VPN Verbindung zwischen zwei Routern Netgear 318v3 einrichten

[Wolkenmann]

Hallo Leute.
Ich stelle mich gerade extremst blöd an.
Wir haben in Kempten eine Niederlassung dazubekommen, die nun auf unser Firmennetzwerk zugreifen soll.

Der Router vom Typ Netgear318v3 steht jeweils einmal bei uns im Betrieb und einmal in Kempten.
Beide Router sind online und kommen ins Netz.

Für uns habe ich eine feste IP die auch schon steht und aktiv ist.:
80.153.62.xxx

Desweiteren habe ich einen Dyndns Account angelegt, der ebenfalls aktiv ist:
ckvxxx.dyndns.org

Beide Netz haben unterschiedliche IP's

Bei uns ist es:
10.70.62.0
255.255.255.0

In Kempten per DHCP auf Router:
10.71.62.0
255.255.255.0

Der Gedanke war, daß beide Netze über den Router dauerhaft verbunden sein sollen.
Vor allem sollen später die PC's dort via RDP ( Winconnect ) auf die gemeinsame Warenwirtschaft und Outlook zugreifen ( mit Winconnect XP kann man eine Art Terminalserver für Arme bauen, der auch schon läuft 😉 )

hier mal Scrennshot der IKE's
Ravensburg:

Kempten:

Vielleicht fällt einem schon was auf.
Sonst könnte ich noch die VPN-Policies anbieten.
Folgende Meldungen bekomme ich beim VPN Status:

[2009-01-02 05:02:16][==== IKE PHASE 1(from 79.207.124.163) START (responder) ====]
[2009-01-02 05:02:16]**** RECEIVED FIRST MESSAGE OF AGGR MODE ****
[2009-01-02 05:02:16]<POLICY: CKVVPN> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2009-01-02 05:02:16]SENDING NOTIFY MSG:
[2009-01-02 05:02:16]INVALID_ID_INFORMATION
[2009-01-02 05:02:16]**** SENT OUT INFORMATIONAL EXCHANGE MESSAGE ****
[2009-01-02 05:02:16]<POLICY: CKVVPN> PAYLOADS: NOTIFY

Wäre toll wenn jemand weiterwüßte.
Die Meldung in Rot habe ich schon nachgeschlagen.
Sie weißt auf eine unterschiedliche Konfiguration hin.
Allerdings sind die Policies meines Wissens nach sauber eingestellt.
Na ja,.. wäre toll wenn einer der Cracks hier helfen könnte 🙂

Sollte es recht bald zum Laufen bekommen ( bis Mo.nächster Woche ) 🙂

 

[Fletcher]

Bevor ich mich da in was verrenne:

Sind das zwei unterschiedliche DynDNS-Accounts?
Weil wenn nein, wie kann dann bei beiden Standpunkten als Remote (also der entfernte Punkt) die DynDNS-Domain angegeben sein. Das dürfte doch nicht klappen dann, oder ? Nur ne Vermutung. wenn es nur ein DynDNS Acc ist (ich bin aber schon so halb in Urlaub und hab immernoch Restblut im Alkhohol, von daher ^^ )

 

[Wolkenmann]

Nein, es ist ein einzelner Dyndns-Account für die Außenstelle, da dort keine feste IP vorhanden ist. Bei uns in der "Zentrale" dagegen besitzen wir eine feste IP.
Mein Gedanke war daß von "Dyndns" zu "fester IP" eigentlich auch gehen muß genau wie "Dyndns" zu "Dyndns" da Dyndns ja nur für eine quasi feste IP sorgt..
Oder liege ich schon hier falsch ?
Auf dem Router kommt ja laut Log schon was an.

Gruß
Wolkenmann

 

[Fletcher]

Mhm, also da ich grad wie gesagt echt nich auf der Höhe bin, versuch ich mich mal zu erklären ^^

Router Ravensburg: Local: 80.x.x.x // Remote: DynDNS
Router Kempten: Local: 79.x.x.x // Remote: DynDNS

so ist das ja im Moment, was aber eigentlich ja nicht klappen kann, da bei beiden Router als Remote der DynDNS angegeben ist, der aber nur auf eine IP zeigt, sprich der Remote-Eintrag von Kempten zeigt auf sich selber, oder?
Müsste doch viel mehr so aussehen:

Router Ravensburg: Local: 80.x.x.x // Remote: DynDNS (79.x.x.x)
Router Kempten: Local: 79.x.x.x // Remote: 80.x.x.x

Oder hab ich grad komplett Gehirnfasching bei mir ? Oo

 

[[iczer]]

ich hoffe ich hab jetzt nicht in die völlig falsche richtung gedacht, aber Remote sollte die IP sein, zu der sich die Router verbinden.

Der Router mit der statischen IP darf den dynDNS Eintrag nicht aktualisieren, muss sich jedoch zu der hinterlegten IP verbinden. Die Einstellung erscheint mir richtig.

Die dynamischeIP muss den Eintrag aktualisieren, muss sich aber mit der statischen IP verbinden. Meine Vermutung ist das der Remote Eintrag bei der dynamischen IP geändert werden muss auf den statische IP.

Wie gesagt, ist jetzt eher geraten und ich bitte um Verzeihung, wenn ich völlig daneben gelegen haben sollte. 😛


€dit: Peng, da war ich wohl zu langsam.

 

[Wolkenmann]

werde ich gleich mal probieren 🙂

herzlichen Dank übrigens 🙂
vorab für eure Hilfe.

 

[Fletcher]

No Problemo Wolke 😉
Sag Bescheid, obs daran lag oder nicht ^^

 

[Wolkenmann]

Jungs Ihr seid Goldstücke 😉
Endlich habe ich es geschnallt.
Ich dachte immer ich müßte dort schon die dnydns-Angaben machen. Aber die werden ja an gaaanz anderer Stelle hinterlegt.
an dieser Stelle geht es ja nur um die Authentification.
Gaaaanz unabhängig von der Art, wie sich die beiden Seiten finden.

aaaaaaaahhhhh *
Tage und Wochen des Grübelns .. endlich ist der Knoten geplatzt .
Heureka !


[2009-01-02 07:02:08][==== IKE PHASE 1(from 79.207.124.163) START (responder) ====]
[2009-01-02 07:02:08]**** RECEIVED FIRST MESSAGE OF AGGR MODE ****
[2009-01-02 07:02:08]<POLICY: CKVVPN> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID
[2009-01-02 07:02:11]<POLICY: CKVVPN> PAYLOADS: SA,PROP,TRANS,KE,NONCE,ID,HASH
[2009-01-02 07:02:11]**** SENT OUT SECOND MESSAGE OF AGGR MODE ****
[2009-01-02 07:02:13]**** RECEIVED THIRD MESSAGE OF AGGR MODE ****
[2009-01-02 07:02:13]<POLICY: CKVVPN> PAYLOADS: HASH
[2009-01-02 07:02:13]**** AGGR MODE COMPLETED ****
[2009-01-02 07:02:13][==== IKE PHASE 1 ESTABLISHED====]
[2009-01-02 07:02:13][==== IKE PHASE 2(from 79.207.124.163) START (responder) ====]
[2009-01-02 07:02:13]**** RECEIVED FIRST MESSAGE OF QUICK MODE ****
[2009-01-02 07:02:13]<POLICY: CKVVPN> PAYLOADS: HASH,SA,PROP,TRANS,NONCE,ID,ID
[2009-01-02 07:02:13]**** FOUND IDs,EXTRACT ID INFO ****
[2009-01-02 07:02:13]<Initiator IPADDR=10.71.62.0 MASK=255.255.255.0>
[2009-01-02 07:02:13]<Responder IPADDR=10.70.62.0 MASK=255.255.255.0>
[2009-01-02 07:02:13]**** SENT OUT SECOND MESSAGE OF QUICK MODE ****
[2009-01-02 07:02:13]**** RECEIVED THIRD MESSAGE OF QUICK MODE ****
[2009-01-02 07:02:13]<POLICY: CKVVPN> PAYLOADS: HASH
[2009-01-02 07:02:13]**** QUICK MODE COMPLETED ****
[2009-01-02 07:02:13][==== IKE PHASE 2 ESTABLISHED====]
[2009-01-02 07:02:18]DISCARDING RETRANSMITTED PACKET...
[2009-01-02 07:02:24]DISCARDING RETRANSMITTED PACKET...
[2009-01-02 07:02:30]DISCARDING RETRANSMITTED PACKET...

 

[Wolkenmann]

So wird ein Schuh draus :

Bilder aus Sicherheitsgründen gelöscht

 

[[iczer]]

man hilft wo man kann 😉

 

[Fletcher]

Ich kenn das Wolkenmann.
Man sitzt da und grübelt und grübelt und grübelt ... und kommt kein Stück weiter ... das is echt schlimm.
Und dann wars so nen Popelfehler.
Gz das es läuft, da kann man doch ruhig ins WE gehen 😉

 

[Wolkenmann]

So, nachdem dank eurer Hilfe mein Gedankenknoten platzte noch eine weiter Nuß zu knacken.
Das Routing zwischen beiden Routern via VPN klappt einwandfrei-
Aber-- wir hätten da noch zwei Notebooks die sich von unterwegs ( WLAN ) einwählen möchten.
Nachdem der Router selber eine eigene Einwahlsoftware erwartet, die wir auch besitzen habe ich festgestellt, daß ich auch dort nicht ganz verstehe, warum ich nicht reinkomme.
Ich habe Routerseitig keine weiteren IKE Policies angelegt außer der, mit der sich die beiden Router verbinden.
Richtig oder falsch ?
Zweitens.
Das Log selber meldet den erflgreichen Austausch der ersten Phase scheiter aber an der zweiten.
Warum kann ich nicht sagen.
Kann einer von euch was mit einem Log anfangen ?!
Hier mal in meiner unverblümten Hoffnung das Log:

1-15: 00:35:34.773
1-15: 00:35:34.773 My Connections\ckv - Initiating IKE Phase 1 (IP ADDR=xx.xx.xx.xx)
1-15: 00:35:35.084 My Connections\ckv - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
1-15: 00:35:38.248 My Connections\ckv - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID, NAT-D 3x)
1-15: 00:35:38.248 My Connections\ckv - Peer is NAT-T draft-01 capable
1-15: 00:35:38.258 My Connections\ckv - NAT is detected for Client
1-15: 00:35:38.579 My Connections\ckv - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
1-15: 00:35:38.579 My Connections\ckv - Established IKE SA
1-15: 00:35:38.579 My Connections\ckv - MY COOKIE e8 68 f6 d5 18 ce fe 56
1-15: 00:35:38.579 My Connections\ckv - HIS COOKIE d9 6a 49 e4 81 72 4e 3e
1-15: 00:35:38.779 My Connections\ckv - Initiating IKE Phase 2 with Client IDs (message id: B4A54471)
1-15: 00:35:38.779 My Connections\ckv - Initiator = IP ADDR=10.0.0.3, prot = 0 port = 0
1-15: 00:35:38.779 My Connections\ckv - Responder = IP SUBNET/MASK=10.70.62.0/255.255.255.0, prot = 0 port = 0
1-15: 00:35:38.779 My Connections\ckv - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
1-15: 00:35:54.091 My Connections\ckv - QM re-keying timed out. Retry count: 1
1-15: 00:35:54.091 My Connections\ckv - SENDING>>>> ISAKMP OAK QM *(Retransmission)
1-15: 00:36:09.092 My Connections\ckv - QM re-keying timed out. Retry count: 2
1-15: 00:36:09.092 My Connections\ckv - SENDING>>>> ISAKMP OAK QM *(Retransmission)
1-15: 00:36:24.104 My Connections\ckv - QM re-keying timed out. Retry count: 3
1-15: 00:36:24.104 My Connections\ckv - SENDING>>>> ISAKMP OAK QM *(Retransmission)
1-15: 00:36:39.226 My Connections\ckv - Exceeded 3 attempts (message id: B4A54471)
1-15: 00:36:39.226 My Connections\ckv - Disconnecting IKE SA negotiation
1-15: 00:36:39.226 My Connections\ckv - Deleting IKE SA (IP ADDR=xxxxxxx)
1-15: 00:36:39.226 My Connections\ckv - MY COOKIE e8 68 f6 d5 18 ce fe 56
1-15: 00:36:39.226 My Connections\ckv - HIS COOKIE d9 6a 49 e4 81 72 4e 3e
1-15: 00:36:39.226 My Connections\ckv - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)

Hat einer von euch einen Plan ?!
Die Einstellungen habe ich nach bestem Wissen und Gewissen gemacht und eigentlich ist mir kein Fehler bewußt, außer der Tatsache, daß ich eine Paßphrase hinterlegt habe die am Router zwar den gleichen Inhalt trägt, aber in der Client-Software eine andere Überschrift trägt.
Beim Router lautet der Eintrag "fully qualified User Name"
In der Clientsoftware gibt es nur "ip Adress", "Domain Name" und "E-mail Adress"

Ideen und Anregungen werden wieder einmal gerne genommen.

Gruß
Wolkenmann

 

[Wolkenmann]

und wieder mal hat das reine Aufschreiben das Problem entschärft. 🙂
Die obere Verbindung hatte IKE's die das Netz zwischen beiden Routern getunnelt hatten.
Jetzt brauche ich tatsächlich 2 IKE's.
Nun aber die Gretchenfrage:

Brauche ich pro Notebook eigene IKE's und VPN Policies oder können beide Notebooks zur gleichen Zeit den gleichen Tunnel nutzen ?!
Bin dankbar für Hilfe und Hinweis.
Gruß
Wolkenmann

 

[Wolkenmann]

Eine Sache hätte ich allerdings noch.
Ich kriege zwar folgende Meldung:

1-15: 01:18:06.693
1-15: 01:18:06.693 My Connections\ckv - Initiating IKE Phase 1 (IP ADDR=xxxxxxxxx)
1-15: 01:18:07.013 My Connections\ckv - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
1-15: 01:18:10.148 My Connections\ckv - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID, NAT-D 3x)
1-15: 01:18:10.148 My Connections\ckv - Peer is NAT-T draft-01 capable
1-15: 01:18:10.148 My Connections\ckv - NAT is detected for Client
1-15: 01:18:10.378 My Connections\ckv - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
1-15: 01:18:10.378 My Connections\ckv - Established IKE SA
1-15: 01:18:10.378 My Connections\ckv - MY COOKIE 85 2a 83 6f db 92 4d d5
1-15: 01:18:10.378 My Connections\ckv - HIS COOKIE c8 11 ca 16 fb 4b c9 93
1-15: 01:18:10.578 My Connections\ckv - Initiating IKE Phase 2 with Client IDs (message id: 71092AFF)
1-15: 01:18:10.578 My Connections\ckv - Initiator = IP ADDR=10.0.0.3, prot = 0 port = 0
1-15: 01:18:10.578 My Connections\ckv - Responder = IP SUBNET/MASK=10.70.62.0/255.255.255.0, prot = 0 port = 0
1-15: 01:18:10.578 My Connections\ckv - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
1-15: 01:18:12.060 My Connections\ckv - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
1-15: 01:18:12.060 My Connections\ckv - Filter entry 3 added: SECURE 010.000.000.003&255.255.255.255 010.070.062.000&255.255.255.000 xxx.xxx.xxx.xxx
1-15: 01:18:12.060 My Connections\ckv - SENDING>>>> ISAKMP OAK QM *(HASH)
1-15: 01:18:12.241 My Connections\ckv - Loading IPSec SA (Message ID = 71092AFF OUTBOUND SPI = 8E2051D0 INBOUND SPI = 315BAF94)
1-15: 01:18:12.241
1-15: 01:18:18.850 My Connections\ckv - RECEIVED<<< ISAKMP OAK QM *(Retransmission)
1-15: 01:18:18.850 My Connections\ckv - SENDING>>>> ISAKMP OAK QM *(Retransmission)
1-15: 01:18:24.078 My Connections\ckv - RECEIVED<<< ISAKMP OAK QM *(Retransmission)
1-15: 01:18:24.078 My Connections\ckv - SENDING>>>> ISAKMP OAK QM *(Retransmission)
1-15: 01:18:29.295 My Connections\ckv - RECEIVED<<< ISAKMP OAK QM *(Retransmission)
1-15: 01:18:29.295 My Connections\ckv - SENDING>>>> ISAKMP OAK QM *(Retransmission)

allerdings schaffe ich keinen Ping auf den Zielrechner sowie keine Reaktion auf den Zugriff mit Remote Console, um die Anwendugen auf dem "Terminalserver" zu starten.
Woran kann das denn nun liegen !?

 

[Wolkenmann]

Up:
jemand eine Idee ?! Oder sind die EDV-ler unter euch gerade selber mit dem Kopf woander 😉

 

[Fletcher]

Huhu Wolke 😉
So wie ich das sehe, wird der VPN-Tunnel aufgebaut und steht, aber sonst tut sich nichts richtig?
Oder hab ich das grad falsch aufgefasst.

((Ja, vlt bissle spät die Nachfrage, aber ich hatte bis jetzt absolut keine Zeit um hier mal vorbeizugucken ^^))

 

[Wolkenmann]

Habe es zwischenzeitlich schon geraume Zeit am Laufen 🙂
Aber danke für die Rückmeldung.
Ich dachte schon, daß dies die meisten überfordert.
Danke vielmals trotzdem.

mit dem NCP Client hat es auf Anhieb geklappt.

 

[Fletcher]

Ah, na dann ;D

Ich hatte in der letzen Zeit selber genug mit VPNs und Server zu tun, da blieb keien Zeit mehr übrig, irgendwie.
Aber wenns läuft, dann passts ja 🙂

 

[Cy-baer]

Edit:
Hmm wer lesen kann...was war es denn nun?

Wenn mich nicht alles täuscht musst du doch ne Portweiterleitung einrichten. Du wendest dich doch jetzt von Client A über Router A an Router B und der muss ja wissen welchen Cleint im Netz B du willst. Das machst du über die Portnummer.

Dann könnte es noch sein das die Router ne Firewall haben die pingen von außen blocken.

 

[Fletcher]

Dein Post verwirrt mich Cy-baer ^_^