IThome 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 Ich habe hier mal ein Log eines funktionierenden Verbindungsaufbaus ... 12-27: 14:30:10.388 My Connections\New Connection - Attempting to resolve Hostname (xxx.xxx.xxx) 12-27: 14:30:10.548 12-27: 14:30:10.548 My Connections\New Connection - Initiating IKE Phase 1 (Hostname=xxx.xxx.xxx) (IP ADDR=xxx.xxx.xxx.xxx) 12-27: 14:30:10.929 My Connections\New Connection - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x) 12-27: 14:30:11.059 My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID 3x, NAT-D 2x) 12-27: 14:30:11.059 My Connections\New Connection - Peer is NAT-T draft-02 capable 12-27: 14:30:11.059 My Connections\New Connection - Peer supports Keepalive processing 12-27: 14:30:11.059 My Connections\New Connection - Keepalive processing enabled 12-27: 14:30:11.059 My Connections\New Connection - NAT is detected for Client and Peer 12-27: 14:30:11.059 My Connections\New Connection - Floating to IKE non-500 port 12-27: 14:30:11.169 My Connections\New Connection - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT) 12-27: 14:30:11.169 My Connections\New Connection - Established IKE SA 12-27: 14:30:11.169 MY COOKIE 3e a0 4a 1 aa f4 7 f9 12-27: 14:30:11.169 HIS COOKIE 1b 66 d3 30 95 b8 df 4b 12-27: 14:30:11.259 My Connections\New Connection - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR) 12-27: 14:30:16.827 My Connections\New Connection - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR) 12-27: 14:30:17.238 My Connections\New Connection - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR) 12-27: 14:30:17.238 My Connections\New Connection - IKE Extended Authentication successful. 12-27: 14:30:17.238 My Connections\New Connection - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR) 12-27: 14:30:17.408 12-27: 14:30:17.408 My Connections\New Connection - Initiating IKE Phase 2 with Client IDs (message id: C1BC9431) 12-27: 14:30:17.408 My Connections\New Connection - Initiator = IP ADDR=10.11.11.3, prot = 0 port = 0 12-27: 14:30:17.408 My Connections\New Connection - Responder = IP SUBNET/MASK=10.0.100.0/255.255.255.0, prot = 0 port = 0 12-27: 14:30:17.408 My Connections\New Connection - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x) 12-27: 14:30:17.408 My Connections\New Connection - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR) 12-27: 14:30:17.408 My Connections\New Connection - Received Private IP Address = IP ADDR=10.0.100.31 12-27: 14:30:17.408 My Connections\New Connection - Abandoning IPSec SA negotiation (message id: C1BC9431) 12-27: 14:30:17.408 My Connections\New Connection - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR) 12-27: 14:30:18.099 12-27: 14:30:18.099 My Connections\New Connection - Initiating IKE Phase 2 with Client IDs (message id: 92BA708C) 12-27: 14:30:18.099 My Connections\New Connection - Initiator = IP ADDR=10.0.100.31, prot = 0 port = 0 12-27: 14:30:18.099 My Connections\New Connection - Responder = IP SUBNET/MASK=10.0.100.0/255.255.255.0, prot = 0 port = 0 12-27: 14:30:18.099 My Connections\New Connection - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x) 12-27: 14:30:18.199 My Connections\New Connection - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NON, ID 2x) 12-27: 14:30:18.199 My Connections\New Connection - Filter entry 3: SECURE 010.011.011.003&255.255.255.255 010.000.100.000&255.255.255.000 DNS.DNS.DNS.DNS added. 12-27: 14:30:18.199 My Connections\New Connection - SENDING>>>> ISAKMP OAK QM *(HASH) 12-27: 14:30:18.199 My Connections\New Connection - Loading IPSec SA (Message ID = 92BA708C OUTBOUND SPI = CE04DA19 INBOUND SPI = 544D051C) 12-27: 14:30:18.199 Was mir in Deinem Log auffällt, ist die Responder-IP mit der 32er Maske ... Zitieren Link zu diesem Kommentar
Matt86 10 Geschrieben 27. Dezember 2005 Autor Melden Teilen Geschrieben 27. Dezember 2005 mir fällt gerade auf, dass ich jede IP anpingen kann, d.h. es antwortet jede IP, die ich eingebe, die im Netzwerk überhaupt nicht vorhanden ist?? -Hallo??? Zitieren Link zu diesem Kommentar
Matt86 10 Geschrieben 27. Dezember 2005 Autor Melden Teilen Geschrieben 27. Dezember 2005 Was mir in Deinem Log auffällt, ist die Responder-IP mit der 32er Maske ... Hab ich jetzt umgestellt und zack, jetzt antwortet keine IP mehr Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 Ich glaube, dass die Konfiguration des IPSec-Gateways nicht richtig ist. Als Ziel sollte das Subnetz 192.168.50.0 mit einer 255.255.255.0 Maske angegeben werden (so konfiguriere ich es, wenn ich eine Watchguard als Gateway habe und das dahinter liegende, private Netzwerk erreichen möchte). Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 Hab ich jetzt umgestellt und zack, jetzt antwortet keine IP mehr Was hast Du wo umgestellt ? Wenn Du die Maske im Gateway änderst, musst Du die Policy auf dem Client auch ändern. Wendet das Gateway auch Filter im Tunnel an oder ist im Standard voller Durchzug ? Zitieren Link zu diesem Kommentar
Matt86 10 Geschrieben 27. Dezember 2005 Autor Melden Teilen Geschrieben 27. Dezember 2005 Was hast Du wo umgestellt ? Wenn Du die Maske im Gateway änderst, musst Du die Policy auf dem Client auch ändern. Wendet das Gateway auch Filter im Tunnel an oder ist im Standard voller Durchzug ? Auf dem Client & Router hab ichs natürlich umgestellt. Unter VPN-Policies unter "Traffic Selector" hab ich bei -Local IP folgendes eingestellt: Subnet adress Start IP 192.168.50.0 Subnet Mask: 255.255.255.0 -Remote IP folgendes eingestellt: Single Adress Start IP 192.168.50.50 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 Die 192.168.50.50 ist dann die Adresse, die Deinem Client zugewiesen wird ? In welchem Subnetz befindet sich der Client lokal (sofern er überhaupt via Netzwerkkarte irgendwo angeschlossen ist) ? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 Hast Du es mal nach dieser Anleitung probiert ? http://www.netgear.de/download/support/VPN_Examples_08_2005.pdf Den Client kenne ich, den benutze ich bei den Watchguards auch ... Zitieren Link zu diesem Kommentar
Matt86 10 Geschrieben 27. Dezember 2005 Autor Melden Teilen Geschrieben 27. Dezember 2005 Die 192.168.50.50 ist dann die Adresse, die Deinem Client zugewiesen wird ? -ja In welchem Subnetz befindet sich der Client lokal (sofern er überhaupt via Netzwerkkarte irgendwo angeschlossen ist) ? -Das Subnet heßit im Netzwerk 255.255.255.0; Es gibt keinen Client mit der IP 192.168.50.50 Zitieren Link zu diesem Kommentar
Matt86 10 Geschrieben 27. Dezember 2005 Autor Melden Teilen Geschrieben 27. Dezember 2005 Hast Du es mal nach dieser Anleitung probiert ?http://www.netgear.de/download/support/VPN_Examples_08_2005.pdf Die Anleitung diente als Vorlage ;) Zitieren Link zu diesem Kommentar
Matt86 10 Geschrieben 27. Dezember 2005 Autor Melden Teilen Geschrieben 27. Dezember 2005 interessant ist ebenfalls, dass ich vom client im netzwerk einen Ping an den Client außerhalb des netzwerkes schicken kann. (d.h. es gibt eine Antwort) Wenn ich dagegen einen Ping vom Client außerhalb des Netzwerkes an den Client im Netzwerk schicke, kommt es zu einer Zeitüberschreitung. (Ich sehe aber, dass die "2 Computer" der LAN-Verbindung kräftig arbeiten.) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 Laut der Anleitung befindet sich das Netzwerk, welches hinter dem Netgear liegt (192.168.0.0) , in einem anderen Bereich als der Client (Adresse 192.168.10.10). Laut Deiner Konfiguration befinden sich privates Netz (192.168.50.0/24) und Client (192.168.50.50) im gleichen Subnetz. Ich kenne jetzt den Netgear nicht, weiss aber, dass eine wie von Dir erstellte Konfiguration bei anderen Gateways funktioniert. Zitieren Link zu diesem Kommentar
Matt86 10 Geschrieben 27. Dezember 2005 Autor Melden Teilen Geschrieben 27. Dezember 2005 Laut der Anleitung befindet sich das Netzwerk, welches hinter dem Netgear liegt (192.168.0.0) , in einem anderen Bereich als der Client (Adresse 192.168.10.10). Laut Deiner Konfiguration befinden sich privates Netz (192.168.50.0/24) und Client (192.168.50.50) im gleichen Subnetz. Ich kenne jetzt den Netgear nicht, weiss aber, dass eine wie von Dir erstellte Konfiguration bei anderen Gateways funktioniert. Ich muss bemerken, dass ich die Einrichtung nach Punkt 15 in der Anleitung durchgeführt habe. Genau.. Was bedeutet 192.168.50.0/24 -die /24 hab ich nach Anleitung nie verwendet Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 In diesem Punkt unterscheidet sich Punkt 15 nicht von Punkt 16. Bei beiden ist das interne Netz ein anderes als das des Clients. Punkt 15 benutzt nur eine feste, externe IP-Adresse für den Router. /24 bedeutet eine 24-Bit Subnetzmaske, also 255.255.255.0. Wenn man es getreu der Anleitung macht, würdest Du intern (hinter dem Netgear) das Netz 192.168.50.0 haben, mit einer Maske 255.255.255.0 (/24), der Router hat die interne Adresse 192.168.50.1 (z.B.) und eine feste, externe Adresse. Der Client würde dann die Adresse 192.168.10.10 bekommen, was Du auf beiden Seiten anpassen müsstest. Zitieren Link zu diesem Kommentar
Matt86 10 Geschrieben 27. Dezember 2005 Autor Melden Teilen Geschrieben 27. Dezember 2005 In diesem Punkt unterscheidet sich Punkt 15 nicht von Punkt 16. Bei beiden ist das interne Netz ein anderes als das des Clients. Punkt 15 benutzt nur eine feste, externe IP-Adresse für den Router. /24 bedeutet eine 24-Bit Subnetzmaske, also 255.255.255.0.Wenn man es getreu der Anleitung macht, würdest Du intern (hinter dem Netgear) das Netz 192.168.50.0 haben, mit einer Maske 255.255.255.0 (/24), der Router hat die interne Adresse 192.168.50.1 (z.B.) und eine feste, externe Adresse. Der Client würde dann die Adresse 192.168.10.10 bekommen, was Du auf beiden Seiten anpassen müsstest. Es ist alles so eingestellt. Eine Verbindung habe ich zum Router. (Ich bin aktiv unter VPN-Status eingetragen) Allerdings kann ich nicht auf meinen Domainserver zugreifen. Vielleicht liegt es auch daran, dass ich seitens des Clients (außerhalb vom Netzwerk) noch die Einstellung vom Netzwerk habe. D.h. ich bin noch direkt an der Domain angemeldet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.