Kategorie Netzwerktechnik - Forum VPN
VPN zwischen Windows und Netgear-Router
geschrieben am 10.09.2006 um 18:18 von Mirko
Hallo,
ich suche momentan nach einer guten Lösung für ein IPSec-VPN zwischen Windows-PCs und Netgear-Routern. Zum Testen habe ich hier Netgear DG834GB und FVL328.
Zuerst glaubte ich noch, es ginge mit Windows-Bordmitteln. Damit ist aber keine praktikable Lösung für User mit dynamischen IP-Adressen machbar, oder?
Tests mit den IPSec-Tools http://vpn.ebootis.de/ und TauVPN/iVPN liefen schon besser. Der Verbindungsaufbau funktionierte recht gut. Allerdings habe ich damit keine wirklich stabile Lösung hinbekommen. Wurde die IPSec-Verbindung einseitig abgebaut, war oft keine weitere Verbindugn mehr möglich.
Der VPN-Client von NCP http://www.ncp.de/ macht einen sehr ausgereiften Eindruck. Er ist bisher mein Favorit. Kostet allerdings etwa 80 Euro.
Der VPN-Client von Netgear kostet als Einzellizenz etwa 40 Euro. Die Konfiguration entspricht merkwürdigerweise nicht dem Interface der Netgear-Router. Funktionieren tut er aber.
Den Shrew Soft VPN Client http://www.shrew.net/ teste ich gerade. Der konnte bisher kein PSK mit Main Mode. Hat der Autor aber gerade realisiert. Mal sehen wie der mit Netgear harmoniert.
Nun meine Fragen:
- Geht IPSec für Mobile User mit XP-Bordmitteln?
- Gibt es einen guten, freien IPSec-Client?
- Welche Erfahrungen habt Ihr mit kommerziellen VPN Clients?
- Ändert sich da bei Vista etwas in Richtung VPN?
Gruß
Mirko
PS: Site-to-Site-VPN mit zwei Netgears geht wunderbar und ist einfach einzurichten.
geschrieben am 14.09.2006 um 20:33 von Sebastian
Hallo Mirko,
mit Safenet Softremote habe ich recht gute Erfahrungen gemacht.
Habe den Client bis jetzt mit diveren Bintec, Secure Computing, Netgear, BenHur Geräten verwendet ohne größere Probleme.
Unterstützt XAuth und natürlich NAT-T.
Recht nett ist auch die Profilfunktion, d.h. man kann alle Einstellungen an einem Client durchführen und dann das Ganze als Profil exportieren und entsprechend an einem anderen Client mit einem Doppelklick importieren.
Windows Bordmittel
Gruss
Sebastian
geschrieben am 15.09.2006 um 19:45 von Mirko
Der Netgear ProSafe Client ist ja Safenet Softremote. Ich habe mich jetzt auch mit dem Teil angefreundet. Wolltest Du noch etwas zu Windows Bordmitteln sagen?
Mirko
geschrieben am 17.09.2006 um 12:39 von Sebastian
Hi,
eigentlich wollte ich noch hinzufügen, dass ich keinerlei Erfahrungen mit Windows Bordmitteln habe :-). Bis auf PPTP und das funktioniert einwandfrei.
Softremote gibt es in zwei ausführen Softremote und SoftremoteLT - LT ist ohne Personalfirewall.
Möchtest Du den Client in Verbindung mit einem VPN-Gateway nutzen, dass keine feste IP hat sondern Dyndns und bei aufgebautem Tunnel nur noch Tunnel Verkehr zulassen?
Falls ja musst Du im VPN-Profil UDP-53 (DNS) gesondert freischalten. D.h. Du musst es als "unsecure" definieren. "secure" bedeutet immer, dass es in den Tunnel reinkommt.
Gruss
Sebastian
geschrieben am 19.10.2006 um 21:37 von Mirko
Mal wieder ein Update zum Thema VPN:
Die Kombination Netgear DG834B und Netgear VPN Client läuft ganz ordentlich. Problematisch wird es, solbald der Road Warrior hinter einem Router ohne VPN PassThrough sitzt. Und darauf hat man in Hotels, auf Flughäfen und an Hotspots halt keinen Einfluß.
Momentan teste ich OpenVPN. Der erste Eindruck ist durchaus positiv. Die Verbindung läuft auch über "merkwürdige" NAT-Router ohne Probleme.
Hat jemand schon Erfahrungen mit OpenVPN und DD-WRT auf dem Linksys WRT54G gesammelt?
Mirko
geschrieben am 04.11.2006 um 17:39 von tom (Gast)
Ich bemühe mich schon seit ein paar Tagen darum einen PC über den Netgear DG834B mit einem anderen Rechner im Firmennetz zu verbinden. Leider alles erfolglos. Gibt es irgendwo eine Step by step Anleitung?
Vielen Dank
Tom
geschrieben am 04.11.2006 um 20:19 von Mirko
Hallo Tom,
welche VPN-Software hast Du auf dem PC?
Mirko
geschrieben am 05.11.2006 um 05:11 von Tom (Gast)
Ich habe Netgear Prosafe 10.3.5, Greenbow VPN , openvpn.
Nur dyndns läuft sonst leider nichts.
Gruß
Tom
geschrieben am 05.11.2006 um 09:15 von Mirko
Mehr als ein IPSec-Client zu installieren, kann Probleme verursachen. Deinstalliere mal Greenbow. Eine Anleitung von Netgear findest Du unter http://kbserver.netgear.com/kb_web_files/n101500.asp und http://kbserver.netgear.com/kb_web_files/n101418.asp
Poste doch mal die Meldungen aus dem Netgear Log Viewer und dem VPN-Log des Routers.
Mirko
geschrieben am 05.11.2006 um 14:37 von Tom (Gast)
Danke für die Anleitungen. Leider habe ich einen DG834B und das Menü ist total anders. Agressive Mode kann ich z.B. überhaupt nicht wählen.
Wenn ich die Client Policy aktiviere (Netgear Client) habe ich keinen Internetzugriff mehr.
geschrieben am 05.11.2006 um 15:57 von Mirko
Danke für die Anleitungen. Leider habe ich einen DG834B und das Menü ist total anders. Agressive Mode kann ich z.B. überhaupt nicht wählen.
Das ist nicht so tragisch. Wichtig ist, dass auf beiden Seiten (Router und VPN Client) immer die selben Werte eingestellt sind. Also zum Beispiel Main Mode, DH-Group 2, 3DES, SHA und PFS. Ich suche nachher mal meine Aufzeichnungen von den Tests.
Mirko
geschrieben am 05.11.2006 um 17:50 von Mirko
Ich habe mal ein paar Notizen online gestellt: http://www.nwlab.net/tutorials/vpn/fvl328-netgear-client.html
Das Ganze sollte sich einfach auf andere Netgear-Router adaptieren lassen.
Mirko
geschrieben am 05.11.2006 um 18:55 von Tom (Gast)
Vielen Dank Mirko für Deine Mühe!!
Ich habe alles akribisch angepasst. Lediglich " Main Mode" statt Agressive Mode eingestellt.
Ein Problem verhindert wahrscheinlich den Erfolg: Wenn ich im Menü "Activate security policy" wähle, kann ich nicht mehr in das Internet. Der Client kann dann auch nicht meine Dyndns Adresse auflösen. Wahrscheinlich muss ich noch an meinem PC etwas einstellen.
Gruß
Tom
geschrieben am 05.11.2006 um 21:40 von Mirko
Dann hast Du sicher irgendwo eine entsprechende Einstellung gemacht. Exportiere doch mal die Konfig und poste sie hier.
Mirko
geschrieben am 06.11.2006 um 09:35 von Tom (Gast)
Der Hostname kann inzwischen aufgelöst werden...
Mein Client Log
11-06: 08:34:09.671 My Connections\vpn1 - Using cached address. (Hostname=host.dyndns.info) (IP ADDR=123.123.123.123)
11-06: 08:34:09.671 My Connections\vpn1 - Attempting to resolve Hostname (host.dyndns.info)
11-06: 08:34:10.765 Failed to resolve interface to address 192.168.1.99.
11-06: 08:34:10.765 My Connections\vpn1 - Error initiating manual connection.
192.168.1.99 ist der Rechner, den ich erreichen will
geschrieben am 06.11.2006 um 13:58 von Tom (Gast)
Hab die Netgear Hotline angerufen.
Hotline: "Bitte wählen Sie die 2 wenn Sie Support für Geräte der Reihe DG834 haben wollen"
Den jungen Mann der sich meldete konnte ich kaum verstehen. Leitungsqualität schlecht mit zig Gesprächen im Hintergrund
Ich: "Ich hab Probleme bei der Einrichtung von VPN mit dem DG834B".
Er: Einen Moment, ich schaue nach ob das Gerät das kann."
Ich: "Wie wollen Sie mir helfen, wenn Sie noch nicht einmal wissen ob das Gerät das kann?"
Trotzdem noch 4 Minuten gewartet!!! dann habe ich aufgelegt!
Abzocke?
geschrieben am 06.11.2006 um 20:05 von Mirko
Die Hotline habe ich auch mal wegen eines VPN-Problems angerufen. War recht lustig...
Konnte man nicht im Netgear Client die Konfig in eine Datei exportieren?
Mirko
geschrieben am 09.11.2006 um 15:00 von Tom (Gast)
Jetzt klappt inzwischen die Verbindung! Offensichtlich ist mein Router über den meein Client die Verbindung in das Internet aufbaut der Störfaktor.
Mit der seleben Konfiguration aber Internet per ISDN wird "success" gemeldet.
Wenn ich allerdings einen Rechner aus dem entfernten Netz anpinge, gibt es keinen Kontakt!?
Mal schauen...
geschrieben am 21.12.2006 um 12:10 von tester2010
Netgear FVL328 mit Shrew-Client
Hallo Mirko
Wie ich sehe hast du dich mit dem Shrew-Client ein bischen beschäftigt. Ich habe ein Netgear ProSafe FVL328 und habe dort ein VPN-SRV eingerichtet. Dies hab ich dann mit dem Netgear Client verbunden. *klappt wunderbar*
Ich habe mir gedacht "muss doch auch mit einem "Freeware Client -> Shrew-Client" klappen. Aber mit dem habe ich meine Probleme. Ich bekomme einfach keine Verbindung hin.
Die Fehlermeldung im Log ist:
config loaded for site 'hostname'
configuring client settings ...
config error : cannot resolve address for host hostname
Ich würde mich freuen wenn du eine Idee hast. Die Einstellung sind "genau gleich wie im Netgearrouter."
danke im voraus mac
geschrieben am 21.12.2006 um 20:11 von Mirko
Re: Netgear FVL328 mit Shrew-Client
config error : cannot resolve address for host hostname
Ich glaube, diese Meldung hatte ich bei den Tests auch mal. Leider kann ich mich nicht mehr an die Lösung erinnern. Aber DNS (wie die Meldung ja vermuten lässt) war nicht die Ursache. Irgendwie haben sie die beiden VPN-Clients auch nicht wirklich gemocht. Oder hast Du nur Shrew-VPN auf dem Rechner?
Mirko
geschrieben am 22.12.2006 um 09:23 von tester2010
danke für die schnelle antwort.
ich habe ein ganz neue maschiene aufgesetzt win xp sp2 + shrew.
wenn du eine doku von deinem experiment (shrew und netgear) hast würde ich mich freuen wenn du sie mir schickst oder online stellst. vielleicht fällt dir auch noch die lösung ein.
mac
geschrieben am 21.02.2007 um 00:14 von caflismaurus
Hosts auf LAN-Site nicht ansprechbar
Ich setze einen FVS318v3 und Netgear ProSafe Client ein und möchte eine VPN-Verbindung herstellen.
Ich habe kein Problem um die Verbindung aufzubauen. Leider kann ich nicht einen Host anpingen noch sonstwie ansprechen.
Den Router sowie Client habe ich genau nach den angaben auf http://www.nwlab.net/tutorials/vpn/fvl328-netgear-client.html gemacht.
Kann mir da jemand weiterhelfen?
geschrieben am 21.02.2007 um 20:32 von Mirko
Was sind das für Clients? Firewall aktiv?
Mirko
geschrieben am 21.02.2007 um 20:42 von caflismaurus
Die Clients im Netz (hinter FVS318v3) sind Win2000er ohne Firewall oder Portblocker oder sonstwas. Die Firewall auf FVS318v3 blockt allen Inbound-Verkehr und keinen Outbound-Verkehr.
Remote Client WinXP SP2 mit Netgear Pro Safe 10.1
Dazu muss ich sagen, lasse ich den VPN Client auf einer Virtual PC-Umgebung laufen, da ich parallel den Cisco VPN Client laufen habe (Die IPSec-Einstellungden des Netgear-Clients beisst sich mit dem Cisco-Client).
Die Konfigurationen entsprechen genau der angegebenen Site.
Die beiden Phasen des Verbindungsaufbaus werden auch problemlos durchlaufen. Sogar die Routen stimmen (Verkehr zum Subnetz hinter dem Router wird über den virtuellen Adapter geroutet).
geschrieben am 17.06.2007 um 21:51 von eSudio
hallo,
ich hab das gleiche Problem. ich bekomme einfach keine Verbindung auf einen Netgear DG834GB Router... egal was ich mache ich schaff es nicht.
Ich habe es nach der Anleitung (wie auf der Site zu finden) gemacht, aber musste in nem anderen Forum lesen dieser Router kann kein Aggressiv Mode (was ich auch nicht auswählen kann).
Jetzt habe ich mich nach einem Tutorial von
http://www.administrator.de/HowTo_-_VPN-Verbindung_mit_Netgear_DG834B_ADSL-Firewall-Router.html
nur leider habe ich diese ProSafe nicht. Ich habe jetzt andere versucht wie TheGreenBow, NCP, Lancom aber ich bekomm einfach kein Netzwerk zustande. Wenn ich nen neuen VPN Client versucht habe, hab ich den alten davor gelöscht mit RegCleaner.
Netgear hat das LAN
192.168.3.1
Client Netzwerk
192.168.1.1
Port 500 UDP is weitergeleitet und auch mit NCP geht ohne Probleme nen Test VPN
Wie gesagt das VPN Netzwerk bekomm ich nichtzustande.
Was ich Rausgefunden habe, dass nur Mainmode.
Hab scho ziemlich viel versucht. Werde morgen nochmal das Tutorial vom TheGreenBow versuchen ... aber ich glaub das funktioniert auch nicht :( hatte es scho nur ohne PFS ... aber es funktionierte nicht!
Ich hoffe ihr könnte mir helfen ich versuch das schon seit 2 Wochen.
Grüße ;)
ps: gibt es das ProSafe auch als Testversion?! sollte ich es mal mit OpenVPN versuchen, aber ich weiß net wie ich das einstellen soll ^^"
geschrieben am 19.06.2007 um 21:19 von Mirko
@eSudio
Welche Fehlermeldungen hast Du im Log des Routers und des VPN-Clients?
Den Netgear-Client gibt es wohl nicht als Testversion (und nicht für Vista)...
Mirko
geschrieben am 20.06.2007 um 22:19 von eSudio
lancom hat immer gesagt, dass er die verbindung nicht aufbauen konnte bzw. dass er 3 mal reconnecten wollte und die verbindung abgebrochen ist.
thegreenbow sagte trytoreach gateway und macht nichts mehr. ich war auch einmal schon so weit, dass er in der phase 2 war bzw. ist.
komm immoment nicht auf den router erst freitag wieder ^^"
immo, komm ich garnicht per ping auf den router warum auch immer ^^" nach 3 wochen rumprobieren, hab ich langsam keine lust mehr :>
[ Dieses Thema im Live-Forum aufrufen ]
| 
