Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zyxel ZyWall USG 100 nach Firmware Update keine VPN Authentifizierung über AD mehr möglich

Frage Netzwerke Router & Routing

Mitglied: Gilneas

Gilneas (Level 1) - Jetzt verbinden

10.02.2010 um 08:47 Uhr, 11189 Aufrufe, 11 Kommentare

Folgendes Szenario:
Eine Zyxel ZyWall USG 100 ist das VPN Gateway für einige Außendienstler. Diese wählen sich per Windows VPN-Assi ein und authentifizieren sich mit ihrem Domainaccount, um ins Netz zu kommen. Installierte Firmware war 2.10(AQQ.3).

Ohne den Zeitpunkt genau nennen zu können hatten zwei User plötzlich das Problem, dass sie von der Zywall beim VPN Login abgewiesen wurden. Ich habe die Domainuser am PDC kopiert und siehe da, mit diesem kopierten Account konnten sich die User unter sonst gleichen Umständen wieder einloggen. Auf Anfrage beim Zyxel Support erhielt ich die Antwort, dass wir bitte auf eine aktuelle Firmware upgraden sollen, da die 10er nicht mehr unterstützt wird.

Gesagt getan, ich habe zunächst auf v2.11(AQQ.0) gehen müssen, der Support empfahl über diese Version zu gehen. Direkt danach konnte sich kein einziger User mehr einwählen. Wieder kam der Fehler "Incorrect password or inexistent user", diesmal jedoch ausnahmslos für alle AD-User. Reboot der Zywall und neues Einlesen der gesicherten Konfiguration brachte keinen Erfolg. Also erneut beim Support angefragt. Daraufhin erhielt ich wieder den Hinweis, dass ich bitte upgraden möge, die 11er - Version mache Probleme in Verbindung mit dem AD.

Also schnell auf die diesmal aktuellste Version 2.12(AQQ.2) upgegraded. Leider hat das zu keiner Besserung geführt. Auch bei 2.12 haben wir bereits die Zywall gebootet, die Konfiguration überprüft und können uns ohne Probleme mit an der ZyWall lokal eingerichteten Usern per VPN einwählen.



Seit 2 Tagen warte ich nun darauf, dass sich der Zyxel Support zurückmeldet. Hat jemand eine Idee, oder ähnliches schon einmal erlebt, was mir weiterhelfen könnte?
Mitglied: GuentherH
10.02.2010 um 08:55 Uhr
Hallo.

Wie tief ist die OU verschachtelt, in der im AD die VPN User liegen?

Ich habe die Erfahrung gemacht, das bei zu tief verschachtelten OUs die Authentifizierung über das AD nicht klappt.

LG Günther
Bitte warten ..
Mitglied: Gilneas
10.02.2010 um 09:09 Uhr
Danke für den Hinweis...

Ist diese Struktur zu verschachtelt?

domain.local\business\users\group
Bitte warten ..
Mitglied: Gilneas
10.02.2010 um 11:11 Uhr
Ich habe es gerade mal mit sehr simplen Strukturen versucht. Leider ohne Erfolg.
Bitte warten ..
Mitglied: Gilneas
12.02.2010 um 13:14 Uhr
So, nun endlich eine Antwort vom Zyxel Support. Ich soll das Ding komplett zurücksetzen und die Config neu einspielen. Dann soll es wieder gehen...

Naja, das werd ich wohl oder übel noch testen müssen.
Bitte warten ..
Mitglied: sk
14.02.2010 um 09:59 Uhr
Hallo,

bevor Du lange rumexperimentierst, stelle besser gleich auf Radius-Authentifizierung gegen IAS um. Das hat m.E. nur Vorteile.

Gruß
Steffen
Bitte warten ..
Mitglied: Gilneas
15.02.2010 um 08:06 Uhr
Danke, erst versuch ich noch den Hint mit dem Reset, sollte das nicht funktionieren, dann scheint mir das tatsächlich eine gute Idee zu sein.
Bitte warten ..
Mitglied: Gilneas
22.02.2010 um 15:14 Uhr
So, inzwischen hat der ZyxelSupport seinen Rat widerrufen. Das zurücksetzen soll ich lassen.
Dafür kümmert sich nun ein Kollege doch sehr intensiv darum das ganze zu testen etc.

Als Tipp nehme ich mit (Aussagen des Supports):

Auch wenn es die ZyWall zulässt:
- keine Binde- oder Unterstriche in Passwörtern verwenden (wurde geändert, hat aber auch nichts geholfen)
- die Verbdinung zum AD muss über den Account des Domain Admins erfolgen (war bereits so)
Bitte warten ..
Mitglied: Gilneas
25.02.2010 um 15:02 Uhr
Kurzer Zwischenstand und sehr lustig:

Nachdem ich heute Nacht mehrere fehlgeschlagene Versuche eines Logins über den urspünglich für den Support angelegten Account (ich hatte ihn nach der Session natürlich wieder deaktiviert) im Log gesehen habe, habe ich beim Zyxel Support nachgefragt.
Es handelt sich um einen Entwickler aus Übersee, der das ganze Troubleshooten wollte.

Scheinbar haben wir da eine kleine Ungereimtheit in der Firmware entdeckt.
Bitte warten ..
Mitglied: Gilneas
17.03.2010 um 09:07 Uhr
Neuer Stand:
Die ZyWall verkraftet keinerlei Sonderzeichen. Versucht man sich mit einem Account, der Sonderzeichen wie z.B. % im Passwort enthält, dann blockt die ZyWall diesen User. Hübscher Nebeneffekt bei der Geschichte:
Es werden daraufhin ALLE user von dieser Workstation geblockt. Nach ca. einer halben Stunde ist diese Sperre passé.

Was unser Problem inzwischen behoben hat:
Der Account zur LDAP Anfrage hatte ein %-Zeichen im Passwort. Ich habe den Account kopiert und ihm ein Passwort ohne Sonderzeichen gegeben. Danach war das einwählen per VPN wieder möglich, wie früher.
Bitte warten ..
Mitglied: GuentherH
17.03.2010 um 19:53 Uhr
Hallo.

Danke für die Rückmeldung.

LG Günther
Bitte warten ..
Mitglied: Gilneas
17.03.2010 um 21:08 Uhr
Gerne, hab lange genug damit rumgetan. Leider war der Support keine große Hilfe.

Btw. die 30 min. sind Einstellungssache, das kann man in den Untiefen der ZyWall regeln, wie lange ein User bei wievielen Fehlversuchen ausgesperrt werden soll. In dem Fall mit dem Sonderzeichen greift allerdings nur die Zeit und das sofort .

Erlaubte /funktionierende Sonderzeichen gibt es auch:

!
.
-
_

Die letzten beiden wurden eigentlich vom Support als "geht nicht" eingestuft. In unserem Preshared Key und auch in den PWs der User sind sie kein Thema. Und das Problem ist reproduzierbar.
Der Zyxel Support hat mich übrigens hängen lassen.

Bei mir kommt im Log keine Meldung, dass eine Verbindung zum AD zu stande kommt. Auch jetzt nicht, wo das wieder funkioniert, wenn ich die AD Verbindung reinitialisiere. Der Support wollte mir nicht weiterhelfen, bis ich nicht diese Meldung sehe und empfahl mir mit Wireshark die Verbindung zum AD zu troubleshooten.
Bitte warten ..
Ähnliche Inhalte
Drucker und Scanner
Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten (1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Server-Hardware
Dell Raid Controller H710P Firmware Update? (3)

Frage von babylon05 zum Thema Server-Hardware ...

Festplatten, SSD, Raid
gelöst LSI 9240-4i Firmware Update . You are trying to flash MR firmware on iMR controller (9)

Frage von Jordan zum Thema Festplatten, SSD, Raid ...

Switche und Hubs
Firmware Update Cisco ASA 5505 (3)

Frage von JoeJoe zum Thema Switche und Hubs ...

Neue Wissensbeiträge
Batch & Shell

Batch - ein paar Basics die man kennen sollte

Tipp von Pedant zum Thema Batch & Shell ...

Microsoft

Restrictor: Profi-Schutz für jedes Window

(6)

Tipp von AlFalcone zum Thema Microsoft ...

Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
gelöst Benutzer lässt sich nur an einem Clientcomputer anmelden (17)

Frage von Ammann zum Thema Windows Server ...

Vmware
gelöst Wie würdet Ihr eine ESXi Cluster Farm managen? (11)

Frage von AlFalcone zum Thema Vmware ...

Batch & Shell
gelöst Gruppenzugehörigkeit von AD Usern ermitteln - die Perfektion fehlt (11)

Frage von Stefan007 zum Thema Batch & Shell ...