grafg01
Goto Top

VPN zwischen 7270 und Watchguard

Hallo zusammen,
ich habe folgendes Problem:
Bis vor einiger Zeit hatte ich einen Netgear 824 im Einsatz und konnte über diesen mittels MobileClient von Watchguard wunderbar eine Verbindung zum Firmenserver aufbauen.
Jetzt, da der 824 das Zeitliche gesegnet hat, habe ich mir eine 7270 gekauft, die auch gut funktioniert. Einzig die VPN-Verbindung bekomme ich nicht hin. Ich habe auch schon den alternativen Client von NCP ausprobiert, auch der will nicht. Unser Systemhaus hasst die 7270 und hat mir zum Wegschmeißen geraten, sie haben den Zugang auch nicht hinbekommen. Vielleicht seit Ihr ja schlauer als die, ich bin in Sachen VPN nahezu völlig ahnungslos.
Gibt es irgendwelche besonderen Einstellungen, die ich der 7270 vornehmen muss?
Welche Angaben benötigt ihr? Die FW auf der 7270 ist die neueste Laborversion, alle anderen haben allerdings auch nicht funktioniert.
Bin für jeden Tip dankbar.

Content-Key: 109006

Url: https://administrator.de/contentid/109006

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 15.02.2009 um 13:46:02 Uhr
Goto Top
Mit 7270 meinst du vermutlich eine FritzBox, richtig ??

Die FB benutzt IPsec als VPN Protokoll und sollte somit vollkommen kompatibel zur Watchguard sein !!

Das AVM VPN Portal:

http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...

Bietet ein paar Beispielkonfigs für Draytek, Lancom, NetGear FVS318 die ebenfalls alle IPsec benutzen.
Analog sollten diese Konfigs zur Watchguard passen !!
Mitglied: Firewire
Firewire 15.02.2009 um 14:05:01 Uhr
Goto Top
Hallo,

ich habe zwar keine 7270, sondern nur eine 7170 hier zuhause, habe aber gerade mal versucht dein Problem nachzuvollziehen.
Ich habe mir die aktuellste Version des Watchguard Clients, der ja auf dem NCP-Client basiert installiert. Die Version wird mit 10.04 Build 12 angezeigt.
Dann habe ich eine VPN Verbindung zu einer Watchguard Edge aufgebaut. Hat problemlos funktioniert. Hast du im Moment vielleicht zwei verschiedene VPN Clients auf dem Recher? Das gibt oft Probleme.
Ansonsten mal im Client unter /Log/ das Logbuch löschen, eine Anwahl probieren und dann den Inhalt der Logs hier posten.
Vielleicht lässt sich so eher erkennen woran es liegt.
Mitglied: grafg01
grafg01 15.02.2009 um 15:38:04 Uhr
Goto Top
Hallo,
ich hab mich wohl leider etwas unpräzise ausgedrückt. Der Tunnel kommt wohl irgendwie zustande, d.h. der Strahl wird grün, allerdings kann ich nicht mittels Remotedesktopverbindung, die ich aber leider benötige, auf den Firmenrechner zugreifen.
Gehe ich über eine UMTS-Karte ins Netz, funktioniert der Zugang einwandfrei. Ich habe das Problem sowohl unter Vista32 als auch unter XP SP3, d.h., es wird definitiv an der 7270 liegen.

Das Logbuch lautet wie folgt:
15.02.2009 15:30:56 IPSDIALCHAN::start building connection
15.02.2009 15:30:56 NCPIKE-phase1:name(VPNSSP) - outgoing connect request - aggressive mode.
15.02.2009 15:30:56 XMIT_MSG1_AGGRESSIVE - VPNSSP
15.02.2009 15:30:56 RECV_MSG2_AGGRESSIVE - VPNSSP
15.02.2009 15:30:56 IPSDIAL->FINAL_TUNNEL_ENDPOINT:194.008.201.194
15.02.2009 15:30:56 IKE phase I: Setting LifeTime to 28800 seconds
15.02.2009 15:30:56 Turning on XAUTH mode - VPNSSP
15.02.2009 15:30:56 VPNSSP ->Support for NAT-T version - 2
15.02.2009 15:30:56 Turning on NATD mode - VPNSSP - 1
15.02.2009 15:30:56 XMIT_MSG3_AGGRESSIVE - VPNSSP
15.02.2009 15:30:56 NCPIKE-phase1:name(VPNSSP) - connected
15.02.2009 15:30:56 Phase1 is Ready: IkeIndex = 00000001
15.02.2009 15:30:56 RECV_XAUTH_REQUEST
15.02.2009 15:30:56 XMIT_XAUTH_REPLY
15.02.2009 15:30:57 RECV_XAUTH_REQUEST
15.02.2009 15:31:05 XMIT_XAUTH_REPLY
15.02.2009 15:31:05 RECV_XAUTH_REQUEST
15.02.2009 15:31:15 XMIT_XAUTH_REPLY
15.02.2009 15:31:15 RECV_IKECFG_SET - VPNSSP
15.02.2009 15:31:15 XMIT_IKECFG_ACK - VPNSSP
15.02.2009 15:31:15 RECV_XAUTH_SET
15.02.2009 15:31:15 XMIT_XAUTH_ACK
15.02.2009 15:31:15 NCPIKE-xauth:name(VPNSSP) - IkeXauth: enter state open
15.02.2009 15:31:15 Quick Mode is Ready: IkeIndex = 00000001 , VpnSrcPort = 4500
15.02.2009 15:31:15 Assigned IP Address: 192.168.95.21
15.02.2009 15:31:16 XMIT_MSG1_QUICK - VPNSSP
15.02.2009 15:31:16 QuickMode:Received Notify(VPNSSP) -> remote is reducing LifeTime to 28800
15.02.2009 15:31:16 RECV_MSG2_QUICK - VPNSSP
15.02.2009 15:31:16 QuickMode:Turning on PFS mode(VPNSSP) with group 1
15.02.2009 15:31:16 XMIT_MSG3_QUICK - VPNSSP
15.02.2009 15:31:16 NCPIKE-phase2:name(VPNSSP) - connected
15.02.2009 15:31:16 IPSDIAL - verbunden mit VPNSSP auf Kanal 1.
15.02.2009 15:31:16 IPCP - verbunden mit VPNSSP mit IP Adresse: 192.168.095.021. : 192.168.095.022.
15.02.2009 15:31:45 NOTIFY : VPNSSP : RECEIVED : NOTIFY_MSG_KEEPALIVE_REQUEST
15.02.2009 15:31:45 NOTIFY : VPNSSP : SENT : NOTIFY_MSG_KEEPALIVE_ACK

Danke bis hierhin
Mitglied: grafg01
grafg01 15.02.2009 um 15:39:45 Uhr
Goto Top
Ja, mit 7270 meine ich die FB. Die Beispielkonfigs habe ich, soweit mir möglich ausprobiert und auch schon dem Systempartner übermittelt, wie Du in meinem anderen Post siehst, kommt der Tunnel wohl zustande, allerdings hab ich keinen Remotedesktopzugriff.
Mitglied: Firewire
Firewire 15.02.2009 um 15:55:03 Uhr
Goto Top
Ok, dann hatte ich dich wohl falsch verstanden, ich dachte es scheitert schon beim Aufbau des VPNs. Seltsames Phänomen..kannst du denn den Zielrechner im Firmennetzwerk anpingen wenn das VPN aufgebaut ist?
Bei XP machst du das über /Start/Ausführen dann cmd eingeben und bestätigen.
In der Eingabeaufforderung dann
ping "ip-Adresse"

Vorrausgesetzt der Rechner antwortet auf Pings. Kannst das ja mal ggf. mit deiner UMTS Verbindung auch testen.
Mitglied: grafg01
grafg01 15.02.2009 um 16:24:27 Uhr
Goto Top
Ja, ping funktioniert. Nachdem ich beim Schreiben in diesem Forum selber gemerkt habe, dass ich wohl die Frage eher Richtung Remotedesktop funkioniert nicht hätte formulieren sollen, hab ich mal nach "7270 Problem Remotdesktopverbindung" gegoogelt.
Dabei treffe ich öfter auf Beiträge, die mir sagen, dass wohl der MTU-Wert am Router zu hoch sei und tatasächlich, wenn ich mit dem wohl dem für die 7270 üblichen Wert (1492) pinge, sagt er mir, dass das Paket fragmentiert werden müsste. Erst bei 1460 kommt die Meldung nicht mehr.
Allerdings kann mir niemand sagen wie ich den MTU-Wert an der FB ändern kann.
Mitglied: Firewire
Firewire 15.02.2009 um 16:39:22 Uhr
Goto Top
Vielleicht reicht es aus den MTU-Wert an deinem PC mal testweise zu verändern.
Schau dir mal diese Seite an:
http://www.gschwarz.de/mtu-wert.htm
Mitglied: grafg01
grafg01 15.02.2009 um 18:39:05 Uhr
Goto Top
Danke, die Seite hab ich schon gefunden und es ausprobiert, hat leider nichts gebracht face-sad
Ich muss den Wert wohl direkt auf der Box ändern und da komme ich nicht dran.
Mitglied: aqui
aqui 16.02.2009 um 22:15:25 Uhr
Goto Top
Oder...es ist die Firewall auf der remoten Seite !

Bedenke das dein Quell IP Adresse des RDP Clients aus einem anderen IP Netzwerk kommt was die Firewall normalerweise gandenlos blockt !

Du musst also in jedem Falle die lokale Firewall im das remote IP Netzwerk erweitern und den Zugriff erlauben oder... testweise die Firewall temporär abschalten !

Der Ping fehlerfrei funktioniert (Der benutzt auch IP als Transport) kannst du sehen das es an der VPN Verbindung selber NICHT liegt !! Logisch !!

Wenns das nicht ist bleibt in der Tat nur noch die MTU die du auf dem Router verkleinern solltest am WAN/DSL Interface.
Erst als letzte Instanz am Rechner selber mit einem Tool wie z.B. Dr. TCP:

http://www.dslreports.com/drtcp
Mitglied: grafg01
grafg01 16.02.2009 um 23:12:40 Uhr
Goto Top
Da es mit der UMTS-Karte auf dem gleichen (und anderen) Rechnern funktioniert, kann es das doch eigentlich nicht sein, oder??
Da ich den MTU-Wert eben nicht am Router ändern kann, hab ich es auch schon mit Dr. TCP versucht, leider auch das ohne Erfolg
Mitglied: aqui
aqui 17.02.2009 um 09:18:48 Uhr
Goto Top
Dann kann es nur eine Inkompatibilität zwischen VPN Client und VPN Server sein !

Warum benutzt du nicht den AVM VPN Client ??? Mit deim sollte es ja problemlos funktionieren zu einer FB ??

http://webgw.avm.de/download/Download.jsp?partid=14660
Mitglied: Firewire
Firewire 17.02.2009 um 10:39:13 Uhr
Goto Top
Zitat von @aqui:

Warum benutzt du nicht den AVM VPN Client ???

Weil er sich nicht mit einer Fritzbox, sondern mit einer Watchguard verbinden möchte.
Mitglied: grafg01
grafg01 17.02.2009 um 10:48:56 Uhr
Goto Top
Ganz genau das ist mein Problem.... den umgekehrten Weg probiere ich, wenn diese Richtung erstmal läuft....
Mitglied: Firewire
Firewire 17.02.2009 um 12:43:36 Uhr
Goto Top
Ich hab als Idee im Moment auch nur, nochmal sicherzustellen, dass auf der Watchguard auch wirklich die aktuellste Fireware läuft.