thomasjay
Goto Top

Watchguard T15 VPN Einrichtung

Hallo zusammen,

wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten!

Als Client nutzen wir den Watchgaurd Mobile VPN

Folgende Einstellungen wurde vorgenommen:

General Settings
Passphrase (wurde vergeben)
Firebox IP Addresses (feste IP-Adresse vom Provider)

IPSec Tunnel
Use the passphrase of the end user profile as the pre-shared key

Phase 1 Settings
Authentication (SHA2-256)
Encryption (AES-256bit)

Phase 2 Settings
PFS (Diffie-Hellman Group14)

Allow All Traffic Through Tunnel
Any-External (0.0.0.0/0)
Virtual IP Address Pool 192.168.10.210-192.168.10.220
Line Management

Das sind die Einstellungen, jedoch öffnet sich der VPN-Tunnel nicht....

log
24.04.2018 10:47:49 - System: DNSHandling=0
24.04.2018 10:47:49 - IPSec: Start building connection
24.04.2018 10:47:49 - System: ikeusesocket=0
24.04.2018 10:47:49 - IpsDial: connection time interface choice,LocIpa=172.20.10.11,AdapterIndex=205
24.04.2018 10:47:49 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=87.xx.xx.xx : DAEXVPN
24.04.2018 10:47:49 - Ike: XMIT_MSG1_AGGRESSIVE - DAEXVPN,vpngw=87.XX.XX.XX:500
24.04.2018 10:47:49 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,will_thomas
24.04.2018 10:47:53 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:47:53 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:47:57 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:47:57 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:48:01 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:48:01 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:48:05 - INFO - MONITOR: Disconnected
24.04.2018 10:48:05 - INFO - MONITOR: Media=Wi-Fi, Tx=0 Byte, Rx=0 Byte
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
24.04.2018 10:48:05 - Ike: phase1:name(DAEXVPN) - ERROR - retry timeout - max retries
24.04.2018 10:48:05 - IPSec: Disconnected from DAEXVPN on channel 1.


Gruß
Thomas

Content-Key: 372044

Url: https://administrator.de/contentid/372044

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Pjordorf
Pjordorf 24.04.2018 um 11:06:59 Uhr
Goto Top
Hallo,

Zitat von @thomasjay:
log
Log vom Server oder vom Client? Beide Seiten nutzen IPv4?

24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
Welches Gateway?

Gruß,
Peter
Mitglied: thomasjay
thomasjay 24.04.2018 um 11:16:34 Uhr
Goto Top
Hallo Peter,

der Log ist vom Client und ja beide nutzen IPv4...

Wo und wleche Gateway, die Frage stellt ich mir auch?

Gruß
Thomas J.
Mitglied: wuurian
Lösung wuurian 24.04.2018 um 11:21:16 Uhr
Goto Top
Hallo Thomas,

Als Client nutzen wir den Watchgaurd Mobile VPN

Auf was für einer Kiste?

Aber das Gateway ist ja eure Watchguard? Da passt die IP?
Mitglied: thomasjay
thomasjay 24.04.2018 um 11:23:46 Uhr
Goto Top
Hallo,

also der VPN Client läuft auf einen Win10 Notebook!

Wo muss ich den Gateway eintragen?

Gruß
Thomas J.
Mitglied: erikro
erikro 24.04.2018 um 11:26:34 Uhr
Goto Top
Moin,

Zitat von @thomasjay:
Wo und wleche Gateway, die Frage stellt ich mir auch?

Na steht doch da: 87.xx.xx.xx. Wie die Xe zu ersetzen sind, wirst Du sicherlich wissen. ;) Offensichtlich antwortet das VPN-Gateway, mit dem sich der Client verbinden will, nicht.

LG

Erik
Mitglied: wuurian
wuurian 24.04.2018 aktualisiert um 11:30:33 Uhr
Goto Top
Meines Wissens nach läuft der Watchguard Client nicht mehr unter Win10!
Probiere es bitte mal mit dem ShrewSoft VPN Client, der läuft unter Win10 super.

Mich wundert es etwas, das der Watchguard Client auf einer Win10 Kiste läuft..

Du kannst ja in der GUI unter VPN-> Mobile VPN with IPSEC -> richtige Gruppe auswählen -> Configuration File Generation -> Client -> ShrewSoft VPN -> Generate dir eine Config rauslassen.

Die importierst du dann im ShrewSoft Client, meldest dich mit einem Benutzer an, dann müsste das Ding laufen, voraussgesetzt deine IP stimmt?

Edit://

Du hast wahrscheinlich den Watchguard Mobile VPN SSL Client?
Mitglied: erikro
erikro 24.04.2018 um 11:47:12 Uhr
Goto Top
Moin,

Zitat von @wuurian:

Meines Wissens nach läuft der Watchguard Client nicht mehr unter Win10!

Stimmt, weil er nicht mehr notwendig ist. Der eingebaute Client funktioniert mit der Watchguard problemlos. Das steht auch irgendwo auf der Website von Watchguard nebst Anleitung, wie man ihn für die Watchguard einrichten muss.

LG
Mitglied: wuurian
wuurian 24.04.2018 um 11:48:58 Uhr
Goto Top
Gerade bei Windows 10 nehm ich dann doch lieber den ShrewSoft Client...
Mitglied: Spirit-of-Eli
Spirit-of-Eli 24.04.2018 um 12:26:00 Uhr
Goto Top
Best practice ist meiner Meinung nach nen IKEv2 Tunnel zu nutzen und den W10 eigenen client dafür zu verwenden.
Mitglied: thomasjay
thomasjay 24.04.2018 um 13:08:04 Uhr
Goto Top
Hallo,

habe jetzt mal den ShrewSoft VPN Client versucht!

Fehlermeldung laut Log

gateway authentication error

Gruß
Thomas J.
Mitglied: wuurian
wuurian 24.04.2018 aktualisiert um 13:17:02 Uhr
Goto Top
Mit welchem User meldest du dich an?
Ist dieser User auch in der richtigen Gruppe?

Deine Mobile-VPN with IPSec VPN hat ja einen Gruppennamen, in dieser muss auch dein User sein!
GUI -> Authentication -> Servers -> vermutlich Firebox-DB? -> oben sind die Users, und da drunter sind die Guppen für das entsprechende VPN, dort muss der User drin sein.

Edit://

Ansonsten das hier nochmal ganz genau durchgehen:
https://www.watchguard.com/help/docs/fireware/12/en-US/Content/en-US/mvp ...
Mitglied: Pjordorf
Pjordorf 24.04.2018 um 13:14:35 Uhr
Goto Top
Hallo,

Zitat von @thomasjay:
gateway authentication error
Was hast du vergessen? Wir wissen hier nicht was du wo eingetragen hast oder eben nicht eingetragen hast. Wir sind hier Blind und Taub und lesen nur was du uns sagst.

Gruß,
Peter
Mitglied: erikro
erikro 24.04.2018 um 13:16:17 Uhr
Goto Top
Zitat von @thomasjay:

Fehlermeldung laut Log

gateway authentication error

Wie schon weiter oben erwähnt: Dein Gateway antwortet nicht. Das ändert sich nicht dadurch, dass Du den Client wechselst. Die Aussage, dass der Watchguard Client unter Win10 nicht läuft, ist so auch nicht richtig. Er stürzt immer mal wieder ab, ist die korrekte Aussage.

Du musst an der Stelle suchen, die nicht funktioniert. Stimmt die IP des Gateways? Kommen die Pakete beim Gateway an? Was macht das Gateway mit den Paketen? Was steht dort im Log? ...
Mitglied: wuurian
wuurian 24.04.2018 um 13:24:10 Uhr
Goto Top
Die Aussage, dass der Watchguard Client unter Win10 nicht läuft, ist so auch nicht richtig. Er stürzt immer mal wieder ab, ist die korrekte Aussage.

Der Client hat mir durch ein Upgrade von Win7 auf Win10 nur Probleme bereitet, neu installieren unter Win10 hat gar nicht mehr funktioniert, daher passt die Aussage, das der Client nicht läuft, doch ganz gut.

Geh die Anleitung Schritt für Schritt für durch, dann klappt das auch, sonst Rätseln wir hier nur rum.
Mitglied: thomasjay
thomasjay 24.04.2018 um 13:55:27 Uhr
Goto Top
Hallo,

also hier noch einmal der Auszug vom Log

config loaded for site '87.xx.xx.xx'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
gateway authentication error
tunnel disabled
detached from key daemon

Firebox-Einstellung
Authentication > Firebox Users (wurde zugeteilt)

Firebox Groups > User wurde der Gruppe zugeteilt

Gruß
Thomas J.
Mitglied: wuurian
wuurian 24.04.2018 um 14:01:18 Uhr
Goto Top
Was steht im Watchguard-LOG?
Schau welche IP dein Client hat, danach kannst du dann im LOG filtern.

Die Gateway-IP ist auch sicher richtig?
Mitglied: thomasjay
thomasjay 24.04.2018 um 14:08:34 Uhr
Goto Top
Hier der Log der Firebox!
log
Mitglied: Pjordorf
Pjordorf 24.04.2018 aktualisiert um 16:04:07 Uhr
Goto Top
Hallo,

Zitat von @thomasjay:
gateway authentication error
Hier steht aber jetzt nicht das das Gateway nicht wie vorher in
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
gefunden werden kann. Hier steht jetzt das das Gateway die Authetfizierung nicht akzeptiert. Zwei völlig verschiedene Meldungen und Ursachen. Lesen musst du schon richtig.

Prüfen kannst nur du es

Authentication > Firebox Users (wurde zugeteilt)
Was soll uns dein wurde zugeteilt hier sagen? Das noch jemand anderes beteiligt ist?

Wie dir schon einmal versucht zu erklären, wir wissen nur das was du uns sagst bzw. schreibst. Alles andere fällt in die Aufgabe einer Glaskugelraterei. Und es kommt gar vor das unterschiedliche Hersteller anders lautende Meldung für ein und das gleiche ausgeben...face-sad

Gruß,
Peter
Mitglied: erikro
erikro 24.04.2018 um 15:59:06 Uhr
Goto Top
Da steht's doch: Received ID did not match ...
Mitglied: wuurian
wuurian 24.04.2018 um 16:03:19 Uhr
Goto Top
Ja, und welche ID ist damit gemeint?
Mitglied: erikro
erikro 24.04.2018 um 16:32:26 Uhr
Goto Top
Zitat von @wuurian:

Ja, und welche ID ist damit gemeint?

"The devices identify each other.
Each device provides a Phase 1 identifier, which can be an IP address, domain name, domain information, or an X500 name. The VPN configuration on each peer contains the Phase 1 identifier of the local and the remote device, and the configurations must match."
aus: https://www.watchguard.com/help/docs/fireware/12/en-US/Content/en-US/mvp ...
Mitglied: wuurian
wuurian 24.04.2018 aktualisiert um 16:54:00 Uhr
Goto Top
Danke für den Link, hab ich auf die Schnelle nicht gefunden.

Wirklich schlau werde ich daraus aber nicht, der Client scheint ja eine Verbindung zur Watchguard aufbauen zu wollen, was aber aufgrund einer falschen ID nicht klappt.

Wenn du dir aber die Config für die VPN aus der Watchguard rauslässt, müssen die Einstellungen bzw. die ID aber auf seitens der Watchguard und des Clients gleich sein?

Edit://

Authentifizierst du dich an der Watchguard über deine AD-Credentials?
Mitglied: thomasjay
thomasjay 25.04.2018 um 07:36:51 Uhr
Goto Top
Moin,

also auf ein neues...!

Authentication > Authentication Servers > Firebox-DB 1 Users 1 Groups

Firebox Users > Enable case-sensitivity for Firebox-DB user names >

Firebox Group > daexvpn > steht der User als Firebox Authentication User drin

Wir nutzen die Firebox als Authentication Server

Einstellung im ShrewSoft VPN Client

Authentication Method > Mutual PSK + XAuth
Local Identity > Identification Typ > Key Identifier > Key ID String > (Name des Firebox User)
Remote Identity > Identification Typ > any
Credentials > Pre Shared Key > (Passphrase Passwort in der Firebox)

Gruß
Thomas
unbenannt-2
Mitglied: thomasjay
thomasjay 25.04.2018 um 08:43:36 Uhr
Goto Top
Moin zusammen,

lange Rede kurzer Sinn, es waren ein paar Einstellungen im VPN Client die nicht korrekt waren!

Identification Type musste auf User Fully Qualified Domain Name geändert werden... > UFQDN String

Nochmals vielen Dank an alle die mir geholfen haben! Super Support..

Gruß

Thomas
Mitglied: wuurian
wuurian 25.04.2018 um 08:48:41 Uhr
Goto Top
Also meldest du dich doch mit deinen AD-Credentials an?

Im ShrewSoft muss man eigentlich gar nix einstellen, dafür generierst du dir ja eine Configfile aus der Watchguard..

Gut, wenn es endlich läuft face-smile

Viele Grüße