FVS318N to Netgear PRO Safe Client - IPSEC

Bonjour @blue2i

Bienvenue sur le forum Netgear et félicitations pour votre premier message.

La connexion échoue à la phase une. La première chose que je vous conseille de vérifier c’est l’onglet « remote » et « local ». Regardez « identifier » remote.com et local.com. Est-ce que sur votre téléphone c'est exactement à l'inverse ? Vérifiez aussi le Diffie-Hellman (DH) Group, sur le Smartphone vous devez avoir le même groupe. Sinon essayez de changer le DH groupe (toujours le même pour le téléphone et routeur) et vérifiez si la connexion fonctionne.

Avez-vous essayé de vous connecter depuis un PC à votre VPN ?

Bonne journée à vous

Justyna

Equipe Netgear

Bonjour

Merci pour votre réponse rapide

Sur mon appli android (FortiClient) JE n'ai que le local ID dans lequel j'ai mis remote.com
Pas de paramètre Remode ID ....

Je viens de réessayer en changeant le Diffie-Hellman (DH)  et en le mettant à 2 sur le téléphone  mais toujours pareil

J'ai également essayé avec un MAC (client VPN par défaut mais ça n'a pas fonctionné non plus .....)

Log de ma dernière tentative :

Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  For 37.164.16.89[40280], Selected NAT-T version: RFC 3947Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] ERROR:  failed to compute dh value.
Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: DPD
Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID

Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: RFC 3947
Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Beginning Aggressive mode.
Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received request for new phase 1 negotiation: 109.190.146.254[500]<=>37.164.16.89[40280]
Fri Oct 28 15:57:15 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Remote configuration for identifier "remote.com" found
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  For 37.164.16.89[40280], Selected NAT-T version: RFC 3947Fri Oct 28 15:57:13 2016 (GMT +0100): [FVS318N] [IKE] ERROR:  failed to compute dh value.
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: DPD
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID

Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: RFC 3947
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Beginning Aggressive mode.
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received request for new phase 1 negotiation: 109.190.146.254[500]<=>37.164.16.89[40280]
Fri Oct 28 15:57:12 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Remote configuration for identifier "remote.com" found
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  For 37.164.16.89[40280], Selected NAT-T version: RFC 3947Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] ERROR:  failed to compute dh value.
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: DPD
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID

Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: RFC 3947
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Beginning Aggressive mode.
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received request for new phase 1 negotiation: 109.190.146.254[500]<=>37.164.16.89[40280]
Fri Oct 28 15:57:09 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Remote configuration for identifier "remote.com" found
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  For 37.164.16.89[40280], Selected NAT-T version: RFC 3947Fri Oct 28 15:57:07 2016 (GMT +0100): [FVS318N] [IKE] ERROR:  failed to compute dh value.
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: DPD
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID

Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: RFC 3947
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Beginning Aggressive mode.
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received request for new phase 1 negotiation: 109.190.146.254[500]<=>37.164.16.89[40280]
Fri Oct 28 15:57:06 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Remote configuration for identifier "remote.com" found
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  For 37.164.16.89[40280], Selected NAT-T version: RFC 3947Fri Oct 28 15:57:05 2016 (GMT +0100): [FVS318N] [IKE] ERROR:  failed to compute dh value.
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: DPD
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID

Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received Vendor ID: RFC 3947
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received unknown Vendor ID
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Beginning Aggressive mode.
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Received request for new phase 1 negotiation: 109.190.146.254[500]<=>37.164.16.89[40280]
Fri Oct 28 15:57:04 2016 (GMT +0100): [FVS318N] [IKE] INFO:  Remote configuration for identifier "remote.com" found

Pour faire marcher le VPN sur MAC regarde cette KB https://kb.netgear.com/app/answers/detail/a_id/24242?cid=wmt_netgear_organic

Dans un autre post Prodigy parle d'une app pour android (je ne l'ai jamais testé) https://community.netgear.com/t5/VPN-Firewalls/FVS318N-IPsec-Android-Tunnel-establishes-but-drops-wi...

Dans le passé j'ai fais marcher le VPN natif Android en L2TP en activant le serveur du routeur SRX5308. Hélas le FVS318N ne supporte pas le mode serveur L2TP

Bonjour et merci pour ces informations qui m'ont permis de bien avancer

J'ai suivi le tuto avec IPSecuritas (https://kb.netgear.com/app/answers/detail/a_id/24242?cid=wmt_netgear_organic) et maintenant le connexion fonctionne bien

Par contre quand je suis sur le MAC je ne peux pas pinguer les machines coté VPN (timeout)

Dans IPSecuritas sur le mac la config est la suivante

Sur le routeur :

Je suppose que ça doit être un détail quelque part mais je ne vois pas ou .....

Est-il possible d'avoir un diagramme réseau des 2 sites?

Si site B est en 192.168.0.0 alors il serait bien d'avoir site A dans un sous réseau different (192.168.10.0 par exemple)

Est-ce que l'adresse IP de passerelle des machines clientes pointent bien l'IP du routeur?

Est-ce que sur le router dans firewall - Security est-ce que outbound rules est en "deny always" ? Ce qui impliquerait donc de créer une regle pour authoriser le trafic a travers le VPN

Malgré que ca ne ping pas, est-il possible de voir des partages réseau? Il ne faut pas oublier que les parefeu de poste clients réagissent différemment si la requete vien d'un autre réseau que celui local. Donc une désactivation du parefeu poste client peut etre un bon test. 

Re bonnjour

FireWall du MAC

Je viens de vérifier et le FireWall du Mac est stoppé

FireWall du routeur

Dans la sécurité LAN WAN RULES
La rèlge de base Default Outbound Policy est "Allow Always"

Diagramme réseau des 2 sites

Sur le site principal :

Routeur FVS318N configuré sur l'adresse 192.168.0.254
Il fait office de serveur DHCP pour tout le réseau configuré en 192.168.0.xxx
Il y a déja un autre VPN activé entre ce routeur et un autre routeur identique configuré lui en 172.16.0.254 ...etc

J'ai donc créé un second VPN sur ce routeur afin de permettre à un collaborateur équipé d'un MAC de se connecter depusi chez lui ou en itinérance au réseau local (CF le config ci dessus)

Sur le MAC :

Pour mes test le MAC utilise uen connexion partagée avec mon téléphone connecté chez FREE en 3G

D'après ce que je comprend le MAC a reçu comme adresse IP du téléphone 192.168.43.127 .... masque 255..255.255.0, passerelle 192.168.43.1

Accès aux partages réseaux

A priori ça ne fonctionen pas depuis le MAC ... ça mouline quand je tape l'adresse de mon serveur SAMBA ... puis echec

---

blue2i a écrit :

 

Sur le MAC :

Pour mes test le MAC utilise uen connexion partagée avec mon téléphone connecté chez FREE en 3G

D'après ce que je comprend le MAC a reçu comme adresse IP du téléphone 192.168.43.127 .... masque 255..255.255.0, passerelle 192.168.43.1

 

---

La je vais bloquer, le MAC récupere une adresse IP privée donc le téléphone fait office de routeur puisqu'il ne fournit pas d'IP publique au MAC donc peut etre que le téléphone bloque l'IPSec.

Il serait intéressant de faire un test en faisant de l'USB tethering car le téléphone fonctionnera en pure modem mais il reste a voir si l'opérateur ne bloque le type trafic VPN.

Je pense que le test le plus simple est de se connecter via une box d'un autre site et de faire le test.

Ok merci en tous cas pour votre aide et vos réponses super rapides

Je vais tester ce soir chez mon collaborateur avec sa box ADSL ce sera plus simple

Je vous redit ce que ça donne demain

Par contre si j'ai bien compris votre réponse précédente ..... si le MAC se trouve derrière une box configurée en mode routeur (ce qui doit être le cas chez mon collaborateur) ... ça ne fonctionnera pas ? 

---

blue2i a écrit :

Par contre si j'ai bien compris votre réponse précédente ..... si le MAC se trouve derrière une box configurée en mode routeur (ce qui doit être le cas chez mon collaborateur) ... ça ne fonctionnera pas ? 

---

Si ca devrait marcher en etant derriere la box du collaborateur. Mon probleme est que je ne sais pas comment un téléphone gere le trafic IPsec quand il est en mode hotspot wifi

Par exemple certains vieux routeurs ne laissent pas passer les GRE https://en.wikipedia.org/wiki/Generic_Routing_Encapsulation et d'autres vieux routeurs bloquent l'IPSec mais ca fait 3-4 ans que je n'ai plus vues ce probleme

Bonjour

Bon et bien raté ..... j'ai fais des essais hier soir chez mon collaborateur (Box Orange) et même problème

La connexion se fait bien avec le VON mais aucun trafic ne passe .... pas de ping ...... pas de HTTP .... Rien

Une idée ?

Montre les screenshots 'IKE policy du routeur et du client MAC le sphase 1,2 et ID

Voici les copies d'écrans coté Routeur :

Par contre je n'ai plus le MAC avec moi mais pour la conf réseau j'ai mis

Dans General

Remote : IP publique de mon routeur

Pour Local side --> Tout laissé vide

Pour remode Side

NetWork Adresse : 192.168.0.0

NetWork Mask (CIDR) 24

Dans Phase 1 et 2

Comme expliqué dans le TUTO j'ai repris les paramèrtes de mon routeur

Dans DNS et Option

j'ai tout laissé par défaut 

Et voici la conf coté IPSecuritas

ET l'écran de conf Général de IPSecuritas

Je te propose de faire un test croisé.

Moi j'ai un client VPN windows qui fonctionne parfaitement. Donc tu vas essayer de te connecter sur mon routeur depuis ton MAC et si cela fonctionne il faudra alors se concentrer sur un probleme routeur et si ca ne fonctionne pas c'est donc une mauvaise conf client ou du trafic qui est bloqué quelque part.

IP publique : je te l'envois en MP

Subnet : 172.123.123.0 255.255.255.0

passphrase : 0123456789

local ID: local.com

remote ID : remote.com (n'oublie pas d'inverser sur ta conf client)

Et le reste tu laisses comme sur le tuto

Tu peux essayer de pinger 172.123.123.10

Bonjour

Désolé je n'ai pas pu répondre plus vite car j'étaius en déplacement

Merci pour cette proposition. J'ai prévu de tester ça demain midi chez mon collaborateur

Je te donnes le résultat du test Lundi donc

Bonjour

J'ai ytesté ce midi et avec ton VPN ça fonctionne nikel

On a bien réussi à pinger l'adresse 172.123.123.10

Donc pas de blocazge au niveau BOX ... mais sand doute un pbl sur mon routeur ?

Créer moi un VPN et j'essaierai de me connecter pour voir si ca passe depuis chez moi.

Le probleme peut etre sur routeur ISP ou le réseau de ton ISP écarte le trafic ou le FVS qui bug

Pour info je ne pourrais pas tester Lundi

Bonjour

Ok je vous envoi en MP les paramètres pour accéder à un VPN de test pour vous

Au passage mon routeur est en version 4.3.1-22 (peut être une mise à jour du firmeware à tenter ?)

Je viens de tester et j'arrive a pinger 192.168.0.254 , 192.168.0.1, 192.168.0.2

Dans subnet j'ai mis 192.168.0.0, je pense que ton erreur est que tu mets 192.168.0.254 par conséquent tu ne pourras accéder que a 192.168.0.254

Bonsoir

Merci pour ton retoru et ce test .... on avance ;o)

Par contre le VPN que tu as testé est en

... du coup je pensais comme toi que ça ne marcherait pas

Alors que le VPON que j'ai testé avec mon collègue était en :

Du coup je viens de le modifier pour mettre le même paramétrage que pour le tien .... j'attends sa réponse

Je te redis

Bonjour

On a refait un test hier soir en mettant exactement les mêmes paramètres que pour ton VPN à toi et ça ne marche toujours pas

Impossible de poinger 192.168.0.1 ou 192.168.0.254

Je ne sais plus quoi faire ....Miase à jour du firmware ?

Ton subnet est 192.168.0.0/16 mais quel est le subnet du collaborateur? Si c'est du 192.168.0.0/24 ou 192.168.1.0/24 alors ca pourrait poser un probleme puisque ces 2 subnets sont dans le meme subnet que 192.168.0.0/16

Sinon oui, met a jour ton firmware et je pense que tu es bon pour appeller le support technque