Kategorie Netzwerktechnik - Forum VPN
VPN zwischen Netgear FVS 114 u Shrew Soft VPN Client
geschrieben am 24.03.2010 um 12:42 von Stefan3110
Hallo ich habe zu Hause einen Netgear FVS114 Router. Zu ihm möchte ich gern von meinem Laptop eine VPN Verbindung aufbauen. Auf meinem Laptop nutze ich die Shrew Soft VPN Client.
Da ich auf dem Gebiet ein Anfänger bin wollte ich Euch fragen ob jemand eine Anleitung für mich hat.
Danke für Eure Hilfe
Stefan
geschrieben am 24.03.2010 um 17:28 von Mirko
Speziell für diese Kombi habe ich keine Anleitung. Sollte aber auch so möglich sein:
Im Handbuch http://kbserver.netgear.com/pdf/fvs114_ref_manual_29Apr05.pdf findest Du ab PDF-Seite 61 eine Anleitung für Client-to-Gateway VPN.
Für den Shrew Client gibt es hier eine Beispielkonfiguration für einen Netgear Router: http://www.shrew.net/support/wiki/HowtoNetgear
Ein einfaches VPN-Setup mit PSK solltest Du damit hinbekommen. Ein paar Tips findest Du noch in http://www.nwlab.net/know-how/VPN/fehlersuche.html
Fange einfach mal an und poste bei Problemen die Konfigs bzw. Screens.
Mirko
geschrieben am 24.03.2010 um 18:08 von Stefan3110
Danke Mirko für Deine schnelle Antwort. Aber leider taucht bei mir immer folgender Fehler auf:
config loaded for site 'Karlsruhe'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ...
Viele Grüße
Stefan
geschrieben am 24.03.2010 um 20:51 von Mirko
Poste doch mal die Konfig von beiden Seiten (Router und Client).
Mirko
geschrieben am 24.03.2010 um 21:25 von Stefan3110
Danke für Deine Hilfe
https://fotoalbum.web.de/gast/stefan-kiessig/Beispiele/defaultskin?view=miniatur da ist die Routerkonfiguration zu sehen.
Konfigurationsdatei für VPN Client:
n:version:3
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:client-dns-used:1
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
n:client-wins-used:1
n:client-wins-auto:1
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
s:network-host:kiekr.dyndns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:disable
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-server-type:any
s:ident-client-data:Stefan@
b:auth-mutual-psk:bGVpcHppZzA4IQ==
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:0
s:client-saved-username:[/img]
geschrieben am 24.03.2010 um 21:26 von Stefan3110
Bitte entschuldigt die schlecht Bildqualität. Aber wenn das Problem gelöst ist möchte ich es gern verbal beschreiben, so das es für andere Nutzer nachvollziehbar ist.
Viele Grüße
Stefan
geschrieben am 25.03.2010 um 18:04 von Mirko
Du hast im Shrew Client den Identification Type auf FQDN zu stehen und am Router auf Fully Qualified User Name. Stelle mal beide Seiten auf FQDN. Die Einstellungen für Phase 1 und 2 im Shrew stehen auf auto. Stelle dort mal fest die selben Werte wie am Router ein (3DES, SHA1).
Mirko
geschrieben am 25.03.2010 um 21:59 von Stefan3110
Danke für Deine Antwort.
Ich änderte am Router die Einstellung für Remote Identity Type auf FQDN.
In Shrew änderte ich die Einstellung auch wie empfohlen ab.
n:version:3
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:client-dns-used:1
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
n:client-wins-used:1
n:client-wins-auto:1
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
s:network-host:kiekr.dyndns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:disable
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-server-type:any
s:ident-client-data:Stefan@
b:auth-mutual-psk:bGVpcHppZzA4IQ==
s:phase1-exchange:aggressive
s:phase1-cipher:3des
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
n:phase2-pfsgroup:0
s:client-saved-username:
Leider kam die Verbindung nicht zu Stande. In Shrew erhielt ich die folgende Log Ausgabe:
config loaded for site 'Karlsruhe'
configuring client settings ...
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon ...
In der Routerlog steht folgendes dazu:
[2010-03-25 21:39:47][]
[2010-03-25 21:39:47]**** RECEIVED FIRST MESSAGE OF AGGR MODE ****
[2010-03-25 21:39:47]<POLICY: > PAYLOADS: SA,PROP,TRANS,TRANS,KE,NONCE,ID,VID,VID,VID,VID,VID,VID,VID,VID,VID,VID
[2010-03-25 21:39:47]<LocalRID> Type=ID_FQDN,ID Data=Stefan@
[2010-03-25 21:39:47]<RemoteLID> Type=ID_FQDN,ID Data=Stefan@
[2010-03-25 21:39:47]<POLICY: Client> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH
[2010-03-25 21:39:47]**** SENT OUT SECOND MESSAGE OF AGGR MODE ****
[2010-03-25 21:39:52][]
[2010-03-25 21:39:59][]
[2010-03-25 21:40:05][]
[2010-03-25 21:40:07]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE(DELETE_PAYLOAD) ****
Kannst Du mir bitte noch mal helfen so das ich eine VPN Verbindung aufbauen kann. Vielen Dank für Deine Hilfe
Viele Grüße
Stefan
geschrieben am 28.03.2010 um 12:07 von Mirko
Haben jetzt Router und Client die selbe ID? Ändere mal den Netgear auf "router" und den Client auf "shrew". Deaktiviere DPD am Shrew. Setze die Life Time auf beiden Seiten gleich. Bei Remote VPN Endpoint am Netgear sollte keine IP-Adresse stehen. Kannst Du da "dynamic" oder etwas ähnliches auswählen?
Mirko
geschrieben am 28.03.2010 um 15:52 von Stefan3110
Danke Mirko für Deine Hilfe.
Aber wo kann ich die ID am Router und am Shrew auslesen?
"Bei Remote VPN Endpoint am Netgear sollte keine IP-Adresse stehen. Kannst Du da "dynamic" oder etwas ähnliches auswählen?" Da kann ich nur eine IP oder FQDN auswählen.
Wenn Du möchtest kann ich Dir temporäre einen Zugang zum Router geben.?
Viele Grüße
Stefan
geschrieben am 29.03.2010 um 07:29 von Mirko
Mit ID meinte ich den FQDN. Kannst mir ja die Zugangsdaten zum Router mal per PN geben.
Mirko
[ Dieses Thema im Live-Forum aufrufen ]
|