Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Site-to-Site VPN zwischen Watchguard und Fortigate

Frage Netzwerke

Mitglied: FiSi-Chrissi

FiSi-Chrissi (Level 1) - Jetzt verbinden

15.01.2014 um 16:18 Uhr, 5786 Aufrufe, 7 Kommentare

Hallo,

habe ein Problem bei einer VPN Verbindung....

anbei das Log der Watchguard
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received fifth message with policy [gw-yaveon] from y.y.y.y:500 main mode
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : SAState.sState(7)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkePrepareIsakmpKeyMat()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkeCipherMsg()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(5) Len(21)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(8) Len(24)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(11) Len(28)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeNotifyPayloadNtoH : SPI Size 16 first4(0xabf2ee57)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received an INITIAL_CONTACT message from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Ignored the INITIAL_CONTACT (repeated) from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an authentication failure
<155>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Process 5/6 Msg : failed to process ID payload
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Cannot process MM ID payload from y.y.y.y:500 to x.x.x.x cookies i=57eef2ab 9acb2837 r=3826b559 87bcd610
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)ike_process_pkt : ProcessData returned error (-1)

Leider kenn ich mich mit Watchguard nicht so gut aus... Kann mir vllt. jemand aufgrund des Log's einen Lösungsansatz geben?

Grüße

Christian
Mitglied: Dirmhirn
15.01.2014 um 16:40 Uhr
Hi!

musste vor Jahren mal eine FGT mit einer Netgear Kiste (o.ä.) verbinden.
Am Ende hat es dadurch Funktioniert, dass in beiden Geräten nur genau eine Konfig eingestellt war, d.h. zb Diffie-Hellman nur eine bestimmte Gruppe zulassen. Bei der FGT kannst du verschiedene anwählen und zwei FGTs einigen sich auf eine.
Bei Cisco mussten wieder an beiden Enden die exakt gleichen Remote Netz angegeben werden.

vll findest du das was.

sg Dirm
Bitte warten ..
Mitglied: tkr104
15.01.2014 um 17:14 Uhr
Zitat von FiSi-Chrissi:

<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an
authentication failure

Moin,

du solltest mal die IDs auf beiden Seiten prüfen, eventuell auch mal was anderes als Identifier nehmen. Tunnel zwischen zwei Herstellern sind immer etwas tricky...

VG,

Thomas
Bitte warten ..
Mitglied: aqui
15.01.2014, aktualisiert um 23:00 Uhr
Ein paar Grundlagen und Tips für heterogene IPsec VPNs kannst du hier nachlesen:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und Allgemein:
http://www.administrator.de/contentid/73117
Kollege tkr104 hat aber den richtigen Riecher mit den miskonfigurierten Identifiern. Da liegt der Fehler ! Korrigier das und dann sollte das zum Fliegen kommen.
Bitte warten ..
Mitglied: exellent
16.01.2014 um 08:33 Uhr
Hey,

was sagt denn die Fortigate im Log? Hast du bei der Phase2 in der Fortigate die Quick Mode Selectoren ausgefüllt/eingetragen? Auch drauf achten, dass die Phase1 und Phase2 Einstellungen bei Watchguard und Fortigate übereinstimmen.

Das VPN Troubleshooting ist bei Fortigate besser als bei den Watchguards. Vielleicht schaust du auf der Fortigate mal woran es liegt. Auf der CLI :

diag debug enable
diag vpn ike filter dst-addr4 *Externe IP der Watchguard*
diag debug application ike 255

Lass den Debug circa ne Minute laufen und tipp dann "blind" auf der CLI ein
diag debug disable

Danach kannst du dir in Ruhe den Output ansehen und schauen woran es liegt.
Bitte warten ..
Mitglied: FiSi-Chrissi
16.01.2014 um 08:41 Uhr
Danke für die Antwort.

Bei der Watchguard stellt sich die ID Automatisch gleich mit der IP Adresse, Leer lassen des Feldes funktioniert nicht, während ich bei der Fortigate nur eine Local ID und keine Remote ID angeben kann.

Wenn ich auf das Log der Forti schaue sehe ich das die Abhandlung der Stufe 1 - 3 im Outbound mit einem Success abgeschlossen werden während ich von der Watchguard gar keine Inbound Anfrage bekomme...
Bitte warten ..
Mitglied: FiSi-Chrissi
16.01.2014 um 10:03 Uhr
Das bringt mich schonmal weiter, dooferweise funktioniert dass mit den Filter nicht, ich bekomme sämtliche VPN's angezeigt habe nicht die Möglichkeit blind einzugeben.....
Bitte warten ..
Mitglied: exellent
16.01.2014 um 13:50 Uhr
Hey FiSi-Chrissi,

wenn der ganze Output läuft, musst du blind "diag debug reset" eingeben und dann enter drücken. Dann hört der Output auf. Am besten dabei nicht auf den Bildschirm gucken da in der Zeit wo du es eingibst 1000000 Zeilen runterrattern

Welche Firmware läuft auf der Fortigate? Der Filter müsste eigentlich funktionieren.

diag debug enable
diag vpn ike filter dst-addr4 86.88.64.136 (<- dort die externe IP der Watchguard eintragen)
diag debug application ike 255
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Site to Site VPN
Frage von MickiRouter & Routing5 Kommentare

Ich suche Router die einen VPN-Client eingebaut haben und die chap2 Verschlüsselung können. Wer kann da welche empfehlen? TP-Link ...

Netzwerke
Projekt VPN Site to Site
Frage von obamakingNetzwerke2 Kommentare

Hi Leute, ich bin momentan an einem Projekt dran. Ich habe ein Home Office und einen Hauptstandort. Am Hauptstandort ...

LAN, WAN, Wireless
Site to Site VPN FritzBox
gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Firewall
VPN Konfiguration End - Site(NAT) - Site mit Fortigate
Frage von itprojectFirewall3 Kommentare

Hallo zusammen, ich brauche eure Hilfe, ich blick noch nicht ganz durch ;) Die Situation: Ein Entwickler verbindet sich ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 8 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 15 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 TagWindows 104 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless18 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...