Netgear FVS318 und VPN (ProSafe)

[DJ-Silver 10]

Hallo zusammen,

 

versuche gerade am FVS318 eine vpn verbindung zum laufen zu bekommen. Ich habe diese selbst lt. Anleitung nicht zum laufen bekommen.

 

als fehler bekomme ich siehe anlage :

 

 

 

weiss jemand damit mehr anzufangen als ich?

 

 

 

2. Problem ist wenn die VPN Software aktiv ist, kann man nicht mehr aufs netzwerk zugreifen:

 

ausser ich deaktivier die security policy. normal müsste doch die policy laufen und ein VPN kanal paralel laufen können oder ?

 

 

 

zum test Netz:

 

DSL Leitung mit FVS318

Konfiguration standart der NEtgear anleitung

 

 

der client wurde über ein handy betrieben, aber geht auch nicht wenn es über den selben router läuft.

 

Ich bin etwas ratlos.

 

wer kann helfen...

 

Sven

IKE36_.txt

[IThome 10]

Wenn die Security Policy aktiv ist und das Zielnetz dem Clientnetz entspricht, wird gemäss der Richtlinie versucht, eine Sicherheitsaushandlung durchzuführen, was natürlich fehlschlägt. Gibt es in der Security Policy einen Haken "Only connect manually" ? Wenn ja, aktiviere den mal. Vielleicht solltest Du noch ein bisschen mehr über die IP-Adressierung des Client- und des Servernetzwerkes erzählen, wie der Client sich verbindet usw.

Der Anhang ist leider noch nicht freigeschaltet ...

[DJ-Silver 10]

7-24: 21:18:32.765 No Interfaces detected.

7-24: 21:18:33.796 Filter table loaded.

7-24: 21:18:39.203 Interface added: 192.168.0.102/255.255.255.0 on LAN "Intel® PRO/Wireless 3945ABG Network Connection".

7-24: 21:25:58.917 Interface lost: 192.168.0.102

7-24: 21:25:59.417 Filter table loaded.

7-24: 21:25:59.417 No Interfaces detected.

7-24: 21:28:41.995 No Interfaces detected.

7-24: 21:28:41.995 Filter table loaded.

7-24: 21:34:59.620 Interface added: 10.226.11.53/255.0.0.0 on MODEM "Standardmodem über Bluetooth-Verbindung #3".

7-24: 21:35:00.760

7-24: 21:35:00.760 My Connections\Other Connections - Filter entry 3: SECURE 000.000.000.000&000.000.000.000 139.007.030.125&255.255.255.255 139.007.030.125 added.

7-24: 21:35:00.760 My Connections\Other Connections - Initiating IKE Phase 1 (IP ADDR=139.7.30.125)

7-24: 21:35:00.760 My Connections\Other Connections - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)

7-24: 21:35:02.432

7-24: 21:35:02.432 My Connections\Other Connections - Filter entry 4: SECURE 000.000.000.000&000.000.000.000 139.007.030.126&255.255.255.255 139.007.030.126 added.

7-24: 21:35:02.432 My Connections\Other Connections - Initiating IKE Phase 1 (IP ADDR=139.7.30.126)

7-24: 21:35:02.432 My Connections\Other Connections - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)

7-24: 21:35:02.542

7-24: 21:35:02.542 My Connections\Other Connections - Filter entry 5: SECURE 000.000.000.000&000.000.000.000 239.255.255.250&255.255.255.255 239.255.255.250 added.

7-24: 21:35:02.542 My Connections\Other Connections - Initiating IKE Phase 1 (IP ADDR=239.255.255.250)

7-24: 21:35:02.542 My Connections\Other Connections - SENDING>>>> ISAKMP OAK MM (SA, VID 2x)

7-24: 21:35:14.120

 

 

DAS IST MAL ein teil des anhangs.

 

es gibt die möglichkeit, "Only connect manually" aber ich würde es ja auch gerne so haben das man vpn und lokales netz nutzen kann.

 

 

der client sollte sich automatisch verbinden.

 

router hat statisch wan ip. intern 192.168.0.0 und für vpn 192.168.10.10 wobei diese fix für den client ist.

[IThome 10]

Hat der Client eine lokale IP-Adresse für seine Netzwerkkarte , wenn ja, welche (192.168.0.x) ? Welche Netzadresse hat das zu erreichende Netz (hinter dem Netgear) ? Zwingst Du alles in den Tunnel (ID Type/Subnet: Subnet 0.0.0.0 : Mask 0.0.0.0) ? NAch dem Initiate des Clients passiert nichts mehr ...

[DJ-Silver 10]

Also Client hat 192.168.0.x als ip aber ich deaktiviere die netzwerkkarte bevor ich mit dem online gehe.

 

zu erreichen ist 192.168.10.10

 

 

hinter dem netgear ist auch ein 192.168.0.x netz aber wie gesagt netzwerkkarte wird deaktivier, da ich umts als einwahl nutze zzt.

[IThome 10]

Welchen ID-Type hat das Ziel ? Was ist bei Subnet und Mask angegeben ? (beides bei Remote Party Identity and Addressing, ich habe hier einen Client von Watchguard, könnte sein, dass es etwas anders heisst))

[DJ-Silver 10]

Zwingst Du alles in den Tunnel (ID Type/Subnet: Subnet 0.0.0.0 : Mask 0.0.0.0) ? NAch dem Initiate des Clients passiert nichts mehr ...

 

ich würde sagen ja ;) ich verstehe nicht ganz was du meinst.

 

ftp://ftp.netgear.de/download/anleitungen/VPNKonfigurationsanleitung.pdf

 

ist wie unter Nr. 11 eingestellt.

 

Sven

[IThome 10]

Hier ist ein ordnungsgemässer Aufbau der Phase I (XAUTH)

7-24: 22:17:53.752

7-24: 22:17:53.762 My Connections\Verbindung1 - Initiating IKE Phase 1 (IP ADDR=x.x.x.x)

7-24: 22:17:53.912 My Connections\Verbindung1 - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)

7-24: 22:17:53.982 My Connections\Verbindung1 - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID 3x, NAT-D 2x)

7-24: 22:17:53.982 My Connections\Verbindung1 - Peer is NAT-T draft-02 capable

7-24: 22:17:53.982 My Connections\Verbindung1 - Peer supports Keepalive processing

7-24: 22:17:53.982 My Connections\Verbindung1 - Keepalive processing enabled

7-24: 22:17:53.982 My Connections\Verbindung1 - NAT is detected for Client

7-24: 22:17:53.982 My Connections\Verbindung1 - Floating to IKE non-500 port

7-24: 22:17:54.042 My Connections\Verbindung1 - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)

7-24: 22:17:54.042 My Connections\Verbindung1 - Established IKE SA

7-24: 22:17:54.042 MY COOKIE b2 80 ac aa 61 2b 86 5d

7-24: 22:17:54.042 HIS COOKIE e 70 ef 80 65 a6 a5 81

7-24: 22:17:54.072 My Connections\Verbindung1 - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)

7-24: 22:17:56.085 My Connections\Verbindung1 - User Authentication cancelled.

7-24: 22:17:56.095 My Connections\Verbindung1 - Deleting IKE SA (IP ADDR=x.x.x.x)

7-24: 22:17:56.095 MY COOKIE b2 80 ac aa 61 2b 86 5d

7-24: 22:17:56.095 HIS COOKIE e 70 ef 80 65 a6 a5 81

7-24: 22:17:56.095 My Connections\Verbindung1 - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)

 

edit: ich schau mir mal die Anleitung an

[DJ-Silver 10]

Welchen ID-Type hat das Ziel ?

iIP Subnet

 

Was ist bei Subnet und Mask angegeben ? (beides bei Remote Party Identity and Addressing, ich habe hier einen Client von Watchguard, könnte sein, dass es etwas anders heisst))

255.255.255.0

[IThome 10]

Seite 68/69 der Anleitung ?

[DJ-Silver 10]

ne das ist ja für die konfig wenn der client hinter einem Router steckt ist aber net der fall ist ja frei im internet ohne firewall nix...

 

 

57 - 63

[IThome 10]

Sieht zwar alles etwas anders als bei Watchguard aus, aber egal ...

Du hast Dir also als virtuelle Adapteradresse eine Adresse ausserhalb des internen LANs gegeben und diese als Single Address in der VPN-Konfiguration angegeben

[DJ-Silver 10]

mir ist gerade aufgefallen, dass im router sich immer meine ip einträgt unter folgenden Punkt: "Remote WAN IP or FQDN"

 

 

und beim prosafe steht im status monitor remote adress und gateway adress die 10.10 ist das richitg.

 

local adress und subnet jeweils 0.0.0.0

[IThome 10]

Leere mal Deinen Posteingang ...

[DJ-Silver 10]

Hallo zusammen,

 

hier einmal die Lösung des Problems für alle, an dieser stelle nochmal vielen Dank an IThome, der mir wirklich sehr geholfen hat.

 

 

Also wenn man sich z.b an die anleitung von Netgear hält dann steht dort, dass man unter Remote IPsec identifier einfach nur client eintragen soll. Hier besteht das erste Problem, erwartet wird ein @ also client@local z.b.

 

Das zweite Problem weswegen ich keine connections schien daran zu liegen, dass ich in der policy nicht den Key Life und IKE Life time eingetragen habe sondern undef..

 

nach dem mir IThome seine policy geschickt hatte konnte ich auch aufs lokale Netzwerk oder Internet zugreifen.

 

jedoch nächstes problem bei virtual adapter musste ich auf prefered stellen, ansonsten meldet er bei normaler Modem verbindung no virtual adapter. wenn man das über einen router realisiert klappt kann das auf verpflichtend stehen lassen.

 

 

 

Gruß Sven