Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN über Fritzbox an Watchguard - Vista abbrüche, XP und andere Router laufen problemlos

Frage Netzwerke

Mitglied: Hosh-CE

Hosh-CE (Level 1) - Jetzt verbinden

11.01.2010 um 21:59 Uhr, 11273 Aufrufe, 6 Kommentare

Hallo Forum,
bisher konnte ich immer eine Lösung zu meinen IT-Probleme über das Forum oder Google finden, doch diesmal finde ich einfach nichts.
Ich hoffe Ihr könnt mir helfen

Ausgangsituation:
VPN-Verbindung über div. Rechner im HomeOffice mit "WatchGuard Mobile VPN" Software auf eine WatchGuard Edge.

Das Problem:
Wenn die VPN Verbindung über eine Fritzbox läuft, funktioniert es über einen XP-Rechner einwandfrei.
Das Notebook mit Vista Home "Light" kann auch eine Verbindung aufbauen, nur bricht diese nach ca. 3 Minuten ab, auch bei permanten Datenfluss.

Das Unglaubliche:
Das Notebook mit Vista Home läuft über andere Router (in div. Hotels, keine Ahnung welche Router das sind) einwandfrei und es gibt keine Verbindungsabbrüche!

Irgendwie scheint die FritzBox ein Keep-Alive nicht durchzulassen, das nur Vista benötigt und nicht XP. Kann es so etwas geben?

Bisherige Lösungsansätze:
Ich habe als Lösungsansatz etwas mit UDP 500 Port-Freigabe gefunden, nur brachte das leider keinen Erfolg (Vielleicht habe ich auch einen Fehler gemacht)-
Hat noch jemand eine Idee was an Vista und XP in Verbindung mit VPN über eine Firtzbox unterschiedlich sein könnte?

Danke!
Michael
Mitglied: bytecounter
12.01.2010 um 08:44 Uhr
Hallo,

WatchGuard Mobile VPN schreibt doch sicher ein Log? Was steht dort drin?

vg
Bytecounter
Bitte warten ..
Mitglied: aqui
12.01.2010 um 09:22 Uhr
Um dir detailiert helfen zu können müsstest du uns ja mindestens einmal mitteilen welches VPN Protokoll denn deine "WatchGuard Mobile VPN" Software benutzt.
Wie du ja sicher selber weist gibt es derer sehr viele (PPTP, IPsec, L2TP, SSL usw. usw) und jedes mit anderen Mechanismen. Mit den oberflächlichen Informationen von oben kann man die Lösung nur HIER finden

Die Frage die sich generell stellt: Wenn du mehrere Rechner hinter der FB hast warum lässt du nicht zentral die FritzBox selber einen VPN Tunnel zur Watchguard aufbauen ??
Das funktioniert problemlos wenn man die Anleitung hier beachtet !
Damit ersparst du dir die Frickelei mit zig einzelnen VPN Verbindungen hinter einer NAT Firewall. Vermutlich hat die FB Problem die VPN Passthrough Sessions zu handeln, was mehr oder weniger normal ist bei schwachbrüstigen Consumer DSL Routern. Da du in einem Hotel vermutlich der einzige bis der VPN Passthrough benutzt ist es logisch das es dort mit dem gleichen Rechner funktioniert.
Mit mehreren Rechnern die per VPN Zugreifen müssen solltest du dir mal Gedanken zu einem sinnvolleren VPN Konzept machen !
Bitte warten ..
Mitglied: Hosh-CE
13.01.2010 um 20:52 Uhr
Vielen Dank

Tja, ich hatte gehofft das es an einer mehr oder wenigen bekannten Problematik/Unterschied von XP zu Vista liegt.
Denn an dem Client liegt es ja offenbar nicht, zumindest funktioniert der wenn er nicht an einer Fritzbox hängt.

Es handelt sich um zwei HomeOffices, beide mit einer Fritzbox bestückt. In der Firma steht eine WatchGuard Edge.
In dem dem einen HO seht nur ein Notebook.
In dem andern HO steht ein Desktop sowie ein Notebook, nur von dem Notebook soll auf die Firma zugeriffen werden.
Mit beiden Notebooks wird auch von unterwegs mal kurz auf die Firma zugegriffen.
Es wird bei beiden nur wenige Stunden in der Woche gearbeitet.

WatchGuard liefert einen Client namens "Mobile VPN", der seit Jahren einwandfrei und ordentlich arbeitet.
Eine Router zu Router VPN Lösung macht wenig Sinn, da die Notebooks auch über UMTS/GPRS auf die Firma zugreifen können sollen und weil das mit dem Client ja bisher einwandfrei funktionierte.
Ist an dem "VPN-Konzept" etwas verbesserungswürdig?


Zurück zu den wichtigen Fragen, bei denen ich mich schwertue.

Der Client heisst Mobile VPN with IPSec. In der WatchGuard Edge kann man aber auch noch PPTP und SSL-VPN freischalten.
DPD ist absichtlich ausgeschaltet, wurde mal so empfohlen.
Das lässt sich "Traffic idle timeout" und "Max retries" jeweils mit Sekunden einstellen.

In der Fritzbox gibt es kein Protokoll bzw. Fehler.
Auch der VPN-Client hat keinen Abbruch und zeigt weiterhin an, dass er eine Verbindung hat.
Es friert nur nach wenigen Minuten der Citrix Client ein und es passiert nichts mehr.
Ich kann dann mit dem VPN-Client die Verbindung trennen und neu aufbauen, Citrix macht dann einen Auto-Reconnect und es geht wieder weiter.

Gibt es denn einen Port, über den bei IPSEC (UDP500 ist schon freigegeben) ein Keep-Alive Signal geleitet wird?

Das Protokoll:

01.
Jan 13 19:46:53  
02.
	 userd  
03.
	 User Heidi logged out from 192.168.100.200 
04.
  
05.
 Jan 13 19:46:52  
06.
	 iked  
07.
	 peer_cookie 6E32B60F24B75853 
08.
  
09.
 Jan 13 19:46:52  
10.
	 iked  
11.
	 my_cookie   4A345068D932D22A 
12.
  
13.
 Jan 13 19:46:52  
14.
	 iked  
15.
	 Deleting SA: peer        84.130.245.114 
16.
 
17.
 Jan 13 19:45:38  
18.
	 kernel  
19.
	 deny in eth0 128 icmp 20 59 84.130.245.114 217.91.63.172 3 1  (unmatched icmp) 
20.
 
21.
 Jan 13 19:43:27  
22.
	 iked  
23.
	 RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH 
24.
  
25.
 Jan 13 19:43:17  
26.
	 iked  
27.
	 RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH 
28.
  
29.
 Jan 13 19:43:07  
30.
	 iked  
31.
	 RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH 
32.
  
33.
 Jan 13 19:42:57  
34.
	 iked  
35.
	 RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH 
36.
  
37.
 Jan 13 19:42:47  
38.
	 iked  
39.
	 RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH 
40.
 
41.
 Jan 13 19:42:37  
42.
	 iked  
43.
	 Tunnel created for 192.168.100.0/24 <-> 192.168.100.200/32 
44.
 
45.
 Jan 13 19:42:37  
46.
	 iked  
47.
	 Load inbound  ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=2DF90408 
48.
 
49.
 Jan 13 19:42:37  
50.
	 iked  
51.
	 Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=AA59D0F0 
52.
 
53.
 Jan 13 19:42:37  
54.
	 iked  
55.
	 FROM  84.130.245.114 QM-HDR*#-1EBB5770 ISA_HASH 
56.
  
57.
 Jan 13 19:42:37  
58.
	 iked  
59.
	 TO    84.130.245.114 QM-HDR*#-71C1880A ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 
60.
  
61.
 Jan 13 19:42:37  
62.
	 iked  
63.
	 FROM  84.130.245.114 QM-HDR*#-71C1880A ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 
64.
  
65.
 Jan 13 19:42:37  
66.
	 iked  
67.
	 TO    84.130.245.114 QM-HDR*#-1EBB5770 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 
68.
  
69.
 Jan 13 19:42:37  
70.
	 iked  
71.
	 FROM  84.130.245.114 QM-HDR*#-1EBB5770 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 
72.
 
73.
 Jan 13 19:42:36  
74.
	 iked  
75.
	 FROM  84.130.245.114 TR-HDR*#-42D1EEEB ISA_HASH ISA_TRANSATTR 
76.
 
77.
 Jan 13 19:42:36  
78.
	 iked  
79.
	 Quick Mode processing failed 
80.
 
81.
 Jan 13 19:42:36  
82.
	 iked  
83.
	 get_ipsec_pref: Unable to find channel info for remote(84.130.245.114) 
84.
 
85.
 Jan 13 19:42:36  
86.
	 iked  
87.
	 ACTION - Verify VPN IPSec Policies for 84.130.245.114 
88.
  
89.
 Jan 13 19:42:36  
90.
	 iked  
91.
	 WARNING - No Matching IPSec Policy found for 84.130.245.114 
92.
  
93.
 Jan 13 19:42:36  
94.
	 iked  
95.
	 FROM  84.130.245.114 QM-HDR*#-402BC513 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 
96.
  
97.
 Jan 13 19:42:36  
98.
	 iked  
99.
	 Ending phase1 as RESPONDER 
100.
  
101.
 Jan 13 19:42:36  
102.
	 iked  
103.
	 TO    84.130.245.114 TR-HDR*#-42D1EEEB ISA_HASH ISA_TRANSATTR 
104.
  
105.
 Jan 13 19:42:36  
106.
	 iked  
107.
	 Will proxyarp for 192.168.100.200 on eth1 
108.
  
109.
 Jan 13 19:42:36  
110.
	 userd  
111.
	 User Heidi authenticated from 192.168.100.200 via Mobile VPN with IPSec 
112.
  
113.
 Jan 13 19:42:36  
114.
	 iked  
115.
	 Attempting to update laddr 84.130.245.114 to ruser_ip 217.91.63.172 
116.
  
117.
 Jan 13 19:42:36  
118.
	 userd  
119.
	 User Heidi logged out from 192.168.100.200 
120.
 
121.
 Jan 13 19:42:36  
122.
	 iked  
123.
	 peer_cookie 1BFA4F303ED11609 
124.
  
125.
 Jan 13 19:42:36  
126.
	 iked  
127.
	 my_cookie   A4FDFF1E5671DA91 
128.
  
129.
 Jan 13 19:42:36  
130.
	 iked  
131.
	 Deleting SA: peer        84.130.245.114 
132.
  
133.
 Jan 13 19:42:36  
134.
	 iked  
135.
	 Deleting old phase 1 SA for User Heidi 
136.
  
137.
 Jan 13 19:42:36  
138.
	 iked  
139.
	 Ignoring INITIAL_CONTACT from remote user  
140.
  
141.
 Jan 13 19:42:36  
142.
	 iked  
143.
	 Received INITIAL_CONTACT message, mess_id=0x00000000 
144.
 
145.
 Jan 13 19:42:36  
146.
	 iked  
147.
	 FROM  84.130.245.114 AG-HDR*# ISA_HASH NAT-D NAT-D ISA_NOTIFY 
148.
  
149.
 Jan 13 19:42:36  
150.
	 iked  
151.
	 CRYPTO ACTIVE after delay 
152.
 
153.
 Jan 13 19:42:36  
154.
	 iked  
155.
	 TO    84.130.245.114 AG-HDR   ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_HASH ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID NAT-D NAT-D 
156.
  
157.
 Jan 13 19:42:36  
158.
	 iked  
159.
	 Rejecting peer DPD request: not configured 
160.
  
161.
 Jan 13 19:42:35  
162.
	 iked  
163.
	 FROM  84.130.245.114 AG-HDR   ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID 
164.
 
165.
 Jan 13 19:42:35  
166.
	 iked  
167.
	 Received a packet for an unknown SA 
168.
  
169.
 Jan 13 19:42:35  
170.
	 iked  
171.
	 FROM  84.130.245.114 IF-HDR* -BC7F4264 ISA_HASH 
172.
  
173.
 Jan 13 19:42:35  
174.
	 iked  
175.
	 FROM  84.130.245.114 IF-HDR*#-30062737 ISA_HASH ISA_DELETE 
176.
  
177.
 Jan 13 19:41:51  
178.
	 iked  
179.
	 RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH 
180.
  
181.
 Jan 13 19:41:41  
182.
	 iked  
183.
	 RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH 
184.
  
185.
 Jan 13 19:41:30  
186.
	 iked  
187.
	 RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH 
188.
  
189.
 Jan 13 19:41:21  
190.
	 httpd  
191.
	 device busy, will retry 
192.
  
193.
 Jan 13 19:41:21  
194.
	 iked  
195.
	 RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH 
196.
 
197.
 Jan 13 19:41:16  
198.
	 lsd  
199.
	 lsd_idle: server returned ok 
200.
 
201.
 Jan 13 19:41:13  
202.
	 lsd  
203.
	 wgcmd_handler: writing message back: OK  
204.
  
205.
 Jan 13 19:41:13  
206.
	 lsd  
207.
	 wgcmd_cmd_find: Found handler for module  
208.
  
209.
 Jan 13 19:41:13  
210.
	 lsd  
211.
	 wgcmd_server_cmd_cb: peer=lsd-api access=1 cmd=module count=2  
212.
 
213.
 Jan 13 19:41:11  
214.
	 iked  
215.
	 RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH 
216.
  
217.
 Jan 13 19:41:01  
218.
	 iked  
219.
	 Tunnel created for 192.168.100.0/24 <-> 192.168.100.200/32 
220.
  
221.
 Jan 13 19:41:01  
222.
	 iked  
223.
	 Load inbound  ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=0CE00406 
224.
  
225.
 Jan 13 19:41:01  
226.
	 iked  
227.
	 Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=BDAAAB22 
228.
  
229.
 Jan 13 19:41:01  
230.
	 iked  
231.
	 FROM  84.130.245.114 QM-HDR*#-CD7234F8 ISA_HASH 
232.
  
233.
 Jan 13 19:41:01  
234.
	 iked  
235.
	 TO    84.130.245.114 QM-HDR*#-84051A02 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 
236.
  
237.
 Jan 13 19:41:01  
238.
	 iked  
239.
	 FROM  84.130.245.114 QM-HDR*#-84051A02 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 
240.
  
241.
 Jan 13 19:41:01  
242.
	 iked  
243.
	 TO    84.130.245.114 QM-HDR*#-CD7234F8 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 
244.
  
245.
 Jan 13 19:41:01  
246.
	 iked  
247.
	 FROM  84.130.245.114 QM-HDR*#-CD7234F8 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 
248.
 
249.
 Jan 13 19:41:01  
250.
	 iked  
251.
	 FROM  84.130.245.114 TR-HDR*#-09733546 ISA_HASH ISA_TRANSATTR 
252.
  
253.
 Jan 13 19:41:00  
254.
	 iked  
255.
	 Ending phase1 as RESPONDER 
256.
 
257.
 Jan 13 19:41:00  
258.
	 iked  
259.
	 TO    84.130.245.114 TR-HDR*#-09733546 ISA_HASH ISA_TRANSATTR 
260.
 
261.
  Jan 13 19:41:00  
262.
	 iked  
263.
	 Will proxyarp for 192.168.100.200 on eth1 
264.
 
265.
  Jan 13 19:41:00  
266.
	 userd  
267.
	 User Heidi authenticated from 192.168.100.200 via Mobile VPN with IPSec 
268.
 
Vielen Dank!
Michael
Bitte warten ..
Mitglied: aqui
15.01.2010 um 19:37 Uhr
Ein SSL VPN funktionier ganz simple über einen HTTPS Tunnel mit einem Browser. PPTP ist das Protokoll was Windows und alle anderen Betreibssysteme so mit an Bord haben...

OK, dein Client nutzt dann IPsec. Nun musst du noch klären ob der Client NAT Traversal supportet. Tut er das nicht musst du zwingend die Ports UDP 500 (IKE) und das ESP Protokoll (Protokoll Nummer 50, Kein UDP oder TCP 50 !) auf die IP Adresse des Clients forwarden in der Port Weiterleitung. Sonst funktioniert es nicht.
Mit NAT Traversal Support ist das nicht nötig.
Eine Kopplung der Fritzboxen direkt auf die Watchguard macht schon Sinn, denn dann kann man problemlos ohne NAT Frickelei auf das Firmennetz zugreifen, da der Router die VPN Verbindung hält.
Es hinter dich ja niemand daran in UMTS oder GSM Netzen dann wieder den Client zu benutzen...

Als Alternative solltest du ggf. einmal den kostenlosen Shrew Client probieren, denn der supportet sicher NAT Traversal und funktioniert problemlos mit der Watchguard:
http://www.shrew.net/download
Bitte warten ..
Mitglied: Hosh-CE
17.01.2010 um 13:07 Uhr
Danke aqui,

eine direkte Verbindung wollte ich vermeiden, um ggf. vorhandene private Rechner mit Schädlingen fern zu halten.
Die Frage, die sich mir immer noch stellt, ist was an Vista Home Basic anders gehandhabt wird als mit XP-Professional. Denn die VPN Clientsoftware ist 100% identisch (inkl. Versionsnummer).

Ich werde die von Dir vorgeschlagenen Port-/Protokoll Weiterleitungen ausprobieren. Wenn es nicht klappt, werde ich wohl XP aufspielen und hoffen das die nächten Notebooks mit Win7 die Probleme nicht haben bzw. das wir bis dahin neue Router einsetzen.

Ich werde noch berichten wie die Lösung aussah.

Danke
Michael
Bitte warten ..
Mitglied: Hosh-CE
14.02.2010 um 20:25 Uhr
so, dass Problem ist ohne XP-Installation gelöst

Warum das auch das so ist:
Nach der Freigabe in der Firebox Firewall von VPN-Any (BOVPN) für ausgehende Verbindungen klappt es auch mit Vista Home Basic und der Fritzbox.
Ohne die Freigabe ist nach ca. 3 Minuten Schluss, egal was auf der Clientseite eingestellt ist. Mit XP klappt es problemlos, mit Vista halt nur so.

So weit ich mich eingelesen habe, wird das Branch Office Virtual Private Network eigentlich nur von Router zu Router genutzt.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...