11
Zyxel ZyWall USG 100 nach Firmware Update keine VPN Authentifizierung über AD mehr möglich
Folgendes Szenario:
Eine Zyxel ZyWall USG 100 ist das VPN Gateway für einige Außendienstler. Diese wählen sich per Windows VPN-Assi ein und authentifizieren sich mit ihrem Domainaccount, um ins Netz zu kommen. Installierte Firmware war 2.10(AQQ.3).
Ohne den Zeitpunkt genau nennen zu können hatten zwei User plötzlich das Problem, dass sie von der Zywall beim VPN Login abgewiesen wurden. Ich habe die Domainuser am PDC kopiert und siehe da, mit diesem kopierten Account konnten sich die User unter sonst gleichen Umständen wieder einloggen. Auf Anfrage beim Zyxel Support erhielt ich die Antwort, dass wir bitte auf eine aktuelle Firmware upgraden sollen, da die 10er nicht mehr unterstützt wird.
Gesagt getan, ich habe zunächst auf v2.11(AQQ.0) gehen müssen, der Support empfahl über diese Version zu gehen. Direkt danach konnte sich kein einziger User mehr einwählen. Wieder kam der Fehler "Incorrect password or inexistent user", diesmal jedoch ausnahmslos für alle AD-User. Reboot der Zywall und neues Einlesen der gesicherten Konfiguration brachte keinen Erfolg. Also erneut beim Support angefragt. Daraufhin erhielt ich wieder den Hinweis, dass ich bitte upgraden möge, die 11er - Version mache Probleme in Verbindung mit dem AD.
Also schnell auf die diesmal aktuellste Version 2.12(AQQ.2) upgegraded. Leider hat das zu keiner Besserung geführt. Auch bei 2.12 haben wir bereits die Zywall gebootet, die Konfiguration überprüft und können uns ohne Probleme mit an der ZyWall lokal eingerichteten Usern per VPN einwählen.
Seit 2 Tagen warte ich nun darauf, dass sich der Zyxel Support zurückmeldet. Hat jemand eine Idee, oder ähnliches schon einmal erlebt, was mir weiterhelfen könnte?
Gesagt getan, ich habe zunächst auf v2.11(AQQ.0) gehen müssen, der Support empfahl über diese Version zu gehen. Direkt danach konnte sich kein einziger User mehr einwählen. Wieder kam der Fehler "Incorrect password or inexistent user", diesmal jedoch ausnahmslos für alle AD-User. Reboot der Zywall und neues Einlesen der gesicherten Konfiguration brachte keinen Erfolg. Also erneut beim Support angefragt. Daraufhin erhielt ich wieder den Hinweis, dass ich bitte upgraden möge, die 11er - Version mache Probleme in Verbindung mit dem AD.
Also schnell auf die diesmal aktuellste Version 2.12(AQQ.2) upgegraded. Leider hat das zu keiner Besserung geführt. Auch bei 2.12 haben wir bereits die Zywall gebootet, die Konfiguration überprüft und können uns ohne Probleme mit an der ZyWall lokal eingerichteten Usern per VPN einwählen.
Seit 2 Tagen warte ich nun darauf, dass sich der Zyxel Support zurückmeldet. Hat jemand eine Idee, oder ähnliches schon einmal erlebt, was mir weiterhelfen könnte?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 135595
Url: https://administrator.de/contentid/135595
Printed on: April 24, 2024 at 19:04 o'clock
11 Comments
Latest comment
Hallo.
Wie tief ist die OU verschachtelt, in der im AD die VPN User liegen?
Ich habe die Erfahrung gemacht, das bei zu tief verschachtelten OUs die Authentifizierung über das AD nicht klappt.
LG Günther
Wie tief ist die OU verschachtelt, in der im AD die VPN User liegen?
Ich habe die Erfahrung gemacht, das bei zu tief verschachtelten OUs die Authentifizierung über das AD nicht klappt.
LG Günther
Danke für den Hinweis...
Ist diese Struktur zu verschachtelt?
domain.local\business\users\group
Ist diese Struktur zu verschachtelt?
domain.local\business\users\group
Ich habe es gerade mal mit sehr simplen Strukturen versucht. Leider ohne Erfolg.
So, nun endlich eine Antwort vom Zyxel Support. Ich soll das Ding komplett zurücksetzen und die Config neu einspielen. Dann soll es wieder gehen...
Naja, das werd ich wohl oder übel noch testen müssen.
Naja, das werd ich wohl oder übel noch testen müssen.
Hallo,
bevor Du lange rumexperimentierst, stelle besser gleich auf Radius-Authentifizierung gegen IAS um. Das hat m.E. nur Vorteile.
Gruß
Steffen
bevor Du lange rumexperimentierst, stelle besser gleich auf Radius-Authentifizierung gegen IAS um. Das hat m.E. nur Vorteile.
Gruß
Steffen
Danke, erst versuch ich noch den Hint mit dem Reset, sollte das nicht funktionieren, dann scheint mir das tatsächlich eine gute Idee zu sein.
So, inzwischen hat der ZyxelSupport seinen Rat widerrufen. Das zurücksetzen soll ich lassen.
Dafür kümmert sich nun ein Kollege doch sehr intensiv darum das ganze zu testen etc.
Als Tipp nehme ich mit (Aussagen des Supports):
Auch wenn es die ZyWall zulässt:
- keine Binde- oder Unterstriche in Passwörtern verwenden (wurde geändert, hat aber auch nichts geholfen)
- die Verbdinung zum AD muss über den Account des Domain Admins erfolgen (war bereits so)
Dafür kümmert sich nun ein Kollege doch sehr intensiv darum das ganze zu testen etc.
Als Tipp nehme ich mit (Aussagen des Supports):
Auch wenn es die ZyWall zulässt:
- keine Binde- oder Unterstriche in Passwörtern verwenden (wurde geändert, hat aber auch nichts geholfen)
- die Verbdinung zum AD muss über den Account des Domain Admins erfolgen (war bereits so)
Kurzer Zwischenstand und sehr lustig:
Nachdem ich heute Nacht mehrere fehlgeschlagene Versuche eines Logins über den urspünglich für den Support angelegten Account (ich hatte ihn nach der Session natürlich wieder deaktiviert) im Log gesehen habe, habe ich beim Zyxel Support nachgefragt.
Es handelt sich um einen Entwickler aus Übersee, der das ganze Troubleshooten wollte.
Scheinbar haben wir da eine kleine Ungereimtheit in der Firmware entdeckt.
Nachdem ich heute Nacht mehrere fehlgeschlagene Versuche eines Logins über den urspünglich für den Support angelegten Account (ich hatte ihn nach der Session natürlich wieder deaktiviert) im Log gesehen habe, habe ich beim Zyxel Support nachgefragt.
Es handelt sich um einen Entwickler aus Übersee, der das ganze Troubleshooten wollte.
Scheinbar haben wir da eine kleine Ungereimtheit in der Firmware entdeckt.
Neuer Stand:
Die ZyWall verkraftet keinerlei Sonderzeichen. Versucht man sich mit einem Account, der Sonderzeichen wie z.B. % im Passwort enthält, dann blockt die ZyWall diesen User. Hübscher Nebeneffekt bei der Geschichte:
Es werden daraufhin ALLE user von dieser Workstation geblockt. Nach ca. einer halben Stunde ist diese Sperre passé.
Was unser Problem inzwischen behoben hat:
Der Account zur LDAP Anfrage hatte ein %-Zeichen im Passwort. Ich habe den Account kopiert und ihm ein Passwort ohne Sonderzeichen gegeben. Danach war das einwählen per VPN wieder möglich, wie früher.
Die ZyWall verkraftet keinerlei Sonderzeichen. Versucht man sich mit einem Account, der Sonderzeichen wie z.B. % im Passwort enthält, dann blockt die ZyWall diesen User. Hübscher Nebeneffekt bei der Geschichte:
Es werden daraufhin ALLE user von dieser Workstation geblockt. Nach ca. einer halben Stunde ist diese Sperre passé.
Was unser Problem inzwischen behoben hat:
Der Account zur LDAP Anfrage hatte ein %-Zeichen im Passwort. Ich habe den Account kopiert und ihm ein Passwort ohne Sonderzeichen gegeben. Danach war das einwählen per VPN wieder möglich, wie früher.
Hallo.
Danke für die Rückmeldung.
LG Günther
Danke für die Rückmeldung.
LG Günther
Gerne, hab lange genug damit rumgetan. Leider war der Support keine große Hilfe.
Btw. die 30 min. sind Einstellungssache, das kann man in den Untiefen der ZyWall regeln, wie lange ein User bei wievielen Fehlversuchen ausgesperrt werden soll. In dem Fall mit dem Sonderzeichen greift allerdings nur die Zeit und das sofort.
Erlaubte /funktionierende Sonderzeichen gibt es auch:
!
.
-
_
Die letzten beiden wurden eigentlich vom Support als "geht nicht" eingestuft. In unserem Preshared Key und auch in den PWs der User sind sie kein Thema. Und das Problem ist reproduzierbar.
Der Zyxel Support hat mich übrigens hängen lassen.
Bei mir kommt im Log keine Meldung, dass eine Verbindung zum AD zu stande kommt. Auch jetzt nicht, wo das wieder funkioniert, wenn ich die AD Verbindung reinitialisiere. Der Support wollte mir nicht weiterhelfen, bis ich nicht diese Meldung sehe und empfahl mir mit Wireshark die Verbindung zum AD zu troubleshooten.
Btw. die 30 min. sind Einstellungssache, das kann man in den Untiefen der ZyWall regeln, wie lange ein User bei wievielen Fehlversuchen ausgesperrt werden soll. In dem Fall mit dem Sonderzeichen greift allerdings nur die Zeit und das sofort
.Erlaubte /funktionierende Sonderzeichen gibt es auch:
!
.
-
_
Die letzten beiden wurden eigentlich vom Support als "geht nicht" eingestuft. In unserem Preshared Key und auch in den PWs der User sind sie kein Thema. Und das Problem ist reproduzierbar.
Der Zyxel Support hat mich übrigens hängen lassen.
Bei mir kommt im Log keine Meldung, dass eine Verbindung zum AD zu stande kommt. Auch jetzt nicht, wo das wieder funkioniert, wenn ich die AD Verbindung reinitialisiere. Der Support wollte mir nicht weiterhelfen, bis ich nicht diese Meldung sehe und empfahl mir mit Wireshark die Verbindung zum AD zu troubleshooten.
