VPN Softremote kommunziert nicht mit Zyxel662

[SBK 3]

Hallo Leute,

 

Ich habe bei einer Firma den Zyxel Prestige 662-Router installiert und 1 VPN-Tunnel konfiguriert. Beim externen Mitarbeiter mit Kabelmodem und D-Link Router/Firewall, habe ich auf dem PC die Softremote Software installiert und konfiguriert.

 

Ich kann aber von dem PC keine VPN-Verbindung aufbauen, im Log Viewer erscheint

15:13:28.315 My Connections\test - SENDING>>>> ISAKMP OAK MM (SA, VID)

15:13:36.247 My Connections\test - message not received! Retransmitting!

15:13:36.247 My Connections\test - SENDING>>>> ISAKMP OAK MM (Retransmission)

15:13:44.258 My Connections\test - message not received! Retransmitting!

15:13:44.258 My Connections\test - SENDING>>>> ISAKMP OAK MM (Retransmission)

15:13:51.268 My Connections\test - message not received! Retransmitting!

15:13:51.268 My Connections\test - SENDING>>>> ISAKMP OAK MM (Retransmission)

15:13:59.280 My Connections\test - message not received! Retransmitting!

15:13:59.280 My Connections\test - SENDING>>>> ISAKMP OAK MM (Retransmission)

15:14:06.290 My Connections\test - Exceeded 3 IKE SA negotiation attempts

 

Wenn ich Softremote aber von meinem PC aus (Zyxel Prestige 652 mit NAT und aktivierter Firewall) die identischen VPN-Einstellungen verwende, funktioniert der VPN-Tunnel. Somit ist der Port 500 beim Zyxel662 sicher offen.

 

Wieso kann der externe Mitarbeiter aber keinen Tunnel aufbauen? Liegt es ev. an der D-Link-Firewall? Diese hat aber keine Blockaden von LAN to WAN, dennoch kann ich die D-Link-Firewall nicht deaktivieren. Die Windows XP Firewall habe ich vorsorglich ebenfalls auf inaktiv gesetzt. Hat nichts gebracht. Wieso erfolgt die IKE-Authentifizierung nicht erfolgreich?

 

Hat jemand Erfahrungswerte? Besten Dank für eure Antworten.

 

Gruss SBK

[IThome 10]

Welcher D-Link Router steht auf der Clientseite ?

Ich habe in den FAQs von Zyxel mögliche Ansatzpunkte gefunden ...

http://www.zyxel.com/support/supportnote/P662HW/index_f.php

Es sieht so aus, dass die IKE-Pakete nicht ankommen, wenn die AUshandlung fehlschlägt, hast Du andere Meldungen ...

[SBK 3]

Das ging aber Fix. Der D-Link-Router ist ein DI-624.

 

Ich werde mir die Zyxel-FAQ gleich näher anschauen, hattest Du ein spezifisches Problem lokalisiert oder gefunden?

 

Jedenfalls vielen Dank schon Mal für den Zyxel-FAQ-Hinweis.

 

Gruss SBK

[IThome 10]

Ich dachte an die FAQ #18, wusste aber ja noch nicht, was auf der Clientseite steht, ich schau mal, was bei diesem Router das Problem sein könnte ...

NAT-Traversal ist auch immer wieder ein Thema ...

Habe auch noch was von D-Link gefunden (komische Dinger, wie ich finde...)

http://support.dlink.com/SupportFAQ/default.asp?model=DI%2D624%5FrevC

[SBK 3]

Bin auch kein D-Link-Fan. Die FAQ von D-Link könnten aber genau ins Schwarze getroffen haben, ich versuche nächste Woche (bin nicht früher beim Kunden) folgendes:

 

Secure Remote 4.1

** The LAN network (192.168.0.xxx) should be different than the IP range used for the VPN. Please contact your admin or IS department for this information.

 

Upgrade your router to the latest firmware. You can download firmware at http://support.dlink.com/downloads.

 

Disable all Firewall Software (ZoneAlarm, Windows XP Firewall, etc.).

 

Step 1 Open the Web Configuration Page by entering 192.168.0.1 into your web browser. Enter username (admin) and your password (blank by default).

 

Step 2 Click on TOOLS and then MISC. Disable UPnP and Enable IPSec.

 

Step 3 Click APPLY and then CONTINUE.

 

Step 4 Click on the ADVANCED tab and then VIRTUAL SERVER.

 

Step 5 In the Virtual Servers list, click the notepad (edit) icon next to IPSEC. The line will turn yellow and the information on the top half of the screen will be filled in.

 

Step 6 Enter the IP address of your computer in the box next to PRIVATE IP.

 

Step 7 Click APPLY and then CONTINUE.

 

Step 8 You should now be able to connect to your VPN.

 

Danke jedenfalls für Deine effzienten FAQ-Unterstützungen. Werde noch posten ob dies das Problem gelöst hat.

 

Nochmals Danke und Gruss

 

SBK

[IThome 10]

Keine Ursache, ich habe nur Links geposted, die Arbeit machst Du ja selbst ... ;)

Das Problem kenne ich aber, allerdings nicht in Verbindung mit D-LINK oder Zyxel, wir setzen nur Draytek und Watchguard ein :)

[SBK 3]

@IThome:

 

Vielen Dank für die Links, Du lagst mit dem Denkanstoss goldrichtig. Habe im D-Link Router UPNP und Gaming-Mode deaktiviert und siehe da das VPN wird korrekt aufgebaut!

 

Nochmals thanks, hätte mich sicher noch weitere Stunden mit den VPN-Einstellungen unnötig verzettelt...

 

Gruss SBK

[IThome 10]

Danke für Dein Feedback ... :thumb1:

[SBK 3]

Eine Frage hätte ich aber noch :o

 

1. Softremote-Client hat die interne IP 192.168.0.100

2. Client hinter dem Zyxel662 hat die interne IP 192.168.2.35

 

Alle Verbindungen vom Softremote-Client zum Subnetz hinter dem Zyxel 662 funktionieren einwandfrei. Wenn nun aber der Client mit der IP 192.168.2.35 versucht eine Remotedesktopverbindung oder auch nur ein Ping auf 192.168.0.100 aufzubauen, schlägt dies fehl. Voran könnte das liegen? Der VPN-Tunnel ist aufgebaut und im Router wird auch die IP 192.168.0.100 angezeigt.

 

Somit sollte doch die Verbindung resp. Kommunikation in beiden Richtungen funktionieren???

 

Danke für eine weitere Hilfestellung...

 

Gruss SBK

[IThome 10]

Benutzt der Client den Virtuellen Adapter ?

[SBK 3]

Ja, die Einstellung Virtual Adapter im Softremoteclient steht auf Preferred. Ich könnte dort auch Disable oder Required einstellen. Gemäss Dokumentation empfehlen Sie aber Preferred.

 

Was bringt die Einstellung mit sich?

[IThome 10]

Stelle ihn auf Required und versuche es nochmal (es müsste zusätzlich ein Netzwerksymbol im Tray erscheinen) ...

edit: http://support.safenet-inc.com/default.cfm?select=faq&sub=selectfaq&productid=25#348

[SBK 3]

Einfach Genial, hat funktioniert!

 

Kann man Dich mieten? ;)

 

Vielen tausend Dank nochmals und Grüsse aus der Schweiz

 

SBK

[IThome 10]

Gern geschehen ... :)