Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

vpn mit netgear fwg114p v2

Frage Netzwerke Router & Routing

Mitglied: kerberosv5

kerberosv5 (Level 1) - Jetzt verbinden

11.11.2006, aktualisiert 18.10.2012, 10149 Aufrufe, 12 Kommentare

Hallo Also es geht um folgendes, ich habe den oben benannten Router und möchte gerne VPN verbindung aufbauen.
Bsp Ich sitze in der Hochschule, und möchte gerne mein SIP Telefon benutzen , geht aber nicht weil Ports blockiert sind.Eingehender Traffic ist erst gar nicht möglich.Laut aussage ist VPN ausgehend freigegeben.Nun möchte ich meinen Router zu verwenden dass ich eingehende VPN Verbindungen zulasse, um somit über meinen Router daheim auf das Internet zugreife.
Meine Fragen sind:
a) Geht es mit diesen Router ?
b) Wenn ja, wie geht man da am besten vor

Mit VPN einrichten hab ich bisher noch wenig erfahrung, außer bei xp wo ich es mal ausprobiert habe.Aber hier soll ausdrücklich kein PC am laufen sein der ein VPN Dienst bereitstellt

Nachtrag;
Inzwischen hab ich ein wenig herumexperimentiert, mit den Netgear VPN Clienten, doch leider klappts nicht
Die logs sagen folgendes

(vom VPN Server)
[2006-11-11 14:13:44][
IKE PHASE 1(to 61.11.11.5) START (initiator)
]
[2006-11-11 14:13:44] SENT OUT FIRST MESSAGE OF AGGR MODE
[2006-11-11 14:13:44]<POLICY: vpn> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2006-11-11 14:13:44] RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN)

(vom Clienten)

11-11: 14:15:26.014 recvfrom () : 2746
11-11: 14:15:27.889 My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID)
11-11: 14:15:27.905 My Connections\New Connection - SENDING>>>> ISAKMP OAK INFO (NOTIFY:NO_PROPOSAL_CHOSEN)
11-11: 14:15:27.905 My Connections\New Connection - Discarding IKE SA negotiation

Woran könnte es liegen ?
Mitglied: aqui
11.11.2006 um 21:07 Uhr
Einen Dienst stellst du ja auch nicht zur Verfügung !!! Du nutzt ja lediglich einen VPN Client.
Das Verfahren ist eigentlich ganz einfach. Dein Client baut eine VPN Verbindung zu deinem Router zuhause auf und damit hängst du dann über den VPN Tunnel wie ein lokaler Rechner am "zuhause" Netz. Das siehst du auch wenn du dir die IP Adresse des Tunneladapters auf deinem Client PC ansiehst, denn der sollte dann eine Adresse aus deinem Heimnetz haben.

Die Problematik ist allerdings das Netz in dem dein Client sich befindet. Ist das über einen NAT (Adress Translation) Prozess ans Internet gekoppelt kann es Probleme mit dem Aufbau deiner VPN Verbindung geben.
Um das genauer zu beleuchten müsste man aber wissen was dein Client für ein VPN Verfahren bzw. Protokoll benutzt. Es gibt derer viele und unterschiedliche Protokolle (PPTP, L2TP, IPsec, SSL usw.)
Nach den Fehlermeldungen deines Systems (ISAKMP, IKE etc.) sieht es aber ganz so aus als ob dein Client IPsec benutzt. ISAKMP/IKE ist das Schlüsselprotokoll zu IPsec. Nun müsste man nur noch wissen ob der Client IPsec im AH (Authentication Header) oder ESP Mode (Encapsulation Security Payload) benutzt.
AH ist gar nicht per NAT zu übertragen und ESP nur wenn der NAT Router das supportet (VPN passthrough oder Forwarding für Protokoll 50).
So oder so MUSST du aber für die Protokolle im NAT Sytem ein Portforwarding auf deine Maschine einstellen oder global freigeben sonst klappt es gar nicht !
Eine Verbindung ist dann nur an einem nativen Internet Anschluß wie einem Analog- oder ISDN Modem direkt am Carrier oder direkt am DSL Modem möglich. Da sollte deine Verbindung eigentlich problemlos laufen.
Wenn du in der Hochschule KEINE RFC 1918 Adressen bekommst sondern in eurem Segement auch öffentliche Adressen dann sollte es auch klappen (Vermutlich ist dann kein NAT im Spiel !). Voraussetzung ist aber am Uni Internetanschluss wird kein IKE oder andere VPN Verbindungen/Protokolle gefiltert !
Bitte warten ..
Mitglied: kerberosv5
11.11.2006 um 21:28 Uhr
Hallo Erstmal danke für die Antwort, und den Tip mit ESP.Ich kann beides nutzten, die entsprechenden einstellmöglichkeiten sind sowohl am clienten , als auch im Router möglich.
Ein weiteres Problem, ich hab bisher versucht den VPN Router in meinen eigenen Netz anzusprechen, macht zwar nicht viel sinn, aber so hab ich gesehen dass es dort auch fehler gibt, die oben gennanten.
Jetzt bin ich über einen Freund reingegangen, und nix ging, ich bekam keine Antwort.Muss man denn in den Firewall regeln das noch extra freischalten ? Wenn der Router das gleiche Gerät ist wie der Tunnelendpunkt ? Hab auch das Probiert in dem ich sogar die interne ip des Routers als dmz gesetzt hab, aber auch das hat nix gebracht, laut portscan von heise ist der Port 500 zu
Bitte warten ..
Mitglied: kerberosv5
11.11.2006 um 21:34 Uhr
Anmerkung
Ich hatte schonmal mit den Rechenzentrum gesprochen, also Ipsec filtern die nicht, das sollte nach deren aussage gehen.Wobei ihr auf jeden Fall Private IP Adressen und NAT verwendet werden.

Aber bisher hab ich halt noch die Probleme dass ich gar kein Tunnel aufgebaut bekomme, egal ob ich im selben netz sitzte, oder im internet (wie geschrieben, ist dort gar keine Kontaktaufnahme möglich)
Bitte warten ..
Mitglied: aqui
11.11.2006 um 23:26 Uhr
OK, wenn ihr private RFC 1918 Adressen habt rennst du in das gleiche Problem wie bei deinem Freund ! Da ist dann irgendwo ein NAT Router zwischen dir und dem Internet !
Auf iesem Router MUSS ein Portforwarding für UDP 500 (IKE/ISAKMP) auf die Adresse deines Rechners eingestellt sein und zusätzlich auch für das ESP Protokoll (Protokoll Nummer 50 Achtung nicht TCP Port 50, ESP ist ein eigenes Protokoll). Bei manchen Herstellern wird das automatisch gemacht sofern man IKE UDP 500 für Portforwarding konfiguriert.
Viele Router supporten kein ESP Forwarding, dann hast du keine Chance. Supporten sie es wird es meist "VPN Passthrough" genannt. Das kann sich allerdings auch auf das GRE Protokoll beziehen weil MS das verwendet und eben nicht auf ESP. Das müsste man dann in den Feature Beschreibungen der Routerhersteller zu dem Modell nachlesen oder deren technische Hotline fragen. Allerdings bezweifel ich ob du bei der Consumer Hotline von NetGear dazu eine Auskunft bekommst. Vermutlich wissen die nichtmal worüber du redest...
Bitte warten ..
Mitglied: kerberosv5
12.11.2006 um 00:08 Uhr
ja, aber was mich wundert ist dass bei einen Netzwerkscan bei heise.de der Port 500 nicht offen war, das müsste doch zuminderst der Fall sein, oder ?
Bitte warten ..
Mitglied: aqui
12.11.2006 um 00:37 Uhr
Ja, UDP 500 muss in jedem Falle offen sein wenn der Scanner den richtig scannen sollte. Ggf. scannt der aber nur TCP Verbindungen. Das solltest du vorher überprüfen.
Bitte warten ..
Mitglied: kerberosv5
12.11.2006 um 00:44 Uhr
Hm, das könnte gut möglich sein.Aber würde dann in den Logdateien (nicht oben die !) des Clients nicht etwas mehr stehen als dass er gar keine Antwort bekommt ?

Und woran könnte es liegen dass ich im interen netz auch nicht zugreifen kann , und die oben genannten Fehler kommen.Wenn VPN richtig laufen würde, müsste ich dann auch im interenen netz eine verbindung aufnehmen können ?

PS: Vielen dank für die Hilfe, wenigstens ein Forum/eine Person die sich mit sowas beschäftigt
Bitte warten ..
Mitglied: aqui
12.11.2006 um 01:00 Uhr
Nein wahrscheinlich nicht, denn der VPN Prozess ist nur über die WAN (DSL) Adrersse erreichbar und nicht über das LAN Interface. Von intern müsstest du also deine WAN Adressemit dem VPN Clinet connecten, das würde gehen allerdings steckst du dann wieder im NAT Dilemma, da du ja über deinen eigenen NAT Prozess geht...also sozusagen von hinten durch die Brust ins Auge !

Ja, in den LOG Dateien müsste etwas drinstehen wenn es wenigstens halb zu einem Sessionversuch kommt. Mindestens aber sowas wie "...Session setup to x.x.x.x failed due to timeout reasons.." oder sowas.
Allerdings darf man von NetGear nicht allzuviel erwarten. Anhand der offenen VPN Threads hier bekleckern die sich nicht gerade mit Ruhm und sollten da nicht die Hardware der Wahl sein...aber die Erkenntnis nützt dir erstmal auch nichts. Dein Problem ist mehr NAT basiert.
Was du immer machen kannst ist mal an einen normalen Telefonanschluss gehen, dich z.B. über Arcor by Call ins Internet einwählen und sehen ob du dann eine VPN Session aufbauen kannst zu deinem Router. Da ist dann wenigstens keinerlei NAT dazwischen und dein Router hängt auch direkt im Internet. Vorausgesetzt er hat eine aktive PPPoE Session zum ISP. Wenn diese natürlich durch einen Idle Timeout abgabaut ist hast du natürlich keine Chance ihn zu erreichen.
Bitte warten ..
Mitglied: kerberosv5
12.11.2006 um 01:17 Uhr
ich hab eine andere Idee, ich hab noch einen alten Router daheim rumfliegen, den klemme ich vor den neuen, stelle den neuen auf Broadband, No login, und dann sollte man es doch auch teste können, denke ich mal.Oder ich frage jemanden ob er mal einen UDP Scan machen kann, weil Heise macht, wie schon von dir befürchtet nur TCP scans
Bitte warten ..
Mitglied: kerberosv5
12.11.2006 um 15:19 Uhr
So, also am Nat liegts nicht.Ich hab jetzt fast 2 Stunden rumprobiert, einmal mit dfü einwahl, mal mit NAT
Immerhin antwortet mir jetzt der Router auf der WAN Seite,leider immer wieder mit folgender Fehlermeldung

11-12: 15:15:06.375 My Connections\New Connection - Initiating IKE Phase 1 (IP ADDR=84.174.193.XXX)
11-12: 15:15:06.609 My Connections\New Connection - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
11-12: 15:15:07.000 My Connections\New Connection - RECEIVED<<< ISAKMP OAK INFO (NOTIFY:INVALID_ID_INFO)
11-12: 15:15:07.000 My Connections\New Connection - Discarding SA negotiation
Bitte warten ..
Mitglied: aqui
13.11.2006, aktualisiert 18.10.2012
Vielleicht steht hier:

http://www.administrator.de/wissen/howto-vpn-verbindung-mit-netgear-dg8 ...

nochwas hilfreiches drin...
Bitte warten ..
Mitglied: kerberosv5
14.11.2006 um 17:38 Uhr
Ja, ich hatte es schon vorher gesehen.Bringt leider nichts, das VPN Menü unterscheidet sich deutlich von meinen Router.Außerdem ist das Zenario anders.. VPN Client mit öffentlicher adresse und ohne NAT
Was heißt eigentlich das hier immer ?
NOTIFY:INVALID_ID_INFO
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
gelöst Netgear FVS338 - NAT VPN (9)

Frage von Multitask zum Thema Router & Routing ...

Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Router & Routing
gelöst VLAN Routing mit Netgear GS724Tv4 (7)

Frage von stpb10 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...