7
Site-to-Site VPN zwischen Watchguard und Fortigate
Hallo,
habe ein Problem bei einer VPN Verbindung....
anbei das Log der Watchguard
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received fifth message with policy [gw-yaveon] from y.y.y.y:500 main mode
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : SAState.sState(7)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkePrepareIsakmpKeyMat()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkeCipherMsg()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(5) Len(21)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(8) Len(24)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(11) Len(28)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeNotifyPayloadNtoH : SPI Size 16 first4(0xabf2ee57)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received an INITIAL_CONTACT message from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Ignored the INITIAL_CONTACT (repeated) from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an authentication failure
<155>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Process 5/6 Msg : failed to process ID payload
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Cannot process MM ID payload from y.y.y.y:500 to x.x.x.x cookies i=57eef2ab 9acb2837 r=3826b559 87bcd610
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)ike_process_pkt : ProcessData returned error (-1)
Leider kenn ich mich mit Watchguard nicht so gut aus... Kann mir vllt. jemand aufgrund des Log's einen Lösungsansatz geben?
Grüße
Christian
habe ein Problem bei einer VPN Verbindung....
anbei das Log der Watchguard
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received fifth message with policy [gw-yaveon] from y.y.y.y:500 main mode
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : SAState.sState(7)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkePrepareIsakmpKeyMat()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkeCipherMsg()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(5) Len(21)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(8) Len(24)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(11) Len(28)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeNotifyPayloadNtoH : SPI Size 16 first4(0xabf2ee57)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received an INITIAL_CONTACT message from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Ignored the INITIAL_CONTACT (repeated) from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an authentication failure
<155>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Process 5/6 Msg : failed to process ID payload
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Cannot process MM ID payload from y.y.y.y:500 to x.x.x.x cookies i=57eef2ab 9acb2837 r=3826b559 87bcd610
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)ike_process_pkt : ProcessData returned error (-1)
Leider kenn ich mich mit Watchguard nicht so gut aus... Kann mir vllt. jemand aufgrund des Log's einen Lösungsansatz geben?
Grüße
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 226765
Url: https://administrator.de/contentid/226765
Printed on: April 25, 2024 at 09:04 o'clock
7 Comments
Latest comment
Hi!
musste vor Jahren mal eine FGT mit einer Netgear Kiste (o.ä.) verbinden.
Am Ende hat es dadurch Funktioniert, dass in beiden Geräten nur genau eine Konfig eingestellt war, d.h. zb Diffie-Hellman nur eine bestimmte Gruppe zulassen. Bei der FGT kannst du verschiedene anwählen und zwei FGTs einigen sich auf eine.
Bei Cisco mussten wieder an beiden Enden die exakt gleichen Remote Netz angegeben werden.
vll findest du das was.
sg Dirm
musste vor Jahren mal eine FGT mit einer Netgear Kiste (o.ä.) verbinden.
Am Ende hat es dadurch Funktioniert, dass in beiden Geräten nur genau eine Konfig eingestellt war, d.h. zb Diffie-Hellman nur eine bestimmte Gruppe zulassen. Bei der FGT kannst du verschiedene anwählen und zwei FGTs einigen sich auf eine.
Bei Cisco mussten wieder an beiden Enden die exakt gleichen Remote Netz angegeben werden.
vll findest du das was.
sg Dirm
Zitat von @FiSi-Chrissi:
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an
authentication failure
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an
authentication failure
Moin,
du solltest mal die IDs auf beiden Seiten prüfen, eventuell auch mal was anderes als Identifier nehmen. Tunnel zwischen zwei Herstellern sind immer etwas tricky...
VG,
Thomas
Ein paar Grundlagen und Tips für heterogene IPsec VPNs kannst du hier nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und Allgemein:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Kollege tkr104 hat aber den richtigen Riecher mit den miskonfigurierten Identifiern. Da liegt der Fehler ! Korrigier das und dann sollte das zum Fliegen kommen.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und Allgemein:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Kollege tkr104 hat aber den richtigen Riecher mit den miskonfigurierten Identifiern. Da liegt der Fehler ! Korrigier das und dann sollte das zum Fliegen kommen.
Hey,
was sagt denn die Fortigate im Log? Hast du bei der Phase2 in der Fortigate die Quick Mode Selectoren ausgefüllt/eingetragen? Auch drauf achten, dass die Phase1 und Phase2 Einstellungen bei Watchguard und Fortigate übereinstimmen.
Das VPN Troubleshooting ist bei Fortigate besser als bei den Watchguards. Vielleicht schaust du auf der Fortigate mal woran es liegt. Auf der CLI :
diag debug enable
diag vpn ike filter dst-addr4 *Externe IP der Watchguard*
diag debug application ike 255
Lass den Debug circa ne Minute laufen und tipp dann "blind" auf der CLI ein
diag debug disable
Danach kannst du dir in Ruhe den Output ansehen und schauen woran es liegt.
was sagt denn die Fortigate im Log? Hast du bei der Phase2 in der Fortigate die Quick Mode Selectoren ausgefüllt/eingetragen? Auch drauf achten, dass die Phase1 und Phase2 Einstellungen bei Watchguard und Fortigate übereinstimmen.
Das VPN Troubleshooting ist bei Fortigate besser als bei den Watchguards. Vielleicht schaust du auf der Fortigate mal woran es liegt. Auf der CLI :
diag debug enable
diag vpn ike filter dst-addr4 *Externe IP der Watchguard*
diag debug application ike 255
Lass den Debug circa ne Minute laufen und tipp dann "blind" auf der CLI ein
diag debug disable
Danach kannst du dir in Ruhe den Output ansehen und schauen woran es liegt.
Danke für die Antwort.
Bei der Watchguard stellt sich die ID Automatisch gleich mit der IP Adresse, Leer lassen des Feldes funktioniert nicht, während ich bei der Fortigate nur eine Local ID und keine Remote ID angeben kann.
Wenn ich auf das Log der Forti schaue sehe ich das die Abhandlung der Stufe 1 - 3 im Outbound mit einem Success abgeschlossen werden während ich von der Watchguard gar keine Inbound Anfrage bekomme...
Bei der Watchguard stellt sich die ID Automatisch gleich mit der IP Adresse, Leer lassen des Feldes funktioniert nicht, während ich bei der Fortigate nur eine Local ID und keine Remote ID angeben kann.
Wenn ich auf das Log der Forti schaue sehe ich das die Abhandlung der Stufe 1 - 3 im Outbound mit einem Success abgeschlossen werden während ich von der Watchguard gar keine Inbound Anfrage bekomme...
Das bringt mich schonmal weiter, dooferweise funktioniert dass mit den Filter nicht, ich bekomme sämtliche VPN's angezeigt habe nicht die Möglichkeit blind einzugeben.....
Hey FiSi-Chrissi,
wenn der ganze Output läuft, musst du blind "diag debug reset" eingeben und dann enter drücken. Dann hört der Output auf. Am besten dabei nicht auf den Bildschirm gucken da in der Zeit wo du es eingibst 1000000 Zeilen runterrattern
Welche Firmware läuft auf der Fortigate? Der Filter müsste eigentlich funktionieren.
diag debug enable
diag vpn ike filter dst-addr4 86.88.64.136 (<- dort die externe IP der Watchguard eintragen)
diag debug application ike 255
wenn der ganze Output läuft, musst du blind "diag debug reset" eingeben und dann enter drücken. Dann hört der Output auf. Am besten dabei nicht auf den Bildschirm gucken da in der Zeit wo du es eingibst 1000000 Zeilen runterrattern
Welche Firmware läuft auf der Fortigate? Der Filter müsste eigentlich funktionieren.
diag debug enable
diag vpn ike filter dst-addr4 86.88.64.136 (<- dort die externe IP der Watchguard eintragen)
diag debug application ike 255
