VPN Tunnel steht, Ping Probleme

[decoder]

Hallo,

bekomme mit NCP Secure Entry Client und Shrew Soft problemlos den VPN Tunnel aufgebaut.

Ich kann jedoch keine Rechner oder die Fritz Box 7390 anpingen.

Das Config File welches in die Fritz Box geladen wurde, sieht so aus:


vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "decoder";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.178.211;
remoteid {
user_fqdn = "decoder";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "1234567890";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipaddr = 192.168.178.211;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 192.168.178.0 255.255.255.0 192.168.178.211 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}



Diese Anleitungen hab ich mehrfach 1:1 befolgt:
http://www.ip-phone-forum.de/showthread.php?t=237484

http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/15729.php?portal=VPN

http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/15591.php?portal=VPN

Ich bin nun echt ratlos was das sein könnte

 

[sf3978]

Ich kann jedoch keine ... Fritz Box 7390 anpingen.

Funktioniert der Ping evtl., wenn Du die Source-IP angibst?

 

[decoder]

wenn ich über cmd ping 192.168.178.1 sowie 192.168.178.44 (PC im entfernten Netzwerk) eingebe, kommt nur Zeitüberschreitung der Anforderung

ping 192.168.178.211 funktioniert auf den VPN Client.

Über die Fritz Fernzugang Software funktioniert die Verbindung und der Ping auf die Fritz Box und den entfernten PC

Bei den Tests wurde der Rechner immer neugestartet und immer nur eine VPN Software gleichzeitig war installiert.

 

[andilao]

Die Box-cfg funktioniert ja schon, jetzt liegt also der Fehler beim Shrew- bzw. NCP-Client bzw. deren Konfigurationen.

ShrewSoft:
Der Client muss im Register Network anzeigen:
- "Status - Connected" direkt nach der Verbindungsaufnahme,
- "Established - 1" nach dem ersten Zugriff, z.B. Ping.

Benutzt Du auch die Version 2.2.0-beta-2?
Sieht Deine Shrew.vpn so aus?

n:version:2
s:network-host:[COLOR="red"]irgendwas.dyndns.org[/COLOR]
s:policy-list-include:[COLOR="red"]192.168.178.0 / 255.255.255.0[/COLOR]
b:auth-mutual-psk:[COLOR="red"]1234567890[/COLOR]
s:ident-client-data:[COLOR="red"]decoder[/COLOR]
n:network-ike-port:500
s:client-auto-mode:pull
n:network-mtu-size:1380
s:client-iface:virtual
n:client-addr-auto:1
s:network-natt-mode:enable
n:network-natt-port:4500
n:network-natt-rate:15
s:network-frag-mode:enable
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-wins-used:0
n:client-wins-auto:1
n:client-dns-used:0
n:client-dns-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:0
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:address
s:phase1-exchange:aggressive
n:phase1-dhgroup:2
s:phase1-cipher:aes
n:phase1-keylen:256
s:phase1-hash:sha1
n:phase1-life-secs:3600
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
s:phase2-transform:esp-aes
n:phase2-keylen:256
s:phase2-hmac:sha1
s:ipcomp-transform:deflate
n:phase2-pfsgroup:2
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
s:policy-level:auto
n:policy-nailed:0
n:policy-list-auto:0

 

[KunterBunter]

Diese Anleitungen hab ich mehrfach 1:1 befolgt

Auch diese ? VPN für Einsteiger: Die wichtigsten Informationen

VPN und IP - Die Randbedingungen

"Damit sich zwei Gegenstellen erfolgreich verbinden können benötigen sie vor allem zwei Dinge: einen Internetzugang und unterschiedliche lokale IP-Netze. Der Grund für letzteres ist einfach. Würden zwei Netze A und B die gleichen Netzadressen verwenden, wäre bei einer Verbindung der Netze eine eindeutige Adressierbarkeit nicht mehr gewährleistet. So könnte es z.B. in beiden Netzen ein Gerät mit der IP-Adresse 192.168.178.1 geben. Wird diese IP-Adresse angesprochen, könnte nicht differenziert werden, ob das Gerät in Netz A oder B gemeint ist."

Das Netz 192.168.178.0 ist im VPN nicht brauchbar, weil es meistens schon woanders in Verwendung ist.

 

[decoder]

Hallo andilao,

hab deine Config Datei verwendet und die aktuelle Shrew Soft Beta runtergeladen / installiert.

Er zeigt mir an Conencted aber bei Established steht weiterhin 0 und bekomme keinen Ping

wegen dem IP BEreich, ich hab nur die eine Fritz Box mit 192.168.178.1

Vom dem anderen Netzwerk wo der VPN Client sitzt ist es ein Asus Router mit 192.168.1.1 oder eine UMTS Verbindung. Beides ohne Erfolg getestet.

Weiss nicht mehr was ich noch machen kann?

 

[andilao]

Welche Schreckens-Suite ist denn auf dem PC/Notebook, die gelbe von Norton, die grüne von Kaspersky oder die rote von McAfee (Liste unvollständig!)?
Kein Established erhielt ich einzig mal bei einem falschen IP-Eintrag per Gutten/\-Teufel.

 

[decoder]

verwende avast internet security. hab die zum testen auch schon komplett abgeschalten für paar minuten.

Man muss dazu sagen das es monatelang problemlos lief bis ich meinte ein shrew soft update könne nichts schaden.

nach dem update dann das problem woraufhin es nicht mehr ging und ich alles löschte und neu einspielte

 

[andilao]

Dann kontrolliere mal die Dienste:
- ShrewSoft DNS Proxy Daemon = dtpd
- ShrewSoft IKE Daemon = iked
- ShrewSoft IPSEC Daemon = ipsecd

Und wiederhole das Ganze mal mit deinstallierter Suite. Ein Avast-Shrew-Problem ist seit 2010 bekannt und der Verzicht auf den Viel-Lärm-um-nichts-Personal-Woodoo hilft sicher weiter. Wenn ich jedesmal, wenn eine dieser Suiten ein ernsthaftes Problem verursachte, Geld bekommen hätte, würde ich jetzt in Thailand statt in dieser Arschkälte sitzen. Oh, ich vergaß, das tue ich ja gerade ....

 

[decoder]

Boah ne, gibts doch nicht?

1000 DANK an andilao!!!

Ich hab gestern 5 Stunden lang den Fehler gesucht und es lag wirklich an Avast.
Das Deaktivieren hat nicht geholfen, daher hab ich den Rat befolgt und hab es deinstalliert. Siehe da, alles geht einwandfrei!!

andilao ist der BESTE!!

Hatte ShrewSoft schon seit Monaten zusammen mit Avast im Einsatz. Erst nach einem Update auf die Beta ging gestern nichts mehr. Hatte daher überall anders als bei Avast den Fehler gesucht.

Jetzt die Frage an dich, andilao...welche Security Suite würdest du mir empfehlen?
Oder wieder Avast installieren und in den Einstellungen rumspielen?

 

[andilao]

Wenn Du keine Software drauf hast, die Du explizit am nach-hause-Telefonieren hindern willst, sind reine Antiviren-Programme in Verbindung mit der durchaus zuverlässigen Windows-Firewall ausreichend (und Windows-Defender deaktivieren). Avast! war 2010 dafür bekannt, regelmäßig nach jedem Programm-(nicht Signatur-)Update ShrewSoft zu blockieren.

Persönlich und in der Fa. nutze ich NOD32, seit 1998 100% ITW-Erkennung ohne false positive. Klar, das ist Vergangenheit aber keinesfalls würde ich eine Software nehmen, die hier in letzter Zeit versagt hat:

Quelle: http://www.virusbtn.com/vb100/archive/compare?tab=onDemand&id=9&id2=14&id3=70&id4=15&id5=4&id6=72

Allerdings hatte mir zuletzt die neue NOD32-Version 5 von ESET wg. der Performance nicht so gefallen.

 

[decoder]

alles klar, ich hab nun eset smart security 5 am laufen.
allein schon wegen spam reicht mir da kein antiviren tool aus.

die downloads werden aber schon richtig angezeigt, oder? hatte mal eine zeit lang avira internet security und ewig nach einem fehler gesucht weshalb nur die halbe download speed ankommt, bis ich merkte es liegt an avira das er mir den download bremst / nicht richtig anzeigt...

 

[andilao]

Gut zu wissen, dass mit Avira. Und meine Meinung zu Personal Firwewalls kennst Du ja bereits.

 

[decoder]

hab noch ein hoffentlich kleines problem.

verbindung über shresoft klappt, eset meldet mir aber nun identische ip adresse 192.168.178.1 im netzwerk entdeckt sobald ich diese anpinge.
bekomme da wieder keinen zugriff auf die ip

muss ich da noch was einstellen?

 

[andilao]

Wenn Du einen Adresskonflikt ausschließen kannst, dann solltest du eine PFW einsetzen, die überschaubar und einfach zu warten ist oder eben keine.

 

[FrankyFish]

Wenn Du einen Adresskonflikt ausschließen kannst

Hi Decoder, ich habe genau das gleiche Problem wie Du und habe es durch diesen Threat lösen können:

Ich habe ein netbook, welches im normalweise im Fritznetz betreibe. Um einen VPN Tunnel aufzubauen nutze ich einen Surfstick und habe bislang nur die WLAN - Antenne des Netbooks vorher abgeschaltet, damit das Firtznetz nicht verbunden ist.
Jetzt kommts: DAS REICHT NICHT. Man muss das Netzwerk komplett auf dem Netbook deaktivieren, dann klappts auch mit dem Ping. (Zumindest bei mir.)