Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

MUVPN bei einer Watchguard X700

Mitglied: wesser-h

wesser-h (Level 1) - Jetzt verbinden

08.09.2006, aktualisiert 13.09.2006, 11788 Aufrufe, 4 Kommentare

Hallo Leute,

ich habe hier eine WG X700 und habe mir ein MUVPN-Profil erstellt, welches ich auch erfolgreich auf meinem Laptop mit der jeweiligen Client-Software installieren konnte. Der Verbindungsaufbau, sowie die Authentifizierung funktioniert auch einwandfrei. Jedoch kann ich keine Hosts im Firmennetz erreichen. Ein ipconfig auf meinem Laptop zeigte mir, dass ich auch von der WG eine IP-Adresse zugewiesen bekommen habe, jedoch mit einer 32-Bit-Subnetzmaske und einem Gateway, welcher der zugewiesenen IP-Adresse entspricht.

Kann mir jemand sagen, was ich falsch gemacht habe?
Mitglied: xsoodom
08.09.2006 um 12:12 Uhr
1. Frage Extended Auth oder Firebox Auth?
2. Hast du im Watchguard Manager/Policy Manager/Network Configuration Registerkarte WINS/DNS die internen DNS Server deiner Domain eingetragen ?
3. Unter Remote User Setup MUVPN advanced hast du unter Virtual Adapter Setting Preferred eingetragen?

Gegebenfalls die MUVPN WGX Datei auf den Laptop aktualisieren!

Kiste flashen und reboot - dann klappt es

xsoodom
Bitte warten ..
Mitglied: wesser-h
08.09.2006 um 12:38 Uhr
1. Frage Extended Auth oder Firebox Auth?

Firebox-Auth.

2. Hast du im Watchguard Manager/Policy
Manager/Network Configuration Registerkarte
WINS/DNS die internen DNS Server deiner
Domain eingetragen ?

Yep.

3. Unter Remote User Setup MUVPN advanced
hast du unter Virtual Adapter Setting
Preferred eingetragen?

Nein, habe ich aber gerade geändert.

Gegebenfalls die MUVPN WGX Datei auf den
Laptop aktualisieren!

Hab ich gemacht.

Kiste flashen und reboot - dann klappt es

x700 rebootet, aber klappt immer noch nicht
DNS-Server wird auch richtig übertragen.
Hier mal das LOG von dem VPN-Client. <FW-GW> ist eine Variable für unseren VPN-Gateway:

<SNIP-LOG>
9-08: 12:27:42.343
9-08: 12:27:42.343 My Connections\<FW-GW>-0.0.0.0 - Initiating IKE Phase 1 (IP ADDR=<FW-GW>)
9-08: 12:27:42.515 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, VID 2x, NAT-D 2x, HASH)
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Peer supports Keepalive processing
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Peer is NAT-T draft-02 capable
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Keepalive processing enabled
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - NAT is detected for Client
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Floating to IKE non-500 port
9-08: 12:27:42.796 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
9-08: 12:27:42.796 My Connections\<FW-GW>-0.0.0.0 - Established IKE SA
9-08: 12:27:42.796 MY COOKIE bla bla bla
9-08: 12:27:42.796 HIS COOKIE bla bla bla
9-08: 12:27:42.937 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:49.593 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - Received Private DNS Address = IP ADDR=192.168.2.3
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - IKE Extended Authentication successful.
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - Received Private IP Address = IP ADDR=192.168.1.235
9-08: 12:27:50.750 Virtual Interface configured to use Def GW
9-08: 12:27:51.218 Virtual Interface constructed for local interface 192.168.1.235
9-08: 12:27:51.250 Virtual Interface added: 192.168.1.235/255.255.255.0 on ISDN "SafeNet VA miniport".
9-08: 12:27:51.328 Route <FW-GW>-><meine_oeffentliche_IP> added.
9-08: 12:27:51.328 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:51.468
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Initiating IKE Phase 2 with Client IDs (message id: bla bla bla)
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Initiator = IP ADDR=192.168.1.235, prot = 0 port = 0
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Responder = IP SUBNET/MASK=0.0.0.0/0.0.0.0, prot = 0 port = 0
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
9-08: 12:27:51.625 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NOTIFY:STATUS_RESP_LIFETIME, NON, KE, ID 2x)
9-08: 12:27:51.625 My Connections\<FW-GW>-0.0.0.0 - Filter entry 3: SECURE 192.168.001.235&255.255.255.255 000.000.000.000&000.000.000.000 <FW-GW> added.
9-08: 12:27:51.687 Route 0.0.0.0/0.0.0.0->192.168.1.235 added.
9-08: 12:27:51.687 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(HASH)
9-08: 12:27:51.718 My Connections\<FW-GW>-0.0.0.0 - Loading IPSec SA (Message ID = bla bla bla OUTBOUND SPI = bla bla bla INBOUND SPI = bla bla bla)
9-08: 12:27:51.718
</SNIP-LOG>

Interessant finde ich die Zeile, die mit "Filter entry 3" beginnt...

Mmmh....
Bitte warten ..
Mitglied: xsoodom
08.09.2006 um 13:14 Uhr
Im Moment komme ich an keinen Client ran, wo ich die Logs prüfen könnte.

Im Mobile User Wizard bitte kein User is connect with a pocket PC
dann Use the passphrase of the end...
Nicht Use default gateway, sondern das Subnetz/24 in welches du dich einwählen möchtest
eine virtuelle IP, aber keine zB 192.168.2.50 oder 60, mit einer 0 am Ende) keine Ahnung warum, die Einwahl hat bei mir so nicht geklappt
Protection SHAI und 3 DES

MUVPN Icon rechts im Systemstart muss grün/Gelb leuchten und ein ON beinhalten

Das FB Log sollte bei der Einwahl aber so in etwa aussehen:

MUVPN öffentliche IP ist "Client PIP"
Server öffentliche IP ist "Server PIP"
Firebox Auth Username ""MUVPN Name"


09/08/06 12:54 fwcheck[140]: fwcheck v7.4.1.B2039 (C) 1996-2006 WGTI
09/08/06 12:54 iked[148]: FROM "Client PIP" IF-HDR* -06D29C74 ISA_HASH
09/08/06 12:54 iked[148]: Received a packet for an unknown SA
09/08/06 12:54 iked[148]: FROM "Client PIP" IF-HDR* -8D005380 ISA_HASH
09/08/06 12:54 iked[148]: Received a packet for an unknown SA
09/08/06 12:54 iked[148]: FROM "Client PIP" AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID
09/08/06 12:54 iked[148]: Rejecting peer XAUTH request: not configured
09/08/06 12:54 iked[148]: TO "Client PIP" AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_HASH ISA_VENDORID ISA_VENDORID NAT-D NAT-D
09/08/06 12:54 iked[148]: CRYPTO ACTIVE after delay
09/08/06 12:54 iked[148]: FROM "Client PIP" AG-HDR*# ISA_HASH NAT-D NAT-D ISA_NOTIFY ISA_NOTIFY
09/08/06 12:54 iked[148]: Received REPLAY_STATUS message, mess_id=0x00000000
09/08/06 12:54 iked[148]: Received INITIAL_CONTACT message, mess_id=0x00000000
09/08/06 12:54 iked[148]: Attempting to update laddr "Client PIP" to ruser_ip "Server PIP"
09/08/06 12:54 iked[148]: Add Host 7 "192.168.9.52" "ipsec_users" "MUVPN Name" succeeded
09/08/06 12:54 iked[148]: User "MUVPN Name" at "Client interne IP" logged in
09/08/06 12:54 iked[148]: TO "Client PIP" TR-HDR*#-B45B1AF6 ISA_HASH ISA_TRANSATTR
09/08/06 12:54 iked[148]: Sending INITIAL_CONTACT message
09/08/06 12:54 iked[148]: TO "Client PIP" IF-HDR*#-CE6A45FD ISA_HASH ISA_NOTIFY
09/08/06 12:54 iked[148]: Ending phase1 as RESPONDER
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-89EB842B ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: WARNING - No Matching IPSec Policy found for "Client PIP"
09/08/06 12:54 iked[148]: ACTION - Verify VPN IPSec Policies for "Client PIP"
09/08/06 12:54 iked[148]: get_ipsec_pref: Unable to find channel info for remote("Client PIP")
09/08/06 12:54 iked[148]: Quick Mode processing failed
09/08/06 12:54 iked[148]: FROM "Client PIP" TR-HDR*#-B45B1AF6 ISA_HASH ISA_TRANSATTR
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: TO "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH
09/08/06 12:54 iked[148]: Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=43200sec/0KB SPI=FDCC9AE6
09/08/06 12:54 iked[148]: Load inbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=43200sec/0KB SPI=0004C92C
09/08/06 12:54 iked[148]: Tunnel created for 192.168.9.0/24 <-> 192.168.9.52/32
09/08/06 12:54 kernel: ipsec: make bundle for channel 3, 1 in SA's, 1 out SA's
Bitte warten ..
Mitglied: wesser-h
13.09.2006 um 13:55 Uhr
Hallo!

Sorry für meine späte Rückmeldung.
Ich konnte endlich das Problem lösen. Scheinbar hat die x700 die Zuordnung User<->Group nicht korrekt umgesetzt. Ich habe noch einmal ein frisches MUVPN-Profil aufgesetzt und jetzt funktioniert es auch.

Vielen Dank für Deine Hilfe.
Bitte warten ..
Ähnliche Inhalte
Firewall
Watchguard X700 flashen
Frage von uridium69Firewall8 Kommentare

Hallo zusammen Die jetzige Firewall X700 mit Fireware 7xx etwas lässt sich nicht mehr booten, vermutlich ist das Gerät ...

Router & Routing
WatchGuard Firebox X700
Frage von amgm2006Router & Routing8 Kommentare

Hallo, uns ist ein Rechner agbeschmiert, wo die Firebox X700 Konfiguriert wurde. Jetzt finden wir die Passende Software nicht ...

Netzwerkmanagement

Pfense auf Watchguard x700 kein Connect möglich

gelöst Frage von medikopterNetzwerkmanagement8 Kommentare

Hallo, folgendes Problem, ich habe mir eine Watchguard Firewall x700 mit Pfense zu gelegt. Nun habe ich versucht über ...

Firewall

Watchguard x750e

Frage von uridium69Firewall2 Kommentare

Hallo zusammen Ich weiss, die WatchGuard x750e, ist längt "out of Date", dennoch habe ich mir sie für paar ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 8 StundenBackup

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 2 TagenHumor (lol)5 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 2 TagenExchange Server8 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 3 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerk-Architektur mit VLANs
Frage von niLuxxNetzwerke43 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Ich werde in Kürze das Netzwerk unserer (sehr) kleinen Firma ...

Netzwerke
SSH - Wieso werde ich nach VPN Verbindung rausgeschmissen?
Frage von VernoxVernaxNetzwerke10 Kommentare

Hallo, ich habe es endlich geschafft mein Handy mit einer VPN Verbindung an meinen Router anzuschließen. Nach der Login ...

Microsoft
Ist es möglich ein reines Volume C Datenbackup in eine Hyper-V VM zu konvertieren?
Frage von Frank84Microsoft10 Kommentare

Hallo zusammen, ich habe hier ein Backup vorliegen, das ausschließlich das komplette C:\ Volume eines physischen Server 2012 enthält. ...

Windows Server
Freigaben per Default nur für Domänen-Benutzer
Frage von tierwoWindows Server8 Kommentare

Hallo gibt es eine Möglichkeit, einen Server 2016 so zu konfigurieren (z.B. per GPO), dass Freigaben die erstellt werden ...