Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Site-to-Site VPN zwischen Watchguard und Fortigate

Frage Netzwerke

Mitglied: FiSi-Chrissi

FiSi-Chrissi (Level 1) - Jetzt verbinden

15.01.2014 um 16:18 Uhr, 5103 Aufrufe, 7 Kommentare

Hallo,

habe ein Problem bei einer VPN Verbindung....

anbei das Log der Watchguard
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received fifth message with policy [gw-yaveon] from y.y.y.y:500 main mode
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : SAState.sState(7)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkePrepareIsakmpKeyMat()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkeCipherMsg()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(5) Len(21)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(8) Len(24)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(11) Len(28)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeNotifyPayloadNtoH : SPI Size 16 first4(0xabf2ee57)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received an INITIAL_CONTACT message from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Ignored the INITIAL_CONTACT (repeated) from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an authentication failure
<155>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Process 5/6 Msg : failed to process ID payload
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Cannot process MM ID payload from y.y.y.y:500 to x.x.x.x cookies i=57eef2ab 9acb2837 r=3826b559 87bcd610
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)ike_process_pkt : ProcessData returned error (-1)

Leider kenn ich mich mit Watchguard nicht so gut aus... Kann mir vllt. jemand aufgrund des Log's einen Lösungsansatz geben?

Grüße

Christian
Mitglied: Dirmhirn
15.01.2014 um 16:40 Uhr
Hi!

musste vor Jahren mal eine FGT mit einer Netgear Kiste (o.ä.) verbinden.
Am Ende hat es dadurch Funktioniert, dass in beiden Geräten nur genau eine Konfig eingestellt war, d.h. zb Diffie-Hellman nur eine bestimmte Gruppe zulassen. Bei der FGT kannst du verschiedene anwählen und zwei FGTs einigen sich auf eine.
Bei Cisco mussten wieder an beiden Enden die exakt gleichen Remote Netz angegeben werden.

vll findest du das was.

sg Dirm
Bitte warten ..
Mitglied: tkr104
15.01.2014 um 17:14 Uhr
Zitat von FiSi-Chrissi:

<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an
authentication failure

Moin,

du solltest mal die IDs auf beiden Seiten prüfen, eventuell auch mal was anderes als Identifier nehmen. Tunnel zwischen zwei Herstellern sind immer etwas tricky...

VG,

Thomas
Bitte warten ..
Mitglied: aqui
15.01.2014, aktualisiert um 23:00 Uhr
Ein paar Grundlagen und Tips für heterogene IPsec VPNs kannst du hier nachlesen:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und Allgemein:
http://www.administrator.de/contentid/73117
Kollege tkr104 hat aber den richtigen Riecher mit den miskonfigurierten Identifiern. Da liegt der Fehler ! Korrigier das und dann sollte das zum Fliegen kommen.
Bitte warten ..
Mitglied: exellent
16.01.2014 um 08:33 Uhr
Hey,

was sagt denn die Fortigate im Log? Hast du bei der Phase2 in der Fortigate die Quick Mode Selectoren ausgefüllt/eingetragen? Auch drauf achten, dass die Phase1 und Phase2 Einstellungen bei Watchguard und Fortigate übereinstimmen.

Das VPN Troubleshooting ist bei Fortigate besser als bei den Watchguards. Vielleicht schaust du auf der Fortigate mal woran es liegt. Auf der CLI :

diag debug enable
diag vpn ike filter dst-addr4 *Externe IP der Watchguard*
diag debug application ike 255

Lass den Debug circa ne Minute laufen und tipp dann "blind" auf der CLI ein
diag debug disable

Danach kannst du dir in Ruhe den Output ansehen und schauen woran es liegt.
Bitte warten ..
Mitglied: FiSi-Chrissi
16.01.2014 um 08:41 Uhr
Danke für die Antwort.

Bei der Watchguard stellt sich die ID Automatisch gleich mit der IP Adresse, Leer lassen des Feldes funktioniert nicht, während ich bei der Fortigate nur eine Local ID und keine Remote ID angeben kann.

Wenn ich auf das Log der Forti schaue sehe ich das die Abhandlung der Stufe 1 - 3 im Outbound mit einem Success abgeschlossen werden während ich von der Watchguard gar keine Inbound Anfrage bekomme...
Bitte warten ..
Mitglied: FiSi-Chrissi
16.01.2014 um 10:03 Uhr
Das bringt mich schonmal weiter, dooferweise funktioniert dass mit den Filter nicht, ich bekomme sämtliche VPN's angezeigt habe nicht die Möglichkeit blind einzugeben.....
Bitte warten ..
Mitglied: exellent
16.01.2014 um 13:50 Uhr
Hey FiSi-Chrissi,

wenn der ganze Output läuft, musst du blind "diag debug reset" eingeben und dann enter drücken. Dann hört der Output auf. Am besten dabei nicht auf den Bildschirm gucken da in der Zeit wo du es eingibst 1000000 Zeilen runterrattern

Welche Firmware läuft auf der Fortigate? Der Filter müsste eigentlich funktionieren.

diag debug enable
diag vpn ike filter dst-addr4 86.88.64.136 (<- dort die externe IP der Watchguard eintragen)
diag debug application ike 255
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox (5)

Frage von Kiste zum Thema Router & Routing ...

Linux Netzwerk
Host-to-Site VPN zwischen Openswan und Fritzboxen (2)

Frage von ThePcSwagTogether zum Thema Linux Netzwerk ...

LAN, WAN, Wireless
gelöst Site-to-Site VPN mit LTE Router Teltonika RTU950 und Fritzbox 7390 (10)

Frage von flavourflo zum Thema LAN, WAN, Wireless ...

Router & Routing
Lancom Site to Site VPN mit VLANs (2)

Frage von geforce28 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...