Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Watchguard Firebox: VPN Ping nur in eine Richtung möglich

Mitglied: Bitbauer

Bitbauer (Level 1) - Jetzt verbinden

11.09.2013 um 10:01 Uhr, 4055 Aufrufe, 9 Kommentare

Hallo!

Ich habe eine Watchguard Firebox X750e im Einsatz und einen PPTP-VPN-Zugang konfiguriert (Ich weiß, ist nicht das sicherste, dafür aber einfachste).

Die VPN-Verbindung wird auch aufgebaut. Wenn ich jetzt jedoch von dem VPN-Client eine Verbindung zu einem Server im Watchguard-Netzwerk aufbauen möchte, gelingt das nicht. Auch ein Ping geht nicht durch.

Und jetzt kommt das seltsame: Wenn ich den Ping von einem Server im Watchguard-Netzwerk (172.16.x.x) auf den VPN-Client (172.18.0.x) mache, klappt das sofort. Witzigerweise funktioniert danach dann auf einmal auch der Ping in die andere Richtung.

Woran könnte das liegen?

Gruß

Gerrit
Mitglied: 108012
11.09.2013 um 12:08 Uhr
Hallo,

(Ich weiß, ist nicht das sicherste, dafür aber einfachste).
Und warum änderst Du das nicht einfach!?

Woran könnte das liegen?
An den Firewall Regeln eventuell?

Gruß
Dobby
Bitte warten ..
Mitglied: Deepsys
11.09.2013 um 13:46 Uhr
Hi,

Zitat von Bitbauer:
Ich habe eine Watchguard Firebox X750e im Einsatz und einen PPTP-VPN-Zugang konfiguriert (Ich weiß, ist nicht das sicherste,
dafür aber einfachste).
Da bin ich anderer Meinung.
Du bekommst von Watchguard den (ShrewSoft) IPSec-Client und den SSL-Client für umme, die Einrichtung sind ein paar Schritte, SSL ist einfacher.
Dann bekommst du für IPSec eine fertige Konfig-Datei und für SSL brauchst du den Namen/IP der Firewall und deine Anmeldedaten, fertig!
Also, lass die Finger von dem unsicheren, geknackten PPTP!

Die VPN-Verbindung wird auch aufgebaut. Wenn ich jetzt jedoch von dem VPN-Client eine Verbindung zu einem Server im
Watchguard-Netzwerk aufbauen möchte, gelingt das nicht. Auch ein Ping geht nicht durch.
Guck dir mal auf System Manager ob das was hängen bleibt ...

Und jetzt kommt das seltsame: Wenn ich den Ping von einem Server im Watchguard-Netzwerk (172.16.x.x) auf den VPN-Client
(172.18.0.x) mache, klappt das sofort. Witzigerweise funktioniert danach dann auf einmal auch der Ping in die andere Richtung.
Das spricht aber eher für eine Firewall/Sicherheitssoftware auf dem Server ....

VG
Deepsys
Bitte warten ..
Mitglied: Bitbauer
11.09.2013 um 15:16 Uhr
Das Phänomenen tritt auch auf, wenn ich einen anderen Server pinge. Ich muss immer erst aus dem Watchguard-Netzwerk den VPN-Client anpingen, bevor ich anders herum pingen kann. Das witzige ist auch, dass es früher mal ohne ging. Ich hatte auch schon das Verhalten, dass die ersten 3 oder 4 Pings durchgehen und dann auf einmal nicht mehr.

Ich werde das ganze jetzt noch mal mit dem Shrewsoft versuchen, meine aber das ich da damals ähnliche Probleme hatte.
Bitte warten ..
Mitglied: 108012
11.09.2013 um 16:01 Uhr
Ich werde das ganze jetzt noch mal mit dem Shrewsoft versuchen, meine aber das ich da damals ähnliche Probleme hatte.
- Der ShrewSoft umgeht das ganze nicht, sondern ist nur sicherer in der Wahl der VPN Methode.
- Du wirst mit allem immer Probleme bekommen wenn dort die Berechtigungen nicht gesetzt sind
- Wenn es an den Firewallregeln liegt so wie ich das sehe!
- Wenn dahinter VLANs sind und man von der Firewall die IP Adressen per DHCP vergeben bekommt und
zwar von einem VLAN das eben keinen Zugriff auf das VLAN der Server hat!!!!
Dann muss eine Route her bzw. angelegt werden und zwar so dass man auf alles zugreifen kann im LAN oder
eben speziell auf das VLAN mit den Servern!

Normalerweise verhält es sich so, dass man wenn die VPN Verbindung "steht" Zugriff auf das gesamte
LAN hinter dem Router bzw. der Firewall hat, ist dem nicht so sind mit unter bzw. sehr oft die Regeln der
Firewall nicht richtig gesetzt. Kann man auch schnell mit der Suchfunktion des Forums überprüfen.

Gruß
Dobby
Bitte warten ..
Mitglied: Bitbauer
11.09.2013 um 16:45 Uhr
Wie gesagt: Wenn ich einmal aus der einen Richtung pingen konnte, geht ja die andere Richtung. Das kann ja dann eigentlich nicht an den Berechtigungen liegen, oder?

Wenn es an den Berechtigungen liegen würde, dürfte es ja nie gehen.

VLAN Tags setzen wir nicht ein.

Ich tippe eigentlich eher auf ein Firmware/OS-Problem auf der Watchguard.
Bitte warten ..
Mitglied: 108012
11.09.2013 um 16:49 Uhr
Wie gesagt: Wenn ich einmal aus der einen Richtung pingen konnte, geht ja die andere Richtung. Das kann ja dann eigentlich nicht an den Berechtigungen liegen, oder?
Ich denke wir reden an einander vorbei, ich meine die Firewallregeln direkt auf der Watchguard Firewall und nicht
die des Servers!
Klar muss der Benutzer angelegt sein und auch über Rechte verfügen die es Ihm erlauben als entfernter Benutzer
auf den oder die Server zuzugreifen".

Ich denke auf der Watchguard sind ein paar oder nur eine bzw. nur zum teil die Firewallreglen falsch gesetzt und
zwar für das VPN!

Gruß
Dobby
Bitte warten ..
Mitglied: Bitbauer
11.09.2013 um 17:02 Uhr
Also ich habe mittlerweile die Firewall-Richtlinie neu angelegt und habe immer noch dasselbe Problem. Ich werde die Firebox nachher mal neu starten. Und warum sollte es eine Regel geben "erst wenn von intern nach VPN ein Zugriff stattfindet, darf auch von VPN nach intern zugegriffen werden, egal wohin". Das macht ja irgendwie keinen Sinn.

Ich werde noch mal ein bisschen rumprobieren...
Bitte warten ..
Mitglied: Bitbauer
17.09.2013, aktualisiert um 11:22 Uhr
Also leider immer noch keine Lösung in Sicht. Mittlerweile habe ich zusätzlich das Problem, dass immer nur ein VPN-Benutzer zur Zeit auf die Server zugreifen kann.

Im Traffic Monitor des System Managers stehen mehrere Einträge wie z.B.

2013-09-17 12:11:16 Deny 172.18.0.2 255.255.255.255 netbios-ns/udp 137 137 pptp0 Firebox Denied 78 128 (Unhandled External Packet-00) proc_id="firewall" rc="101" src_user="VPNUser@Firebox-DB" Traffic
2013-09-17 12:11:31 Deny 172.18.0.2 255.255.255.255 8612/udp 58041 8612 pptp0 Firebox Denied 44 128 (Unhandled External Packet-00) proc_id="firewall" rc="101" src_user="VPNUser@Firebox-DB" Traffic
2013-09-17 12:09:34 Deny 172.16.3.5 172.18.0.2 49933/tcp 25524 49933 2-172 network Firebox tcp syn checking failed 41 128 (Internal Policy) proc_id="firewall" rc="101" tcp_info="offset 5 A 3601266733 win 65281" dst_user="VPNUser@Firebox-DB" Traffic
Bitte warten ..
Mitglied: Bitbauer
17.09.2013 um 11:38 Uhr
In der Watchguard gibt es genau 2 Firewall-Regeln, die von der Firewall beim Aktivieren der Option "Activate Mobile VPN with PPTP" hinzugefügt werden.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Ping nur in eine Richtung möglich
Frage von macar7Netzwerkgrundlagen9 Kommentare

Hallo, ich bin neu hier im Forum und hab gleich eine Frage. Kurz zu meiner Person: Ich bin Mitte ...

Router & Routing
WatchGuard Firebox X700
Frage von amgm2006Router & Routing8 Kommentare

Hallo, uns ist ein Rechner agbeschmiert, wo die Firebox X700 Konfiguriert wurde. Jetzt finden wir die Passende Software nicht ...

Netzwerkmanagement
Kein Ping aus VPN möglich
gelöst Frage von Babu64Netzwerkmanagement7 Kommentare

Hallo, ich habe folgende Frage: Ich verbinde mich über meinen Mac (Tunnelblick) in mein Firmennetzwerk. Das VPN hat bisher ...

LAN, WAN, Wireless

Fritzbox Fernzugang VPN ping nicht möglich

Frage von YannoschLAN, WAN, Wireless16 Kommentare

Hallo zusammen, ich hab ein Problem mit der Fritte 6360 und dem FritzboxFernzugang einrichten. Ich habe ALLES genau wie ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 5 StundenHumor (lol)1 Kommentar

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 18 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 18 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 22 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...