Jump to content

Watchguard + Einrichten von VPN von Softwareclients


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

ich habe ein Problem mit dem Einrichten von VPN Verbindungen von einem VPN Client (Laptop mit Watchguard VPN Software) und einer Watchguard Firebox X selber.

 

Im Policy Manager ist der DVCP Server aktiviert, er soll also Zertifikate ausstellen können.

Schaue ich dann jedoch in den VPN Manager, so meldet dieser, dass kein DVCP eingerichtet ist. ?!?

 

 

Es sind bereits vor meiner Zeit Clients eingerichet worden, diese laufen auch. Es muss nun halt ein neuer Client dazu und daran beiße ich mir etwas die Zähne aus, weil ich ja so mit dem VPN Manager kein neues Zertifikat für den neuen Client ausstellen kann. Und ich jetzt neu in dem Netz bin :wink2:

 

Hat jemand eine Idee? Vielen Dank schon mal.

 

Gruß

pumpkin999

 

EDIT: Version WatchGuard Version: 7.21

Link to comment

Hallo,

 

keine Angst, du musst nicht wissen wo genau die Dateien sind, die hab ich schon gefunden. Nur hab ich es nicht auf die Reihe bekommen, die auf dem Client irgendwie zu "hinterlegen".

 

Deswegen erstmal vielen Dank für deine Hilfe, leider ist der Laptop gerade außer Haus und ich kann nicht sofort testen. Wenn nicht, melde ich mich wieder ;)

 

PS. Ich hab das Forum bei vielen Anfragen bei google immer unter den ersten Adressen, ich werde mich hier versuchen so oft wie möglich sinnvoll einzubringen, mit Antworten aber natürlich auch mit weiteren Fragen :)

 

Gruß

pumpkin

Link to comment

Das Clientzertifikat importierst Du einfach mit Doppelklick, das Stammstellenzertifikat kannst Du importieren, in dem Du mit rechts auf das Symbol des Safenet-Clients im Tray klickst und dann auf Certificate-Manager klickst, das Policyfile importierst Du ebenfalls durch Doppelklick (danach solltest Du die Security Policy einmal deaktivieren und dann wieder aktivieren)

Link to comment

Hallo,

 

ich habe jetzt die Verbindung aufgebaut.

Der System Manager sagt im Front Panel, dass die Verbindung steht.

 

Jedoch komme ich nicht an die Netze ran, an die ich eigentlich ran kommen sollte.

 

Fehlermeldungen beim Client im LOG:

 

ISAKMP OAK INFO >>>> HASH NOTIFY INVALID SPI :confused:

Ansonsten fließen da aber schöne keep alive packets

 

Und beim Server sagt er halt

03/17/06 17:11 iked[141]: O=***, OU=GW:172.16.*.*, CN=xxx doesn't like inbound spi FF000000

 

Eine Idee?

Link to comment

Die Verbindung wird also hergestellt ? Im Connectionmonitor des Clients kannst Du das auch kontrollieren. Du musst (standardmässig) im Monitor sehen können, ob und was er verbietet. Wenn Du sehen möchtest, was erlaubt ist, muss Du das in dem entsprechenden Dienst bei Incoming oder Outgoing (Incoming - Deny;Incoming - Allow;Outgoing - Deny und Outgoing - Allow) konfigurieren. In welche Netze willst Du denn und vor allem wie ? Hast Du eine ANY-Regel für die MUVPN-Clients oder welche Filter werden benutzt ?

Link to comment
Die Verbindung wird also hergestellt ? Im Connectionmonitor des Clients kannst Du das auch kontrollieren. Du musst (standardmässig) im Monitor sehen können, ob und was er verbietet. Wenn Du sehen möchtest, was erlaubt ist, muss Du das in dem entsprechenden Dienst bei Incoming oder Outgoing (Incoming - Deny;Incoming - Allow;Outgoing - Deny und Outgoing - Allow) konfigurieren.

 

Als Standardgateway übernehme ich einfach den internen.

 

In welche Netze willst Du denn und vor allem wie ? Hast Du eine ANY-Regel für die MUVPN-Clients oder welche Filter werden benutzt ?

 

Im Host Watch Modus sehe ich auch, wie anscheinend eine Verbindung zwischen dem VPN Client und dem Rechner im internen LAN, auf dem die Verwaltungssoftware läuft, besteht.

 

VPN Netz: 172.16.4.x

intern: 172.16.1.x

 

jedoch sind die geräte im 1.x nicht anpingbar, so wie es ausschaut

 

 

Vielen Dank schon wieder für die schnelle Hilfe.

Leider muss ich jetzt raus, Chef will nach Hause.

 

Ich melde mich Montag wieder.

 

Gruß

pumpkin999

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...