Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum VPN

 
ShrewSoft VPN Client & Netgear DGFV338

geschrieben am 18.03.2010 um 10:41 von MyKey0815

Guten Tag,

wir haben in der Firma den obengenannten VPN Router. Nun möchte ich gerne auch zu meiner Fritzbox ein VPN aufbauen. Da ich aber auf dem Rechner schon einen VPN Client habe (ProSafe Client), kann ich nicht einfach den ShrewSoft Client installieren.

Die Einstellungen des VPN Routers in der Firma sind "ModeConfig OHNE XAUTH" und die Identifizierung am Router läuft über die Emailadresse (Kann man in der IKE-Policy einstellen = User-FQDN)

Die Einstellungen am Firmenrouter können nicht verändert werden (Und nur wegen mir, machen die das auch nicht).

Hab leider nur eine Beschreibung gefunden, wo ModeConfig MIT XAUTH konfiguriert wird und eine Beschreibung, wo der Wizard verwendet wurde.

Habe jetzt ShrewSoft konfiguriert - bekomme aber keine Verbindung. Das Logfile gibt folgdende Informationen:

Code:
2010 Mar 18 10:01:16 [DGFV338] [IKE] Anonymous configuration selected for 79.217.241.167[500]._
2010 Mar 18 10:01:16 [DGFV338] [IKE] Received request for new phase 1 negotiation: 87.180.96.145[500]<=>79.217.241.167[500]_
2010 Mar 18 10:01:16 [DGFV338] [IKE] Beginning Aggressive mode._
2010 Mar 18 10:01:16 [DGFV338] [IKE] Received unknown Vendor ID_
                - Last output repeated 4 times -
2010 Mar 18 10:01:16 [DGFV338] [IKE] Received Vendor ID: CISCO-UNITY_
2010 Mar 18 10:01:17 [DGFV338] [IKE] 192.168.101.1 IP address is assigned to remote peer 79.217.241.167[500]_
2010 Mar 18 10:01:18 [DGFV338] [IKE] ISAKMP-SA established for 87.180.96.145[500]-79.217.241.167[500] with spi:8ce167cfd70474cf:4c0a541c503eae15_
2010 Mar 18 10:01:18 [DGFV338] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2010 Mar 18 10:01:18 [DGFV338] [IKE] Short payload_
2010 Mar 18 10:01:18 [DGFV338] [IKE] Purged ISAKMP-SA with proto_id=ISAKMP and spi=8ce167cfd70474cf:4c0a541c503eae15._
2010 Mar 18 10:01:19 [DGFV338] [IKE] ISAKMP-SA deleted for 87.180.96.145[500]-79.217.241.167[500] with spi:8ce167cfd70474cf:4c0a541c503eae15_
2010 Mar 18 10:01:19 [DGFV338] [IKE] 192.168.101.1 IP address has been released by remote peer._
2010 Mar 18 10:01:19 [DGFV338] [IKE] No policy found: 192.168.101.1/32[0] 0.0.0.0/0[0] proto=any dir=in_
2010 Mar 18 10:01:19 [DGFV338] [IKE] No policy found: 0.0.0.0/0[0] 192.168.101.1/32[0] proto=any dir=out_

 

geschrieben am 18.03.2010 um 17:20 von Mirko

Re: ShrewSoft VPN Client & Netgear DGFV338

"MyKey0815" wrote:
kann ich nicht einfach den ShrewSoft Client installieren.


"MyKey0815" wrote:
Habe jetzt ShrewSoft konfiguriert


Hast also jetzt den Shrew Client installiert und willst eine Verbindung zur Fritzbox aufbauen? Sieht aus als würden Parameter für die Phase 2 nicht übereinstimmen. Wie ist VPN auf der Fritzbox konfiguriert? Poste mal das Konfigfile.

Mirko
 

geschrieben am 18.03.2010 um 19:18 von MyKey0815

Nein, ich möchte im Moment erst nur eine Verbidung zum Netgear aufbauen. wenn das klappt, dann werde ich mich um die Konfiguration der fritzbox kümmern. Nur wenn ich keine Verbindung zum Firmen VPN bekommen, dann brauch ich mich gar nicht um die Konfiguration der Fritzbox kümmern.
 

geschrieben am 18.03.2010 um 19:50 von Mirko

Na dann gib mal die Konfig vom ProSafe-Client und von Shrew.

Mirko
 

geschrieben am 19.03.2010 um 08:15 von MyKey0815

Hier die Einstellungen

http://mykey0815.dyndns.info/ShrewSoftNetgear.pdf
 

geschrieben am 30.03.2010 um 11:37 von MyKey0815

ich wollte nur mal fragen, ob jemand eine Idee hat. das Problem besteht leider immer noch
 

geschrieben am 30.03.2010 um 19:43 von Mirko

Was mir auffällt:

Am Router ist der Client Pool in einem anderen IP-Netz als das LAN. Muss das so sein?

Der Shrew Client steht auf IKE Auto Configuration. Geht das mit dem Netgear?

Du hast NAT-Traversal ausgeschaltet. Wenn der Client hinter einem NAT-Router hängt, sollte das aktiv sein.

Am Client ist DPD aktiv. Am Router auch?

Am Client ist Compression aktiviert. Schalte das mal aus.


HTH
Mirko
 

geschrieben am 31.03.2010 um 09:06 von MyKey0815

"Mirko" wrote:
Was mir auffällt:

Am Router ist der Client Pool in einem anderen IP-Netz als das LAN. Muss das so sein?


Ja, ich denke schon. Dieser Pool ist die IP des VPN-Netzes. Verbindet sich ein Client mit dem Router, wird die nächste freie IP aus diesem Pool genommen. Ist so eine Art DHCP für das VPN-Netz

"Mirko" wrote:
Der Shrew Client steht auf IKE Auto Configuration. Geht das mit dem Netgear?


Hm. Schon, oder? Wenn ich nämlich aud 'disable' stelle, dann muss ich eine feste IP eintragen am Client. Aber das soll ja vom Pool gesteuert werden

"Mirko" wrote:

Du hast NAT-Traversal ausgeschaltet. Wenn der Client hinter einem NAT-Router hängt, sollte das aktiv sein.


OK. Aber eine Verbindung mit den Netgear VPN Client (ist von NCP glaub ich) finktioniert es mit diesen Routereinstellungen. Und diese darf/kann ich nicht ändern

"Mirko" wrote:

Am Client ist DPD aktiv. Am Router auch?

Was ist damit gemeint? Einstellungen am Router können nicht geändert werden, da sonst alle Clients in der Firma neu konfiguriert werden müssen. Das ist ein riesen Aufwand, weil wir auch viele Außendienstler haben

"Mirko" wrote:

Am Client ist Compression aktiviert. Schalte das mal aus


Gleiches wie vorher - Verbindung wird nicht aufgebaut
 

geschrieben am 22.06.2010 um 10:34 von BitmeIO101

Guten Morgen,

ich versuche momentan auch eine Verbindung mit der gleichen Konfiguration herzustellen. Die Verbindung scheint soweit schon zu funktionieren, jedoch habe ich trotzdem noch kein Zugriff auf das Firmennetzwerk.
Unser Router (FVS338) hat nahezu identische Einstellungen, bis auf Abweichungen der IP-Adresse. Übernimm einfach mal die Einstellungen vom Client.


Hier meine Konfiguration vom Router und Shrew

http://ul.to/slj5ci

Also Tunnel wird aufgebaut, aber anpingen kann ich das Netzwerk nicht. Ich muss aber auch gestehen, dass ich bei dieser ganzen Tunnelei nicht durchsteige, was die IP's betrifft. Vielleicht findet ja jemand den Wurm.

Gruß, Sascha[/img]
 

geschrieben am 22.06.2010 um 14:04 von MyKey0815

Ich habe deine Einstellungen soweit übernommen und bekomme nun auch schon den Tunnel aufgebaut.

Anscheinend ist echt irgendwas mit den Konfiguration nicht passend, da ich nämlich folgende Meldung bekomme

Code:
2010 Jun 22 13:03:17 [DGFV338] [IKE] Responding to new phase 2 negotiation: 87.180.126.159[0]<=>79.217.247.215[0]_
2010 Jun 22 13:03:17 [DGFV338] [IKE] Using IPsec SA configuration: 192.168.100.0/24<->192.168.101.0/24_
2010 Jun 22 13:03:17 [DGFV338] [IKE] No policy found: 192.168.101.10/32[0] 192.168.100.0/24[0] proto=any dir=in_
2010 Jun 22 13:03:17 [DGFV338] [IKE] Failed to get proposal for responder._


Was mich total stutzig macht, ist der Eintrag
Quote:
192.168.101.10/32 [0] 192.168.100.0/24 [0]


Ich habe definitiv als Subnetz 255.255.255.0 eingetragen
 

geschrieben am 22.06.2010 um 15:01 von BitmeIO101

Bei dem gleichen Problem hänge ich auch. Ich vermute, dass es was mit der Remote user-FQDN zu tun hat, da diese im Router ja eingetragen ist. Nur wenn ich den Wert übernehmen, kommt nicht mal mehr der Tunnel zustande.
 

geschrieben am 28.06.2010 um 14:49 von BitmeIO101

192.168.101.10/32[0] 192.168.100.0/24[0]

Ist bei mir genauso. Genau da wird auch das Problem liegen, aber ich kann eintragen was ich will, er übernimmt die netmask nicht.
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 18.10.2017