Kategorie Netzwerktechnik - Forum VPN
ShrewSoft VPN Client & Netgear DGFV338
geschrieben am 18.03.2010 um 10:41 von MyKey0815
Guten Tag,
wir haben in der Firma den obengenannten VPN Router. Nun möchte ich gerne auch zu meiner Fritzbox ein VPN aufbauen. Da ich aber auf dem Rechner schon einen VPN Client habe (ProSafe Client), kann ich nicht einfach den ShrewSoft Client installieren.
Die Einstellungen des VPN Routers in der Firma sind "ModeConfig OHNE XAUTH" und die Identifizierung am Router läuft über die Emailadresse (Kann man in der IKE-Policy einstellen = User-FQDN)
Die Einstellungen am Firmenrouter können nicht verändert werden (Und nur wegen mir, machen die das auch nicht).
Hab leider nur eine Beschreibung gefunden, wo ModeConfig MIT XAUTH konfiguriert wird und eine Beschreibung, wo der Wizard verwendet wurde.
Habe jetzt ShrewSoft konfiguriert - bekomme aber keine Verbindung. Das Logfile gibt folgdende Informationen:
2010 Mar 18 10:01:16 [DGFV338] [IKE] Anonymous configuration selected for 79.217.241.167[500]._
2010 Mar 18 10:01:16 [DGFV338] [IKE] Received request for new phase 1 negotiation: 87.180.96.145[500]<=>79.217.241.167[500]_
2010 Mar 18 10:01:16 [DGFV338] [IKE] Beginning Aggressive mode._
2010 Mar 18 10:01:16 [DGFV338] [IKE] Received unknown Vendor ID_
- Last output repeated 4 times -
2010 Mar 18 10:01:16 [DGFV338] [IKE] Received Vendor ID: CISCO-UNITY_
2010 Mar 18 10:01:17 [DGFV338] [IKE] 192.168.101.1 IP address is assigned to remote peer 79.217.241.167[500]_
2010 Mar 18 10:01:18 [DGFV338] [IKE] ISAKMP-SA established for 87.180.96.145[500]-79.217.241.167[500] with spi:8ce167cfd70474cf:4c0a541c503eae15_
2010 Mar 18 10:01:18 [DGFV338] [IKE] Sending Informational Exchange: notify payload[INITIAL-CONTACT]_
2010 Mar 18 10:01:18 [DGFV338] [IKE] Short payload_
2010 Mar 18 10:01:18 [DGFV338] [IKE] Purged ISAKMP-SA with proto_id=ISAKMP and spi=8ce167cfd70474cf:4c0a541c503eae15._
2010 Mar 18 10:01:19 [DGFV338] [IKE] ISAKMP-SA deleted for 87.180.96.145[500]-79.217.241.167[500] with spi:8ce167cfd70474cf:4c0a541c503eae15_
2010 Mar 18 10:01:19 [DGFV338] [IKE] 192.168.101.1 IP address has been released by remote peer._
2010 Mar 18 10:01:19 [DGFV338] [IKE] No policy found: 192.168.101.1/32[0] 0.0.0.0/0[0] proto=any dir=in_
2010 Mar 18 10:01:19 [DGFV338] [IKE] No policy found: 0.0.0.0/0[0] 192.168.101.1/32[0] proto=any dir=out_
geschrieben am 18.03.2010 um 17:20 von Mirko
Re: ShrewSoft VPN Client & Netgear DGFV338
kann ich nicht einfach den ShrewSoft Client installieren.
Habe jetzt ShrewSoft konfiguriert
Hast also jetzt den Shrew Client installiert und willst eine Verbindung zur Fritzbox aufbauen? Sieht aus als würden Parameter für die Phase 2 nicht übereinstimmen. Wie ist VPN auf der Fritzbox konfiguriert? Poste mal das Konfigfile.
Mirko
geschrieben am 18.03.2010 um 19:18 von MyKey0815
Nein, ich möchte im Moment erst nur eine Verbidung zum Netgear aufbauen. wenn das klappt, dann werde ich mich um die Konfiguration der fritzbox kümmern. Nur wenn ich keine Verbindung zum Firmen VPN bekommen, dann brauch ich mich gar nicht um die Konfiguration der Fritzbox kümmern.
geschrieben am 18.03.2010 um 19:50 von Mirko
Na dann gib mal die Konfig vom ProSafe-Client und von Shrew.
Mirko
geschrieben am 19.03.2010 um 08:15 von MyKey0815
Hier die Einstellungen
http://mykey0815.dyndns.info/ShrewSoftNetgear.pdf
geschrieben am 30.03.2010 um 11:37 von MyKey0815
ich wollte nur mal fragen, ob jemand eine Idee hat. das Problem besteht leider immer noch
geschrieben am 30.03.2010 um 19:43 von Mirko
Was mir auffällt:
Am Router ist der Client Pool in einem anderen IP-Netz als das LAN. Muss das so sein?
Der Shrew Client steht auf IKE Auto Configuration. Geht das mit dem Netgear?
Du hast NAT-Traversal ausgeschaltet. Wenn der Client hinter einem NAT-Router hängt, sollte das aktiv sein.
Am Client ist DPD aktiv. Am Router auch?
Am Client ist Compression aktiviert. Schalte das mal aus.
HTH
Mirko
geschrieben am 31.03.2010 um 09:06 von MyKey0815
Was mir auffällt:
Am Router ist der Client Pool in einem anderen IP-Netz als das LAN. Muss das so sein?
Ja, ich denke schon. Dieser Pool ist die IP des VPN-Netzes. Verbindet sich ein Client mit dem Router, wird die nächste freie IP aus diesem Pool genommen. Ist so eine Art DHCP für das VPN-Netz
Der Shrew Client steht auf IKE Auto Configuration. Geht das mit dem Netgear?
Hm. Schon, oder? Wenn ich nämlich aud 'disable' stelle, dann muss ich eine feste IP eintragen am Client. Aber das soll ja vom Pool gesteuert werden
Du hast NAT-Traversal ausgeschaltet. Wenn der Client hinter einem NAT-Router hängt, sollte das aktiv sein.
OK. Aber eine Verbindung mit den Netgear VPN Client (ist von NCP glaub ich) finktioniert es mit diesen Routereinstellungen. Und diese darf/kann ich nicht ändern
Am Client ist DPD aktiv. Am Router auch?
Was ist damit gemeint? Einstellungen am Router können nicht geändert werden, da sonst alle Clients in der Firma neu konfiguriert werden müssen. Das ist ein riesen Aufwand, weil wir auch viele Außendienstler haben
Am Client ist Compression aktiviert. Schalte das mal aus
Gleiches wie vorher - Verbindung wird nicht aufgebaut
geschrieben am 22.06.2010 um 10:34 von BitmeIO101
Guten Morgen,
ich versuche momentan auch eine Verbindung mit der gleichen Konfiguration herzustellen. Die Verbindung scheint soweit schon zu funktionieren, jedoch habe ich trotzdem noch kein Zugriff auf das Firmennetzwerk.
Unser Router (FVS338) hat nahezu identische Einstellungen, bis auf Abweichungen der IP-Adresse. Übernimm einfach mal die Einstellungen vom Client.
Hier meine Konfiguration vom Router und Shrew
http://ul.to/slj5ci
Also Tunnel wird aufgebaut, aber anpingen kann ich das Netzwerk nicht. Ich muss aber auch gestehen, dass ich bei dieser ganzen Tunnelei nicht durchsteige, was die IP's betrifft. Vielleicht findet ja jemand den Wurm.
Gruß, Sascha[/img]
geschrieben am 22.06.2010 um 14:04 von MyKey0815
Ich habe deine Einstellungen soweit übernommen und bekomme nun auch schon den Tunnel aufgebaut.
Anscheinend ist echt irgendwas mit den Konfiguration nicht passend, da ich nämlich folgende Meldung bekomme
2010 Jun 22 13:03:17 [DGFV338] [IKE] Responding to new phase 2 negotiation: 87.180.126.159[0]<=>79.217.247.215[0]_
2010 Jun 22 13:03:17 [DGFV338] [IKE] Using IPsec SA configuration: 192.168.100.0/24<->192.168.101.0/24_
2010 Jun 22 13:03:17 [DGFV338] [IKE] No policy found: 192.168.101.10/32[0] 192.168.100.0/24[0] proto=any dir=in_
2010 Jun 22 13:03:17 [DGFV338] [IKE] Failed to get proposal for responder._
Was mich total stutzig macht, ist der Eintrag 192.168.101.10/32 [0] 192.168.100.0/24 [0]
Ich habe definitiv als Subnetz 255.255.255.0 eingetragen
geschrieben am 22.06.2010 um 15:01 von BitmeIO101
Bei dem gleichen Problem hänge ich auch. Ich vermute, dass es was mit der Remote user-FQDN zu tun hat, da diese im Router ja eingetragen ist. Nur wenn ich den Wert übernehmen, kommt nicht mal mehr der Tunnel zustande.
geschrieben am 28.06.2010 um 14:49 von BitmeIO101
192.168.101.10/32[0] 192.168.100.0/24[0]
Ist bei mir genauso. Genau da wird auch das Problem liegen, aber ich kann eintragen was ich will, er übernimmt die netmask nicht.
[ Dieses Thema im Live-Forum aufrufen ]
| 
