Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Watchguard Firebox x edge MUVPN

Frage Sicherheit Firewall

Mitglied: Masine

Masine (Level 1) - Jetzt verbinden

13.07.2007, aktualisiert 19.07.2007, 4559 Aufrufe, 7 Kommentare

Hi

muss mehrere Außendienstmenschen per vpn mit dem Firmennetz verbinden

nur klapt das mit dem MUVPN nicht ganz so wie es sol nähmlich gar nicht (is meine erste Box)

zum Testen hab ich ne Telekom DSL per FritzBox (die als Modem fungiert) das alles per Statischer IP (I-Net)

per Log View

7-13: 13:56:29.059 My Connectionsxxx.x.xxx.xxx-192.168.111.0 - Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.xxx)
7-13: 13:56:29.439 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
7-13: 13:56:44.461 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - message not received! Retransmitting!
7-13: 13:56:44.461 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (Retransmission)
7-13: 13:56:59.473 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - message not received! Retransmitting!
7-13: 13:56:59.473 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (Retransmission)
7-13: 13:57:14.484 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - message not received! Retransmitting!
7-13: 13:57:14.484 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK AG (Retransmission)
7-13: 13:57:29.576 My Connectionsxxx.xxx.xxx.xxx-192.168.111.0 - Exceeded 3 IKE SA negotiation attempts


wieso will die box nicht antworten? IPSEC is offen



Danke
Mitglied: Alfredus
13.07.2007 um 14:27 Uhr
Ist IPSec(IKE, ESP, AH) wirklich offen?

Er scheint ja über Phase 1 des IKEs nicht hinauszukommen. Können die beteiligten Netwerkkomponenten IPSec-Passthrough? Ansonsten sieht es mau aus, wenn ein billiges Gerät die IPSec-Pakete verwurschtelt.

Gruß
Alfredus
Bitte warten ..
Mitglied: Masine
13.07.2007 um 14:54 Uhr
hi

also aufgebaut ist das ganze momentan so

XP Rechner per Fritz Box am DSL Client

DSL Fritz Box und da ist Watchguard dran.


nur an der Watchguard ist nen Bussines DSL mit ner Festen IP kanns am ISP liegen?

der XP Rechner hat jeden Tag ne neue IP

hier mal nen auszug aus der Watchguard

Logging:

Jul 13 14:52:29 kernel allow in eth0 368 udp 20 122 84.181.54.43 192.168.111.1 62568 500 (IPSec)


Ps.
IPSEC UDP500 4500 TCP 50
oder war da noch mehr?
Bitte warten ..
Mitglied: Masine
17.07.2007 um 13:14 Uhr
so nun gehts wenigstens schon mal etwas weiter nun is iom log folgendes zu sehen

7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - Initiating IKE Phase 2 with Client IDs (message id: 2D7A856E)
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - Initiator = IP ADDR=192.168.12.232, prot = 0 port = 0
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - Responder = IP SUBNET/MASK=192.168.111.0/255.255.255.0, prot = 0 port = 0
7-17: 11:50:09.227 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
7-17: 11:50:19.041 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - RECEIVED<<< ISAKMP OAK AG (Retransmission)
7-17: 11:50:24.249 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - QM re-keying timed out. Retry count: 1
7-17: 11:50:24.249 My Connections\xxx.xxx.xxx.xxx-192.168.111.0 - SENDING>>>> ISAKMP OAK QM *(Retransmission)


er kommt nicht über QM re-keying raus!?

wo liegt da der fehler??
Bitte warten ..
Mitglied: Alfredus
17.07.2007 um 14:37 Uhr
Ähnliches Problem

Ich bin jetzt nicht so der IPSec-Experte, aber bei:

QM re-keying timed out. Retry count: 1

lehnt einer der Kommunikationspartner eine Verbindung durch den Tunnel ab. QM re-keying wird nach einem Fehlschlag noch 2mal wiederholt und dann halt abgebrochen.

Paketfilter checken. IPSec geht aber schonmal, was ja auch was ist...

Gruß
Andre
Bitte warten ..
Mitglied: Masine
18.07.2007 um 15:18 Uhr
*freu*

geht doch wunderbarstens

so nun bin ich schon mal schlauer wie das teil geht


nur eine sache habe ich da noch

wie bzw geht das überhaupt das die remote IP per dyndns gezogen wird?

die box hat ja ihre feste nur die außendienst leutchen haben ja immer ne andere!

hm.......

also da einfach xxx.dyndns reinschreiben mag die box nicht will unbedingt ne IP geht das auch anderwaltig?

aber erst mal DANKE für die Info´s die haben mich dann doch noch über umwege zum ziel gebracht!!
Bitte warten ..
Mitglied: Alfredus
19.07.2007 um 09:21 Uhr
wie bzw geht das überhaupt das die remote IP per dyndns gezogen wird?

Frag halt per DNS nach der IP. Unter Windows und Unixoide geht das per nslookup.
also da einfach xxx.dyndns reinschreiben mag die box nicht will unbedingt ne IP geht das auch anderwaltig?

Geht eventuell. Wenn deine Box z.B. Telnet oder SSH kann, könntest du die IPs in die Box per Shell reinpipen. Ich würde es aber nicht machen, DynDNS ist da wesentlich sorgenfreier.

BTW: Lag es denn zum Schluß an den Firewall-Einstellungen?

Gruß
Andre
Bitte warten ..
Mitglied: Masine
19.07.2007 um 13:18 Uhr
hi


jo lokale firewall hat sich immer zugeschlaten das war eines der probleme und ne ip vertauscht naja usw.

na wenigstens kenn ich mich jetzt etwas besser mit dem teil aus


nun hab ich nur nochn anderes prob

sobald vpn als manueller gateway konfiguriert ist kann die kiste hinter der box nich mehr ins web

hm.....

hab muss ich wohl noch mal nach dem local und remote tunnel schauen das ganze wohl eingrenzen denke mal
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
gelöst Netzwerkkonzept mit neuer Firewall Watchguard Firebox M200 (11)

Frage von mario87 zum Thema Windows Netzwerk ...

LAN, WAN, Wireless
gelöst Telekom Digitalisierungsbox mit WatchGuard Firewall (12)

Frage von demetz zum Thema LAN, WAN, Wireless ...

Exchange Server
gelöst Lizenzierung Exchange Mailbox Server und Exchange Edge Server (2)

Frage von DarkLevi zum Thema Exchange Server ...

Exchange Server
Exchange Edge 2013 Spam Schleuder (6)

Frage von gt1988tg zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...