Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

MUVPN bei einer Watchguard X700

Mitglied: wesser-h

wesser-h (Level 1) - Jetzt verbinden

08.09.2006, aktualisiert 13.09.2006, 11776 Aufrufe, 4 Kommentare

Hallo Leute,

ich habe hier eine WG X700 und habe mir ein MUVPN-Profil erstellt, welches ich auch erfolgreich auf meinem Laptop mit der jeweiligen Client-Software installieren konnte. Der Verbindungsaufbau, sowie die Authentifizierung funktioniert auch einwandfrei. Jedoch kann ich keine Hosts im Firmennetz erreichen. Ein ipconfig auf meinem Laptop zeigte mir, dass ich auch von der WG eine IP-Adresse zugewiesen bekommen habe, jedoch mit einer 32-Bit-Subnetzmaske und einem Gateway, welcher der zugewiesenen IP-Adresse entspricht.

Kann mir jemand sagen, was ich falsch gemacht habe?
Mitglied: xsoodom
08.09.2006 um 12:12 Uhr
1. Frage Extended Auth oder Firebox Auth?
2. Hast du im Watchguard Manager/Policy Manager/Network Configuration Registerkarte WINS/DNS die internen DNS Server deiner Domain eingetragen ?
3. Unter Remote User Setup MUVPN advanced hast du unter Virtual Adapter Setting Preferred eingetragen?

Gegebenfalls die MUVPN WGX Datei auf den Laptop aktualisieren!

Kiste flashen und reboot - dann klappt es

xsoodom
Bitte warten ..
Mitglied: wesser-h
08.09.2006 um 12:38 Uhr
1. Frage Extended Auth oder Firebox Auth?

Firebox-Auth.

2. Hast du im Watchguard Manager/Policy
Manager/Network Configuration Registerkarte
WINS/DNS die internen DNS Server deiner
Domain eingetragen ?

Yep.

3. Unter Remote User Setup MUVPN advanced
hast du unter Virtual Adapter Setting
Preferred eingetragen?

Nein, habe ich aber gerade geändert.

Gegebenfalls die MUVPN WGX Datei auf den
Laptop aktualisieren!

Hab ich gemacht.

Kiste flashen und reboot - dann klappt es

x700 rebootet, aber klappt immer noch nicht
DNS-Server wird auch richtig übertragen.
Hier mal das LOG von dem VPN-Client. <FW-GW> ist eine Variable für unseren VPN-Gateway:

<SNIP-LOG>
9-08: 12:27:42.343
9-08: 12:27:42.343 My Connections\<FW-GW>-0.0.0.0 - Initiating IKE Phase 1 (IP ADDR=<FW-GW>)
9-08: 12:27:42.515 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, VID 2x, NAT-D 2x, HASH)
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Peer supports Keepalive processing
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Peer is NAT-T draft-02 capable
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Keepalive processing enabled
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - NAT is detected for Client
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Floating to IKE non-500 port
9-08: 12:27:42.796 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
9-08: 12:27:42.796 My Connections\<FW-GW>-0.0.0.0 - Established IKE SA
9-08: 12:27:42.796 MY COOKIE bla bla bla
9-08: 12:27:42.796 HIS COOKIE bla bla bla
9-08: 12:27:42.937 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:49.593 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - Received Private DNS Address = IP ADDR=192.168.2.3
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - IKE Extended Authentication successful.
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - Received Private IP Address = IP ADDR=192.168.1.235
9-08: 12:27:50.750 Virtual Interface configured to use Def GW
9-08: 12:27:51.218 Virtual Interface constructed for local interface 192.168.1.235
9-08: 12:27:51.250 Virtual Interface added: 192.168.1.235/255.255.255.0 on ISDN "SafeNet VA miniport".
9-08: 12:27:51.328 Route <FW-GW>-><meine_oeffentliche_IP> added.
9-08: 12:27:51.328 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:51.468
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Initiating IKE Phase 2 with Client IDs (message id: bla bla bla)
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Initiator = IP ADDR=192.168.1.235, prot = 0 port = 0
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Responder = IP SUBNET/MASK=0.0.0.0/0.0.0.0, prot = 0 port = 0
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
9-08: 12:27:51.625 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NOTIFY:STATUS_RESP_LIFETIME, NON, KE, ID 2x)
9-08: 12:27:51.625 My Connections\<FW-GW>-0.0.0.0 - Filter entry 3: SECURE 192.168.001.235&255.255.255.255 000.000.000.000&000.000.000.000 <FW-GW> added.
9-08: 12:27:51.687 Route 0.0.0.0/0.0.0.0->192.168.1.235 added.
9-08: 12:27:51.687 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(HASH)
9-08: 12:27:51.718 My Connections\<FW-GW>-0.0.0.0 - Loading IPSec SA (Message ID = bla bla bla OUTBOUND SPI = bla bla bla INBOUND SPI = bla bla bla)
9-08: 12:27:51.718
</SNIP-LOG>

Interessant finde ich die Zeile, die mit "Filter entry 3" beginnt...

Mmmh....
Bitte warten ..
Mitglied: xsoodom
08.09.2006 um 13:14 Uhr
Im Moment komme ich an keinen Client ran, wo ich die Logs prüfen könnte.

Im Mobile User Wizard bitte kein User is connect with a pocket PC
dann Use the passphrase of the end...
Nicht Use default gateway, sondern das Subnetz/24 in welches du dich einwählen möchtest
eine virtuelle IP, aber keine zB 192.168.2.50 oder 60, mit einer 0 am Ende) keine Ahnung warum, die Einwahl hat bei mir so nicht geklappt
Protection SHAI und 3 DES

MUVPN Icon rechts im Systemstart muss grün/Gelb leuchten und ein ON beinhalten

Das FB Log sollte bei der Einwahl aber so in etwa aussehen:

MUVPN öffentliche IP ist "Client PIP"
Server öffentliche IP ist "Server PIP"
Firebox Auth Username ""MUVPN Name"


09/08/06 12:54 fwcheck[140]: fwcheck v7.4.1.B2039 (C) 1996-2006 WGTI
09/08/06 12:54 iked[148]: FROM "Client PIP" IF-HDR* -06D29C74 ISA_HASH
09/08/06 12:54 iked[148]: Received a packet for an unknown SA
09/08/06 12:54 iked[148]: FROM "Client PIP" IF-HDR* -8D005380 ISA_HASH
09/08/06 12:54 iked[148]: Received a packet for an unknown SA
09/08/06 12:54 iked[148]: FROM "Client PIP" AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID
09/08/06 12:54 iked[148]: Rejecting peer XAUTH request: not configured
09/08/06 12:54 iked[148]: TO "Client PIP" AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_HASH ISA_VENDORID ISA_VENDORID NAT-D NAT-D
09/08/06 12:54 iked[148]: CRYPTO ACTIVE after delay
09/08/06 12:54 iked[148]: FROM "Client PIP" AG-HDR*# ISA_HASH NAT-D NAT-D ISA_NOTIFY ISA_NOTIFY
09/08/06 12:54 iked[148]: Received REPLAY_STATUS message, mess_id=0x00000000
09/08/06 12:54 iked[148]: Received INITIAL_CONTACT message, mess_id=0x00000000
09/08/06 12:54 iked[148]: Attempting to update laddr "Client PIP" to ruser_ip "Server PIP"
09/08/06 12:54 iked[148]: Add Host 7 "192.168.9.52" "ipsec_users" "MUVPN Name" succeeded
09/08/06 12:54 iked[148]: User "MUVPN Name" at "Client interne IP" logged in
09/08/06 12:54 iked[148]: TO "Client PIP" TR-HDR*#-B45B1AF6 ISA_HASH ISA_TRANSATTR
09/08/06 12:54 iked[148]: Sending INITIAL_CONTACT message
09/08/06 12:54 iked[148]: TO "Client PIP" IF-HDR*#-CE6A45FD ISA_HASH ISA_NOTIFY
09/08/06 12:54 iked[148]: Ending phase1 as RESPONDER
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-89EB842B ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: WARNING - No Matching IPSec Policy found for "Client PIP"
09/08/06 12:54 iked[148]: ACTION - Verify VPN IPSec Policies for "Client PIP"
09/08/06 12:54 iked[148]: get_ipsec_pref: Unable to find channel info for remote("Client PIP")
09/08/06 12:54 iked[148]: Quick Mode processing failed
09/08/06 12:54 iked[148]: FROM "Client PIP" TR-HDR*#-B45B1AF6 ISA_HASH ISA_TRANSATTR
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: TO "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH
09/08/06 12:54 iked[148]: Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=43200sec/0KB SPI=FDCC9AE6
09/08/06 12:54 iked[148]: Load inbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=43200sec/0KB SPI=0004C92C
09/08/06 12:54 iked[148]: Tunnel created for 192.168.9.0/24 <-> 192.168.9.52/32
09/08/06 12:54 kernel: ipsec: make bundle for channel 3, 1 in SA's, 1 out SA's
Bitte warten ..
Mitglied: wesser-h
13.09.2006 um 13:55 Uhr
Hallo!

Sorry für meine späte Rückmeldung.
Ich konnte endlich das Problem lösen. Scheinbar hat die x700 die Zuordnung User<->Group nicht korrekt umgesetzt. Ich habe noch einmal ein frisches MUVPN-Profil aufgesetzt und jetzt funktioniert es auch.

Vielen Dank für Deine Hilfe.
Bitte warten ..
Ähnliche Inhalte
Firewall
Watchguard X700 flashen
Frage von uridium69Firewall8 Kommentare

Hallo zusammen Die jetzige Firewall X700 mit Fireware 7xx etwas lässt sich nicht mehr booten, vermutlich ist das Gerät ...

Router & Routing
WatchGuard Firebox X700
Frage von amgm2006Router & Routing8 Kommentare

Hallo, uns ist ein Rechner agbeschmiert, wo die Firebox X700 Konfiguriert wurde. Jetzt finden wir die Passende Software nicht ...

Netzwerkmanagement

Pfense auf Watchguard x700 kein Connect möglich

gelöst Frage von medikopterNetzwerkmanagement8 Kommentare

Hallo, folgendes Problem, ich habe mir eine Watchguard Firewall x700 mit Pfense zu gelegt. Nun habe ich versucht über ...

Firewall

Watchguard x750e

Frage von uridium69Firewall2 Kommentare

Hallo zusammen Ich weiss, die WatchGuard x750e, ist längt "out of Date", dennoch habe ich mir sie für paar ...

Neue Wissensbeiträge
Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 17 StundenInternet5 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 2 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 3 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 3 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Heiß diskutierte Inhalte
Instant Messaging
Whats App Business am PC einsetzen
Frage von thomasreischerInstant Messaging27 Kommentare

Hallo zusammen, wir würden demnächst gerne WhatsApp Business verwenden um den Kontakt zwischen Kunden und Mitarbeitern zu erleichtern. Natürlich ...

Windows 7
Windows 7 Benutzer wechsel nicht möglich
gelöst Frage von OSelbeckWindows 727 Kommentare

Hallo, ich habe hier einen Windows 7 Rechner, der in der Domäne war. Jetzt passiert beim starten, das ich ...

Festplatten, SSD, Raid
RAID auflösen Synology DS213j!
gelöst Frage von Hendrik2586Festplatten, SSD, Raid19 Kommentare

Guten Morgen meine Lieben! :) Diese Frage wird sich sicherlich schon der ein oder andere gestellt haben. Es geht ...

Windows Netzwerk
IP-Adresskonflikt
Frage von Turbo-MasterWindows Netzwerk18 Kommentare

Hallo zusammen, ich habe ein Problem mit unserem Netzwerk unter Windows Server. Ständig erhalten wir die Meldung, dass ein ...