifen und den port zu dem zu wartenden rechner durchschalten...aber eigentlich kann diese software mehrere tasks aufeinmal auf mehrere rechner ausführen...und da das so nervt und super viel zeit kostet, dachte ich wenn ich im selben netz bin würde ARD vielleicht funktionieren als ob ich vor ort wäre

die 32 Bit Maske ist eine Host Maske. Falsch ist sie nicht wenn der Zielrechner wirklich diese IP fest vergeben hat !
die 24 Bit Maske ist das gesamte Netzwerk.
Von der Logik her macht die 32 Bit maske mehr Sinn, es sollte aber beides klappen...eigentlich.
Du solltest aber beide Varianten mal testen !

Komisch das die FB so zickt damit...Mit Draytek Routern der Monowall und allen anderen VPN Komponenten spielt das fehlerfrei zusammen.
Laut VPN Portal von AVM sollte es ja eigentlich auch mit der FB zusammen arbeiten !
Testen solltest du immer besser ohne den NetGear davor, denn der kann dir noch Probleme bereiten.
Funktionierendes VPN Passthrough und Port Forwarding ist bei NetGear (leider) nicht verlässlich

German Question Networks

Hotly discussed

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment