xDSL.at

[orlyy77]

Hallo,
Habe folgendes Problem:
Hab mir einen Netgear Router gekauft (FVS124G) und möchte mich jetzt mit einem Client PC - auf welchem auch die Netgear Client Software installiert ist - auf den VPN Router bzw. auf den Pc (Server) dahinter verbinden. Der Client PC hat eine ISDN Verbindung ins Netz - der Server hat einen Breitbandanschluss. Mittlerweile wurde die ganze Angelegenheit bereits vom Netgear Hotline support eingestellt - auch bekam ich die Konfig Datei für den Client zugesandt - aber die Sache funct noch immer nicht. Habe auch alle Software Firewalls (Zone Alarm Pro) deinstalliert - auch nichts. Auf beiden PC ´s läuft das gleiche Betriebssystem - Win XP mit SP2.

Die Fehlermeldung bzw. die Log Datei des Client schaut folgendermaßen aus:
4-09: 11:35:44.609 NETGEAR ProSafe VPN Client Version 10.5.1 (Build .
4-09: 11:35:48.921 Interface added: 192.168.0.1/255.255.255.0 on LAN "OvisLink LFE-8139ATX-Fast Ethernet-Adapter".
4-09: 11:35:49.218 Filter table loaded.
4-09: 11:35:49.218 This is a GA version of NETGEAR ProSafe VPN Client.
4-09: 11:37:09.390 Interface added: 62.46.79.106/255.0.0.0 on MODEM "AVM ISDN Internet (PPP over ISDN)".
4-09: 11:38:48.542
4-09: 11:38:48.542 My Connections\New Connection - Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.26)
4-09: 11:38:49.072 My Connections\New Connection - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
4-09: 11:38:52.220 My Connections\New Connection - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID, NAT-D 2x, VID 2x)
4-09: 11:38:52.220 My Connections\New Connection - Peer is NAT-T draft-02 capable
4-09: 11:38:52.220 My Connections\New Connection - Peer supports Dead Peer Detection Version 1.0
4-09: 11:38:52.220 My Connections\New Connection - Dead Peer Detection enabled
4-09: 11:38:52.501 My Connections\New Connection - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
4-09: 11:38:52.501 My Connections\New Connection - Established IKE SA
4-09: 11:38:52.501 My Connections\New Connection - MY COOKIE 66 f 8f 2 ac 2d c2 cb
4-09: 11:38:52.501 My Connections\New Connection - HIS COOKIE d9 62 82 d6 a9 25 bd f6
4-09: 11:38:52.641 My Connections\New Connection - Initiating IKE Phase 2 with Client IDs (message id: 6FA3855B)
4-09: 11:38:52.641 My Connections\New Connection - Initiator = IP ADDR=192.168.10.10, prot = 0 port = 0
4-09: 11:38:52.641 My Connections\New Connection - Responder = IP SUBNET/MASK=192.168.5.0/255.255.255.0, prot = 0 port = 0
4-09: 11:38:52.657 My Connections\New Connection - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
4-09: 11:38:53.810 My Connections\New Connection - RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)
4-09: 11:38:53.810 My Connections\New Connection - Deleting IKE SA (IP ADDR=xxx.xxx.xxx.26)
4-09: 11:38:53.810 My Connections\New Connection - MY COOKIE 66 f 8f 2 ac 2d c2 cb
4-09: 11:38:53.810 My Connections\New Connection - HIS COOKIE d9 62 82 d6 a9 25 bd f6
4-09: 11:38:57.784 My Connections\New Connection - RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)
4-09: 11:39:01.774 My Connections\New Connection - RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)
4-09: 11:39:05.748 My Connections\New Connection - RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)



Und die Fehlermeldung direkt am Router unter VPN Status ist folgende:

D APR 05 16:53:58 2006 INFO :: Started phase-I negotiation
WED APR 05 16:53:58 2006 INFO :: received NOTIFY PAYLOAD of notify type REPLAY_STATUS
WED APR 05 16:53:58 2006 INFO :: received NOTIFY PAYLOAD of notify type INITIAL_CONTACT
WED APR 05 16:53:58 2006 INFO :: IKE phase-I started
WED APR 05 16:53:58 2006 INFO :: Initiator SPD selectors received: IPADDR, 192.168.10.10, proto 0, port 0
WED APR 05 16:53:58 2006 INFO :: Responder SPD selectors received: IP SUBNET, 192.168.5.0, mask 24 proto 0, port 0
WED APR 05 16:53:58 2006 INFO :: No matching SPD policy for the selectors received in IKE phase-II message
WED APR 05 16:53:58 2006 INFO :: IKE phase-II with message ID 21e33467 failed
WED APR 05 16:54:00 2006 INFO :: Sending a Delete payload of protocol ISAKMP and Peer IP: 3e2e4966
WED APR 05 16:54:00 2006 INFO :: Deleting the IsakmpSA


Vielleicht hat jemand Erfahrung mit dem Netgear Router FVS124G bzw. hat eine Idee an was es noch liegen könnte.

Danke für alle Antworten.

Grüße,

orlyy77

[lordpeng]

wie sieht deine VPN konfiguration im detail aus?

ich denke mal, dass du seitens des routers eine statische IP oder einen statischen hostnamen hast, seitens des vpn clients vermutlich eine dynamische IP ...

wenn es sich um den safenet vpn client handelt, den netgear unter eigenem namen verscherbelt, dann solltest du sicherstellen, dass du eine aktuelle version hast und die konfigurationstemplates von der installationscd verwenden, es waren mal versionen im umlauf, wo eine händische konfiguration fast unmöglich war

[orlyy77]

Danke für die Antwort!

Wie du richtig sagst, der Router hat eine statische IP und der VPN Client hat eine dynamische IP, da er sich immer neu über ISDN einwählt.

Die Client Software heist ProSafe VPN Client Software Single-User license!

Hab auch schon vom Netgear Support eine aktuelle Version per Mail zugesandt bekommen zusammen mit der Config Datei für den VPN Client - aber hilf alles nichts

[lordpeng]

wie sieht deine client-konfiguration aus? mach ein paar screenshoots, mach aber öffentliche IP's etc. unkenntlich ...

[orlyy77]

Hier ein paar Screenshots vom VPN Client und vom Server (Router):

[orlyy77]

Und noch zwei vom Client:

[orlyy77]

Und hier noch drei Shots von den Einstellungen am Router!

Hoffe das Hilft irgendwie weiter!

Danke!!

[lordpeng]

clientseitig solltest du auf jedenfall den virtual adapter verwenden, damit kannst du dann unabhängig von der internetanbindung einen vpn tunnel aufbauen d.h. auch wenn du hinter einem router bist, der NAT macht (vorausgesetzt dieser blockiert das VPN nicht)

seitens des router solltest du dort wo die remote ip zu definieren ist, entweder das netz indem sich der virtual-adaper des clients befindet oder die eindeutige IP adresse des virtual adapters vom client eintragen also beispielsweise 192.168.10.0/255.255.255.0 oder 192.168.10.10/255.255.255.255

allerdings würde ich für den virtual adapter eine andere IP wählen, kannst aber grundsätzlich auch so belassen

btw. du hast in den ike settings am router einen remote-identifier 'fvs-remote.com' eingetragen am client jedoch 'VPN1.fvs-remote.com' diese sollten eigentlich übereinstimmen

[orlyy77]

Danke für die Antwort!

Wo kann ich denn die eindeutige IP Adresse des Virtual Adapters sehen?

Der Client PC befindet sich in keinem Netzwerk - es ist nur über einen Switch noch ein zweiter PC angeschlossen, welcher auch die Internetverbindung des Client PC nutzt. Kann auch diese Einstellung ein Problem sein?

Die Einträge bei den IKE settings (fvs_remote.com) und am Client (VPN1.fvs_remote.com) wurden vom Netgear support eingestellt.

Interessant ist es auch, dass sich der Netgear support auf den Router connecten kann - auch der Status wird dann am Router dementsprechend angezeigt.

Das Problem liegt demnach doch am Client Pc mit der ISDN Verbindung!?!

Werd mal das Vorgeschlagene probieren.

Danke nochmals!

[lordpeng]

>Wo kann ich denn die eindeutige IP Adresse des Virtual Adapters sehen?
die kannst du frei definieren

>Das Problem liegt demnach doch am Client Pc mit der ISDN Verbindung!?!
an der verbindung wohl eher nicht, eher an der konfiguration

>dass sich der Netgear support auf den Router connecten kann
>auch der Status wird dann am Router dementsprechend angezeigt
klingt etwas eigenartig, da ich davon ausgehe, dass die konfiguration die du von netgear bekommen hast, dann wohl eine getestete bzw. funktionierende sein wird

ich kenne den FVS124G zwar nicht, aber so wie es aussieht ist der auch nicht viel anders zu konfigurieren, als andere modelle von netgear, es gibt von netgear ein pdf wo die vpn konfiguration für verschiedene szenarien genau beschrieben ist, die braucht man im grunde nur schritt für schritt befolgen, die kann ich dir heute abend mailen