Jump to content
Sign in to follow this  
pumpkin999

Watchguard + Einrichten von VPN von Softwareclients

Recommended Posts

Hallo,

 

ich habe ein Problem mit dem Einrichten von VPN Verbindungen von einem VPN Client (Laptop mit Watchguard VPN Software) und einer Watchguard Firebox X selber.

 

Im Policy Manager ist der DVCP Server aktiviert, er soll also Zertifikate ausstellen können.

Schaue ich dann jedoch in den VPN Manager, so meldet dieser, dass kein DVCP eingerichtet ist. ?!?

 

 

Es sind bereits vor meiner Zeit Clients eingerichet worden, diese laufen auch. Es muss nun halt ein neuer Client dazu und daran beiße ich mir etwas die Zähne aus, weil ich ja so mit dem VPN Manager kein neues Zertifikat für den neuen Client ausstellen kann. Und ich jetzt neu in dem Netz bin :wink2:

 

Hat jemand eine Idee? Vielen Dank schon mal.

 

Gruß

pumpkin999

 

EDIT: Version WatchGuard Version: 7.21

Share this post


Link to post
Share on other sites

Welche Softwareversion benutzt Du ?

edit: Hast Du im Policymanager den Mobile User unter Network - Remote User - Firebox Authenticated User eingerichtet ? Dort kannst Du mit dem Assistenten ein Zertifikat erzeugen ...

Share this post


Link to post
Share on other sites

Hallo,

 

den Benutzer habe ich erfolgreich erstellt. Wenn ich jetzt diesen Benutzer am Laptop einrichten will, wie bekomme ich das Zertifikat auf den Rechner? Welches Passwort ist der PreSharedKey denn ich da eingeben darf? Den Wert, den ich bei Einrichtung des Users festgelegt habe?

 

Gruß

pumpkin999

Share this post


Link to post
Share on other sites

Ja genau, die drei Dateien, die Du benötigst, befinden sich auf dem Rechner, auf dem der Policyeditor ist ... Verdammt, ich weiss den Pfad nicht mehr genau (diese Version habe ich schon länger nicht gesehen) , die Dateien befinden sich, soweit ich mich erinnern kann in einem Ordner namens RUVPN ...

Share this post


Link to post
Share on other sites

Hallo,

 

keine Angst, du musst nicht wissen wo genau die Dateien sind, die hab ich schon gefunden. Nur hab ich es nicht auf die Reihe bekommen, die auf dem Client irgendwie zu "hinterlegen".

 

Deswegen erstmal vielen Dank für deine Hilfe, leider ist der Laptop gerade außer Haus und ich kann nicht sofort testen. Wenn nicht, melde ich mich wieder ;)

 

PS. Ich hab das Forum bei vielen Anfragen bei google immer unter den ersten Adressen, ich werde mich hier versuchen so oft wie möglich sinnvoll einzubringen, mit Antworten aber natürlich auch mit weiteren Fragen :)

 

Gruß

pumpkin

Share this post


Link to post
Share on other sites

Das Clientzertifikat importierst Du einfach mit Doppelklick, das Stammstellenzertifikat kannst Du importieren, in dem Du mit rechts auf das Symbol des Safenet-Clients im Tray klickst und dann auf Certificate-Manager klickst, das Policyfile importierst Du ebenfalls durch Doppelklick (danach solltest Du die Security Policy einmal deaktivieren und dann wieder aktivieren)

Share this post


Link to post
Share on other sites

Hallo,

 

ich habe jetzt die Verbindung aufgebaut.

Der System Manager sagt im Front Panel, dass die Verbindung steht.

 

Jedoch komme ich nicht an die Netze ran, an die ich eigentlich ran kommen sollte.

 

Fehlermeldungen beim Client im LOG:

 

ISAKMP OAK INFO >>>> HASH NOTIFY INVALID SPI :confused:

Ansonsten fließen da aber schöne keep alive packets

 

Und beim Server sagt er halt

03/17/06 17:11 iked[141]: O=***, OU=GW:172.16.*.*, CN=xxx doesn't like inbound spi FF000000

 

Eine Idee?

Share this post


Link to post
Share on other sites

Die Verbindung wird also hergestellt ? Im Connectionmonitor des Clients kannst Du das auch kontrollieren. Du musst (standardmässig) im Monitor sehen können, ob und was er verbietet. Wenn Du sehen möchtest, was erlaubt ist, muss Du das in dem entsprechenden Dienst bei Incoming oder Outgoing (Incoming - Deny;Incoming - Allow;Outgoing - Deny und Outgoing - Allow) konfigurieren. In welche Netze willst Du denn und vor allem wie ? Hast Du eine ANY-Regel für die MUVPN-Clients oder welche Filter werden benutzt ?

Share this post


Link to post
Share on other sites
Die Verbindung wird also hergestellt ? Im Connectionmonitor des Clients kannst Du das auch kontrollieren. Du musst (standardmässig) im Monitor sehen können, ob und was er verbietet. Wenn Du sehen möchtest, was erlaubt ist, muss Du das in dem entsprechenden Dienst bei Incoming oder Outgoing (Incoming - Deny;Incoming - Allow;Outgoing - Deny und Outgoing - Allow) konfigurieren.

 

Als Standardgateway übernehme ich einfach den internen.

 

In welche Netze willst Du denn und vor allem wie ? Hast Du eine ANY-Regel für die MUVPN-Clients oder welche Filter werden benutzt ?

 

Im Host Watch Modus sehe ich auch, wie anscheinend eine Verbindung zwischen dem VPN Client und dem Rechner im internen LAN, auf dem die Verwaltungssoftware läuft, besteht.

 

VPN Netz: 172.16.4.x

intern: 172.16.1.x

 

jedoch sind die geräte im 1.x nicht anpingbar, so wie es ausschaut

 

 

Vielen Dank schon wieder für die schnelle Hilfe.

Leider muss ich jetzt raus, Chef will nach Hause.

 

Ich melde mich Montag wieder.

 

Gruß

pumpkin999

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...