Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Verbindung zwischen Einzel-PC zum Firmennetz mit Router Netgear DG834B

Frage Netzwerke Router & Routing

Mitglied: kreischwurm

kreischwurm (Level 1) - Jetzt verbinden

22.07.2008, aktualisiert 24.07.2008, 10831 Aufrufe, 13 Kommentare

Ich versuche seit Tagen eine VPN Verbindung zwischen einem Einzel-PC (Windows Vista Business) und dem Netgear Router DG834B hinzubekommen, aber es geht einfach nicht.

Ich habe schon viele Foren durchforstet und auch viele nützliche Ansätze gefunden aber keiner davon hat mir wirlich geholfen.

Folgende Konstelation

Einzel PC
Betriebsystem: Windows Vista Business SP1
Internetzugang: UMTS Flat Moobicent (handykarte)
VPN Client: NetScreen Remote VPN Client (gleicher Aufbau wie Netgear Safe Pro VPN Client)

Firmennetzwerk:

Router: Netgear DG834B

2 Rechner (Windows Vista) sind am Router angeschlossen.

Beim Router habe ich den Tunnel wie laut Netgear Support eingerichtet.

Den Client ebendso, aber trotzdem kommt keine Verbindung zu stande.

Protokoll vom Client

My Connections\TEST - Using cached address. (Hostname=hostname.dyndns.info) (IP ADDR=xx.xx.xx.xx)
My Connections\TEST - Attempting to resolve Hostname (hostname.dyndns.info)
My Connections\TEST - Filter entry 5 added: SECURE & 192.168.000.000&255.255.255.000 091.014.082.085
My Connections\TEST - Initiating IKE Phase 1 (Hostname=hostname.dyndns.info) (IP ADDR=xx.xx.xx.xx)
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)
My Connections\TEST - message not received! Retransmitting!
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (Retransmission)
My Connections\TEST - message not received! Retransmitting!
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (Retransmission)
My Connections\TEST - message not received! Retransmitting!
My Connections\TEST - SENDING>>>> ISAKMP OAK MM (Retransmission)
My Connections\TEST - Exceeded 3 IKE SA negotiation attempts
My Connections\TEST - Filter entry 5 removed: SECURE & 192.168.000.000&255.255.255.000 091.014.082.085

Beim Router steht nichts im Protokoll, also gehe ich davon aus, das nix ankommt, Oder?

Was läuft da falsch.

Habe auch schon oft gelesen das einige das gleiche Problem hatten es aber dann lösen konnten.
Das blöde daran, sie haben es dann nicht niedergeschrieben wie man es geschaft hat.

Vielleicht kann mir jemand hier helfen, Ihr seit meine letzte aber auch wirklich letzte Hoffnung.

By und vielen Dank im Voraus für Eure eventuellen Bemühungen.

Wenn es noch Fragen gibt, ich beantworte sie gerne, wenn es zu Lösung beiträgt.
Mitglied: aqui
22.07.2008 um 19:02 Uhr
Welche IP Adresse gibst du den als Zieladresse im VPN Client ein ???
Dir sollte klar sein das das die öffentliche DSL Adresse des NetGear Routers sein muss. Wenn du keine feste IP vom DSL Provider hast wird dir eine dynamische zugeteilt die sich täglich ändert.
Welche du aktuell hast kannst du sehen wenn du mit einem der PCs hinter dem Router auf z.B. www.wieistmeineip.de gehst.
Diese angezeigte IP muss dann die Ziel IP des VPN Clients sein ! Jedenfalls in dem Moment !
Besser ist es hier den DynDNS Client im Router zu aktivieren, denn dann hast du immer einen festen Hostnamen den du connecten kannst unabhängig von der wechselnden IP Adresse des Providers !!

Als 2ter Fallstrick lauert dein Mobilfunkprovider Netz. Manche Provider wie Eplus und O2 setzen hier hier private IPs nach RFC 1918 im Funknetz ein und NATten dann das Mobilfunknetz zentral über ein Gateway ins Internet.
Ist das der Fall hast du keinerlei Chancen dein Szenario zum Fliegen zu bringen, denn VPN Protokolle (wie z.B. dein IPsec) werden über so ein zentrales NAT (Adress Translation Gateway) eines Provider nicht übertragen !!!

Ob du Opfer so eines Providers bist kannst du schnell selber rausfinden:
Buch dich mit deiner UMTS Flat Moobicent (Handykarte) bei deinem Provider ein und gebe mal in der Eingabeaufforderung ipconfig ein.
Damit kannst du sehen welche IP dir der Provider auf dem DFÜ Interface (UMTS) zugewiesen hat.
Ist es eine RFC 1918 Adresse:
http://de.wikipedia.org/wiki/Private_IP-Adresse
(10.x.x.x, 172.16-32.x.x, 192.168.x.x)
hast du keinerlei Chance ! Das klappt dann nur wenn du den Provider oder den Tarif wechselst und eine öffentliche IP bekommst.

Diese beiden Punkte gilt es also zu checken !!!
Bitte warten ..
Mitglied: kreischwurm
22.07.2008 um 19:18 Uhr
Also vielen dank schon mal.

Diese Vermutung mit der RFC 1918 Adresse hatte ich auch schon.
Unter ipconfig zeigt er mir eine 72.24.105.xxx an, das wird dann wohl so eine sein.

Habe auch schon in der Windows Firwall die Ports freigeschaltet, aber ein scan beweist das sie troztdem zu sind von aussen.

Naja, werde es dann mal mit einem DSL Zugang (z.B. T-Online) testen.

schön wäre noch zu wisssen, welche Ports genau für die IPSEC geschichte oder auch PPTP benötigt werden,

Also ich melde mich dann nochmal.
Bitte warten ..
Mitglied: 51705
22.07.2008 um 19:57 Uhr
Hallo,

dein Router macht sicher auch NAT, auch da müssen die Ports 'weitergeleitet' werden.

PPTP:
TCP 1723
GRE

IPSec:
UDP 500
(UDP 4500) NAT-T
ESP
AH

Grüße, Steffen
Bitte warten ..
Mitglied: aqui
22.07.2008 um 20:00 Uhr
Du kannst scheinbar nicht lesen oder hast dir den Wiki Artikel nicht richtig durchgelesen !!!
Private IP Adressen haben wie oben bereits geschrieben: (10.x.x.x, 172.16-32.x.x, 192.168.x.x)

Man kann nicht erkennen das diese Privaten IPs mit 72.x.x.x anfangen oder ?? Folglich ist dann wohl deine IP eine öffentliche und du hast Glück !

Fazit: Das Problem fällt also schon mal weg, denn die 72.x.x.x ist eine öffentliche IP.
Hast du denn wenigstens mal in der Eingabeaufforderung versucht die DSL IP Adresse des Routers zu pingen ??
Auch dazu schreibst du leider rein gar nix

IPsec und PPTP nutzen folgende Ports:

IPsec
UDP 500 (IKE)
UDP 4500 (NAT-T)
ESP Protokoll (Protokoll Nummer 50)

PPTP
TCP 1723
GRE Protokoll (Protokoll Nummer 47)

PPTP ist aber für dich obsolet, da dein NetGear nur den IPsec Zugang supportet mit einem proprietären Client (NetGear ProSafe).
PPTP supportet der nicht. VPN technisch ist NetGear leider nicht die erste Wahl bei Hardware

Besser wäre hier ein Router von z.B. Draytek gewesen, der auch das bordeigene PPTP supportet was Windows, Mac, Linux und fast alle PDAs schon von sich aus an Bord haben und eben keinen externen Client erfordert.
Damit funktionieren VPN dann fast immer auf Mausklick !
Bitte warten ..
Mitglied: kreischwurm
22.07.2008 um 20:39 Uhr
Danke für deine offene Art.
Klar kann ich lesen, nur hab ich heute echt kein kopf mehr dafür, weil wir das langsam an die nerven geht.

Hier also was du wissen willst.

Beim router habe ich eine Dyndns eingerichtet.
die IP des routers ist 91.14.xx.xxx
also auch öffentlich, Glück gehabt

Im Client steht auch die Hostadresse von Dyndns dir,sprich: xxxxxx.dyndns.info

So nun stellt sich aber die Frage, trozt das ich die Ports geöffnet habe, zeigt der scan das alles zu ist.

Und gerne würde ich noch wissen, wie man das ESP Protokoll (Protokoll Nummer 50) unter Windows Vista akteviert.

Man bedenke ich kann nur in der Firewall Einstellungen vornehmen.
Bitte warten ..
Mitglied: aqui
22.07.2008 um 20:46 Uhr
Was meinst du mit "aktiviert" ??? Das es durch die Firewall kommt ??
ESP (Encapsulation Security Payload) ist Teil des IPsec Stacks.
Ggf. schaltest du die Firewall von Vista einmal testweise aus sofern sie das ausgehend blockieren sollte, was aber höchst ungewöhnlich wäre !

Installier dir sonst schnell mal einen Paket Sniffer wie den Wireshark oder den MS NetMonitor
http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8- ...
und checke ob die IPsec bzw. ESP Packete überhaupt rausgehen !
Bitte warten ..
Mitglied: kreischwurm
22.07.2008 um 20:49 Uhr
Ok, werde ich tun.

Die Firewall hatte ich schon testweise aus, aber ging trotzdem nix
Bitte warten ..
Mitglied: aqui
22.07.2008 um 20:53 Uhr
Was noch stutzig macht ist das du zum NetGear nicht deren VPN Client benutzt das kann auch ein Problem sein. Netscreen ist ein Juniper Client der vermutlich nicht mit dem NetGear supportet ist auch das musst du in Erwägung ziehen.
VPN Client ist nicht VPN Client wenn es IPsec ist. Bei PPTP sieht das etwas anders aus !
Bitte warten ..
Mitglied: 51705
22.07.2008 um 21:09 Uhr
Nochmal, auch das NAT kann den Traffic blocken. NAT setzt üblicherweise vor SIF an.
Bitte warten ..
Mitglied: kreischwurm
23.07.2008 um 06:49 Uhr
Guten Morgen,

NetMonitor hat mir unteranderem dies hier ausgespuckt.

DNS: QueryId = 0x248C, QUERY (Standard query), Query for wpad of type ALL on class Internet
DNS: QueryId = 0x248C, QUERY (Standard query), Response - Success
DNS DNS: QueryId = 0xFEBE, QUERY (Standard query), Query for xxx.dyndns.info of type Host DNS: QueryId = 0xFEBE, QUERY (Standard query), Response - Success
xxx.dyndns.info IKE IKE: version = 1.0, Identity protection (Main Mode), Flags = ..., Length = 112
xxx.dyndns.info BIRKHOLZ-PC ICMP ICMP: Destination Unreachable Message, 77.24.115.xxx
BIRKHOLZ-PC 10.11.12.13 NbtNs NbtNs: Refresh Request for BIRKHOLZ-PC <0x20> File Server Service, 77.24.115.164
xxx.dyndns.info IKE IKE: version = 1.0, Identity protection (Main Mode), Flags = ..., Length = 112
xxx.dyndns.info BIRKHOLZ-PC ICMP ICMP: Destination Unreachable Message, 77.24.115.164
NbtNs NbtNs: Refresh Request for BIRKHOLZ-PC <0x20> File Server Service, 77.24.115.xxx
NbtNs NbtNs: Refresh Request for BIRKHOLZ-PC <0x20> File Server Service, 77.24.115.xxx
NbtNs: Refresh Request for BIRKHOLZ-PC <0x00> Workstation Service, 77.24.115.xxx
Bitte warten ..
Mitglied: aqui
23.07.2008 um 08:56 Uhr
Der macht lediglich nur eine DynDNS Abfrage per DNS auf deinen DynDNS Hostnamen ! Von IPsec oder einem VPN Tunnelaufbau ist da weit und breit nichts zu sehen !!!

Kann auch gar nicht nicht, denn wie du am Sniffer Trace ganz klar sehen kannst bekommt dein Client eine ICMP Unreachable Message !!
xxx.dyndns.info BIRKHOLZ-PC ICMP ICMP: Destination Unreachable Message, 77.24.115.164
zurück !!!

Da scheitert also schon grundsätzlich das IP Routing zu 77.24.115.164 so das es gar nicht erst zu einem Tunnelaufbau des IPsec VPN Tunnels kommt.

Da musst du wohl erstmal das Routingproblem beseitigen !
Kannst du die 77.24.115.164 pingen ???
Was sagt ein Traceroute oder Pathping auf diese IP ?? (Bzw. die aktuelle IP des VPN Routers) ?
Bitte warten ..
Mitglied: kreischwurm
23.07.2008 um 11:21 Uhr
Hallo,

ich bin jetzt mal bei dem, wo das ganze funktionieren soll, der hat eine FritzBox 7050 und DsL T-Online.

Also pathping sagt folgendes:


routenverfolgung zu xxx.dyndns.info
Über max. 30 Abschnitte

0 Chef 192.168.178.29
1 Fritz.fonwlan.box 192.168.178.1
2 * * *
Berechnungen der Statistiken dauert 25 Sekunden

und dann listet er den chef rechner und die fritzbox nochal auf und das wars dann auch,

kommt wohl beim router garnicht an

wenn ich normal ping an xxx.dyndns.info dan geht es aber und zeigt auch die ip dazu
Bitte warten ..
Mitglied: aqui
24.07.2008 um 16:28 Uhr
Es ist die Frage woher die ICMP unreachable Meldung her kommt. Die gibt eine Router immer aus an den Client wenn er keine Route zum Zielnetz hat.

In der Beziehung kommen die Connect Request Packete des VPN Clients niemals am Ziel an, was dein Log im VPN Router ja auch ganz klar zeigt. Theoretisch kann es sein das IPsec gefiltert wird aber das wäre sehr ungewöhnlich....
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Router & Routing
gelöst VPN-Verbindung zwischen zwei Fritzboxen bricht sehr häufig ab (14)

Frage von mabue88 zum Thema Router & Routing ...

Windows Netzwerk
gelöst Probleme VPN Verbindung zwischen Win 7 Rechnern (13)

Frage von Vsadm07 zum Thema Windows Netzwerk ...

Router & Routing
TP-Link Router VPN Verbindung Router Oberfläche nicht erreichbar (3)

Frage von D46505Pl zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...