pumpkin999 10 Geschrieben 14. März 2006 Melden Teilen Geschrieben 14. März 2006 Hallo, ich habe ein Problem mit dem Einrichten von VPN Verbindungen von einem VPN Client (Laptop mit Watchguard VPN Software) und einer Watchguard Firebox X selber. Im Policy Manager ist der DVCP Server aktiviert, er soll also Zertifikate ausstellen können. Schaue ich dann jedoch in den VPN Manager, so meldet dieser, dass kein DVCP eingerichtet ist. ?!? Es sind bereits vor meiner Zeit Clients eingerichet worden, diese laufen auch. Es muss nun halt ein neuer Client dazu und daran beiße ich mir etwas die Zähne aus, weil ich ja so mit dem VPN Manager kein neues Zertifikat für den neuen Client ausstellen kann. Und ich jetzt neu in dem Netz bin :wink2: Hat jemand eine Idee? Vielen Dank schon mal. Gruß pumpkin999 EDIT: Version WatchGuard Version: 7.21 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. März 2006 Melden Teilen Geschrieben 14. März 2006 Welche Softwareversion benutzt Du ? edit: Hast Du im Policymanager den Mobile User unter Network - Remote User - Firebox Authenticated User eingerichtet ? Dort kannst Du mit dem Assistenten ein Zertifikat erzeugen ... Zitieren Link zu diesem Kommentar
pumpkin999 10 Geschrieben 14. März 2006 Autor Melden Teilen Geschrieben 14. März 2006 Hallo, den Benutzer habe ich erfolgreich erstellt. Wenn ich jetzt diesen Benutzer am Laptop einrichten will, wie bekomme ich das Zertifikat auf den Rechner? Welches Passwort ist der PreSharedKey denn ich da eingeben darf? Den Wert, den ich bei Einrichtung des Users festgelegt habe? Gruß pumpkin999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. März 2006 Melden Teilen Geschrieben 14. März 2006 Ja genau, die drei Dateien, die Du benötigst, befinden sich auf dem Rechner, auf dem der Policyeditor ist ... Verdammt, ich weiss den Pfad nicht mehr genau (diese Version habe ich schon länger nicht gesehen) , die Dateien befinden sich, soweit ich mich erinnern kann in einem Ordner namens RUVPN ... Zitieren Link zu diesem Kommentar
pumpkin999 10 Geschrieben 14. März 2006 Autor Melden Teilen Geschrieben 14. März 2006 Hallo, keine Angst, du musst nicht wissen wo genau die Dateien sind, die hab ich schon gefunden. Nur hab ich es nicht auf die Reihe bekommen, die auf dem Client irgendwie zu "hinterlegen". Deswegen erstmal vielen Dank für deine Hilfe, leider ist der Laptop gerade außer Haus und ich kann nicht sofort testen. Wenn nicht, melde ich mich wieder ;) PS. Ich hab das Forum bei vielen Anfragen bei google immer unter den ersten Adressen, ich werde mich hier versuchen so oft wie möglich sinnvoll einzubringen, mit Antworten aber natürlich auch mit weiteren Fragen :) Gruß pumpkin Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 14. März 2006 Melden Teilen Geschrieben 14. März 2006 Das Clientzertifikat importierst Du einfach mit Doppelklick, das Stammstellenzertifikat kannst Du importieren, in dem Du mit rechts auf das Symbol des Safenet-Clients im Tray klickst und dann auf Certificate-Manager klickst, das Policyfile importierst Du ebenfalls durch Doppelklick (danach solltest Du die Security Policy einmal deaktivieren und dann wieder aktivieren) Zitieren Link zu diesem Kommentar
pumpkin999 10 Geschrieben 17. März 2006 Autor Melden Teilen Geschrieben 17. März 2006 Hallo, ich habe jetzt die Verbindung aufgebaut. Der System Manager sagt im Front Panel, dass die Verbindung steht. Jedoch komme ich nicht an die Netze ran, an die ich eigentlich ran kommen sollte. Fehlermeldungen beim Client im LOG: ISAKMP OAK INFO >>>> HASH NOTIFY INVALID SPI Ansonsten fließen da aber schöne keep alive packets Und beim Server sagt er halt 03/17/06 17:11 iked[141]: O=***, OU=GW:172.16.*.*, CN=xxx doesn't like inbound spi FF000000 Eine Idee? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Die Verbindung wird also hergestellt ? Im Connectionmonitor des Clients kannst Du das auch kontrollieren. Du musst (standardmässig) im Monitor sehen können, ob und was er verbietet. Wenn Du sehen möchtest, was erlaubt ist, muss Du das in dem entsprechenden Dienst bei Incoming oder Outgoing (Incoming - Deny;Incoming - Allow;Outgoing - Deny und Outgoing - Allow) konfigurieren. In welche Netze willst Du denn und vor allem wie ? Hast Du eine ANY-Regel für die MUVPN-Clients oder welche Filter werden benutzt ? Zitieren Link zu diesem Kommentar
pumpkin999 10 Geschrieben 17. März 2006 Autor Melden Teilen Geschrieben 17. März 2006 Die Verbindung wird also hergestellt ? Im Connectionmonitor des Clients kannst Du das auch kontrollieren. Du musst (standardmässig) im Monitor sehen können, ob und was er verbietet. Wenn Du sehen möchtest, was erlaubt ist, muss Du das in dem entsprechenden Dienst bei Incoming oder Outgoing (Incoming - Deny;Incoming - Allow;Outgoing - Deny und Outgoing - Allow) konfigurieren. Als Standardgateway übernehme ich einfach den internen. In welche Netze willst Du denn und vor allem wie ? Hast Du eine ANY-Regel für die MUVPN-Clients oder welche Filter werden benutzt ? Im Host Watch Modus sehe ich auch, wie anscheinend eine Verbindung zwischen dem VPN Client und dem Rechner im internen LAN, auf dem die Verwaltungssoftware läuft, besteht. VPN Netz: 172.16.4.x intern: 172.16.1.x jedoch sind die geräte im 1.x nicht anpingbar, so wie es ausschaut Vielen Dank schon wieder für die schnelle Hilfe. Leider muss ich jetzt raus, Chef will nach Hause. Ich melde mich Montag wieder. Gruß pumpkin999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. März 2006 Melden Teilen Geschrieben 17. März 2006 Der Hostwatch nützt Dir nicht viel, sowas muss Du Dir im Firebox-Monitor anschauen ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.