Und zwar versuche ich eine VPN - Verbindung von zu Hause (MobileUserVPN) mit der Watchguard in meinem Büro herzustellen. Problem ist wahrscheinlich die Fritzbox die die Internetverbindung im Büro herstellt. Dahinter sitzt die Watchguard. Habe auf der Fritzbox den Port 500 welcher ja für VPN benötigt wird zur Watchguard weitergeleitet.
Kann mir jemand sagen ob es reicht den Port 500 weiter zu leiten?? Muss der Port 500 von der Watchguard auch wieder umgekehrt auf die Fritzbox weitergeleitet werden oder reicht es wenn man einfach sagt dass alles von der Watchguard raus darf?? Verschlüsselung ist 3DES und MD5. So wie es im LogViewer aussieht wird die Phase1 problemlos ausgehandelt nur bei der Phase2 erscheint immer die Meldung:
- SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
- RECEIVED<<< ISAKMP OAK AG (Retransmission)
- RECEIVED<<< ISAKMP OAK AG (Retransmission)
- RECEIVED<<< ISAKMP OAK AG (Retransmission)
- QM re-keying timed out. Retry count: 1
Wär echt super wenn mir da jemand weiterhelfen könnte..bekomm noch nen Anfall!!
oha, hier könnte etwas verwirrung entstehen
@Beeboop: du beschreibst einen PPTP Tunnel
@XP-Fan: du beschreibst einen L2TP Tunnel. Bei deiner Liste fehlt auf alle fälle noch Protokoll 50 (ESP)
@bernd79: der Sinn von der ganzen Weiterleitung ist, dass die Pakete irgendwo mal am VPN Server angekommen. der ist bei dir in der watchguard integriert. deswegen dürfen sie von dort auch nicht mehr weitergeleitet werden!
unterstützt die watchguard überhaupt NAT traversal? ohne dem wirst du hinter der fritzbox keine verbindung zustande bringen. für dieses NAT-T brauchst du UDP 4500
UDP 4500 und UDP 500 reichen, ESP ist nicht notwendig und macht auch keinen Sinn. Ausserdem ist das nicht L2TP (UDP 1701), sondern IPSec NAT-Traversal (NAT-Traversal, also Initialverbindung über UDP 500, Feststellen ob NAT oder nicht und dann den Rest über UDP 4500), was immer benutzt wird, wenn sich einer der Endpunkte hinter einem NAT-Gerät befindet.
Und warum steht die Fritzbox noch VOR der Watchguard (was für eine Watchguard ist das überhaupt) ?
Erst mal vielen Dank!! Mit der Port Weiterleitung hat es jetzt funktioniert!!
Ich habe eine Watchguard XEdge10eW!! Die Fritzbox hängt davor wegen dem IP-Telefonieren..
Problem was ich jetzt aber habe ist, dass die DNS Auflösung nicht richtig funktioniert! Habe am Client in der host - Datei den Server angegeben und als zweiten DNS Server am Client die IP des DNS Servers eingegeben. Wenn ich jetzt versuche der Domäne beizutreten kommt die Meldung das kein Server gefunden werden kann der die Domäne verwaltet. Auch wenn ich in der Konsole den Befehl "nslookup Servername" eingebe kommt die Meldung dass nicht aufgelöst werden kann. Den Servernamen anpingen und Netzlaufwerke verbinden funktioniert aber!!
Muss ich weitere Ports für den Zugriff auf das Active Directory freischalten??
Nein, musst Du nicht, der IPSec-Tunnel ist nicht beschränkt. Du könntest im IPSec-Client bzw. im virtuellen Adapter (auf Required stellen in der Policy) den internen DNS-Server angeben und auf dem Client einen primären DNS-Suffix definieren (wenn er nicht Mitglied der Domäne ist). Benutze beim Domänenbeitritt den DNS-Domänennamen, nicht den NetBIOS-Namen ...
Ich bin mir jetzt nicht ganz sicher, ob die Edge einen DNS-Server übermitteln kann (der dann auch auf der Box eingestellt werden muss). Dann muss aber der virtuelle Adapter im IPSec-Client benutzt werden ...
Hallo,
Habe am Client in der host - Datei den Server angegeben -> ok
ls zweiten DNS Server am Client die IP des DNS Servers eingegeben -> trage ihn mal testweise als ersten ein.
Oder
nslookup
server IP des DNS Servers
Also was ich bis jetzt auf die schnelle herausgefunden habe ist, dass wenn ich nslookup ip adresse eingebe ich sämtliche Rechner im Netzwerk auflösen kann. Nur umgekehrt funktioniert es nicht. Im lokal Netzwerk geht es aber!!
Habe auch versucht den Server als Primären DNS zu verwenden...ohne Erfolg!!
Den DNS Namen beim Beitritt der Domäne hab ich auch schon versucht...ohne Erfolg!!
