Unternehmen     Impressum     Kontakt
+ Antworten
Ergebnis 1 bis 5 von 5

Thema: VPN mit FVS338 - neue Firmware

  1. 26.12.2006 17:16 #1
    kirsty
    kirsty ist offline Registered User
    Registriert seit
    Jun 2005
    Beiträge
    17

    VPN mit FVS338 - neue Firmware

    Hallo,

    ich habe ein Problem. Ich habe unseren Netgear FVS 338 Router auf die neue Firmware 2.0 upgedated, da mit der alten Firmware keine Internettelefonie möglich war (hat Netgear auch eingeräumt). Als Lösung wurde mir die neue Firmware 2.0 empfohlen - Voice over IP läuft, aber das VPN nicht mehr. Im Prinzip hat sich die Menüstruktur nicht grundlegend geändert.
    Der Router baut immer eine Verbindung auf, die aber nach 20 s getrennt wird.
    Hier das Protokoll aus dem Intranator:
    Dec 26 16:50:01 intranator pluto[23961]: "C9": terminating SAs using this connection
    Dec 26 16:50:01 intranator pluto[23961]: "C9" #4: deleting state (STATE_QUICK_I2)
    Dec 26 16:50:01 intranator pluto[23961]: "C9" #4: down-client output: connection C9 broke
    Dec 26 16:50:01 intranator vpnscripts[20844]: connection C9 broke
    Dec 26 16:50:01 intranator pluto[23961]: "C9" #3: deleting state (STATE_MAIN_I4)
    Dec 26 16:50:01 intranator pluto[23961]: "C9_ANY": terminating SAs using this connection
    Dec 26 16:50:02 intranator pluto[23961]: "C9": deleting connection
    Dec 26 16:50:02 intranator pluto[23961]: loaded host cert file '/usr/intranator/keys/private/12.cert.pem' (1009 bytes)
    Dec 26 16:50:02 intranator pluto[23961]: loaded host cert file '/usr/intranator/keys/public/12.pem' (1111 bytes)
    Dec 26 16:50:02 intranator pluto[23961]: added connection description "C9"
    Dec 26 16:50:02 intranator pluto[23961]: "C9_ANY": terminating SAs using this connection
    Dec 26 16:50:02 intranator pluto[23961]: "C9" #5: initiating Main Mode
    Dec 26 16:50:02 intranator pluto[23961]: "C9" #5: ignoring Vendor ID payload [KAME/racoon]
    Dec 26 16:50:02 intranator pluto[23961]: "C9" #5: ignoring Vendor ID payload [KAME/racoon]
    Dec 26 16:50:03 intranator pluto[23961]: "C9" #5: Main mode peer ID is ID_DER_ASN1_DN: 'CN=wohnung'
    Dec 26 16:50:03 intranator pluto[23961]: "C9" #5: Issuer CA certificate not found
    Dec 26 16:50:03 intranator pluto[23961]: "C9" #5: X.509 certificate rejected
    Dec 26 16:50:03 intranator pluto[23961]: "C9" #5: ISAKMP SA established
    Dec 26 16:50:03 intranator pluto[23961]: "C9" #6: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS
    Dec 26 16:50:03 intranator pluto[23961]: "C9" #5: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    Dec 26 16:50:03 intranator pluto[23961]: "C9" #5: received and ignored informational message
    Dec 26 16:50:04 intranator pluto[23961]: "C9" #6: sent QI2, IPsec SA established
    Dec 26 16:50:25 intranator pluto[23961]: "C9": terminating SAs using this connection
    Dec 26 16:50:25 intranator pluto[23961]: "C9" #6: deleting state (STATE_QUICK_I2)
    Dec 26 16:50:25 intranator pluto[23961]: "C9" #6: down-client output: connection C9 broke
    Dec 26 16:50:25 intranator vpnscripts[18556]: connection C9 broke
    Dec 26 16:50:25 intranator pluto[23961]: "C9" #5: deleting state (STATE_MAIN_I4)
    Dec 26 16:50:25 intranator pluto[23961]: "C9_ANY": terminating SAs using this connection
    Dec 26 16:50:25 intranator pluto[23961]: "C9": deleting connection
    Dec 26 16:50:25 intranator pluto[23961]: loaded host cert file '/usr/intranator/keys/private/12.cert.pem' (1009 bytes)
    Dec 26 16:50:25 intranator pluto[23961]: loaded host cert file '/usr/intranator/keys/public/12.pem' (1111 bytes)
    Dec 26 16:50:25 intranator pluto[23961]: added connection description "C9"
    Dec 26 16:50:25 intranator pluto[23961]: "C9_ANY": terminating SAs using this connection
    Dec 26 16:50:25 intranator pluto[23961]: "C9" #7: initiating Main Mode
    Dec 26 16:50:26 intranator pluto[23961]: "C9" #7: ignoring Vendor ID payload [KAME/racoon]
    Dec 26 16:50:26 intranator pluto[23961]: "C9" #7: ignoring Vendor ID payload [KAME/racoon]
    Dec 26 16:50:27 intranator pluto[23961]: "C9" #7: Main mode peer ID is ID_DER_ASN1_DN: 'CN=wohnung'
    Dec 26 16:50:27 intranator pluto[23961]: "C9" #7: Issuer CA certificate not found
    Dec 26 16:50:27 intranator pluto[23961]: "C9" #7: X.509 certificate rejected
    Dec 26 16:50:27 intranator pluto[23961]: "C9" #7: ISAKMP SA established
    Dec 26 16:50:27 intranator pluto[23961]: "C9" #8: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS
    Dec 26 16:50:27 intranator pluto[23961]: "C9" #7: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    Dec 26 16:50:27 intranator pluto[23961]: "C9" #7: received and ignored informational message
    Dec 26 16:50:27 intranator pluto[23961]: "C9" #8: sent QI2, IPsec SA established

    Hier das Protokoll aus dem Router:
    2006-12-26 16:49:02: INFO: Purged IPsec-SA with proto_id=ESP and spi=4229951284(0xfc1fef34).
    2006-12-26 16:49:02: INFO: Purged ISAKMP-SA with proto_id=ISAKMP and spi=860dccd8cadda7e9:9d734b328720a8b3.
    2006-12-26 16:49:02: INFO: remote configuration for identifier "kortuem.dyndns.org" found
    2006-12-26 16:49:02: INFO: Received request for new phase 1 negotiation: 91.89.121.225[500]<=>91.89.116.90[500]
    2006-12-26 16:49:02: INFO: Beginning Identity Protection mode.
    2006-12-26 16:49:03: INFO: ISAKMP-SA deleted for 91.89.121.225[500]-91.89.116.90[500] with spi:860dccd8cadda7e9:9d734b328720a8b3
    2006-12-26 16:49:03: WARNING: unable to get certificate CRL(3) at depth:0 SubjectName:/CN=intranator
    2006-12-26 16:49:03: INFO: ISAKMP-SA established for 91.89.121.225[500]-91.89.116.90[500] with spi:375a25d1cbb976bc:130e5ac6e0f86faa
    2006-12-26 16:49:03: INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT]
    2006-12-26 16:49:04: INFO: Responding to new phase 2 negotiation: 91.89.121.225[0]<=>91.89.116.90[0]
    2006-12-26 16:49:04: INFO: Using IPsec SA configuration: 192.168.31.0/24<->192.168.11.0/24
    2006-12-26 16:49:04: INFO: IPsec-SA established: ESP/Tunnel 91.89.116.90->91.89.121.225 with spi=65968242(0x3ee9872)
    2006-12-26 16:49:04: INFO: IPsec-SA established: ESP/Tunnel 91.89.121.225->91.89.116.90 with spi=4229951285(0xfc1fef35)
    2006-12-26 16:49:25: INFO: Purged IPsec-SA with proto_id=ESP and spi=4229951285(0xfc1fef35).
    2006-12-26 16:49:25: INFO: Purged ISAKMP-SA with proto_id=ISAKMP and spi=375a25d1cbb976bc:130e5ac6e0f86faa.
    2006-12-26 16:49:25: INFO: remote configuration for identifier "kortuem.dyndns.org" found
    2006-12-26 16:49:25: INFO: Received request for new phase 1 negotiation: 91.89.121.225[500]<=>91.89.116.90[500]
    2006-12-26 16:49:25: INFO: Beginning Identity Protection mode.
    2006-12-26 16:49:26: INFO: ISAKMP-SA deleted for 91.89.121.225[500]-91.89.116.90[500] with spi:375a25d1cbb976bc:130e5ac6e0f86faa
    2006-12-26 16:49:26: WARNING: unable to get certificate CRL(3) at depth:0 SubjectName:/CN=intranator
    2006-12-26 16:49:27: INFO: ISAKMP-SA established for 91.89.121.225[500]-91.89.116.90[500] with spi:bcb9f15f24491983:c4f42d70ef37d86f
    2006-12-26 16:49:27: INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT]
    2006-12-26 16:49:27: INFO: Responding to new phase 2 negotiation: 91.89.121.225[0]<=>91.89.116.90[0]
    2006-12-26 16:49:27: INFO: Using IPsec SA configuration: 192.168.31.0/24<->192.168.11.0/24
    2006-12-26 16:49:28: INFO: IPsec-SA established: ESP/Tunnel 91.89.116.90->91.89.121.225 with spi=265414354(0xfd1e6d2)
    2006-12-26 16:49:28: INFO: IPsec-SA established: ESP/Tunnel 91.89.121.225->91.89.116.90 with spi=4229951286(0xfc1fef36)
    2006-12-26 16:49:48: INFO: Purged IPsec-SA with proto_id=ESP and spi=4229951286(0xfc1fef36).
    2006-12-26 16:49:49: INFO: Purged ISAKMP-SA with proto_id=ISAKMP and spi=bcb9f15f24491983:c4f42d70ef37d86f.
    2006-12-26 16:49:49: INFO: remote configuration for identifier "kortuem.dyndns.org" found
    2006-12-26 16:49:49: INFO: Received request for new phase 1 negotiation: 91.89.121.225[500]<=>91.89.116.90[500]
    2006-12-26 16:49:49: INFO: Beginning Identity Protection mode.
    2006-12-26 16:49:50: INFO: ISAKMP-SA deleted for 91.89.121.225[500]-91.89.116.90[500] with spi:bcb9f15f24491983:c4f42d70ef37d86f
    2006-12-26 16:49:50: WARNING: unable to get certificate CRL(3) at depth:0 SubjectName:/CN=intranator

    Ich habe sehr viel ausprobiert. Wo muss ich nach dem Fehler suchen? Ich habe alle Schritte wie in ihrer Anleitung genau befolgt und habe es insgesamt 3 Mal von vorne probiert. Immer dasselbe Problem. Bitte geben Sie mir einen Hinweis woran es liegen könnte.
    Zitieren Zitieren
  2. 27.12.2006 15:34 #2
    Gerd von Egidy
    Gerd von Egidy ist offline Administrator
    Registriert seit
    Dec 2001
    Ort
    Tübingen
    Beiträge
    953
    Hallo,

    haben Sie im Intranator die Option "Keepalive Intervall (Ping)" aktiviert? Wenn ja, dann schalten Sie sie mal ab und versuchen es dann.

    Wenn nein, muß man als erstes den Grund für den Verbindungsabbruch herausfinden. Kann es vielleicht sein, daß zu kurze Lebensdauern ausgehandelt werden? Das sehen Sie am besten, in dem Sie während die Verbindung die 20 Sek. steht auf die Seite Information > System > VPN gehen. Dort wird die verbleibende Lebensdauer angezeigt.

    Wenn das nichts hilft, können Sie im Intranator das erweiterte Logging aktivieren (Information > System > Logdateien) und damit versuchen, mehr über das Problem herauszubekommen. Allerdings werden die Logs dann so groß, daß das wahrscheinlich nichts mehr fürs Forum ist. Sie können gerne ein Support-Ticket auf unserer Webseite aufmachen und die Logs dann gezippt dorthin schicken.

    Herzliche Grüße,

    v. Egidy
    Zitieren Zitieren
  3. 29.12.2006 09:28 #3
    kirsty
    kirsty ist offline Registered User
    Registriert seit
    Jun 2005
    Beiträge
    17
    Hallo Herr von Egidy,

    vielen Dank für die rasche Antwort, welche zum Erfolg geführt hat. Pro Forma steht die VPN Verbindung und bleibt auch dauerhaft bestehen. Leider ist aber kein Datentransfer über den VPN Tunnel möglich. Man kann weder von einem Client im Netzwerk A auf einen Server in Netzwerk B zugreifen, als den Intranator vom Routerinterface anzupingen und umgekehrt. Ich denke, dass ich die Netzwerksettings richtig gestellt habe, da ich das ganze schon öfters jetzt einrichten musste. Anbei die Screenshots der Konfiguration:

    http://www.abitur2002.de/intranator.jpg
    http://www.abitur2002.de/vpn.jpg
    http://www.abitur2002.de/vpn2.jpg

    Hier noch die Logdatei aus dem Router:
    2006-12-29 07:00:22: INFO: remote configuration for identifier "kortuem.dyndns.org" found
    2006-12-29 07:00:22: INFO: Sending Informational Exchange: notify payload[INVALID-COOKIE]
    2006-12-29 07:00:22: ERROR: Could not start quick mode as there is no ISAKMP-SA: 1e4a3a813465eea6:3bad45747104fbd1:2ab2b5f6
    2006-12-29 07:00:32: INFO: remote configuration for identifier "kortuem.dyndns.org" found
    2006-12-29 07:00:32: INFO: Sending Informational Exchange: notify payload[INVALID-COOKIE]
    2006-12-29 07:00:32: ERROR: Could not start quick mode as there is no ISAKMP-SA: 1e4a3a813465eea6:3bad45747104fbd1:2ab2b5f6
    2006-12-29 07:00:52: INFO: remote configuration for identifier "kortuem.dyndns.org" found
    2006-12-29 07:00:52: INFO: Sending Informational Exchange: notify payload[INVALID-COOKIE]
    2006-12-29 07:00:52: ERROR: Could not start quick mode as there is no ISAKMP-SA: 1e4a3a813465eea6:3bad45747104fbd1:2ab2b5f6
    2006-12-29 07:10:18: INFO: Phase 2 sa expired 91.89.121.225-91.89.116.90
    2006-12-29 07:10:19: INFO: Phase 2 sa deleted 91.89.121.225-91.89.116.90
    2006-12-29 08:08:13: INFO: Using IPsec SA configuration: 192.168.31.0/24<->192.168.11.0/24
    2006-12-29 08:08:13: INFO: remote configuration for identifier "kortuem.dyndns.org" found
    2006-12-29 08:08:13: INFO: Initiating new phase 1 negotiation: 91.89.121.225[500]<=>91.89.116.90[500]
    2006-12-29 08:08:13: INFO: Beginning Identity Protection mode.
    2006-12-29 08:08:15: WARNING: unable to get certificate CRL(3) at depth:0 SubjectName:/CN=intranator
    2006-12-29 08:08:15: INFO: ISAKMP-SA established for 91.89.121.225[500]-91.89.116.90[500] with spi:36597c4711d6d221:0c2048f64a2b4016
    2006-12-29 08:08:15: INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT]
    2006-12-29 08:08:16: INFO: Initiating new phase 2 negotiation: 91.89.121.225[0]<=>91.89.116.90[0]
    2006-12-29 08:08:17: INFO: IPsec-SA established: ESP/Tunnel 91.89.116.90->91.89.121.225 with spi=169755702(0xa1e4436)
    2006-12-29 08:08:17: INFO: IPsec-SA established: ESP/Tunnel 91.89.121.225->91.89.116.90 with spi=2523697052(0x966c8f9c)
    2006-12-29 08:56:18: INFO: IPsec-SA expired: ESP/Tunnel 91.89.121.225->91.89.116.90 with spi=2523697052(0x966c8f9c)
    2006-12-29 08:56:18: INFO: remote configuration for identifier "kortuem.dyndns.org" found
    2006-12-29 08:56:18: INFO: Initiating new phase 2 negotiation: 91.89.121.225[0]<=>91.89.116.90[0]
    2006-12-29 08:56:19: INFO: IPsec-SA established: ESP/Tunnel 91.89.116.90->91.89.121.225 with spi=135753762(0x8177022)
    2006-12-29 08:56:19: INFO: IPsec-SA established: ESP/Tunnel 91.89.121.225->91.89.116.90 with spi=2523697053(0x966c8f9d)
    2006-12-29 09:04:24: INFO: remote configuration for identifier "kortuem.dyndns.org" found
    2006-12-29 09:04:24: INFO: Received request for new phase 1 negotiation: 91.89.121.225[500]<=>91.89.116.90[500]
    2006-12-29 09:04:24: INFO: Beginning Identity Protection mode.
    2006-12-29 09:04:24: WARNING: unable to get certificate CRL(3) at depth:0 SubjectName:/CN=intranator
    2006-12-29 09:04:25: INFO: ISAKMP-SA established for 91.89.121.225[500]-91.89.116.90[500] with spi:d88c81eea21b9672:33067797807f4cc9
    2006-12-29 09:08:15: INFO: ISAKMP-SA expired 91.89.121.225[500]-91.89.116.90[500] spi:36597c4711d6d221:0c2048f64a2b4016
    2006-12-29 09:08:16: INFO: ISAKMP-SA deleted for 91.89.121.225[500]-91.89.116.90[500] with spi:36597c4711d6d221:0c2048f64a2b4016

    Wo könnte jetzt das Problem liegen?

    Vielen Dank und viele Grüße aus Ludwigsburg
    Karsten
    Zitieren Zitieren
  4. 29.12.2006 10:55 #4
    Gerd von Egidy
    Gerd von Egidy ist offline Administrator
    Registriert seit
    Dec 2001
    Ort
    Tübingen
    Beiträge
    953
    Hallo,

    von der Einstellung her sieht das eigentlich gut aus.

    In solchen Fällen ist häufig ein falsch gesetztes Routing schuld. Auf dem Intranator kann man da nicht viel falsch machen, weil die Konfigurationsprüfung sicherstellt, daß ich das VPN-Netz nicht woanders hin route. Aber prüfen Sie das mal auf dem Netgear. Vielleicht ist auch von der Konfiguration vor dem Firmware-Update etwas "übriggeblieben", was sie im neuen Webinterface nicht sehen können, aber dennoch das Routing stört. Hier hilft evtl. ein kompletter Reset in Auslieferungszustand beim Router.

    Sie können mal versuchen, vom Intranator aus ein Ping zu machen (System > Diagnose > Ping). Wenn Sie das root-Passwort von Ihrem Intranator haben, können Sie auch ein Packet-Trace laufen lassen. Das geht z.B. so:
    Code:
    tcpdump -i ipsec0 -n
    Damit sollte alles angezeigt werden, was übers VPN läuft. Werden da nur die rausgehenden Pakete angezeigt, oder auch ankommende?

    (Hinweis: dieser Befehl wird ab Intranator 5.0 so nicht mehr funktionieren).

    Herzliche Grüße,

    v. Egidy
    Zitieren Zitieren
  5. 29.12.2006 20:16 #5
    kirsty
    kirsty ist offline Registered User
    Registriert seit
    Jun 2005
    Beiträge
    17
    Hallo Herr von Egidy,

    der Router wurde nach dem Update auf Auslieferungszustand zurückgesetzt. Ich habe vom Intranator folgendes Pingergebnis erreicht:
    ping für 192.168.31.1:

    PING 192.168.31.1 (192.168.31.1) from 192.168.11.1 : 56(84) bytes of data.

    --- 192.168.31.1 ping statistics ---
    10 packets transmitted, 0 packets received, 100% packet loss

    Ich habe keine Rootrechte für den Intranator. Ich bin ab morgen im Urlaub. Mein Vater wird dann am Dienstag Herrn Schwarzbeck von Mediacluster kontaktieren, der sich dann der Sache annehmen soll.

    Viele Grüße
    Karsten Kortüm
    Zitieren Zitieren
+ Antworten
« Vorheriges Thema | Nächstes Thema »

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln