PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Problem mit VPN-Client hinter Router



ThoKre
24.03.05, 11:35
Hallo Forum,

ich habe folgendes Problem:

Ich habe in der Firma einen VPN-Server mit FreeSwan 2.0.54 und L2TPD aufgesetzt.

Nun versuche ich mich von mir zu Hause auf dem Server einzuwählen.

Ich habe einen Netgear RP614v2 als DSL-Router.

So soll sieht das ganze dann aus.

IP-Client 192.168.0.5
|
|
IP-Router 192.168.0.1
|
|
DynIp-ISP (NAT)
|
|
Internet
|
|
DTAG Router 62.xxx.xxx.xxx (leftnexthop)
|
|
FreeSwan GW 62.xxx.xxx.xxx (SuSE9.1, FreeSWan 2.0.54, L2TPD)
|
|
Internal Net 10.10.10.250
|
|
Firmennetzwerk 10.10.10.0/24

So, wenn ich den Netgear Router wegnehmen funktioniert es einwandfrei.

Mit dem Router, kommt



Mar 24 11:28:45 vpn-server pluto[5774]: | NAT-T: new mapping 80.185.28.17:500/4500)
Mar 24 11:28:45 vpn-server pluto[5774]: "home-vpn-net"[2] 80.185.28.17:4500 #2: sent MR3, ISAKMP SA established
Mar 24 11:28:46 vpn-server pluto[5774]: "home-vpn-net"[2] 80.185.28.17:4500 #2: retransmitting in response to duplicate packet; already STATE_MAIN_R3
Mar 24 11:28:48 vpn-server pluto[5774]: "home-vpn-net"[2] 80.185.28.17:4500 #2: retransmitting in response to duplicate packet; already STATE_MAIN_R3
Mar 24 11:28:52 vpn-server pluto[5774]: "home-vpn-net"[2] 80.185.28.17:4500 #2: discarding duplicate packet -- exhausted retransmission; already STATE_MAIN_R3


Ich habe auf dem Router folgendes Port Forwarding eingerichtet:

IPSEC-ESP SPORT=500 DPORT=500 IP=192.168.0.5 (Wird vom Router angeboten)
L2TPD SPORT=1701 DPORT=1701 IP=192.168.0.5
UDP SPORT=4500 DPORT=4500 IP=192.168.0.5

So es kommt aber keine Authentifizierung zustande.

ipsec.conf


right=%any
rightid="C=DE,ST=Sachsen,L=...."
auto=add
leftprotoport=17/1701
rightprotoport=17/1701
pfs=no


Was muss ich noch einstellen, damit ich über den Router eine VPN Verbindung zustande bekomme?

Danke

nocheiniggy
24.03.05, 14:04
Da brauchst du vermutlich noch Nat-Traversal

Bei config setup einfach eine Zeile
nat_traversal=yes

bei beiden Seiten hinzufügen.

Da du aber FreeSwan benutzt, kann ich dir nicht garantieren ob das auch funktioniert.
Voraussetzung ist nämlich, dass du einen Patch eingespielt hast, der dir das ermöglicht.

FreeSwan ist eigentlich veraltet.
Besser wäre, wenn du auf OpenSwan setzt.
Die Konfigurations-Parameter bleiben so gut wie identisch.
OpenSwan unterstützt zusätzlich auch sichere Verbindungen mit X.509 Zertifikaten von Haus aus.
Aber mit L2TP hab ich das noch nie gemacht.
OpenSwan, IPSec und X.509 Zertifikate sind ein unschlagbares Team.

ThoKre
24.03.05, 15:29
nat_tarversal=yes auf FreeSWAN GW eingestellt.

Client ist WinXP SP2.

Also kann ich es nur auf dem GW einstellen.

Authentifizierung läuft ja auch über Zertifiakte und dann erst L2TPD.

Funktioniert ja auch ohne Problem ohne den Router , halt nur mit hauts nicht hin.

nocheiniggy
24.03.05, 15:53
Es wird dann aber vermutlich am NAT-T liegen, da NAT-T genau dieses Problem beheben soll.

Welche Client-Software benutzt du um dich zu verbinden?
Open/FreeSwan Clients gibts auch für WinXP.
Und NAT-T muss auf beiden Seiten aktiv sein.

ThoKre
24.03.05, 20:07
Den von WinXP mitgelieferten. Damit funktioniert es.

nocheiniggy
25.03.05, 13:37
Versuch mal den SecureEntryClient(ganz unverbindlich)
http://www.ncp.de/deutsch/services/testsoftware/index_entry.html

Ist eine kostenlose Testversion. Hat mir unter Windows schon viele mühen erspart.

ThoKre
25.03.05, 14:54
Danke,

ich werd es mal probieren.