hosh-ce
Goto Top

VPN über Fritzbox an Watchguard - Vista abbrüche, XP und andere Router laufen problemlos

Hallo Forum,
bisher konnte ich immer eine Lösung zu meinen IT-Probleme über das Forum oder Google finden, doch diesmal finde ich einfach nichts.
Ich hoffe Ihr könnt mir helfen face-smile

Ausgangsituation:
VPN-Verbindung über div. Rechner im HomeOffice mit "WatchGuard Mobile VPN" Software auf eine WatchGuard Edge.

Das Problem:
Wenn die VPN Verbindung über eine Fritzbox läuft, funktioniert es über einen XP-Rechner einwandfrei.
Das Notebook mit Vista Home "Light" kann auch eine Verbindung aufbauen, nur bricht diese nach ca. 3 Minuten ab, auch bei permanten Datenfluss.

Das Unglaubliche:
Das Notebook mit Vista Home läuft über andere Router (in div. Hotels, keine Ahnung welche Router das sind) einwandfrei und es gibt keine Verbindungsabbrüche!

Irgendwie scheint die FritzBox ein Keep-Alive nicht durchzulassen, das nur Vista benötigt und nicht XP. Kann es so etwas geben?

Bisherige Lösungsansätze:
Ich habe als Lösungsansatz etwas mit UDP 500 Port-Freigabe gefunden, nur brachte das leider keinen Erfolg (Vielleicht habe ich auch einen Fehler gemacht)-
Hat noch jemand eine Idee was an Vista und XP in Verbindung mit VPN über eine Firtzbox unterschiedlich sein könnte?

Danke!
Michael

Content-Key: 133196

Url: https://administrator.de/contentid/133196

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: bytecounter
bytecounter 12.01.2010 um 08:44:26 Uhr
Goto Top
Hallo,

WatchGuard Mobile VPN schreibt doch sicher ein Log? Was steht dort drin?

vg
Bytecounter
Mitglied: aqui
aqui 12.01.2010 um 09:22:33 Uhr
Goto Top
Um dir detailiert helfen zu können müsstest du uns ja mindestens einmal mitteilen welches VPN Protokoll denn deine "WatchGuard Mobile VPN" Software benutzt.
Wie du ja sicher selber weist gibt es derer sehr viele (PPTP, IPsec, L2TP, SSL usw. usw) und jedes mit anderen Mechanismen. Mit den oberflächlichen Informationen von oben kann man die Lösung nur HIER finden face-sad

Die Frage die sich generell stellt: Wenn du mehrere Rechner hinter der FB hast warum lässt du nicht zentral die FritzBox selber einen VPN Tunnel zur Watchguard aufbauen ??
Das funktioniert problemlos wenn man die Anleitung hier beachtet !
Damit ersparst du dir die Frickelei mit zig einzelnen VPN Verbindungen hinter einer NAT Firewall. Vermutlich hat die FB Problem die VPN Passthrough Sessions zu handeln, was mehr oder weniger normal ist bei schwachbrüstigen Consumer DSL Routern. Da du in einem Hotel vermutlich der einzige bis der VPN Passthrough benutzt ist es logisch das es dort mit dem gleichen Rechner funktioniert.
Mit mehreren Rechnern die per VPN Zugreifen müssen solltest du dir mal Gedanken zu einem sinnvolleren VPN Konzept machen !
Mitglied: Hosh-CE
Hosh-CE 13.01.2010 um 20:52:03 Uhr
Goto Top
Vielen Dank face-smile

Tja, ich hatte gehofft das es an einer mehr oder wenigen bekannten Problematik/Unterschied von XP zu Vista liegt.
Denn an dem Client liegt es ja offenbar nicht, zumindest funktioniert der wenn er nicht an einer Fritzbox hängt.

Es handelt sich um zwei HomeOffices, beide mit einer Fritzbox bestückt. In der Firma steht eine WatchGuard Edge.
In dem dem einen HO seht nur ein Notebook.
In dem andern HO steht ein Desktop sowie ein Notebook, nur von dem Notebook soll auf die Firma zugeriffen werden.
Mit beiden Notebooks wird auch von unterwegs mal kurz auf die Firma zugegriffen.
Es wird bei beiden nur wenige Stunden in der Woche gearbeitet.

WatchGuard liefert einen Client namens "Mobile VPN", der seit Jahren einwandfrei und ordentlich arbeitet.
Eine Router zu Router VPN Lösung macht wenig Sinn, da die Notebooks auch über UMTS/GPRS auf die Firma zugreifen können sollen und weil das mit dem Client ja bisher einwandfrei funktionierte.
Ist an dem "VPN-Konzept" etwas verbesserungswürdig?


Zurück zu den wichtigen Fragen, bei denen ich mich schwertue.

Der Client heisst Mobile VPN with IPSec. In der WatchGuard Edge kann man aber auch noch PPTP und SSL-VPN freischalten.
DPD ist absichtlich ausgeschaltet, wurde mal so empfohlen.
Das lässt sich "Traffic idle timeout" und "Max retries" jeweils mit Sekunden einstellen.

In der Fritzbox gibt es kein Protokoll bzw. Fehler.
Auch der VPN-Client hat keinen Abbruch und zeigt weiterhin an, dass er eine Verbindung hat.
Es friert nur nach wenigen Minuten der Citrix Client ein und es passiert nichts mehr.
Ich kann dann mit dem VPN-Client die Verbindung trennen und neu aufbauen, Citrix macht dann einen Auto-Reconnect und es geht wieder weiter.

Gibt es denn einen Port, über den bei IPSEC (UDP500 ist schon freigegeben) ein Keep-Alive Signal geleitet wird?

Das Protokoll:

Jan 13 19:46:53 
	 userd 
	 User Heidi logged out from 192.168.100.200
 
 Jan 13 19:46:52 
	 iked 
	 peer_cookie 6E32B60F24B75853
 
 Jan 13 19:46:52 
	 iked 
	 my_cookie   4A345068D932D22A
 
 Jan 13 19:46:52 
	 iked 
	 Deleting SA: peer        84.130.245.114

 Jan 13 19:45:38 
	 kernel 
	 deny in eth0 128 icmp 20 59 84.130.245.114 217.91.63.172 3 1  (unmatched icmp)

 Jan 13 19:43:27 
	 iked 
	 RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH
 
 Jan 13 19:43:17 
	 iked 
	 RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH
 
 Jan 13 19:43:07 
	 iked 
	 RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH
 
 Jan 13 19:42:57 
	 iked 
	 RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH
 
 Jan 13 19:42:47 
	 iked 
	 RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH

 Jan 13 19:42:37 
	 iked 
	 Tunnel created for 192.168.100.0/24 <-> 192.168.100.200/32

 Jan 13 19:42:37 
	 iked 
	 Load inbound  ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=2DF90408

 Jan 13 19:42:37 
	 iked 
	 Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=AA59D0F0

 Jan 13 19:42:37 
	 iked 
	 FROM  84.130.245.114 QM-HDR*#-1EBB5770 ISA_HASH
 
 Jan 13 19:42:37 
	 iked 
	 TO    84.130.245.114 QM-HDR*#-71C1880A ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
 
 Jan 13 19:42:37 
	 iked 
	 FROM  84.130.245.114 QM-HDR*#-71C1880A ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
 
 Jan 13 19:42:37 
	 iked 
	 TO    84.130.245.114 QM-HDR*#-1EBB5770 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
 
 Jan 13 19:42:37 
	 iked 
	 FROM  84.130.245.114 QM-HDR*#-1EBB5770 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID

 Jan 13 19:42:36 
	 iked 
	 FROM  84.130.245.114 TR-HDR*#-42D1EEEB ISA_HASH ISA_TRANSATTR

 Jan 13 19:42:36 
	 iked 
	 Quick Mode processing failed

 Jan 13 19:42:36 
	 iked 
	 get_ipsec_pref: Unable to find channel info for remote(84.130.245.114)

 Jan 13 19:42:36 
	 iked 
	 ACTION - Verify VPN IPSec Policies for 84.130.245.114
 
 Jan 13 19:42:36 
	 iked 
	 WARNING - No Matching IPSec Policy found for 84.130.245.114
 
 Jan 13 19:42:36 
	 iked 
	 FROM  84.130.245.114 QM-HDR*#-402BC513 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
 
 Jan 13 19:42:36 
	 iked 
	 Ending phase1 as RESPONDER
 
 Jan 13 19:42:36 
	 iked 
	 TO    84.130.245.114 TR-HDR*#-42D1EEEB ISA_HASH ISA_TRANSATTR
 
 Jan 13 19:42:36 
	 iked 
	 Will proxyarp for 192.168.100.200 on eth1
 
 Jan 13 19:42:36 
	 userd 
	 User Heidi authenticated from 192.168.100.200 via Mobile VPN with IPSec
 
 Jan 13 19:42:36 
	 iked 
	 Attempting to update laddr 84.130.245.114 to ruser_ip 217.91.63.172
 
 Jan 13 19:42:36 
	 userd 
	 User Heidi logged out from 192.168.100.200

 Jan 13 19:42:36 
	 iked 
	 peer_cookie 1BFA4F303ED11609
 
 Jan 13 19:42:36 
	 iked 
	 my_cookie   A4FDFF1E5671DA91
 
 Jan 13 19:42:36 
	 iked 
	 Deleting SA: peer        84.130.245.114
 
 Jan 13 19:42:36 
	 iked 
	 Deleting old phase 1 SA for User Heidi
 
 Jan 13 19:42:36 
	 iked 
	 Ignoring INITIAL_CONTACT from remote user 
 
 Jan 13 19:42:36 
	 iked 
	 Received INITIAL_CONTACT message, mess_id=0x00000000

 Jan 13 19:42:36 
	 iked 
	 FROM  84.130.245.114 AG-HDR*# ISA_HASH NAT-D NAT-D ISA_NOTIFY
 
 Jan 13 19:42:36 
	 iked 
	 CRYPTO ACTIVE after delay

 Jan 13 19:42:36 
	 iked 
	 TO    84.130.245.114 AG-HDR   ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_HASH ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID NAT-D NAT-D
 
 Jan 13 19:42:36 
	 iked 
	 Rejecting peer DPD request: not configured
 
 Jan 13 19:42:35 
	 iked 
	 FROM  84.130.245.114 AG-HDR   ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID

 Jan 13 19:42:35 
	 iked 
	 Received a packet for an unknown SA
 
 Jan 13 19:42:35 
	 iked 
	 FROM  84.130.245.114 IF-HDR* -BC7F4264 ISA_HASH
 
 Jan 13 19:42:35 
	 iked 
	 FROM  84.130.245.114 IF-HDR*#-30062737 ISA_HASH ISA_DELETE
 
 Jan 13 19:41:51 
	 iked 
	 RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH
 
 Jan 13 19:41:41 
	 iked 
	 RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH
 
 Jan 13 19:41:30 
	 iked 
	 RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH
 
 Jan 13 19:41:21 
	 httpd 
	 device busy, will retry
 
 Jan 13 19:41:21 
	 iked 
	 RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH

 Jan 13 19:41:16 
	 lsd 
	 lsd_idle: server returned ok

 Jan 13 19:41:13 
	 lsd 
	 wgcmd_handler: writing message back: OK 
 
 Jan 13 19:41:13 
	 lsd 
	 wgcmd_cmd_find: Found handler for module 
 
 Jan 13 19:41:13 
	 lsd 
	 wgcmd_server_cmd_cb: peer=lsd-api access=1 cmd=module count=2 

 Jan 13 19:41:11 
	 iked 
	 RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH
 
 Jan 13 19:41:01 
	 iked 
	 Tunnel created for 192.168.100.0/24 <-> 192.168.100.200/32
 
 Jan 13 19:41:01 
	 iked 
	 Load inbound  ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=0CE00406
 
 Jan 13 19:41:01 
	 iked 
	 Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=BDAAAB22
 
 Jan 13 19:41:01 
	 iked 
	 FROM  84.130.245.114 QM-HDR*#-CD7234F8 ISA_HASH
 
 Jan 13 19:41:01 
	 iked 
	 TO    84.130.245.114 QM-HDR*#-84051A02 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
 
 Jan 13 19:41:01 
	 iked 
	 FROM  84.130.245.114 QM-HDR*#-84051A02 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
 
 Jan 13 19:41:01 
	 iked 
	 TO    84.130.245.114 QM-HDR*#-CD7234F8 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
 
 Jan 13 19:41:01 
	 iked 
	 FROM  84.130.245.114 QM-HDR*#-CD7234F8 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID

 Jan 13 19:41:01 
	 iked 
	 FROM  84.130.245.114 TR-HDR*#-09733546 ISA_HASH ISA_TRANSATTR
 
 Jan 13 19:41:00 
	 iked 
	 Ending phase1 as RESPONDER

 Jan 13 19:41:00 
	 iked 
	 TO    84.130.245.114 TR-HDR*#-09733546 ISA_HASH ISA_TRANSATTR

  Jan 13 19:41:00 
	 iked 
	 Will proxyarp for 192.168.100.200 on eth1

  Jan 13 19:41:00 
	 userd 
	 User Heidi authenticated from 192.168.100.200 via Mobile VPN with IPSec
 

Vielen Dank!
Michael
Mitglied: aqui
aqui 15.01.2010 um 19:37:41 Uhr
Goto Top
Ein SSL VPN funktionier ganz simple über einen HTTPS Tunnel mit einem Browser. PPTP ist das Protokoll was Windows und alle anderen Betreibssysteme so mit an Bord haben...

OK, dein Client nutzt dann IPsec. Nun musst du noch klären ob der Client NAT Traversal supportet. Tut er das nicht musst du zwingend die Ports UDP 500 (IKE) und das ESP Protokoll (Protokoll Nummer 50, Kein UDP oder TCP 50 !) auf die IP Adresse des Clients forwarden in der Port Weiterleitung. Sonst funktioniert es nicht.
Mit NAT Traversal Support ist das nicht nötig.
Eine Kopplung der Fritzboxen direkt auf die Watchguard macht schon Sinn, denn dann kann man problemlos ohne NAT Frickelei auf das Firmennetz zugreifen, da der Router die VPN Verbindung hält.
Es hinter dich ja niemand daran in UMTS oder GSM Netzen dann wieder den Client zu benutzen...

Als Alternative solltest du ggf. einmal den kostenlosen Shrew Client probieren, denn der supportet sicher NAT Traversal und funktioniert problemlos mit der Watchguard:
http://www.shrew.net/download
Mitglied: Hosh-CE
Hosh-CE 17.01.2010 um 13:07:15 Uhr
Goto Top
Danke aqui,

eine direkte Verbindung wollte ich vermeiden, um ggf. vorhandene private Rechner mit Schädlingen fern zu halten.
Die Frage, die sich mir immer noch stellt, ist was an Vista Home Basic anders gehandhabt wird als mit XP-Professional. Denn die VPN Clientsoftware ist 100% identisch (inkl. Versionsnummer).

Ich werde die von Dir vorgeschlagenen Port-/Protokoll Weiterleitungen ausprobieren. Wenn es nicht klappt, werde ich wohl XP aufspielen und hoffen das die nächten Notebooks mit Win7 die Probleme nicht haben bzw. das wir bis dahin neue Router einsetzen.

Ich werde noch berichten wie die Lösung aussah.

Danke
Michael
Mitglied: Hosh-CE
Hosh-CE 14.02.2010 um 20:25:54 Uhr
Goto Top
so, dass Problem ist ohne XP-Installation gelöst face-smile

Warum das auch das so ist:
Nach der Freigabe in der Firebox Firewall von VPN-Any (BOVPN) für ausgehende Verbindungen klappt es auch mit Vista Home Basic und der Fritzbox.
Ohne die Freigabe ist nach ca. 3 Minuten Schluss, egal was auf der Clientseite eingestellt ist. Mit XP klappt es problemlos, mit Vista halt nur so.

So weit ich mich eingelesen habe, wird das Branch Office Virtual Private Network eigentlich nur von Router zu Router genutzt.