Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Fortigate VPN Debug log

Mitglied: Hardstyles

Hardstyles (Level 1) - Jetzt verbinden

11.09.2019 um 08:52 Uhr, 858 Aufrufe, 4 Kommentare

Hallo zusammen,
ich steh anscheint auf dem schlauch, was der Fortinet Support von mir möchte. Er schreibt ich soll die CLI befehle absetzten.
melde mich also an der Fortigate an, webclient oder Seriel führe die befehle aus. lade die logs hoch aber es waren die Falschen


Die Fehler Beschreibung ist das sich nicht 2 Personen vom gleichen Gateway ins VPN netz einwählen können.
Auswirkung
Person1 5.1.1.1 wählt sich ins VPN ein. Erfolgreich
Person2 gleiche ip 5.1.1.1 wählt sich ein, Person1 fliegt raus oder Person2 kommt gar nicht erst rein.

Fortinet Support Antwort
Please run the following debug flow:
Connect the first user and after connect the second one in order to catch the behavior.
I am suspecting that might be a problem with the NATing device and what are you experiencing is actually an expected behavior.
Please attach the debug flow for further troubleshooting.

Hab das ausgeführt und dann auch nach und nach die VPN Benutzer verbunden.
Gibt es irgend wo eine Extra Log für den debugfile ?
Mitglied: aqui
LÖSUNG 11.09.2019, aktualisiert um 09:39 Uhr
Leider schreibst du nicht welches VPN Protokoll verwendet wird. Vermutlich aber GRE oder IPsec. Beiden ist gemein das sie jeweils ein Session loses Prokoll für den eigentlichen Tunnel nutzen. GRE (Generic Route Encapsulation, IP Protokoll 47) oder bei IPsec ESP (Encapsulation Security Payload, IP Protokoll 50)
Billige NAT Router wie sie vermutlich bei dir auf der Client Seite zum Einsatz kommen haben meist dann kein ALG in deren Firewall an Bord die diese VPN Tunnelprotokolle pro User trackt um einem Mehrfach VPN Client Betrieb zu supporten.
Das ist leider nicht ungewöhnlich z.B. bei den billigen Schrottroutern die man von Providern bekommt.
Das Fortinet TAC hat also schon ganz recht in der Vermutung der Ursache im NAT Router. Alle Symptome sprechen stark dafür.
Diese Billig Schrottrouter können immer nur eine einzige GRE oder ESP Session outbound im NAT halten. Alle weiteren werden geblockt weil sie sie nicht mehr multiplen VPN Clients zuordnen können. First come, first serve heisst da die Devise in der Firmware.
Nach Abbruch der Tunnel Session oder Schliessen der VPN Verbindung bleibt diese noch eine Zeitlang im Cache so das keine weiteren User VPNs nutzen können. Erst nach einem Timeout des Caches funktioniert es dann wieder.
Ein typisches Verhalten und Firmware bedingt bei billigen Systemen !

Lösen kannst du das letztlich nur durch neue und bessere Router Hardware am Client Standort. Ggf. hilft auch ein Firmware Update sollte die Router Firmware nicht aktuell sein.
Die Chancen das es nur mit einem Firmware Update gefixt wird sind aber mehr als gering, denn bei solchen billigen Schrottsystemen wird in der Regel niemals mehr eine neue Funktion eingeführt oder verbessert.
Sowas darf den, der sie meistens im Rahmen von Verträgen weiterreicht, natürlich nichts mehr kosten. Die sind einzig nur an langfristigen Vertragsbindungen interessiert, niemals Kunden mit guter Hardware zu beliefern.
Bitte warten ..
Mitglied: Hardstyles
11.09.2019 um 09:25 Uhr
Vielen dank für deine Antwort.
Ipsec ist in benutzung

Ich hab jetzt noch mal den ein Test gemacht und die logfiles hochgeladen in Support mal sehen was die sagen.
Bitte warten ..
Mitglied: Hardstyles
11.09.2019 um 09:41 Uhr
sie haben auf client seite eine Fritz Box Fon WLAN 7490 in ihrem Büro
Bitte warten ..
Mitglied: aqui
11.09.2019 um 09:50 Uhr
Mmmhhh...die sollte eigentlich damit umgehen können ?! Ist das eine originale oder hat die eine gebrandete Firmware eines Providers, ist also eine Vertrags Dreingabe ?
Das Sinnvollste ist dann dort mal die Packet Capture Funktion der FB zu nutzen:
https://www.schieb.de/706106/fritzbox-packet-sniffer-die-versteckte-schn ...
und mal den ESP Traffic beider User mitzuschneiden um zu sehen was damit genau passiert nach dem NAT Prozess der FritzBox.
Das würde sicher auch dem Fortigate TAC sehr helfen.
Bitte warten ..
Ähnliche Inhalte
Apache Server

Apache modProxy debug-log schreibt in error-log

Frage von mic.weApache Server6 Kommentare

Hallo @ all, Ich habe in meinem Apache einen VHost, wo ich das Module ProxyPass verwende. Ich wollte von ...

Windows Server

Log On Log Off-Verhalten per PowerShell aus dem Event Log

Frage von Leo-leWindows Server7 Kommentare

Hallo Forum, wie gehe ich am besten vor, wenn ich aus dem DC Event Log von mehreren Nutzern das ...

Sicherheits-Tools

Kaspersky Log Report

Frage von brammerSicherheits-Tools3 Kommentare

Hallo, ich habe mit dem Kaspersky Rescue Tool einen Rechner gescannt der an keinem Netzwerk hängt und nicht hängen ...

Batch & Shell

RoboCopy Log Fehler?

gelöst Frage von clragonBatch & Shell16 Kommentare

Hallo liebe Administratoren, Bin heute auf ein komisches Problem gestoßen. Folgender Code: by rubberman Das Problem: Normalerweise sollte das ...

Neue Wissensbeiträge
Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 1 TagMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 1 TagVirtualisierung

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 1 TagFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Sicherheit
NSA: UEFI und Secure Boot einsetzen
Ticker von sabines vor 2 TagenSicherheit3 Kommentare

Hilfreicher Heise Artikel zu UEFI und Secure Boot Tipps der NSA Näheres hier: NSA Bericht

Heiß diskutierte Inhalte
Sicherheits-Tools
Passwortmanager Vorschläge
Frage von BelmontSicherheits-Tools17 Kommentare

Servus, Ich bin aktuell auf der Suche nach einem cloudbasiertem Passwortmanager mit bestimmten Features: 1. LDAP-Anbindung bzw. Azure AD ...

E-Business
Tipp oder Ansatz für ein Email-System gesucht
Frage von StefanKittelE-Business13 Kommentare

Hallo, ich habe einen Kunden der sehr viele Email-Postfächer (5-15) pro Benutzer in Outlook mit sehr großen Datenmenge hat. ...

Grafikkarten & Monitore
KVM-Switch-Monitor?
Frage von BadgerGrafikkarten & Monitore13 Kommentare

Hallo, ich möchte gerne zwei Geräte (1x Desktop, 1x Notebook) an einem Monitor anhängen. Zusätzlich sollen sich die Geräte ...

Monitoring
2 Nutzer gleichzeitig auf einem Server mit gleichem Screen-Programm arbeiten
Frage von FreelinerMonitoring12 Kommentare

Hallo in die Runde. Frage: Ist es möglich, dass 2 Nutzer gleichzeitig auf einem Server am gleichen Desktop angemeldet ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN