Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

MUVPN bei einer Watchguard X700

Mitglied: wesser-h

wesser-h (Level 1) - Jetzt verbinden

08.09.2006, aktualisiert 13.09.2006, 11770 Aufrufe, 4 Kommentare

Hallo Leute,

ich habe hier eine WG X700 und habe mir ein MUVPN-Profil erstellt, welches ich auch erfolgreich auf meinem Laptop mit der jeweiligen Client-Software installieren konnte. Der Verbindungsaufbau, sowie die Authentifizierung funktioniert auch einwandfrei. Jedoch kann ich keine Hosts im Firmennetz erreichen. Ein ipconfig auf meinem Laptop zeigte mir, dass ich auch von der WG eine IP-Adresse zugewiesen bekommen habe, jedoch mit einer 32-Bit-Subnetzmaske und einem Gateway, welcher der zugewiesenen IP-Adresse entspricht.

Kann mir jemand sagen, was ich falsch gemacht habe?
Mitglied: xsoodom
08.09.2006 um 12:12 Uhr
1. Frage Extended Auth oder Firebox Auth?
2. Hast du im Watchguard Manager/Policy Manager/Network Configuration Registerkarte WINS/DNS die internen DNS Server deiner Domain eingetragen ?
3. Unter Remote User Setup MUVPN advanced hast du unter Virtual Adapter Setting Preferred eingetragen?

Gegebenfalls die MUVPN WGX Datei auf den Laptop aktualisieren!

Kiste flashen und reboot - dann klappt es

xsoodom
Bitte warten ..
Mitglied: wesser-h
08.09.2006 um 12:38 Uhr
1. Frage Extended Auth oder Firebox Auth?

Firebox-Auth.

2. Hast du im Watchguard Manager/Policy
Manager/Network Configuration Registerkarte
WINS/DNS die internen DNS Server deiner
Domain eingetragen ?

Yep.

3. Unter Remote User Setup MUVPN advanced
hast du unter Virtual Adapter Setting
Preferred eingetragen?

Nein, habe ich aber gerade geändert.

Gegebenfalls die MUVPN WGX Datei auf den
Laptop aktualisieren!

Hab ich gemacht.

Kiste flashen und reboot - dann klappt es

x700 rebootet, aber klappt immer noch nicht
DNS-Server wird auch richtig übertragen.
Hier mal das LOG von dem VPN-Client. <FW-GW> ist eine Variable für unseren VPN-Gateway:

<SNIP-LOG>
9-08: 12:27:42.343
9-08: 12:27:42.343 My Connections\<FW-GW>-0.0.0.0 - Initiating IKE Phase 1 (IP ADDR=<FW-GW>)
9-08: 12:27:42.515 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, VID 2x, NAT-D 2x, HASH)
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Peer supports Keepalive processing
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Peer is NAT-T draft-02 capable
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Keepalive processing enabled
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - NAT is detected for Client
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Floating to IKE non-500 port
9-08: 12:27:42.796 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
9-08: 12:27:42.796 My Connections\<FW-GW>-0.0.0.0 - Established IKE SA
9-08: 12:27:42.796 MY COOKIE bla bla bla
9-08: 12:27:42.796 HIS COOKIE bla bla bla
9-08: 12:27:42.937 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:49.593 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - Received Private DNS Address = IP ADDR=192.168.2.3
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - IKE Extended Authentication successful.
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - Received Private IP Address = IP ADDR=192.168.1.235
9-08: 12:27:50.750 Virtual Interface configured to use Def GW
9-08: 12:27:51.218 Virtual Interface constructed for local interface 192.168.1.235
9-08: 12:27:51.250 Virtual Interface added: 192.168.1.235/255.255.255.0 on ISDN "SafeNet VA miniport".
9-08: 12:27:51.328 Route <FW-GW>-><meine_oeffentliche_IP> added.
9-08: 12:27:51.328 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:51.468
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Initiating IKE Phase 2 with Client IDs (message id: bla bla bla)
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Initiator = IP ADDR=192.168.1.235, prot = 0 port = 0
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Responder = IP SUBNET/MASK=0.0.0.0/0.0.0.0, prot = 0 port = 0
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
9-08: 12:27:51.625 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NOTIFY:STATUS_RESP_LIFETIME, NON, KE, ID 2x)
9-08: 12:27:51.625 My Connections\<FW-GW>-0.0.0.0 - Filter entry 3: SECURE 192.168.001.235&255.255.255.255 000.000.000.000&000.000.000.000 <FW-GW> added.
9-08: 12:27:51.687 Route 0.0.0.0/0.0.0.0->192.168.1.235 added.
9-08: 12:27:51.687 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(HASH)
9-08: 12:27:51.718 My Connections\<FW-GW>-0.0.0.0 - Loading IPSec SA (Message ID = bla bla bla OUTBOUND SPI = bla bla bla INBOUND SPI = bla bla bla)
9-08: 12:27:51.718
</SNIP-LOG>

Interessant finde ich die Zeile, die mit "Filter entry 3" beginnt...

Mmmh....
Bitte warten ..
Mitglied: xsoodom
08.09.2006 um 13:14 Uhr
Im Moment komme ich an keinen Client ran, wo ich die Logs prüfen könnte.

Im Mobile User Wizard bitte kein User is connect with a pocket PC
dann Use the passphrase of the end...
Nicht Use default gateway, sondern das Subnetz/24 in welches du dich einwählen möchtest
eine virtuelle IP, aber keine zB 192.168.2.50 oder 60, mit einer 0 am Ende) keine Ahnung warum, die Einwahl hat bei mir so nicht geklappt
Protection SHAI und 3 DES

MUVPN Icon rechts im Systemstart muss grün/Gelb leuchten und ein ON beinhalten

Das FB Log sollte bei der Einwahl aber so in etwa aussehen:

MUVPN öffentliche IP ist "Client PIP"
Server öffentliche IP ist "Server PIP"
Firebox Auth Username ""MUVPN Name"


09/08/06 12:54 fwcheck[140]: fwcheck v7.4.1.B2039 (C) 1996-2006 WGTI
09/08/06 12:54 iked[148]: FROM "Client PIP" IF-HDR* -06D29C74 ISA_HASH
09/08/06 12:54 iked[148]: Received a packet for an unknown SA
09/08/06 12:54 iked[148]: FROM "Client PIP" IF-HDR* -8D005380 ISA_HASH
09/08/06 12:54 iked[148]: Received a packet for an unknown SA
09/08/06 12:54 iked[148]: FROM "Client PIP" AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID
09/08/06 12:54 iked[148]: Rejecting peer XAUTH request: not configured
09/08/06 12:54 iked[148]: TO "Client PIP" AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_HASH ISA_VENDORID ISA_VENDORID NAT-D NAT-D
09/08/06 12:54 iked[148]: CRYPTO ACTIVE after delay
09/08/06 12:54 iked[148]: FROM "Client PIP" AG-HDR*# ISA_HASH NAT-D NAT-D ISA_NOTIFY ISA_NOTIFY
09/08/06 12:54 iked[148]: Received REPLAY_STATUS message, mess_id=0x00000000
09/08/06 12:54 iked[148]: Received INITIAL_CONTACT message, mess_id=0x00000000
09/08/06 12:54 iked[148]: Attempting to update laddr "Client PIP" to ruser_ip "Server PIP"
09/08/06 12:54 iked[148]: Add Host 7 "192.168.9.52" "ipsec_users" "MUVPN Name" succeeded
09/08/06 12:54 iked[148]: User "MUVPN Name" at "Client interne IP" logged in
09/08/06 12:54 iked[148]: TO "Client PIP" TR-HDR*#-B45B1AF6 ISA_HASH ISA_TRANSATTR
09/08/06 12:54 iked[148]: Sending INITIAL_CONTACT message
09/08/06 12:54 iked[148]: TO "Client PIP" IF-HDR*#-CE6A45FD ISA_HASH ISA_NOTIFY
09/08/06 12:54 iked[148]: Ending phase1 as RESPONDER
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-89EB842B ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: WARNING - No Matching IPSec Policy found for "Client PIP"
09/08/06 12:54 iked[148]: ACTION - Verify VPN IPSec Policies for "Client PIP"
09/08/06 12:54 iked[148]: get_ipsec_pref: Unable to find channel info for remote("Client PIP")
09/08/06 12:54 iked[148]: Quick Mode processing failed
09/08/06 12:54 iked[148]: FROM "Client PIP" TR-HDR*#-B45B1AF6 ISA_HASH ISA_TRANSATTR
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: TO "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH
09/08/06 12:54 iked[148]: Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=43200sec/0KB SPI=FDCC9AE6
09/08/06 12:54 iked[148]: Load inbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=43200sec/0KB SPI=0004C92C
09/08/06 12:54 iked[148]: Tunnel created for 192.168.9.0/24 <-> 192.168.9.52/32
09/08/06 12:54 kernel: ipsec: make bundle for channel 3, 1 in SA's, 1 out SA's
Bitte warten ..
Mitglied: wesser-h
13.09.2006 um 13:55 Uhr
Hallo!

Sorry für meine späte Rückmeldung.
Ich konnte endlich das Problem lösen. Scheinbar hat die x700 die Zuordnung User<->Group nicht korrekt umgesetzt. Ich habe noch einmal ein frisches MUVPN-Profil aufgesetzt und jetzt funktioniert es auch.

Vielen Dank für Deine Hilfe.
Bitte warten ..
Ähnliche Inhalte
Firewall
Watchguard X700 flashen
Frage von uridium69Firewall8 Kommentare

Hallo zusammen Die jetzige Firewall X700 mit Fireware 7xx etwas lässt sich nicht mehr booten, vermutlich ist das Gerät ...

Router & Routing
WatchGuard Firebox X700
Frage von amgm2006Router & Routing8 Kommentare

Hallo, uns ist ein Rechner agbeschmiert, wo die Firebox X700 Konfiguriert wurde. Jetzt finden wir die Passende Software nicht ...

Netzwerkmanagement

Pfense auf Watchguard x700 kein Connect möglich

gelöst Frage von medikopterNetzwerkmanagement8 Kommentare

Hallo, folgendes Problem, ich habe mir eine Watchguard Firewall x700 mit Pfense zu gelegt. Nun habe ich versucht über ...

Router & Routing

WSM 7.5 für eine WhatchGuard Firebox X700

Frage von amgm2006Router & Routing

zum auslesen einer WhatchGuard X700 siche ich dringend eine passende Software. Auf der Box ist die FWS v7.3 Herunterladen ...

Neue Wissensbeiträge
Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 7 StundenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 12 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 23 StundenMicrosoft Office3 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Humor (lol)

Warum man sein Gast-WLAN nicht beliebig nennen sollte

Erfahrungsbericht von Henere vor 2 TagenHumor (lol)5 Kommentare

Servus, mal was aus dem Alltag. Zu Hause. Eigentlich wollte ich nur einen weiteren WLAN-AP ins Netz bringen, damit ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...

LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless12 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...