vpn mit zxyel - verbindung ok, kein zugriff auf dateien

dreamer · 08.01.2004, 13:42

hi, leute,

ich als netzwerk-dau hab vom chef den auftrag bekommen, zwischen unseren beiden büros eine vpn-verbindung herzustellen. ich sitz in büro 1

auf meinen rechner soll von büro 2 zugriffen werden. ein ordner wurde zwecks test für alle netzwerkbenutzer freigegeben.

büro 1:
- dyn. ip (mit dyndns.org umgangen)
- rechner mit winxp
- zxyel zywall 1-router

büro 2:
- stat. ip
- rechner mit w2k
- server mit microsoft small business server
- zxyel zywall 10-router

ich habs mittlerweile geschafft, dass der kollege aus büro 2 eine vpn-verbindung erstellen kann.
leider findet er meinen rechner nicht in seiner netzwerkumgebung.
wir haben in den netzwerken nur arbeitsgruppen (die sind gleich).
die zyxel-firewall im büro 1 sollte richtige konfiguriert sein.
ich hab im büro 1 den port 1723 mittels sua/nat auf meine lokale ip weitergeleitet.

kann mir jemand tipps geben, woran es noch scheitern kann?
fehlt etwas ausschlaggebendes (ausser mein durchblick

)?

danke schonmal

dreamer · 09.01.2004, 20:36

sicher noch interessant:
der kollege kann bei bestehender vpn-verbindung meine lokale ip pingen.
das verwendete vpn-benutzerkonto hat administrator-rechte.

warum scheint der rechner also nicht in der netzwerkumgebung auf?

Potassium · 09.01.2004, 23:36

hast du schon versucht den remote compi direkt anzusprechen also: start->ausführen: \\computername\freigabename
zb \\server\c$

dreamer · 10.01.2004, 10:23

nein, hab ich noch nicht.
danke für den tipp.

hab grad hier gelesen, dass ein vpn mittels ipsec ziemlich kompliziert sein soll.
die beiden router unterstützen ipsec - das ist nicht das problem.
wahrscheinlich muss ich client (w2k über small business server) bzw. serverseitig (xp pro) noch einiges nachinstallieren...

werd mich am montag in der fa. nochmals schlau machen.
danke einstweilen.

LouCypher · 10.01.2004, 22:42

wennst 2 zywalls hast wieso baust das vpn nicht zwischen denen auf? So wie ich das versteh willst ein vpn vom windows aus aufbauen, wieso????

dreamer · 11.01.2004, 10:30

? versteh ich jetzt net ganz.
ich hab doch lediglich auf dem rechner, auf den zugegriffen wird, eine eingehende verbindung und auf dem rechner, der zugreift, eine vpn-verbindung in den netzwerkverbindungen erstellt.

alles andere machen eh die zyxel, oder?

sorry, jetzt schlägt voll der dau durch...

LouCypher · 11.01.2004, 11:26

Kommt immer drauf an was du machen willst, aber die zywalls sind vpn router, die können von sich aus zwischen deinen beiden netzwerken eine vpn verbindung herstellen, ohne dass man auf den pcs was machen muss. Da kannst dann auch in der netzwerkumgebung rumsurfen was bei einem vpn wie du es machen willst nicht geht, weil, so viel ich weis, das windows vpn keine netbios broadcasts durchlässt.

Wenn du aber ein vpn zwischen den zyxels aufbaust (sehr sicher mit 3des usw. verschlüsselung -> manual lesen) dann kannst von einem netz auf das andere zugreifen als wären beide an einem standort.

dreamer · 12.01.2004, 07:26

ok. danke.
werd das manual nochmals durchackern. muss doch klappen

thx einstweilen

dreamer · 12.01.2004, 15:18

weiter im vpn-lied.

ich habs mittlerweile geschafft ein vpn mit dem testserver von studerus.ch zu erstellen - von zywall zu zywall

nun haben wir die ip-adressen und den pre-shared-key einfach an unsere daten angepasst und ein vpn zwischen unseren büros erstellen wollen.

leider nein ...

auszug aus den logs:

Recv:[HASH][NOTFY:ERR_ID_INFO]
Send:[HASH][SA][NONCE][ID][ID]
Start Phase 2: Quick Mode
Phase 1 IKE SA process done
Recv:[ID][HASH][NOTFY:INIT_CONTACT]
Send:[ID][HASH][NOTFY:INIT_CONT
Build Phase 1 ID
!! IKE Negotiation is in process

im manual sind die meldungen leider nicht erschöpfend angeführt.

kann mir jemand weiterhelfen?
verschlüsselungen, protokolle und pre-shared-key sind bei beiden routern ident.

LouCypher · 12.01.2004, 15:38

Name: Wurscht
Key Management: IKE
NEgotiation Mode: Main

Local: Lokales subnet (zb. 192.168.0.0(255.255.255.0)
Remote: Entferntes subnet, muss sich aber vom lokalen unterscheiden!!!! (zb. 192.168.1.0(255.255.255.0)

Local ID Type: IP
Content: leer lassen
My IP: 0.0.0.0
Peer ID Type: IP
Content: Öffentliche IP der anderen Zywall
Secure Gateway Address: Öffentliche IP der anderen Zywall
Encapsulation mode: Tunnel

Wenn du ESP, 3DES/SHA1 nimmst 20! stelliger key, (nicht mehr und nicht weniger!) musst unter advanced bei

Protocol:
alles auf 0, Relay: Yes/No is wurscht

Phase 1:

Main
20!stelliger key von vorhin
DES (nicht 3DES)
MD5 (nicht SHA)
28800
DH!

und bei Phase 2:
ESP
3DES
SHA1
28800
Tunnel
DH1

08.01.2004, 13:42	#1
dreamer Veteran Registriert seit: 05.06.2001 Alter: 51 Beiträge: 259	vpn mit zxyel - verbindung ok, kein zugriff auf dateien hi, leute, ich als netzwerk-dau hab vom chef den auftrag bekommen, zwischen unseren beiden büros eine vpn-verbindung herzustellen. ich sitz in büro 1 auf meinen rechner soll von büro 2 zugriffen werden. ein ordner wurde zwecks test für alle netzwerkbenutzer freigegeben. büro 1: - dyn. ip (mit dyndns.org umgangen) - rechner mit winxp - zxyel zywall 1-router büro 2: - stat. ip - rechner mit w2k - server mit microsoft small business server - zxyel zywall 10-router ich habs mittlerweile geschafft, dass der kollege aus büro 2 eine vpn-verbindung erstellen kann. leider findet er meinen rechner nicht in seiner netzwerkumgebung. wir haben in den netzwerken nur arbeitsgruppen (die sind gleich). die zyxel-firewall im büro 1 sollte richtige konfiguriert sein. ich hab im büro 1 den port 1723 mittels sua/nat auf meine lokale ip weitergeleitet. kann mir jemand tipps geben, woran es noch scheitern kann? fehlt etwas ausschlaggebendes (ausser mein durchblick )? danke schonmal ____________________________________ lg, thx usw. dreamer

09.01.2004, 20:36	#2
dreamer Veteran Registriert seit: 05.06.2001 Alter: 51 Beiträge: 259	sicher noch interessant: der kollege kann bei bestehender vpn-verbindung meine lokale ip pingen. das verwendete vpn-benutzerkonto hat administrator-rechte. warum scheint der rechner also nicht in der netzwerkumgebung auf? ____________________________________ lg, thx usw. dreamer

10.01.2004, 10:23	#4
dreamer Veteran Registriert seit: 05.06.2001 Alter: 51 Beiträge: 259	nein, hab ich noch nicht. danke für den tipp. hab grad hier gelesen, dass ein vpn mittels ipsec ziemlich kompliziert sein soll. die beiden router unterstützen ipsec - das ist nicht das problem. wahrscheinlich muss ich client (w2k über small business server) bzw. serverseitig (xp pro) noch einiges nachinstallieren... werd mich am montag in der fa. nochmals schlau machen. danke einstweilen. ____________________________________ lg, thx usw. dreamer

10.01.2004, 22:42	#5
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	wennst 2 zywalls hast wieso baust das vpn nicht zwischen denen auf? So wie ich das versteh willst ein vpn vom windows aus aufbauen, wieso???? ____________________________________ Greetings LouCypher

11.01.2004, 10:30	#6
dreamer Veteran Registriert seit: 05.06.2001 Alter: 51 Beiträge: 259	? versteh ich jetzt net ganz. ich hab doch lediglich auf dem rechner, auf den zugegriffen wird, eine eingehende verbindung und auf dem rechner, der zugreift, eine vpn-verbindung in den netzwerkverbindungen erstellt. alles andere machen eh die zyxel, oder? sorry, jetzt schlägt voll der dau durch... ____________________________________ lg, thx usw. dreamer

09.01.2004, 23:36	#3
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	hast du schon versucht den remote compi direkt anzusprechen also: start->ausführen: \\computername\freigabename zb \\server\c$

11.01.2004, 11:26	#7
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Kommt immer drauf an was du machen willst, aber die zywalls sind vpn router, die können von sich aus zwischen deinen beiden netzwerken eine vpn verbindung herstellen, ohne dass man auf den pcs was machen muss. Da kannst dann auch in der netzwerkumgebung rumsurfen was bei einem vpn wie du es machen willst nicht geht, weil, so viel ich weis, das windows vpn keine netbios broadcasts durchlässt. Wenn du aber ein vpn zwischen den zyxels aufbaust (sehr sicher mit 3des usw. verschlüsselung -> manual lesen) dann kannst von einem netz auf das andere zugreifen als wären beide an einem standort. ____________________________________ Greetings LouCypher

12.01.2004, 07:26	#8
dreamer Veteran Registriert seit: 05.06.2001 Alter: 51 Beiträge: 259	ok. danke. werd das manual nochmals durchackern. muss doch klappen thx einstweilen ____________________________________ lg, thx usw. dreamer

12.01.2004, 15:18	#9
dreamer Veteran Registriert seit: 05.06.2001 Alter: 51 Beiträge: 259	weiter im vpn-lied. ich habs mittlerweile geschafft ein vpn mit dem testserver von studerus.ch zu erstellen - von zywall zu zywall nun haben wir die ip-adressen und den pre-shared-key einfach an unsere daten angepasst und ein vpn zwischen unseren büros erstellen wollen. leider nein ... auszug aus den logs: Recv:[HASH][NOTFY:ERR_ID_INFO] Send:[HASH][SA][NONCE][ID][ID] Start Phase 2: Quick Mode Phase 1 IKE SA process done Recv:[ID][HASH][NOTFY:INIT_CONTACT] Send:[ID][HASH][NOTFY:INIT_CONT Build Phase 1 ID !! IKE Negotiation is in process im manual sind die meldungen leider nicht erschöpfend angeführt. kann mir jemand weiterhelfen? verschlüsselungen, protokolle und pre-shared-key sind bei beiden routern ident. ____________________________________ lg, thx usw. dreamer

12.01.2004, 15:38	#10
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Name: Wurscht Key Management: IKE NEgotiation Mode: Main Local: Lokales subnet (zb. 192.168.0.0(255.255.255.0) Remote: Entferntes subnet, muss sich aber vom lokalen unterscheiden!!!! (zb. 192.168.1.0(255.255.255.0) Local ID Type: IP Content: leer lassen My IP: 0.0.0.0 Peer ID Type: IP Content: Öffentliche IP der anderen Zywall Secure Gateway Address: Öffentliche IP der anderen Zywall Encapsulation mode: Tunnel Wenn du ESP, 3DES/SHA1 nimmst 20! stelliger key, (nicht mehr und nicht weniger!) musst unter advanced bei Protocol: alles auf 0, Relay: Yes/No is wurscht Phase 1: Main 20!stelliger key von vorhin DES (nicht 3DES) MD5 (nicht SHA) 28800 DH! und bei Phase 2: ESP 3DES SHA1 28800 Tunnel DH1 ____________________________________ Greetings LouCypher

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)