TruckerTom 10 Geschrieben 11. März 2010 Melden Teilen Geschrieben 11. März 2010 Hallo Kollegen, nutzt jemand von Euch eine Watchguard Firewall und den dazugehörigen SSL-VPN-Client? Gruß Thomas Zitieren Link zu diesem Kommentar
skippa 10 Geschrieben 11. März 2010 Melden Teilen Geschrieben 11. März 2010 Hi Thomas, was genau ist deine Frage dazu? ;-) Grüße, Simon Zitieren Link zu diesem Kommentar
TruckerTom 10 Geschrieben 11. März 2010 Autor Melden Teilen Geschrieben 11. März 2010 ich habe verschiedene Aussagen zu der Möglichkeit, mit der Watchguard ein SSL-Zertifikat zu nutzen. Das von mir gekaufte und eingebundene funkktioniert nicht, ich bekomme trotzdem beim Verbindungsaufbau mit dem Client eine Zertifikatsfehlermeldung. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. März 2010 Melden Teilen Geschrieben 11. März 2010 Wie verbindest Du Dich (welches Ziel gibst Du ein) und welche Fehlermeldung bekommst Du ? Auf welchen Namen ist das Zertifikat ausgestellt ? Zitieren Link zu diesem Kommentar
TruckerTom 10 Geschrieben 11. März 2010 Autor Melden Teilen Geschrieben 11. März 2010 Also das Zertifikat ist ausgestellt auf vpn.unseredomain.de und ich gebe in meinem SSLVPN-Client als Zielserver "vpn.unseredomain.de:444" ein. Ganz genau habe ich mir die ZErtifikatsmeldung noch nicht angesehen. Hier: Der Herausgeber des Zertifikats dieser Site ist unbekannt oder als nicht vertrauenswürdig eingestuft. Möchten Sie den Vorgang fortsetzen? Gruß Thomas Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. März 2010 Melden Teilen Geschrieben 11. März 2010 Welche CA hat dieses Zertifikat ausgestellt (ist dem Client die Stamm-CA bekannt) ? Warum gibst Du 444 als Zielport an ? Welche Softwareversion ist auf (was für einer) Box installiert ? Zitieren Link zu diesem Kommentar
TruckerTom 10 Geschrieben 11. März 2010 Autor Melden Teilen Geschrieben 11. März 2010 750e 11.2 das ist die Meldung mit dem eigenen Zertifikat. Diese ändert sich auch dann nicht, wenn ich das Zertifikat in die Box einbinde. Port 444 weil dieser von der Watchguard genutzt wird. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. März 2010 Melden Teilen Geschrieben 11. März 2010 Den Port brauchste nicht angeben, die Konfiguration wird beim Starten des Clients geladen (bei der 11.2 über den Port 443, nicht mehr 4100 wie vorher). Der Client kennt also weder den Aussteller des selbstsignierten Zertifikates der Box, noch die austellende CA des gekauften Zertifikates ? Zitieren Link zu diesem Kommentar
TruckerTom 10 Geschrieben 11. März 2010 Autor Melden Teilen Geschrieben 11. März 2010 (bearbeitet) Den Port brauchste nicht angeben, die Konfiguration wird beim Starten des Clients geladen (bei der 11.2 über den Port 443, nicht mehr 4100 wie vorher).Der Client kennt also weder den Aussteller des selbstsignierten Zertifikates der Box, noch die austellende CA des gekauften Zertifikates ? den Port muss ich angeben, weil es sonst nicht funktioniert (443 ist bei uns belegt, glaube durch die IPhones) Und das gekaufte ist bei der Thawte gekauft. /Update Inzwischen existiert eine Aussage von Watchguard, dass ein gekauftes Zertifikat mit der Box und dieser Firmware nicht funktioniert und dies eventuell in einer der nächsten Versionen behoben wird. Ich empfinde dies, gelinde gesagt, als eine Unverschämtheit des Herstellers. Wäre mir dies so vor 4 Wochen bekannt gewesen, hätte ich mir die Verlängerung der Services zweimal überlegt. bearbeitet 11. März 2010 von TruckerTom Änderung der Hintergründe Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 11. März 2010 Melden Teilen Geschrieben 11. März 2010 Du brauchst diesen Port aber trotzdem nicht, denn man kann fertig vorkonfigurierte Verbindungsdateien zum Client übermitteln (client.wgssl). Ich habe mal einen Fall gehabt, da wurde ebenfalls für die iPhones der Port TCP 443 nach innen geleitet. Der Port für SSL war auf TCP 4343 eingestellt. Bis zur Version 11.1 funktionierte das noch, da der Client die Konfigurationsabfrage auf dem Port TCP 4100 durchgeführt hat, welche ihm dann den TCP Port 4343 (in meinem Fall) zum Verbindungsaufbau mitgeteilt hat. Ab der Version 11.2 allerdings wurde die Konfigurationsabfrage an den Port TCP 443 geschickt, was durch die Umleitung wegen der iPhones natürlich in die Hose ging. Die Angabe des Ports im Client klappte ebenfalls nicht. Daher wurde also die Konfiguration der Watchguard entpackt und die "client.wgssl" an die Clients übermittelt. In dieser Datei steht schon der anzusprechende Port (hier TCP 4343) und der Client verbindet sich gleich, ohne die Konfiguration vorher abzufragen ... Ich weiss, das hilft Dir bei Deinem Problem rein gar nichts, aber im Moment gibt es offenbar keinerlei Abhilfe ... :( Zitieren Link zu diesem Kommentar
TruckerTom 10 Geschrieben 12. März 2010 Autor Melden Teilen Geschrieben 12. März 2010 Hallo IThome, diese Verbindungsdateien werden auch bei dem SSLVPN-Client genutzt? Ich kannte die eigentlich nur von dem IPSec Client. Gruß Thomas Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. März 2010 Melden Teilen Geschrieben 12. März 2010 Ja, die kann man benutzen, muss man aber nicht. In einigen Fällen allerdings (wie oben beschrieben), muss man sie benutzen, da man sonst keine Verbindung herstellen kann. Diese Dateien werden auch nicht importiert (so wie beim IPSec-Client), sondern sie werden nur ausgeführt. In dem Teil, wo man sonst die Zieladresse oder den Zielnamen eingibt, steht dann ausgegraut "FILE". Diese Datei wird aus der Watchguard Konfiguration extrahiert, welche Du im System Manager finden kannst ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.