Watchguard VPN

[bernd79 10]

Hallo zusammen!!

 

Und zwar versuche ich eine VPN - Verbindung von zu Hause (MobileUserVPN) mit der Watchguard in meinem Büro herzustellen. Problem ist wahrscheinlich die Fritzbox die die Internetverbindung im Büro herstellt. Dahinter sitzt die Watchguard. Habe auf der Fritzbox den Port 500 welcher ja für VPN benötigt wird zur Watchguard weitergeleitet.

Kann mir jemand sagen ob es reicht den Port 500 weiter zu leiten?? Muss der Port 500 von der Watchguard auch wieder umgekehrt auf die Fritzbox weitergeleitet werden oder reicht es wenn man einfach sagt dass alles von der Watchguard raus darf?? Verschlüsselung ist 3DES und MD5. So wie es im LogViewer aussieht wird die Phase1 problemlos ausgehandelt nur bei der Phase2 erscheint immer die Meldung:

- SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)

- RECEIVED<<< ISAKMP OAK AG (Retransmission)

- RECEIVED<<< ISAKMP OAK AG (Retransmission)

- RECEIVED<<< ISAKMP OAK AG (Retransmission)

- QM re-keying timed out. Retry count: 1

 

Wär echt super wenn mir da jemand weiterhelfen könnte..bekomm noch nen Anfall!!

[Beeboop 10]

Hallo,

eigentlich gehst du ja über die Box von intern nach extern und das sollte sie so können.

 

Aber zur Sicherheit auf der Fritz Box das Protokoll GRE freischalten, den Port 1723 und auf der Firebox den Zugriff per VPN-Client auch zulassen.

 

Dazu auf der Firebox einen User anlegen und dem das Recht per MUVPN den Zugriff zulassen.

[XP-Fan 215]

Hallo,

 

forwarde mal UDP 500 und 4500 auf die WG Box und teste es dann mal.

[firefox80 10]

oha, hier könnte etwas verwirrung entstehen ;)

@Beeboop: du beschreibst einen PPTP Tunnel

@XP-Fan: du beschreibst einen L2TP Tunnel. Bei deiner Liste fehlt auf alle fälle noch Protokoll 50 (ESP)

 

@bernd79: der Sinn von der ganzen Weiterleitung ist, dass die Pakete irgendwo mal am VPN Server angekommen. der ist bei dir in der watchguard integriert. deswegen dürfen sie von dort auch nicht mehr weitergeleitet werden!

 

unterstützt die watchguard überhaupt NAT traversal? ohne dem wirst du hinter der fritzbox keine verbindung zustande bringen. für dieses NAT-T brauchst du UDP 4500

 

LG

[IThome 10]

UDP 4500 und UDP 500 reichen, ESP ist nicht notwendig und macht auch keinen Sinn. Ausserdem ist das nicht L2TP (UDP 1701), sondern IPSec NAT-Traversal (NAT-Traversal, also Initialverbindung über UDP 500, Feststellen ob NAT oder nicht und dann den Rest über UDP 4500), was immer benutzt wird, wenn sich einer der Endpunkte hinter einem NAT-Gerät befindet.

Und warum steht die Fritzbox noch VOR der Watchguard (was für eine Watchguard ist das überhaupt) ?

[bernd79 10]

Erst mal vielen Dank!! Mit der Port Weiterleitung hat es jetzt funktioniert!!

Ich habe eine Watchguard XEdge10eW!! Die Fritzbox hängt davor wegen dem IP-Telefonieren..

Problem was ich jetzt aber habe ist, dass die DNS Auflösung nicht richtig funktioniert! Habe am Client in der host - Datei den Server angegeben und als zweiten DNS Server am Client die IP des DNS Servers eingegeben. Wenn ich jetzt versuche der Domäne beizutreten kommt die Meldung das kein Server gefunden werden kann der die Domäne verwaltet. Auch wenn ich in der Konsole den Befehl "nslookup Servername" eingebe kommt die Meldung dass nicht aufgelöst werden kann. Den Servernamen anpingen und Netzlaufwerke verbinden funktioniert aber!!

Muss ich weitere Ports für den Zugriff auf das Active Directory freischalten??

[IThome 10]

Nein, musst Du nicht, der IPSec-Tunnel ist nicht beschränkt. Du könntest im IPSec-Client bzw. im virtuellen Adapter (auf Required stellen in der Policy) den internen DNS-Server angeben und auf dem Client einen primären DNS-Suffix definieren (wenn er nicht Mitglied der Domäne ist). Benutze beim Domänenbeitritt den DNS-Domänennamen, nicht den NetBIOS-Namen ...

Ich bin mir jetzt nicht ganz sicher, ob die Edge einen DNS-Server übermitteln kann (der dann auch auf der Box eingestellt werden muss). Dann muss aber der virtuelle Adapter im IPSec-Client benutzt werden ...

[Beeboop 10]

Hallo,

Habe am Client in der host - Datei den Server angegeben -> ok

ls zweiten DNS Server am Client die IP des DNS Servers eingegeben -> trage ihn mal testweise als ersten ein.

Oder

nslookup

server IP des DNS Servers

 

dann die Abfrage durchführen.

[bernd79 10]

Also was ich bis jetzt auf die schnelle herausgefunden habe ist, dass wenn ich nslookup ip adresse eingebe ich sämtliche Rechner im Netzwerk auflösen kann. Nur umgekehrt funktioniert es nicht. Im lokal Netzwerk geht es aber!!

Habe auch versucht den Server als Primären DNS zu verwenden...ohne Erfolg!!

Den DNS Namen beim Beitritt der Domäne hab ich auch schon versucht...ohne Erfolg!!

[marka 584]

Versuch es mal nur mit der IP der Watchguard

[IThome 10]

Benutze den virtuellen Adapter ...

[bernd79 10]

Habe jetzt am Client eine DNS Suffix angehängt und siehe da, ich kann jetzt in beide Richtungen auflösen und den Rechner in die Domäne mit aufnehmen.

Das mit dem virtuellem Adapter hatte ich auch versucht, ist aber ne komische Sache. Wenn ich das einstelle wird am Client unter DFÜ ein Safenet Virutal Adapter Device installiert welcher die Verbindung über ISDN Kanal - Safenet VA Miniport herstellt????

 

Hab jetzt leider gerade nicht die Möglichkeit weiter zu testen. Ich weiss aber von anderen Kunden von mir, dass es Probleme gibt über VPN auf das ActiveDirectory zuzugreifen. D.h. dass man sich zwar an der Domäne anmelden kann, Netzlaufwerke durchverbinden kann, aber wenn man z.B. versucht einen lokalen Ordner freizugeben man nicht die Möglichkeit hat einen Domänenbenutzer auszuwählen, da er es nicht schafft auf das Active Directory zuzugreifen. Es werden nach langem warten nur die lokalen Benuzter angezeigt!! Rechner ist aber in der Domäne und auf den Server kann auch zugegriffen werden. Kann jetzt momentan aber leider keine genauen Einstellungen posten!! Wird aber sobald ich die Möglichkeit habe gemacht. Aber vielleicht kennt ja jemand schon das Problem??

[IThome 10]

Wenn ich das einstelle wird am Client unter DFÜ ein Safenet Virutal Adapter Device installiert welcher die Verbindung über ISDN Kanal - Safenet VA Miniport herstellt????

Das ist nicht komisch, das gehört so :). Den virtuellen Adapter solltest Du bei Domänenzugehörigkeit benutzen ...

[bernd79 10]

Sorry dass ich euch so stressen muss!! Jetzt hab ich den Fehler wieder wo ich ursprünglich beschreiben wollte!! Also mit dem virtuellem Adapter kann es nichts zu tun haben. Weil den Fehler wo ich jetzt beschreibe mit ner VPN - Verbindung zwischen zwei Watchguards (Branch - Office) getestet habe. Also kein MUVPN!!

Vorgang: Bei einem lokalen Ordner auf Sicherheit - Hinzufügen (domäne ist als suchpfad angegeben) - Erweitert - Jetzt suchen!!!

Danach erscheint bei mir die Meldung: "Die Registerkarte Erweitert kann aufgrund folgenden Fehlers nicht geöffnet werden:

Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar!"

Sonst funktioniert alles wunderbar!! Kann den Rechner in die Domäne mit aufnehmen und mit nem Domänenbenutzer anmelden (dauert zwar lange aber geht)!!

Kennt diesen Fehler sonst noch jemand von euch??

[IThome 10]

Hat der Client den DNS-Server der Domäne als primären DNS-Server eingetragen ? Das ist ein BOVPN zwischen zwei Watchguards ?