Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Netgear FVS318v3 und Fritzbox 7170

Frage Netzwerke Router & Routing

Mitglied: Waldi76

Waldi76 (Level 1) - Jetzt verbinden

14.04.2008, aktualisiert 15.04.2008, 9241 Aufrufe, 12 Kommentare

Hallo,

ich habe zu hause eine Fritzbox 7170 mit Firmware (VPN) und in der Firma einen Router Netgear FVS318v3.

Die Fritzbox soll über VPN auf das Firmennetzwerk zugreifen können (natürlich auch umgekehrt).

Ich habe über FritzBox Fernzugang einrichten eine Konfiguration erstellt und diese in die Fritzbox eingefügt:
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "83.221.xxx.xxx";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 83.221.xxx.xxx;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "xxxxxxx.homeftp.net";
}
remoteid {
ipaddr = 83.221.xxx.xxx;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxxx";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.177.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.99.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

in der Netgear (FVS 318v3) habe ich folgende Einstellungen:

f7f5ab0d3f4eed94677d41fe169ad81b-vpn - Klicke auf das Bild, um es zu vergrößern

49470bdc62705f2de1c829bca1e3d781-ike - Klicke auf das Bild, um es zu vergrößern

Eine Verbindung kommt nicht zustande. Die Netgear Box bringt regelmäßig

[2008-04-14 14:59:11] SENT OUT FIRST MESSAGE OF AGGR MODE
[2008-04-14 14:59:11]<POLICY: AVM7170> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2008-04-14 14:59:31] SENT OUT INFORMATIONAL EXCHANGE MESSAGE
[2008-04-14 14:59:31]<POLICY: AVM7170> PAYLOADS: DEL

Die Fritzbox zeigt nichts im Ereignisprotokoll:

Achtung! Hier handelt es sich nicht um einen Netgear Router hinter einer Fritzbox. Die beiden Geräte sind jeweils die Schnittstelle zwischen den Netzen.

Die Anleitungen von Netgear und AVM bringen mich nicht weiter, ich brächte dringend Hilfe!
Mitglied: aqui
14.04.2008 um 15:31 Uhr
Entscheident ist dein Satz "...es hanndelt sich um einen NetGear hinter einem AVM Router".
Erste Frage was soll das ??
2te Frage (und gleichzeitig Antwort) Dir ist selber klar das das IPsec ESP Protokoll was du verwendest nicht über eine NAT Firewall übertragbar ist sofern du kein NAT Traversal benutzt.

Leider sind deine Angaben zur Netzstruktur sehr spärlich und oberflächlich, so das eine qualifizierte Hilfe unmöglich wird bzw. in ein Kristallkugel sehen ausartet

Fakt ist aber wenn der NetGear hinter einem AVM sitzt der auch NAT macht musst du auf diesem ein Port Forwarding für IPsec ESP einrichten.
Das sind dann die folgenden Protokolle:
  • UDP Port 500 (IKE)
  • UDP Port 4500 (NAT Traversal)
  • ESP Protokoll, das ist die Protokoll Nummer 50 (Achtung nicht TCP oder UDP 50 ! ESP ist ein eigenes Protokoll)

Die Tatsache das du keine eingehenden Packete auf dem remoten AVM hast zeigt das schon das das an der NAT Firewall hängenbleibt...

Ferner musst du auch generell klären ob die remote AVM Box VPN Server sein kann also VPN Connections annehmen kann. Ggf. kann sie nur entweder Client oder Server sein. Die Tatsache allerdings das man mit dem VPM VPN Client auf so eine Box zugreifen kann lässt vermuten das sie Server sein kann. Vermutlich aber kein Client.
Der NetGear muss also besser immer die Verbindung initiieren als andersrum...
Bitte warten ..
Mitglied: n4426
14.04.2008 um 15:44 Uhr
Hi aqui,

Entscheident ist dein Satz "...es
hanndelt sich um einen NetGear hinter einem
AVM Router"
.

da steht doch nicht hinter einer Fritzbox.

Achtung! Hier handelt es sich nicht um einen
Netgear Router hinter einer Fritzbox. Die
beiden Geräte sind jeweils die
Schnittstelle zwischen den Netzen.

mfg

andi
Bitte warten ..
Mitglied: Waldi76
14.04.2008 um 15:46 Uhr
erstmal danke für deine schnelle Antwort:

Der Satz heißt: es handelt sich NICHT um einen Netgear hinter einem AVM Router (Wurde nur eingefügt, da es im Internet viele Anleitungen gibt, welche dieses Szenario betreffen).

NAT ist mir ein Begriff - Traversal hört mein Wissen auf.

Welche Info´s kann ich dem helfenden noch anbieten? Ich möchte dieses Problem lösen.
Bitte warten ..
Mitglied: Waldi76
14.04.2008 um 15:50 Uhr
Danke für die schnelle Hilfe

Entscheident ist dein Satz "...es
handelt sich um einen NetGear hinter einem
AVM Router"
.

Es handelt sich NICHT um einen Netgear hinter einer Fritzbox!!!

Da man zwei FB 7170 miteinander verbinden kann, sollte es ja auch zwischen FVS 318 und FB 7170 möglich sein.

Welche Info´s über Netzstruktur brauchst du? Ich hänge schon lange an diesem Problem und möchte endgültig eine Lösung
Bitte warten ..
Mitglied: aqui
14.04.2008 um 16:22 Uhr
Ooops, sorry. Wer lesen kann ist klar im Vorteil ! Das Wörtchen nicht ist mir doch glatt durchgerutscht. Vergiss also was dazu steht !!
Bitte warten ..
Mitglied: aqui
14.04.2008 um 16:29 Uhr
Die Info war nur auf eine Netzwerkstruktur bezogen. Dadurch das du keine 2 kaskadierten Router hast ist das obsolet.

IPsec kommt in mehreren Varianten daher. Man müsste also schon einmal einen Verbindungsaufbau beider Maschinen sehen um genaueres sagen zu können.
Du solltest deshalb mal einen www.WIRESHARK.org einschleifen in die WAN Leitung und die IPsec Session Initiierung mitsniffern. Da sieht man meistens sofort woran es hapert.

Verdächtig ist aber die Tatsache wie du schreibst das du scheinbar gar keine IPsec Packete auf der AVM Seite siehst (Fritzbox zeigt gar nichts im Ereignisprotokoll). D.h. die IPsec Packete kommen hier gar nicht an.
Das lässt dann vermuten das die IP nicht stimmt oder der FQN Domainname. Auch hier solltest du mal sniffern ob überhaupt IPsec Packete eingehen. Tun sie das überhaupt nicht kannst du ja lange suchen....

Im schlechtesten aller Fälle sind die beiden inkompatibel. NetGear hat sich hier nicht gerade mit Ruhm bekleckert, da die auch einen proprietären Client verwenden. IPsec ist nicht gerade die Stärke dieses Herstellers
Wenn alle Stricke reissen musst du die Router ersetzen mit 2 eines Herstellers. Draytek ist da dann nicht die falscheste Wahl was VPN Systeme anbetrifft.
Bitte warten ..
Mitglied: Waldi76
15.04.2008 um 09:18 Uhr
Da es auf der AVM Seite eine Anleitung gibt, wie man mit einem Netgear FVS 318 verbinden kann, glaube ich nicht, das sie inkompatibel sind.

Ich habe gerade eine Anleitung zur Nutzung von Wireshark gefunden und probiere es aus. Leider kann ich nicht die Capture-Adresse auf die des Routers einstellen. Wenn ich das Problem gelöst haben, kann ich nähere Angaben machen.

Da ich mich mit Wireshark nicht auskenne, würde ich gern Hilfe in Anspruch nehmen.

Danke besonders an Aqui für die Hilfe.
Bitte warten ..
Mitglied: aqui
15.04.2008 um 09:39 Uhr
Da hast du Recht, wenn es für den FVS 318 beschrieben ist sollte es natürlich klappen ! Vermutlich ist das nur eine kleine Einstellung die vergessen wurde...
Bitte warten ..
Mitglied: Waldi76
15.04.2008 um 09:51 Uhr
Und das ist das Problem seit zwei Wochen!

Hast du eine Idee wie ich den Verkehr des Netgear mit wireshark überwachen kann? Ich kann nicht die IP Adresse der Box 192.168.99.5 auswählen.
Bitte warten ..
Mitglied: aqui
15.04.2008 um 09:57 Uhr
Das musst du auch gar nicht. Einfach den Wireshark mit einem kleinen Hub in die WAN Leitung einschleifen und auf Capture klicken.

Du solltest in der Zeit keinen anderen Traffic erzeugen, denn den müsstest du nachher wieder wegfiltern. Du kannst aber auch gleich einen Capture Filter im Wireshark aktivieren, der dir dann nur den Routertraffic rausfiltert (z.B. nach der Router MAC Adresse auf dem WAN Interface) !
Technisch sähe das denn so aus:

c8c35a1713b395121226bf0264e25285-sniffer - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Waldi76
15.04.2008 um 10:22 Uhr
Ok das habe ich verstanden, aber warum erscheint bei Source oder Destination nicht die aufgelöste Adresse von xxxxxxx.homeftp.net?

Nach was muss ich filtern, damit ich genau den Verkehr sehe, den ich brauche? (Wir habe hier 8 Rechner die alle gleichzeitig im Internet unterwegs sind)
Bitte warten ..
Mitglied: aqui
15.04.2008 um 18:17 Uhr
Ziehe alle diese Rechner ab, damit die keinen Traffic erzeugen, denn die VPN Verbindung baut ja nur der Router auf. Wenn das nicht geht, dann checke im Router Setup welche IP Adresse du auf der DSL Schnittstelle bekommen hast !!
Das kannst du auch ganz einfach machen wenn du mit einem einzigen angeschlossenen Rechner mal auf www.wieistmeineip.de gehst.

Die IP die du dort siehst ist die Router DSL IP. Im Wireshark kannst du den Capture Filter dann auf diese IP als Source IP einstellen. Der Wireshark zeigt dann nur noch Packete die von dieser IP also dem Router kommen.

In jedem Falle musst du die aufgelöste IP von homeftp.net sehen. Wenn es daran schon scheitert, dann hast du ggf. vorher schon ein Problem bevor überhaupt die VPN Verbindung zustandekommt.
Dafür spricht das du im AVM Log keinerlei Aktivitäten siehst...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerke
gelöst Android VPN verbinden mit Fritzbox (21)

Frage von garack zum Thema Netzwerke ...

Netzwerkprotokolle
gelöst VPN-Verbindung von Fritzbox 7490 auf Synology NAS am anderen Anschluss (5)

Frage von ExkoSven zum Thema Netzwerkprotokolle ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...