Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Watchguard Firebox: VPN Ping nur in eine Richtung möglich

Frage Netzwerke Router & Routing

Mitglied: Bitbauer

Bitbauer (Level 1) - Jetzt verbinden

11.09.2013 um 10:01 Uhr, 3668 Aufrufe, 9 Kommentare

Hallo!

Ich habe eine Watchguard Firebox X750e im Einsatz und einen PPTP-VPN-Zugang konfiguriert (Ich weiß, ist nicht das sicherste, dafür aber einfachste).

Die VPN-Verbindung wird auch aufgebaut. Wenn ich jetzt jedoch von dem VPN-Client eine Verbindung zu einem Server im Watchguard-Netzwerk aufbauen möchte, gelingt das nicht. Auch ein Ping geht nicht durch.

Und jetzt kommt das seltsame: Wenn ich den Ping von einem Server im Watchguard-Netzwerk (172.16.x.x) auf den VPN-Client (172.18.0.x) mache, klappt das sofort. Witzigerweise funktioniert danach dann auf einmal auch der Ping in die andere Richtung.

Woran könnte das liegen?

Gruß

Gerrit
Mitglied: Dobby
11.09.2013 um 12:08 Uhr
Hallo,

(Ich weiß, ist nicht das sicherste, dafür aber einfachste).
Und warum änderst Du das nicht einfach!?

Woran könnte das liegen?
An den Firewall Regeln eventuell?

Gruß
Dobby
Bitte warten ..
Mitglied: Deepsys
11.09.2013 um 13:46 Uhr
Hi,

Zitat von Bitbauer:
Ich habe eine Watchguard Firebox X750e im Einsatz und einen PPTP-VPN-Zugang konfiguriert (Ich weiß, ist nicht das sicherste,
dafür aber einfachste).
Da bin ich anderer Meinung.
Du bekommst von Watchguard den (ShrewSoft) IPSec-Client und den SSL-Client für umme, die Einrichtung sind ein paar Schritte, SSL ist einfacher.
Dann bekommst du für IPSec eine fertige Konfig-Datei und für SSL brauchst du den Namen/IP der Firewall und deine Anmeldedaten, fertig!
Also, lass die Finger von dem unsicheren, geknackten PPTP!

Die VPN-Verbindung wird auch aufgebaut. Wenn ich jetzt jedoch von dem VPN-Client eine Verbindung zu einem Server im
Watchguard-Netzwerk aufbauen möchte, gelingt das nicht. Auch ein Ping geht nicht durch.
Guck dir mal auf System Manager ob das was hängen bleibt ...

Und jetzt kommt das seltsame: Wenn ich den Ping von einem Server im Watchguard-Netzwerk (172.16.x.x) auf den VPN-Client
(172.18.0.x) mache, klappt das sofort. Witzigerweise funktioniert danach dann auf einmal auch der Ping in die andere Richtung.
Das spricht aber eher für eine Firewall/Sicherheitssoftware auf dem Server ....

VG
Deepsys
Bitte warten ..
Mitglied: Bitbauer
11.09.2013 um 15:16 Uhr
Das Phänomenen tritt auch auf, wenn ich einen anderen Server pinge. Ich muss immer erst aus dem Watchguard-Netzwerk den VPN-Client anpingen, bevor ich anders herum pingen kann. Das witzige ist auch, dass es früher mal ohne ging. Ich hatte auch schon das Verhalten, dass die ersten 3 oder 4 Pings durchgehen und dann auf einmal nicht mehr.

Ich werde das ganze jetzt noch mal mit dem Shrewsoft versuchen, meine aber das ich da damals ähnliche Probleme hatte.
Bitte warten ..
Mitglied: Dobby
11.09.2013 um 16:01 Uhr
Ich werde das ganze jetzt noch mal mit dem Shrewsoft versuchen, meine aber das ich da damals ähnliche Probleme hatte.
- Der ShrewSoft umgeht das ganze nicht, sondern ist nur sicherer in der Wahl der VPN Methode.
- Du wirst mit allem immer Probleme bekommen wenn dort die Berechtigungen nicht gesetzt sind
- Wenn es an den Firewallregeln liegt so wie ich das sehe!
- Wenn dahinter VLANs sind und man von der Firewall die IP Adressen per DHCP vergeben bekommt und
zwar von einem VLAN das eben keinen Zugriff auf das VLAN der Server hat!!!!
Dann muss eine Route her bzw. angelegt werden und zwar so dass man auf alles zugreifen kann im LAN oder
eben speziell auf das VLAN mit den Servern!

Normalerweise verhält es sich so, dass man wenn die VPN Verbindung "steht" Zugriff auf das gesamte
LAN hinter dem Router bzw. der Firewall hat, ist dem nicht so sind mit unter bzw. sehr oft die Regeln der
Firewall nicht richtig gesetzt. Kann man auch schnell mit der Suchfunktion des Forums überprüfen.

Gruß
Dobby
Bitte warten ..
Mitglied: Bitbauer
11.09.2013 um 16:45 Uhr
Wie gesagt: Wenn ich einmal aus der einen Richtung pingen konnte, geht ja die andere Richtung. Das kann ja dann eigentlich nicht an den Berechtigungen liegen, oder?

Wenn es an den Berechtigungen liegen würde, dürfte es ja nie gehen.

VLAN Tags setzen wir nicht ein.

Ich tippe eigentlich eher auf ein Firmware/OS-Problem auf der Watchguard.
Bitte warten ..
Mitglied: Dobby
11.09.2013 um 16:49 Uhr
Wie gesagt: Wenn ich einmal aus der einen Richtung pingen konnte, geht ja die andere Richtung. Das kann ja dann eigentlich nicht an den Berechtigungen liegen, oder?
Ich denke wir reden an einander vorbei, ich meine die Firewallregeln direkt auf der Watchguard Firewall und nicht
die des Servers!
Klar muss der Benutzer angelegt sein und auch über Rechte verfügen die es Ihm erlauben als entfernter Benutzer
auf den oder die Server zuzugreifen".

Ich denke auf der Watchguard sind ein paar oder nur eine bzw. nur zum teil die Firewallreglen falsch gesetzt und
zwar für das VPN!

Gruß
Dobby
Bitte warten ..
Mitglied: Bitbauer
11.09.2013 um 17:02 Uhr
Also ich habe mittlerweile die Firewall-Richtlinie neu angelegt und habe immer noch dasselbe Problem. Ich werde die Firebox nachher mal neu starten. Und warum sollte es eine Regel geben "erst wenn von intern nach VPN ein Zugriff stattfindet, darf auch von VPN nach intern zugegriffen werden, egal wohin". Das macht ja irgendwie keinen Sinn.

Ich werde noch mal ein bisschen rumprobieren...
Bitte warten ..
Mitglied: Bitbauer
17.09.2013, aktualisiert um 11:22 Uhr
Also leider immer noch keine Lösung in Sicht. Mittlerweile habe ich zusätzlich das Problem, dass immer nur ein VPN-Benutzer zur Zeit auf die Server zugreifen kann.

Im Traffic Monitor des System Managers stehen mehrere Einträge wie z.B.

2013-09-17 12:11:16 Deny 172.18.0.2 255.255.255.255 netbios-ns/udp 137 137 pptp0 Firebox Denied 78 128 (Unhandled External Packet-00) proc_id="firewall" rc="101" src_user="VPNUser@Firebox-DB" Traffic
2013-09-17 12:11:31 Deny 172.18.0.2 255.255.255.255 8612/udp 58041 8612 pptp0 Firebox Denied 44 128 (Unhandled External Packet-00) proc_id="firewall" rc="101" src_user="VPNUser@Firebox-DB" Traffic
2013-09-17 12:09:34 Deny 172.16.3.5 172.18.0.2 49933/tcp 25524 49933 2-172 network Firebox tcp syn checking failed 41 128 (Internal Policy) proc_id="firewall" rc="101" tcp_info="offset 5 A 3601266733 win 65281" dst_user="VPNUser@Firebox-DB" Traffic
Bitte warten ..
Mitglied: Bitbauer
17.09.2013 um 11:38 Uhr
In der Watchguard gibt es genau 2 Firewall-Regeln, die von der Firewall beim Aktivieren der Option "Activate Mobile VPN with PPTP" hinzugefügt werden.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerke
Verbindung mit VPN-Verbindung nicht möglich (2)

Frage von Don-Santo zum Thema Netzwerke ...

Windows Netzwerk
gelöst Netzwerkkonzept mit neuer Firewall Watchguard Firebox M200 (11)

Frage von mario87 zum Thema Windows Netzwerk ...

Windows Netzwerk
Kein RDP über VPN per MS-TSC möglich (8)

Frage von survial555 zum Thema Windows Netzwerk ...

Netzwerkgrundlagen
gelöst Ping im gleichen Rechnernetz ohne Gateway möglich? (8)

Frage von CHRISTI4N zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...