mr._oiso 10 Geschrieben 26. Juli 2004 Melden Teilen Geschrieben 26. Juli 2004 Hallo Forum, ich habe ein Problem mit meinem Netgear RP614v.2 Firmeware 5.2RC1 deutsch. Ich möchte gerne einen VPN IPSEC-ESP von extern über das Internet auf eine Watchguard Firebox über ein Portforwarding auf den Router herstellen. Konfiguration: Watchguard VPN Client 6.1.3 Phase 1: Pre Schared Key, DES, SH1 Phase 2: IPSEC-ESP, 3DES, SH1 Router: Portforwarding: ESP-IPSEC Port500 auf die Firewall NAT-T Port4500 auf die Firerwall DYNDNS aktiviert Watchguard: Watchguard VPN Mobile User eingrichtet. Mein Problem ist der Router leitet die IPSEC Packete nicht weiter, in meinem Firerwall Log sehe ich keine incoming Protokolle. Ohne Router kann ich die Vpn Verbindung aufbauen. Da die Watchguard kein dyndns unterstützt brauch ich den Router. Gruß Olaf Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 26. Juli 2004 Melden Teilen Geschrieben 26. Juli 2004 Neben Port 500 und 4500 UDP fehlt mir da irgendwie das VPN-Passthrough (Protokoll 50, NICHT: Port50)......?! Allerdings, wenn du gar nichts in dieser Richtung siehst, dann leitet es der Router nicht weiter (Konfigurationsfehler?) oder der Client schickt es nicht an die externe Routeradresse? grizzly999 Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 28. Juli 2004 Autor Melden Teilen Geschrieben 28. Juli 2004 Hi grizzly999 thx for your answer ! Jedoch das Protokoll 50 kann man nicht forwarden. Protokolle können scheinbar generell nicht auf Netgear-Router geforwarded werden. Das Problem ist eher, das ich nicht weiß was in der Policy auf dem Router "Named IPSEC ESP" schon alles an Ports oder Protokollen enthält. IPSEC ESP ist eine vorgefertigte Policy, welche man direkt auf dem Router aktivieren kann. Zusätzlich habe ich noch Port 500 ESP-IPSEC und NAT-T 4500 geforwarded, aber nichts geht. Gleiches habe ich auch auf einem anderen Netgear, auf dem ich PPTP versucht hatte. Auf die gleiche weise mit einer PPTP-Policy zum forwarden. Aber auch hier läuft es nicht. Im Lan ist es kein Problem den PPTP-Server anzusprechen, aber via WAN ist kein drankommen. Bei PPTP z.B. wäre es dann das GRE Protokoll 47, welches eventuell nicht läuft. Auf der Watguard kann man nicht mal auch nur annähernd was von IPSEC im Log sehen ! Vielleicht hat ja jemand schon mal Erfahrungen mit den Netgear Routern gemacht. Danke Gruß Mr. Oiso Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Juli 2004 Melden Teilen Geschrieben 28. Juli 2004 ... Und das Portforwarding für UDP 500 ist korrekt eingerichtet? Dia ersten Pakete, die laufen sollten, sind IKE-Pakete, Port 500 UDP zum VPn-Server und zurück). Die externe Adresse des Routers ist korrekt beim eingetragen, bzw. es ist auch DIE externe Adresse des Routers? BTW: Ich nehme an, dass der Router vorne steht und die WG hinten, so genau war das deinem Post nicht zu entnehmen. grizzly999 Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 28. Juli 2004 Autor Melden Teilen Geschrieben 28. Juli 2004 Hi grizzly999 Thx für Deine seelische Unterstützung. Schließlich läst sich bei Netgear so gut wie nie der Telefon-Support erreichen. Aber egal, die haben da auch keine Lösung für das Problem. Die reden da alle was von einem UPnP Protokoll, mit welchem man so eine Art Multicast Steuerung für diverse Dienste im Lan anbieten kann. (Wäre auf dem Netgear Router einzuschalten) Das funktioniert auf jeden Fall mit PPTP jetzt bei mir da Heim ! Die Sache mit der Watchguard hab ich kurzerhand mit eine IP-Cop Firewall gelöst. Auf dieser brauchte ich nur UDP 500 und TCP 4500 forwarden und schon lief es ! Die IP-Cop erkennt automatisch beim forwarden von UDP 500, dass es sich um ISAKMP handelt und mach Protokoll 50 mit frei. Bei PPTP jedoch muss man Protokoll 47 (GRE) zusätzlich forwarden. Zum Glück rief eben Watchguard dann nochmal an. Die erzählten davon, dass sie von diese Variante schon öfter gehört haben, wobei jedoch jedesmal der Netgear-Router für einen anderen dyndns-fähigen Router weichen mußte. Ergo : Es läuft einfach nicht mit einem Netgear der Baureihe 614 ! Zumindest gibt es Probleme damit ! Problem resolved ! Danke grizzly Gruß Mr. Oiso Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 28. Juli 2004 Melden Teilen Geschrieben 28. Juli 2004 also soweit ich weis kriegt ipsec hinter nat probleme probier mal den client als dmz server zu definieren das hat den zweck das der router dann kein automatisches pat macht mfg rossi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Juli 2004 Melden Teilen Geschrieben 28. Juli 2004 Auf dieser brauchte ich nur UDP 500 und TCP 4500 forwarden und schon lief es ![7quote]UDP 4500 meintest du ... ;) Zitat Hr_Rossi: also soweit ich weiskriegt ipsec hinter nat probleme Nicht mit NAT-T, das hat mr._oiso offensichtlich auch im Einsatz, daher auch die Ports. Und gehen tut''s jetzt auch, wie man bei ihm nachlesen kann. grizzly999 Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 29. Juli 2004 Autor Melden Teilen Geschrieben 29. Juli 2004 Hi grizzly, hallo Hr_Rossi Ja ! Grizzly hat recht Hr_Rossi ! NAT-T habe ich auf der Watchguard im Einsatz deshalb natürlich UDP 4500 ;-) . Im Eifer des Gefechtes wohl falsch getippt. Danke Euch vielmals ! Gruß Mr. Oiso Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.