Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zyxel ZyWall USG 100 nach Firmware Update keine VPN Authentifizierung über AD mehr möglich

Frage Netzwerke Router & Routing

Mitglied: Gilneas

Gilneas (Level 1) - Jetzt verbinden

10.02.2010 um 08:47 Uhr, 11082 Aufrufe, 11 Kommentare

Folgendes Szenario:
Eine Zyxel ZyWall USG 100 ist das VPN Gateway für einige Außendienstler. Diese wählen sich per Windows VPN-Assi ein und authentifizieren sich mit ihrem Domainaccount, um ins Netz zu kommen. Installierte Firmware war 2.10(AQQ.3).

Ohne den Zeitpunkt genau nennen zu können hatten zwei User plötzlich das Problem, dass sie von der Zywall beim VPN Login abgewiesen wurden. Ich habe die Domainuser am PDC kopiert und siehe da, mit diesem kopierten Account konnten sich die User unter sonst gleichen Umständen wieder einloggen. Auf Anfrage beim Zyxel Support erhielt ich die Antwort, dass wir bitte auf eine aktuelle Firmware upgraden sollen, da die 10er nicht mehr unterstützt wird.

Gesagt getan, ich habe zunächst auf v2.11(AQQ.0) gehen müssen, der Support empfahl über diese Version zu gehen. Direkt danach konnte sich kein einziger User mehr einwählen. Wieder kam der Fehler "Incorrect password or inexistent user", diesmal jedoch ausnahmslos für alle AD-User. Reboot der Zywall und neues Einlesen der gesicherten Konfiguration brachte keinen Erfolg. Also erneut beim Support angefragt. Daraufhin erhielt ich wieder den Hinweis, dass ich bitte upgraden möge, die 11er - Version mache Probleme in Verbindung mit dem AD.

Also schnell auf die diesmal aktuellste Version 2.12(AQQ.2) upgegraded. Leider hat das zu keiner Besserung geführt. Auch bei 2.12 haben wir bereits die Zywall gebootet, die Konfiguration überprüft und können uns ohne Probleme mit an der ZyWall lokal eingerichteten Usern per VPN einwählen.



Seit 2 Tagen warte ich nun darauf, dass sich der Zyxel Support zurückmeldet. Hat jemand eine Idee, oder ähnliches schon einmal erlebt, was mir weiterhelfen könnte?
Mitglied: GuentherH
10.02.2010 um 08:55 Uhr
Hallo.

Wie tief ist die OU verschachtelt, in der im AD die VPN User liegen?

Ich habe die Erfahrung gemacht, das bei zu tief verschachtelten OUs die Authentifizierung über das AD nicht klappt.

LG Günther
Bitte warten ..
Mitglied: Gilneas
10.02.2010 um 09:09 Uhr
Danke für den Hinweis...

Ist diese Struktur zu verschachtelt?

domain.local\business\users\group
Bitte warten ..
Mitglied: Gilneas
10.02.2010 um 11:11 Uhr
Ich habe es gerade mal mit sehr simplen Strukturen versucht. Leider ohne Erfolg.
Bitte warten ..
Mitglied: Gilneas
12.02.2010 um 13:14 Uhr
So, nun endlich eine Antwort vom Zyxel Support. Ich soll das Ding komplett zurücksetzen und die Config neu einspielen. Dann soll es wieder gehen...

Naja, das werd ich wohl oder übel noch testen müssen.
Bitte warten ..
Mitglied: sk
14.02.2010 um 09:59 Uhr
Hallo,

bevor Du lange rumexperimentierst, stelle besser gleich auf Radius-Authentifizierung gegen IAS um. Das hat m.E. nur Vorteile.

Gruß
Steffen
Bitte warten ..
Mitglied: Gilneas
15.02.2010 um 08:06 Uhr
Danke, erst versuch ich noch den Hint mit dem Reset, sollte das nicht funktionieren, dann scheint mir das tatsächlich eine gute Idee zu sein.
Bitte warten ..
Mitglied: Gilneas
22.02.2010 um 15:14 Uhr
So, inzwischen hat der ZyxelSupport seinen Rat widerrufen. Das zurücksetzen soll ich lassen.
Dafür kümmert sich nun ein Kollege doch sehr intensiv darum das ganze zu testen etc.

Als Tipp nehme ich mit (Aussagen des Supports):

Auch wenn es die ZyWall zulässt:
- keine Binde- oder Unterstriche in Passwörtern verwenden (wurde geändert, hat aber auch nichts geholfen)
- die Verbdinung zum AD muss über den Account des Domain Admins erfolgen (war bereits so)
Bitte warten ..
Mitglied: Gilneas
25.02.2010 um 15:02 Uhr
Kurzer Zwischenstand und sehr lustig:

Nachdem ich heute Nacht mehrere fehlgeschlagene Versuche eines Logins über den urspünglich für den Support angelegten Account (ich hatte ihn nach der Session natürlich wieder deaktiviert) im Log gesehen habe, habe ich beim Zyxel Support nachgefragt.
Es handelt sich um einen Entwickler aus Übersee, der das ganze Troubleshooten wollte.

Scheinbar haben wir da eine kleine Ungereimtheit in der Firmware entdeckt.
Bitte warten ..
Mitglied: Gilneas
17.03.2010 um 09:07 Uhr
Neuer Stand:
Die ZyWall verkraftet keinerlei Sonderzeichen. Versucht man sich mit einem Account, der Sonderzeichen wie z.B. % im Passwort enthält, dann blockt die ZyWall diesen User. Hübscher Nebeneffekt bei der Geschichte:
Es werden daraufhin ALLE user von dieser Workstation geblockt. Nach ca. einer halben Stunde ist diese Sperre passé.

Was unser Problem inzwischen behoben hat:
Der Account zur LDAP Anfrage hatte ein %-Zeichen im Passwort. Ich habe den Account kopiert und ihm ein Passwort ohne Sonderzeichen gegeben. Danach war das einwählen per VPN wieder möglich, wie früher.
Bitte warten ..
Mitglied: GuentherH
17.03.2010 um 19:53 Uhr
Hallo.

Danke für die Rückmeldung.

LG Günther
Bitte warten ..
Mitglied: Gilneas
17.03.2010 um 21:08 Uhr
Gerne, hab lange genug damit rumgetan. Leider war der Support keine große Hilfe.

Btw. die 30 min. sind Einstellungssache, das kann man in den Untiefen der ZyWall regeln, wie lange ein User bei wievielen Fehlversuchen ausgesperrt werden soll. In dem Fall mit dem Sonderzeichen greift allerdings nur die Zeit und das sofort .

Erlaubte /funktionierende Sonderzeichen gibt es auch:

!
.
-
_

Die letzten beiden wurden eigentlich vom Support als "geht nicht" eingestuft. In unserem Preshared Key und auch in den PWs der User sind sie kein Thema. Und das Problem ist reproduzierbar.
Der Zyxel Support hat mich übrigens hängen lassen.

Bei mir kommt im Log keine Meldung, dass eine Verbindung zum AD zu stande kommt. Auch jetzt nicht, wo das wieder funkioniert, wenn ich die AD Verbindung reinitialisiere. Der Support wollte mir nicht weiterhelfen, bis ich nicht diese Meldung sehe und empfahl mir mit Wireshark die Verbindung zum AD zu troubleshooten.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Firewall
gelöst ZyWALL USG 20 mit FritzBOX WLAN 7360 via IPSecVPN verbinden (4)

Frage von iceget zum Thema Firewall ...

LAN, WAN, Wireless
ZyXEL ZyWALL USG20 - DDNS (1)

Frage von devanager zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...