Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Watchguard Firebox: VPN Ping nur in eine Richtung möglich

Mitglied: Bitbauer

Bitbauer (Level 1) - Jetzt verbinden

11.09.2013 um 10:01 Uhr, 4233 Aufrufe, 9 Kommentare

Hallo!

Ich habe eine Watchguard Firebox X750e im Einsatz und einen PPTP-VPN-Zugang konfiguriert (Ich weiß, ist nicht das sicherste, dafür aber einfachste).

Die VPN-Verbindung wird auch aufgebaut. Wenn ich jetzt jedoch von dem VPN-Client eine Verbindung zu einem Server im Watchguard-Netzwerk aufbauen möchte, gelingt das nicht. Auch ein Ping geht nicht durch.

Und jetzt kommt das seltsame: Wenn ich den Ping von einem Server im Watchguard-Netzwerk (172.16.x.x) auf den VPN-Client (172.18.0.x) mache, klappt das sofort. Witzigerweise funktioniert danach dann auf einmal auch der Ping in die andere Richtung.

Woran könnte das liegen?

Gruß

Gerrit
Mitglied: 108012
11.09.2013 um 12:08 Uhr
Hallo,

(Ich weiß, ist nicht das sicherste, dafür aber einfachste).
Und warum änderst Du das nicht einfach!?

Woran könnte das liegen?
An den Firewall Regeln eventuell?

Gruß
Dobby
Bitte warten ..
Mitglied: Deepsys
11.09.2013 um 13:46 Uhr
Hi,

Zitat von Bitbauer:
Ich habe eine Watchguard Firebox X750e im Einsatz und einen PPTP-VPN-Zugang konfiguriert (Ich weiß, ist nicht das sicherste,
dafür aber einfachste).
Da bin ich anderer Meinung.
Du bekommst von Watchguard den (ShrewSoft) IPSec-Client und den SSL-Client für umme, die Einrichtung sind ein paar Schritte, SSL ist einfacher.
Dann bekommst du für IPSec eine fertige Konfig-Datei und für SSL brauchst du den Namen/IP der Firewall und deine Anmeldedaten, fertig!
Also, lass die Finger von dem unsicheren, geknackten PPTP!

Die VPN-Verbindung wird auch aufgebaut. Wenn ich jetzt jedoch von dem VPN-Client eine Verbindung zu einem Server im
Watchguard-Netzwerk aufbauen möchte, gelingt das nicht. Auch ein Ping geht nicht durch.
Guck dir mal auf System Manager ob das was hängen bleibt ...

Und jetzt kommt das seltsame: Wenn ich den Ping von einem Server im Watchguard-Netzwerk (172.16.x.x) auf den VPN-Client
(172.18.0.x) mache, klappt das sofort. Witzigerweise funktioniert danach dann auf einmal auch der Ping in die andere Richtung.
Das spricht aber eher für eine Firewall/Sicherheitssoftware auf dem Server ....

VG
Deepsys
Bitte warten ..
Mitglied: Bitbauer
11.09.2013 um 15:16 Uhr
Das Phänomenen tritt auch auf, wenn ich einen anderen Server pinge. Ich muss immer erst aus dem Watchguard-Netzwerk den VPN-Client anpingen, bevor ich anders herum pingen kann. Das witzige ist auch, dass es früher mal ohne ging. Ich hatte auch schon das Verhalten, dass die ersten 3 oder 4 Pings durchgehen und dann auf einmal nicht mehr.

Ich werde das ganze jetzt noch mal mit dem Shrewsoft versuchen, meine aber das ich da damals ähnliche Probleme hatte.
Bitte warten ..
Mitglied: 108012
11.09.2013 um 16:01 Uhr
Ich werde das ganze jetzt noch mal mit dem Shrewsoft versuchen, meine aber das ich da damals ähnliche Probleme hatte.
- Der ShrewSoft umgeht das ganze nicht, sondern ist nur sicherer in der Wahl der VPN Methode.
- Du wirst mit allem immer Probleme bekommen wenn dort die Berechtigungen nicht gesetzt sind
- Wenn es an den Firewallregeln liegt so wie ich das sehe!
- Wenn dahinter VLANs sind und man von der Firewall die IP Adressen per DHCP vergeben bekommt und
zwar von einem VLAN das eben keinen Zugriff auf das VLAN der Server hat!!!!
Dann muss eine Route her bzw. angelegt werden und zwar so dass man auf alles zugreifen kann im LAN oder
eben speziell auf das VLAN mit den Servern!

Normalerweise verhält es sich so, dass man wenn die VPN Verbindung "steht" Zugriff auf das gesamte
LAN hinter dem Router bzw. der Firewall hat, ist dem nicht so sind mit unter bzw. sehr oft die Regeln der
Firewall nicht richtig gesetzt. Kann man auch schnell mit der Suchfunktion des Forums überprüfen.

Gruß
Dobby
Bitte warten ..
Mitglied: Bitbauer
11.09.2013 um 16:45 Uhr
Wie gesagt: Wenn ich einmal aus der einen Richtung pingen konnte, geht ja die andere Richtung. Das kann ja dann eigentlich nicht an den Berechtigungen liegen, oder?

Wenn es an den Berechtigungen liegen würde, dürfte es ja nie gehen.

VLAN Tags setzen wir nicht ein.

Ich tippe eigentlich eher auf ein Firmware/OS-Problem auf der Watchguard.
Bitte warten ..
Mitglied: 108012
11.09.2013 um 16:49 Uhr
Wie gesagt: Wenn ich einmal aus der einen Richtung pingen konnte, geht ja die andere Richtung. Das kann ja dann eigentlich nicht an den Berechtigungen liegen, oder?
Ich denke wir reden an einander vorbei, ich meine die Firewallregeln direkt auf der Watchguard Firewall und nicht
die des Servers!
Klar muss der Benutzer angelegt sein und auch über Rechte verfügen die es Ihm erlauben als entfernter Benutzer
auf den oder die Server zuzugreifen".

Ich denke auf der Watchguard sind ein paar oder nur eine bzw. nur zum teil die Firewallreglen falsch gesetzt und
zwar für das VPN!

Gruß
Dobby
Bitte warten ..
Mitglied: Bitbauer
11.09.2013 um 17:02 Uhr
Also ich habe mittlerweile die Firewall-Richtlinie neu angelegt und habe immer noch dasselbe Problem. Ich werde die Firebox nachher mal neu starten. Und warum sollte es eine Regel geben "erst wenn von intern nach VPN ein Zugriff stattfindet, darf auch von VPN nach intern zugegriffen werden, egal wohin". Das macht ja irgendwie keinen Sinn.

Ich werde noch mal ein bisschen rumprobieren...
Bitte warten ..
Mitglied: Bitbauer
17.09.2013, aktualisiert um 11:22 Uhr
Also leider immer noch keine Lösung in Sicht. Mittlerweile habe ich zusätzlich das Problem, dass immer nur ein VPN-Benutzer zur Zeit auf die Server zugreifen kann.

Im Traffic Monitor des System Managers stehen mehrere Einträge wie z.B.

2013-09-17 12:11:16 Deny 172.18.0.2 255.255.255.255 netbios-ns/udp 137 137 pptp0 Firebox Denied 78 128 (Unhandled External Packet-00) proc_id="firewall" rc="101" src_user="VPNUser@Firebox-DB" Traffic
2013-09-17 12:11:31 Deny 172.18.0.2 255.255.255.255 8612/udp 58041 8612 pptp0 Firebox Denied 44 128 (Unhandled External Packet-00) proc_id="firewall" rc="101" src_user="VPNUser@Firebox-DB" Traffic
2013-09-17 12:09:34 Deny 172.16.3.5 172.18.0.2 49933/tcp 25524 49933 2-172 network Firebox tcp syn checking failed 41 128 (Internal Policy) proc_id="firewall" rc="101" tcp_info="offset 5 A 3601266733 win 65281" dst_user="VPNUser@Firebox-DB" Traffic
Bitte warten ..
Mitglied: Bitbauer
17.09.2013 um 11:38 Uhr
In der Watchguard gibt es genau 2 Firewall-Regeln, die von der Firewall beim Aktivieren der Option "Activate Mobile VPN with PPTP" hinzugefügt werden.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Ping nur in eine Richtung möglich
Frage von macar7Netzwerkgrundlagen9 Kommentare

Hallo, ich bin neu hier im Forum und hab gleich eine Frage. Kurz zu meiner Person: Ich bin Mitte ...

Router & Routing
WatchGuard Firebox X700
Frage von amgm2006Router & Routing8 Kommentare

Hallo, uns ist ein Rechner agbeschmiert, wo die Firebox X700 Konfiguriert wurde. Jetzt finden wir die Passende Software nicht ...

Netzwerkmanagement
Kein Ping aus VPN möglich
gelöst Frage von Babu64Netzwerkmanagement7 Kommentare

Hallo, ich habe folgende Frage: Ich verbinde mich über meinen Mac (Tunnelblick) in mein Firmennetzwerk. Das VPN hat bisher ...

Router & Routing

Watchguard Firebox T15 hinter Speedport Hybrid

gelöst Frage von greatmgmRouter & Routing7 Kommentare

Hallo zusammen, geht sowas irgendwie oder gibt es ein HowTo für. Das Speedport selber lässt sich ja weder als ...

Neue Wissensbeiträge
Microsoft

Neuigkeiten zu Server und Office 365 was läuft mit was und was nicht

Tipp von AlFalcone vor 21 StundenMicrosoft

Server Betriebssysteme auf dem die verschiedenen Offices nicht supported sind: • Office 365 ist und wird nicht supported auf Windows ...

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 22 StundenSpeicherkarten1 Kommentar

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 1 TagSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 1 TagHardware1 Kommentar

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
EuGH-Urteil - Internetanschluss für die ganze Familie - Filesharer haften trotzdem
Frage von StefanKittelSicherheitsgrundlagen24 Kommentare

Hallo, In diesem Artikel geht es darum, dass Jemand aus der Familie ein Hörbuch illegal hochgeladen hat. Der Vater ...

Apple
MacBook Pro 2018 mit 8 GB oder 16 GB
Frage von SysAdm81Apple22 Kommentare

Hallo zusammen, ich steh vor der Überlegung mir ein MacBook Pro 13 (2018) zu kaufen. Bzgl. SSD habe ich ...

Windows 10
Sysprep Fehler im Log kann nicht starten
Frage von grillinator95Windows 1022 Kommentare

Hallo, kann leider SYSPREP nicht mehr starten, Win10 64bit. Logfile sagt folgendes: 2018-10-17 13:44:56, Info SYSPRP 2018-10-17 13:44:56, Info ...

Datenbanken
MS SQL DB-Daten archivieren?
gelöst Frage von SchelinhoDatenbanken16 Kommentare

Hallo zusammen! Ich habe eine Anwendung, welche MSSQL (SQL Server 2014 SP2) nutzt. Auf der DB-Instanz laufen diverse Datenbanken. ...