Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SSL-VPN mit Watchguard XTM330 Problem

Mitglied: MLubrich

MLubrich (Level 1) - Jetzt verbinden

28.10.2013 um 09:01 Uhr, 5467 Aufrufe, 16 Kommentare

Hallo liebe Experten,

ich habe hier ein Problem mit dem ich einfach nicht weiter komme. Wir haben in der Firma bisher eine VDSL-Leitung mit einem Fritz!Box 3370 Router. Die Fritz!Box hatte unsere alte Firewall (Cisco ASA 5505) als Exposed Host angegeben. Damit haben wir Problemlos VPN per IPSec benutzen können.

Die Firewall wird nun durch eine Watchguard XTM330 ersetzt und wir wollen SSL-VPN nutzen. Nun habe ich am WE alles umgehängt und den VPN-Access per SSL-VPN-Client getestet. Der erste Eindruck war, alles läuft. Aber das war trügerisch. Zum Test habe ich mich per WLAN auf die Fritz!Box eingewählt, also ausseralb des geschützten Netzes. VPN-Client tut was er soll und verbindet. Remotezugang zu unserem Terminal-Server klappt.

Danach habe ich das ganze über das Internet probiert und diesmal scheitert es. Zum Test nahm ich einmal eine UMTS-Verbindung und Verbindungen von meinem Home Office aus und vom Home Office eines Angestellten. Dabei spuckte mir der Client im Log folgendes aus:

UMTS-Verbindung: "connection refused"
Mein HomeOffice: "network unreachable"
Angestellten-Home Office: "connection time out"

Das Notebook was ich aus meinem HomeOffice benutzt habe, war das was die Verbindung über das WLAN der Fritzbox herstellen konnte.

Des weiteren bleibt zu erwähnen, dass die Anmeldung über den Browser funtionierte. Ich konnte sowohl über das Internet den Client von der Firebox ziehen als mich auch dort authentifizieren.

Ich habe mittlerweile stark die Fritz!Box in verdacht. Ich habe gelesesn, dass die Fritz!Box VPN Passthrough für IPSec und PPTP bietet. SSL war nicht extra erwähnt.

Der Watchguard-Support wollte sich testweise gern ab Montag einwählen, aber ich musste ja wieder auf den Cisco zurückbauen, dass die Mitarbeiter Montag wieder arbeiten können.

Für Anregungen woran dieses Verhalten liegen kann wäre ich sehr dankbar. Falls der Verdacht der Fritz!Box Sinn macht, was gibt es für VDSL-Router die definitiv den SSL-VPN-Client durchlassen?

Mit freundlichen Grüßen
MLubrich
Mitglied: Deepsys
28.10.2013 um 11:20 Uhr
Hallo,

verstehe ich das nun alles richtig und du kommst einfach nicht auf den SSL-Port der Watchguard?

Das kannst du einfach testen (Hilfetext der XTM):
1.Connect to this address with a web browser:
https://<IP address of an XTM device interface>/sslvpn.html
or
https://<Host name of the XTM device>/sslvpn.html

Wenn da nichts kommt, macht deine Fritzbox keine SSL (Port 443) Weiterleitung zur XTM.
Das ist kein Passthrough für IPSEC oder PPPTP, sondern einfach eine Portweiterleitung.

VG
Deepsys
Bitte warten ..
Mitglied: Rolf14
28.10.2013 um 11:54 Uhr
Wie Deepsys schon sagt solltest du das prüfen.
Darauf aufbauend empfiehlt es sich die WatchGuard XTM330 nicht hinter einem Router zu betreiben, da dann genau sowas auftritt wie jetzt und du im Prinzip eine Fehlerquelle mehr hast. Wir nutzen unsere XTM330 immer hinter einfachen Modems.
Ansonsten wenn es unbedingt ein Router sein soll, musst du schauen das du ihn entweder als Bridge konfigurierst oder einfach alle Ports zur WatchGuard durchlässt. Was du dann in deinem Netz brauchst und weiterleitest stellst du dann ja eh nur mit deiner WatchGuard ein.
Bitte warten ..
Mitglied: MLubrich
28.10.2013 um 12:46 Uhr
Hallo,

ich hab ja geschrieben, dass es über den Browser funktioniert. Ich kann mir über "https://<IP address of an XTM device interface>/sslvpn.html" den client herunterladen oder mich über "https://<IP address of an XTM device interface>:443" authentifizieren. Einzig und allein der Zugriff per Client will nicht verbinden, wenn ich aus dem Internet komme. Um Remotedesktop zum Terminal-Server zu nutzen muss man aber mit dem Client arbeiten.

Ich habe die XTM330 jetzt mal mit nach Hause genommen und da alles nachgestellt. Wieder dasselbe Spiel, nur mit einer Fritzbox 7390.

Ich würde die Fritzbox gern als Router laufen lassen, da sie gute WLAN-Abdeckung macht, und wir das WLAN der FB als Gastzugang nutzen. Sollte ich die FB zum Modem degradieren und die Firebox das Verbinden übernehmen lassen, wo in der Firebox gebe ich denn die Zugangsdaten ein?

Vielen Dank
MLubrich
Bitte warten ..
Mitglied: Deepsys
28.10.2013, aktualisiert um 13:39 Uhr
Zitat von MLubrich:
Hallo,

Einzig und allein der Zugriff per Client will nicht verbinden, wenn ich aus dem Internet
komme.
Und was sagt denn die XTM dazu (System Manager)?
Sind es AD-Konten oder lokale XTM-Konten?

VG
Bitte warten ..
Mitglied: MLubrich
28.10.2013 um 14:42 Uhr
Ich habe beide Anmeldearten probiert, sowohl FB-User also auch AD-User haben dasselbe Problem.
Im Syslog steht auch wenn ich mich über Internet anmelde:
Authentication of SSLVPN user [Username] from xxx.xxx.xxx.xxx accepted.
In der Authentication List steht der User dann drin, allerdings mit IP 0.0.0.0, statt der neu zugewiesenen.

Mit freundlichen Grüßen
MLubrich
Bitte warten ..
Mitglied: Deepsys
28.10.2013 um 15:36 Uhr
Zitat von MLubrich:
Authentication of SSLVPN user [Username] from xxx.xxx.xxx.xxx accepted.
Bitte mal den kompletten Teil, und sicherheitshalber nicht vom Syslog, sondern wenn es geht aus dem System Manager.
Bitte warten ..
Mitglied: MLubrich
28.10.2013 um 16:22 Uhr
Hier die Logs aus dem System Manager, zuerst die fehlgeschlagene Verbindung:

2013-10-28 14:59:44 admd Authentication of SSLVPN user [user] from xxx.xxx.xxx.xxx accepted id="1100-0004" Event
2013-10-28 14:59:44 sslvpn Received Session Status Change event, current state:0x400 Debug
2013-10-28 14:59:44 sslvpn sslvpn_event, delete entry, entry->virtual_ip=0, dropin_mode=0 Debug
2013-10-28 14:59:44 sessiond failed on wgapi_status_query(): xpath=/toSessionClient/delete session 28 Debug
2013-10-28 14:59:44 sslvpn Received Session Status Change event, current state:0x400 Debug
2013-10-28 14:59:44 sslvpn sslvpn_event, add entry, entry->virtual_ip=0, entry->real_ip=5792346d, dropin_mode=0 Debug
2013-10-28 14:59:44 wgcgi device_session_find, username=user, userId=user, auth domain=meine.domain Debug
2013-10-28 14:59:44 kernel [11020.114247] xt_session: Deleted session for 0.0.0.0 id 28 Debug

Und so sieht es aus wenn die Verbindung über einen PC hergestellt wird, der an der Fritzbox hängt:

2013-10-28 15:42:04 admd Authentication of SSLVPN user [user] from xxx.xxx.xxx.xxx accepted id="1100-0004" Event
2013-10-28 15:42:04 sslvpn auth: wgapi: rcved cmd=1 '/toAdmdClient/authResult' Debug
2013-10-28 15:42:04 sslvpn get into test_auth_prcs_status(): xpath=/toAdmdClient/authResult Debug
2013-10-28 15:42:04 sslvpn rcved auth reply: authResult=1 Debug
2013-10-28 15:42:04 sslvpn ---------<<<RESULT rcvd, [user] ACCEPTED. Debug
2013-10-28 15:42:04 sslvpn num_groups=1 Debug
2013-10-28 15:42:04 sslvpn group Id # 0 = VPN Debug
2013-10-28 15:42:04 sslvpn Other attributes: Debug
2013-10-28 15:42:04 sslvpn ip=0x0, ip_mask=0x0, dns_ip=0x0, wins_ip=0x0 , ip_lease_time=-1, idle_timeout=-1 Debug
2013-10-28 15:42:04 sslvpn User Authenticated Debug
2013-10-28 15:42:04 sslvpn sessClt: OK! wgUserSess_create_sess() Debug
2013-10-28 15:42:04 sslvpn th: curtime=1382971324 Debug
2013-10-28 15:42:04 sslvpn Received Session Status Change event, current state:0x400 Debug
2013-10-28 15:42:04 sslvpn sslvpn_event, add entry, entry->virtual_ip=0, entry->real_ip=a0a0a14, dropin_mode=0 Debug
2013-10-28 15:42:04 sslvpn sessiond: wgapi: rcved cmd=1 '/toSessionClient/createNotify' Debug
2013-10-28 15:42:04 sslvpn get into test_sess_prcs_status(): xpath=/toSessionClient/createNotify Debug
2013-10-28 15:42:04 sslvpn recved create sess notify, sessId=36 Debug
2013-10-28 15:42:04 sslvpn Session Creation For User Done Debug

Mit freundlichen Grüßen
MLubrich
Bitte warten ..
Mitglied: Deepsys
29.10.2013 um 08:54 Uhr
Hmm, das sagt mir nun auch nicht wirklich was ...
Du hast aber auch eine Firewall-Regel die von der betreffenden Schnittstelle aus SSL erlaubt?
Ansonsten mach einfach mal einen Support-Case auf, dann will Watchguard wahrscheinlich in deine Konfig gucken und dann sollte das schnell erledigt sein

VG
Deepsys
Bitte warten ..
Mitglied: MLubrich
29.10.2013 um 09:16 Uhr
Das Log macht mich auch ratlos. Die Policy wird soweit ich das richtig verstanden habe automatisch erstellt, wenn man den Mobile VPN einrichtet. Ich werde heute mal den Workaround versuchen, die FB zum Modem zu degradieren und die XTM330 das Verbinden übernehmen zu lassen.

Mir freundlichen Grüßen
MLubrich
Bitte warten ..
Mitglied: Deepsys
29.10.2013 um 10:49 Uhr
Zitat von MLubrich:
Ich werde heute mal den Workaround versuchen, die FB zum Modem zu degradieren und die XTM330 das Verbinden übernehmen zu lassen.
Und warum nicht den Support um Hilfe bitten?

Der ist wirklich nicht schlecht ...
Bitte warten ..
Mitglied: MLubrich
29.10.2013 um 11:02 Uhr
Das habe ich schon, aber seit dem das Ticket erstellt habe ist nichts mehr passiert. Das einzige wie ich mit meinem Bearbeiter kommunizieren kann ist ja einen neuen Comment hinzuzufügen. Und da ist jedenfalls gestern im Laufe des Tages nichts passiert.

Mit freundlichen Grüßen
MLubrich
Bitte warten ..
Mitglied: Rolf14
29.10.2013 um 11:55 Uhr
Zitat von MLubrich:
Ich würde die Fritzbox gern als Router laufen lassen, da sie gute WLAN-Abdeckung macht, und wir das WLAN der FB als
Gastzugang nutzen. Sollte ich die FB zum Modem degradieren und die Firebox das Verbinden übernehmen lassen, wo in der Firebox
gebe ich denn die Zugangsdaten ein?

Um deine Frage zu beantworten:

Im Policy Manager unter "Network" dann "Configuration..."
Wenn du dort ein neues Interface konfigurierst kannst du zum Beispiel eine PPPoE Einwahl steuern.
Bitte warten ..
Mitglied: MLubrich
29.10.2013, aktualisiert um 12:24 Uhr
Hatte ich schon in der Anleitung gesehen mittlerweile, aber Danke trotzdem. Nur leider kann ich es nicht testen. Zu Hause habe ich hier eine FritzBox 7390. Die wurde genial von AVM verbessert. Die Modem-Funktion wurde abgeschafft. Das verkaufen die echt als Verbesserung, wenn sie den Funktionsumfang einschränken. Der Workaround den AVM vorschlägt ist: Die FritzBox als Router betreiben. Kopf--->Tisch

Ich hoff jetzt mal, dass sich der Watchguard-Support nochmal meldet heute...

Vielen Dank erstmal
MLubrich
Bitte warten ..
Mitglied: Rolf14
29.10.2013 um 13:01 Uhr
Zitat von MLubrich:
betreiben. Kopf--->Tisch

Ja das denke ich mir auch oft bei sowas. Aber gut dann melde dich mal zurück woran es gelegen hat.
Bitte warten ..
Mitglied: MLubrich
29.10.2013 um 13:38 Uhr
So der Support hat sich gerade in die Firewall geklinkt und das Problem im handumdrehen gelöst.
Wenn man einen Router vor der Firewall betreibt, dann muss man bei der VPN-SSL Konfiguration nicht die externe IP der Firebox angeben, sondern die feste IP, die man vom Provider bekommt, obwohl die Firebox dann rummeckert und warnt, dass man das falsch konfiguriert. Ich habe mich blöder Weise erst von der Warnung beeindrucken lassen und die IP so angegeben wie er vorschlägt, was aber nur funktioniert, wenn man keinen Router vor der Firewall hat. Im nachhinein total logisch und ich geh jetzt in die Ecke mich schämen.

Danke für Eure Zeit und Tipps
MLubrich
Bitte warten ..
Mitglied: Deepsys
30.10.2013 um 11:51 Uhr
Zitat von MLubrich:
Im nachhinein total logisch und ich geh jetzt in die Ecke mich schämen.
Ach Quark, manchmal sieht man vor lauter IP den Anschluss nicht mehr
Hauptsache, es löwt ...
Bitte warten ..
Ähnliche Inhalte
Firewall
T-DSL Business und Watchguard XTM330
Frage von denzel2205Firewall5 Kommentare

Hallo, ich hoffe ihr könnt mir helfen. Ich habe eine XTM330 an einem T-DSL Business Anschluß. Vorab: 1. Vor ...

Router & Routing

VPN: Verbindung von FritzBox (7390) über SSL zum Firmennetzwerk (Watchguard)

gelöst Frage von rrobbyyRouter & Routing4 Kommentare

Hallo zusammen, derzeit loggen sich einige Anwender manuell über die Watchguard-VPN-Software mit SSL in unser Netzwerk ein. Dies funktioniert ...

Firewall

Watchguard mobile VPN notification

Frage von LordNicon79Firewall1 Kommentar

Hallo zusammen , ich habe hier eine XTM 330 von Watchguard und ich stelle mir schon länger die Frage, ...

Router & Routing

Watchguard VPN: Unerklärliche Verbindungsabbrüche

gelöst Frage von RottenSon667Router & Routing13 Kommentare

Hallo, ich wollte den Case eigentlich an Watchguard selbst weiter geben, aber deren nicht vorhandener Support lässt die Erstellung ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 2 TagenAusbildung33 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 4 TagenSpeicherkarten4 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 4 TagenSicherheit1 Kommentar

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 4 TagenHardware4 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Passwortwechsel Zeitpunkt festlegen
Frage von Looser27Windows Userverwaltung27 Kommentare

Guten Morgen liebe Kolleginnen und Kollegen, da es eine Userin in meinem Urlaub geschafft hat, sich vom AD vollständig ...

Windows 10
Windows 10 Spracherkennung - Eure Meinungen?
Frage von honeybeeWindows 1014 Kommentare

Hallo, wollte heute mal aus Neugier die Spracherkennung unter Windows 10 (Version 1803) ausprobieren und war mehr wie enttäuscht. ...

Switche und Hubs
POE-Switche
gelöst Frage von MiStSwitche und Hubs13 Kommentare

Guten Morgen, ich überlege ob ich in unserem Netzwerk die aktuellen Switche (D-LINK DGS-1210-28) durch PoE-Switche ersetzen soll. Der ...

Windows Server
Zertifikat RemoteDesktop hinterlegen
gelöst Frage von Green14Windows Server12 Kommentare

Hallo zusammen. ich habe mehrere Server (WinSrv 2016). Die Server sind in keiner Domäne und keine Terminalserver. Ich verbinde ...