Vigor 2700/2800: IPsec-Einwahl mit Shrew VPN-Client möglich?

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Vigor 2700/2800: IPsec-Einwahl mit Shrew VPN-Client möglich?

Beitragvon thalb » Sa 05.01.2008 - 17:19

Hallo,

mich würde interessieren, ob es möglich ist, sich von Windows aus mit dem Shrew VPN Client (http://www.shrew.net/?page=software) in den Vigor 2700 (oder auch 2800) einzuwählen. Nach Ansicht des Konfigurationsmenüs bin ich mir nicht so sicher, dass das tatsächlich geht, da man für Client-2-Router-Verbindungen die IPsec Proposals nicht so fein einstellen kann wie bei Lan2Lan-VPN.

BTW Bislang habe ich mit dem Shrew Client nur in Verbindung mit einem Lancom 1823 sehr positive Erfahrungen sammeln können. Sehr stabiler Freeware VPN Client. Augenblicklich habe ich keinen Draytek zur Verfügung, so dass ich das selbst nicht testen kann.

Danke für's Ausprobieren!

Thorsten
thalb
Grünschnabel
 
Beiträge: 3
Registriert: Mo 08.03.2004 - 13:35

Beitragvon jtboss » Mi 06.08.2008 - 10:23

Hi,

ich benutze zur Zeit den Shrew VPN-Client in der Windows 2.11 Version um mich mit IPSec in meinen Vigor 2900V einzuwählen.
Habe ihn zum laufen gebracht nach dem ich die meiste Einstellungen manuell eingeben hatte.


Hier meine Shrew VPN-Client Konfiguration für IPSec-Verbindung:

Gerenal
Host Name or IP Address: die DynDNS-Adresse meines Routers
Port: 500

Configuration: Disabled

Local Host
Address Method: Virtual Adapter Mode
MTU: 1492
Adapter Address: 192.168.1.xx (eine feste IP-Adresse aus dem Netz meines Draytek-Router)
Adapter Netmask: 255.255.255.0

Firewall Options
keine Änderung der Standarteinstellungen

Name Resolution
WIN / DNS / Split DNS deaktiviert
da ich keine Namesauflösung über VPN betreibe / kein eigener Server

Authentication
Authentication Method: Mutual PSK

unter Credentials
Pre Shared Key: den Schüssel, der im Router eingetragen wurde

Phase 1
Exchange Type: Main
DH Exchange: group 2
Cipher Algorithm: 3des (es geht auch des)
Hash Algorithm: sha1
Key Life Time Limit: 28800
Key Life Data Limit: 0

Phase 2
Transform Algorithm: esp-aes (es geht auch esp-des oder esp-3des)
Transform Key Length: 128
HMAC Algorithm: sha1
Key Life Time Limit: 3600
Key Life Data Limit: 0

Policy
Obtain Topology Automatically or Tunnel All: aktiv
damit wird die lokale Standardgateway auf die IP-Adresse des virtuellen VPN-Adapter geändert!

Sollte die Ändung des Standardgateways nicht erwünscht sein, einfach "Obtain Topology Automatically or Tunnel All" deaktivieren. Dafür muss dann mittels "Topology Entry" die Route in das VPN Netz per Hand eingetragen werden.

Topology Entry
Type: Include
Address: 192.168.1.0
Netmask: 255.255.255.0


Nachtrag:

Für alle die nicht wissen, was für eine IPSec-Konfiguration ihr Router von Haus aus anbietet, gibt es das Tool ike-scan.

Bei mir sah es z.B. so aus.
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
84.182.122.252 Main Mode Handshake returned HDR=(CKY-R=dec91053e6447b90) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)

Ending ike-scan 1.9: 1 hosts scanned in 0.221 seconds (4.52 hosts/sec). 1 returned handshake; 0 returned notify
jtboss
User
 
Beiträge: 13
Registriert: Fr 05.05.2006 - 08:48

Beitragvon thalb » Mi 06.08.2008 - 18:26

Hi,
danke für die Shrew-Konfiguration. (Dass ich hier tatsächlich noch einmal eine Antwort bekommen würde, hatte ich nicht mehr für möglich gehalten ... :-)

Ich habe aufgrund Deiner Anleitung die Einwahl in einen normalen "Remote Dial-In User" via IPsec tatsächlich hingekriegt, aber...: scheinbar ist im Vigor 2700 die NAT-T Implementierung o.ä. nicht so gut, so dass keinerlei Verbindungen (Ping, RDP etc.) möglich sind. Aber gut zu wissen, dass das in den größeren Geräten funktioniert.

Ist eigentlich schade, dass die Client-IPsec-Einwahl nicht funktioniert, denn der Router kommt problemlos mit komplexeren VPN-IPsec-Verbindungen klar, die zwischen Routern (Lan-2-Lan) aufgebaut werden. Hier funktioniert die Verbindung zwischen dem 2700 und einem Profi-Router wie dem Lancom 1823 ohne Probleme (zumindest in eine Richtung, d.h. Vigor -> Lancom).

Vielen Dank noch einmal + Gruß

Thorsten

PS Interessantes Tool ike-scan; den Vigor kann man tatsächlich damit scannen. Aus dem Lancom-Router bekommt es jedoch keinerlei Informationen raus.
thalb
Grünschnabel
 
Beiträge: 3
Registriert: Mo 08.03.2004 - 13:35

Beitragvon jtboss » Mi 06.08.2008 - 20:42

hab noch was vergessen

Phase 2


PFS Exchange: group 2



Bei IPSec kann es auch mal einige Sekunden (30 sek) dauern, ehe die Verbindung wirklich zu stande gekommen ist.
jtboss
User
 
Beiträge: 13
Registriert: Fr 05.05.2006 - 08:48

Beitragvon Mr.Pit » Sa 16.08.2008 - 04:18

Hallo Thalb,

vielleicht gibt es Dir einen neuen Motivationsschub wenn ich Dir sage, daß die Zusammenarbeit zwischen Shrew und dem Vigor 2700 einwandfrei klappt. Ich habe diesen Router seit gestern bei einem Kunden installiert und da der Smart VPN-Client von Draytek ziemlich schrottig ist, bin ich durch Deinen Post auf das Shrew-Teil gestossen.

Das Ulkige dabei ist: ich habe ihn genauso konfiguriert wie von jtboss beschrieben und hatte das selbe Problem wie Du: ich konnte den Tunnel aufbauen, aber nichts pingen etc.

Ich habe dann eine gute Stunde rumgespielt und plötzlich hat es funktioniert :D

Daraufhin habe ich eine neue Config angelegt, sie wieder nach dem Muster von jtboss konfiguriert und nun läuft auch die :shock:

Wahrscheinlich wurd's dem Router zu blöd und er hat aufgegeben sich zu wehren.

Also, halt Dich ran und berichte!

Pit
Mr.Pit
Grünschnabel
 
Beiträge: 2
Registriert: Sa 16.08.2008 - 04:09

Beitragvon thalb » Fr 05.09.2008 - 15:41

Hallo Pit,

Mr.Pit hat geschrieben:Wahrscheinlich wurd's dem Router zu blöd und er hat aufgegeben sich zu wehren.

Ok, demnächst kommt der letzte Versuch...!

Könntest Du noch bitte posten, welche Versionen Du genau benutzt, d.h. firmware Router + Shrew-Version?

Danke + Gruß,

Thorsten
thalb
Grünschnabel
 
Beiträge: 3
Registriert: Mo 08.03.2004 - 13:35

Beitragvon Mr.Pit » Fr 05.09.2008 - 15:53

Hallo Thorsten,

Shrew hat die Version 2.1.1 und die Firmware ist 2.7.3.3_1311302.

Pit
Mr.Pit
Grünschnabel
 
Beiträge: 2
Registriert: Sa 16.08.2008 - 04:09

Beitragvon jtboss » Mi 10.09.2008 - 15:51

Hi zusammen,

Du solltest auch das Trace-Tool von Shrew mit benutzen. Damit es es recht leicht zu überwachen ob und in welche Richtung Daten übertragen werden.
jtboss
User
 
Beiträge: 13
Registriert: Fr 05.05.2006 - 08:48

Beitragvon spammich » Fr 19.06.2009 - 12:27

ich hab es nun auch geschafft den tunnel aufzubauen, jedoch kann ich nichts aus dem anderen netzwerk erreichen also ping und dergleichen geht einfach nicht.. habs auch mit dhcp over ipsec versucht und bekomme da immer die meldung "no dhcp response from gateway". woran liegt das bitte?
spammich
User
 
Beiträge: 10
Registriert: Fr 19.06.2009 - 12:24

Beitragvon jtboss » Fr 19.06.2009 - 13:54

Von Draytek gibt es jetzt sogar einen Anleitung für die Benutzung des ShrewSoft VPN-Clients.

http://www.draytek.de/Beispiele.htm / http://www.draytek.de/Beispiele_html/VP ... Client.htm
jtboss
User
 
Beiträge: 13
Registriert: Fr 05.05.2006 - 08:48

Beitragvon spammich » Mo 06.07.2009 - 08:20

nur geht leider dhcp over ipsec nicht oder hat das schon jemand hinbekommen?
spammich
User
 
Beiträge: 10
Registriert: Fr 19.06.2009 - 12:24


Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste