Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Site-to-Site VPN zwischen Watchguard und Fortigate

Mitglied: FiSi-Chrissi

FiSi-Chrissi (Level 1) - Jetzt verbinden

15.01.2014 um 16:18 Uhr, 5946 Aufrufe, 7 Kommentare

Hallo,

habe ein Problem bei einer VPN Verbindung....

anbei das Log der Watchguard
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received fifth message with policy [gw-yaveon] from y.y.y.y:500 main mode
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : SAState.sState(7)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkePrepareIsakmpKeyMat()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkeCipherMsg()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(5) Len(21)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(8) Len(24)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(11) Len(28)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeNotifyPayloadNtoH : SPI Size 16 first4(0xabf2ee57)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received an INITIAL_CONTACT message from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Ignored the INITIAL_CONTACT (repeated) from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an authentication failure
<155>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Process 5/6 Msg : failed to process ID payload
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Cannot process MM ID payload from y.y.y.y:500 to x.x.x.x cookies i=57eef2ab 9acb2837 r=3826b559 87bcd610
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)ike_process_pkt : ProcessData returned error (-1)

Leider kenn ich mich mit Watchguard nicht so gut aus... Kann mir vllt. jemand aufgrund des Log's einen Lösungsansatz geben?

Grüße

Christian
Mitglied: Dirmhirn
15.01.2014 um 16:40 Uhr
Hi!

musste vor Jahren mal eine FGT mit einer Netgear Kiste (o.ä.) verbinden.
Am Ende hat es dadurch Funktioniert, dass in beiden Geräten nur genau eine Konfig eingestellt war, d.h. zb Diffie-Hellman nur eine bestimmte Gruppe zulassen. Bei der FGT kannst du verschiedene anwählen und zwei FGTs einigen sich auf eine.
Bei Cisco mussten wieder an beiden Enden die exakt gleichen Remote Netz angegeben werden.

vll findest du das was.

sg Dirm
Bitte warten ..
Mitglied: tkr104
15.01.2014 um 17:14 Uhr
Zitat von FiSi-Chrissi:

<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an
authentication failure

Moin,

du solltest mal die IDs auf beiden Seiten prüfen, eventuell auch mal was anderes als Identifier nehmen. Tunnel zwischen zwei Herstellern sind immer etwas tricky...

VG,

Thomas
Bitte warten ..
Mitglied: aqui
15.01.2014, aktualisiert um 23:00 Uhr
Ein paar Grundlagen und Tips für heterogene IPsec VPNs kannst du hier nachlesen:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und Allgemein:
https://www.administrator.de/contentid/73117
Kollege tkr104 hat aber den richtigen Riecher mit den miskonfigurierten Identifiern. Da liegt der Fehler ! Korrigier das und dann sollte das zum Fliegen kommen.
Bitte warten ..
Mitglied: exellent
16.01.2014 um 08:33 Uhr
Hey,

was sagt denn die Fortigate im Log? Hast du bei der Phase2 in der Fortigate die Quick Mode Selectoren ausgefüllt/eingetragen? Auch drauf achten, dass die Phase1 und Phase2 Einstellungen bei Watchguard und Fortigate übereinstimmen.

Das VPN Troubleshooting ist bei Fortigate besser als bei den Watchguards. Vielleicht schaust du auf der Fortigate mal woran es liegt. Auf der CLI :

diag debug enable
diag vpn ike filter dst-addr4 *Externe IP der Watchguard*
diag debug application ike 255

Lass den Debug circa ne Minute laufen und tipp dann "blind" auf der CLI ein
diag debug disable

Danach kannst du dir in Ruhe den Output ansehen und schauen woran es liegt.
Bitte warten ..
Mitglied: FiSi-Chrissi
16.01.2014 um 08:41 Uhr
Danke für die Antwort.

Bei der Watchguard stellt sich die ID Automatisch gleich mit der IP Adresse, Leer lassen des Feldes funktioniert nicht, während ich bei der Fortigate nur eine Local ID und keine Remote ID angeben kann.

Wenn ich auf das Log der Forti schaue sehe ich das die Abhandlung der Stufe 1 - 3 im Outbound mit einem Success abgeschlossen werden während ich von der Watchguard gar keine Inbound Anfrage bekomme...
Bitte warten ..
Mitglied: FiSi-Chrissi
16.01.2014 um 10:03 Uhr
Das bringt mich schonmal weiter, dooferweise funktioniert dass mit den Filter nicht, ich bekomme sämtliche VPN's angezeigt habe nicht die Möglichkeit blind einzugeben.....
Bitte warten ..
Mitglied: exellent
16.01.2014 um 13:50 Uhr
Hey FiSi-Chrissi,

wenn der ganze Output läuft, musst du blind "diag debug reset" eingeben und dann enter drücken. Dann hört der Output auf. Am besten dabei nicht auf den Bildschirm gucken da in der Zeit wo du es eingibst 1000000 Zeilen runterrattern

Welche Firmware läuft auf der Fortigate? Der Filter müsste eigentlich funktionieren.

diag debug enable
diag vpn ike filter dst-addr4 86.88.64.136 (<- dort die externe IP der Watchguard eintragen)
diag debug application ike 255
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Site to Site VPN FritzBox
gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Firewall

VPN Konfiguration End - Site(NAT) - Site mit Fortigate

Frage von itprojectFirewall3 Kommentare

Hallo zusammen, ich brauche eure Hilfe, ich blick noch nicht ganz durch ;) Die Situation: Ein Entwickler verbindet sich ...

Router & Routing

Mikrotik Site to Site VPN Firewall Probleme

gelöst Frage von Rolf-Hanka.ITDRouter & Routing19 Kommentare

Hallo Leute, ich habe mal eine kleine Frage. Ich habe hier zwei Mikrotik Router. Einer hat extern eine feste ...

Router & Routing

Cisco 5505 kein Internet nach Site-to-Site VPN

gelöst Frage von dz1987Router & Routing3 Kommentare

Hallo, über die Suche habe ich leider zu diesem spezifischen Problem nichts finden können. (Oder ich bin zu blöd) ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 14 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 20 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

SAN, NAS, DAS
Qnap TS-453S Pro - Anbindung Active Directory
Frage von JuckieSAN, NAS, DAS13 Kommentare

Hallo zusammen, ich habe hier eine Qnap TS-453S Pro die sich mal so absolut gar nicht in das Active ...