wesser-h
Goto Top

MUVPN bei einer Watchguard X700

Hallo Leute,

ich habe hier eine WG X700 und habe mir ein MUVPN-Profil erstellt, welches ich auch erfolgreich auf meinem Laptop mit der jeweiligen Client-Software installieren konnte. Der Verbindungsaufbau, sowie die Authentifizierung funktioniert auch einwandfrei. Jedoch kann ich keine Hosts im Firmennetz erreichen. Ein ipconfig auf meinem Laptop zeigte mir, dass ich auch von der WG eine IP-Adresse zugewiesen bekommen habe, jedoch mit einer 32-Bit-Subnetzmaske und einem Gateway, welcher der zugewiesenen IP-Adresse entspricht.

Kann mir jemand sagen, was ich falsch gemacht habe?

Content-ID: 39667

Url: https://administrator.de/forum/muvpn-bei-einer-watchguard-x700-39667.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

xsoodom
xsoodom 08.09.2006 um 12:12:15 Uhr
Goto Top
1. Frage Extended Auth oder Firebox Auth?
2. Hast du im Watchguard Manager/Policy Manager/Network Configuration Registerkarte WINS/DNS die internen DNS Server deiner Domain eingetragen ?
3. Unter Remote User Setup MUVPN advanced hast du unter Virtual Adapter Setting Preferred eingetragen?

Gegebenfalls die MUVPN WGX Datei auf den Laptop aktualisieren!

Kiste flashen und reboot - dann klappt es

xsoodom
wesser-h
wesser-h 08.09.2006 um 12:38:12 Uhr
Goto Top
1. Frage Extended Auth oder Firebox Auth?

Firebox-Auth.

2. Hast du im Watchguard Manager/Policy
Manager/Network Configuration Registerkarte
WINS/DNS die internen DNS Server deiner
Domain eingetragen ?

Yep.

3. Unter Remote User Setup MUVPN advanced
hast du unter Virtual Adapter Setting
Preferred eingetragen?

Nein, habe ich aber gerade geändert.

Gegebenfalls die MUVPN WGX Datei auf den
Laptop aktualisieren!

Hab ich gemacht.

Kiste flashen und reboot - dann klappt es

x700 rebootet, aber klappt immer noch nicht face-sad
DNS-Server wird auch richtig übertragen.
Hier mal das LOG von dem VPN-Client. <FW-GW> ist eine Variable für unseren VPN-Gateway:

<SNIP-LOG>
9-08: 12:27:42.343
9-08: 12:27:42.343 My Connections\<FW-GW>-0.0.0.0 - Initiating IKE Phase 1 (IP ADDR=<FW-GW>)
9-08: 12:27:42.515 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, VID 2x, NAT-D 2x, HASH)
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Peer supports Keepalive processing
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Peer is NAT-T draft-02 capable
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Keepalive processing enabled
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - NAT is detected for Client
9-08: 12:27:42.687 My Connections\<FW-GW>-0.0.0.0 - Floating to IKE non-500 port
9-08: 12:27:42.796 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
9-08: 12:27:42.796 My Connections\<FW-GW>-0.0.0.0 - Established IKE SA
9-08: 12:27:42.796 MY COOKIE bla bla bla
9-08: 12:27:42.796 HIS COOKIE bla bla bla
9-08: 12:27:42.937 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:49.593 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - Received Private DNS Address = IP ADDR=192.168.2.3
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - IKE Extended Authentication successful.
9-08: 12:27:50.750 My Connections\<FW-GW>-0.0.0.0 - Received Private IP Address = IP ADDR=192.168.1.235
9-08: 12:27:50.750 Virtual Interface configured to use Def GW
9-08: 12:27:51.218 Virtual Interface constructed for local interface 192.168.1.235
9-08: 12:27:51.250 Virtual Interface added: 192.168.1.235/255.255.255.0 on ISDN "SafeNet VA miniport".
9-08: 12:27:51.328 Route <FW-GW>-><meine_oeffentliche_IP> added.
9-08: 12:27:51.328 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
9-08: 12:27:51.468
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Initiating IKE Phase 2 with Client IDs (message id: bla bla bla)
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Initiator = IP ADDR=192.168.1.235, prot = 0 port = 0
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - Responder = IP SUBNET/MASK=0.0.0.0/0.0.0.0, prot = 0 port = 0
9-08: 12:27:51.468 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x)
9-08: 12:27:51.625 My Connections\<FW-GW>-0.0.0.0 - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NOTIFY:STATUS_RESP_LIFETIME, NON, KE, ID 2x)
9-08: 12:27:51.625 My Connections\<FW-GW>-0.0.0.0 - Filter entry 3: SECURE 192.168.001.235&255.255.255.255 000.000.000.000&000.000.000.000 <FW-GW> added.
9-08: 12:27:51.687 Route 0.0.0.0/0.0.0.0->192.168.1.235 added.
9-08: 12:27:51.687 My Connections\<FW-GW>-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(HASH)
9-08: 12:27:51.718 My Connections\<FW-GW>-0.0.0.0 - Loading IPSec SA (Message ID = bla bla bla OUTBOUND SPI = bla bla bla INBOUND SPI = bla bla bla)
9-08: 12:27:51.718
</SNIP-LOG>

Interessant finde ich die Zeile, die mit "Filter entry 3" beginnt...

Mmmh....
xsoodom
xsoodom 08.09.2006 um 13:14:24 Uhr
Goto Top
Im Moment komme ich an keinen Client ran, wo ich die Logs prüfen könnte.

Im Mobile User Wizard bitte kein User is connect with a pocket PC
dann Use the passphrase of the end...
Nicht Use default gateway, sondern das Subnetz/24 in welches du dich einwählen möchtest
eine virtuelle IP, aber keine zB 192.168.2.50 oder 60, mit einer 0 am Ende) keine Ahnung warum, die Einwahl hat bei mir so nicht geklappt
Protection SHAI und 3 DES

MUVPN Icon rechts im Systemstart muss grün/Gelb leuchten und ein ON beinhalten

Das FB Log sollte bei der Einwahl aber so in etwa aussehen:

MUVPN öffentliche IP ist "Client PIP"
Server öffentliche IP ist "Server PIP"
Firebox Auth Username ""MUVPN Name"


09/08/06 12:54 fwcheck[140]: fwcheck v7.4.1.B2039 (C) 1996-2006 WGTI
09/08/06 12:54 iked[148]: FROM "Client PIP" IF-HDR* -06D29C74 ISA_HASH
09/08/06 12:54 iked[148]: Received a packet for an unknown SA
09/08/06 12:54 iked[148]: FROM "Client PIP" IF-HDR* -8D005380 ISA_HASH
09/08/06 12:54 iked[148]: Received a packet for an unknown SA
09/08/06 12:54 iked[148]: FROM "Client PIP" AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID
09/08/06 12:54 iked[148]: Rejecting peer XAUTH request: not configured
09/08/06 12:54 iked[148]: TO "Client PIP" AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_HASH ISA_VENDORID ISA_VENDORID NAT-D NAT-D
09/08/06 12:54 iked[148]: CRYPTO ACTIVE after delay
09/08/06 12:54 iked[148]: FROM "Client PIP" AG-HDR*# ISA_HASH NAT-D NAT-D ISA_NOTIFY ISA_NOTIFY
09/08/06 12:54 iked[148]: Received REPLAY_STATUS message, mess_id=0x00000000
09/08/06 12:54 iked[148]: Received INITIAL_CONTACT message, mess_id=0x00000000
09/08/06 12:54 iked[148]: Attempting to update laddr "Client PIP" to ruser_ip "Server PIP"
09/08/06 12:54 iked[148]: Add Host 7 "192.168.9.52" "ipsec_users" "MUVPN Name" succeeded
09/08/06 12:54 iked[148]: User "MUVPN Name" at "Client interne IP" logged in
09/08/06 12:54 iked[148]: TO "Client PIP" TR-HDR*#-B45B1AF6 ISA_HASH ISA_TRANSATTR
09/08/06 12:54 iked[148]: Sending INITIAL_CONTACT message
09/08/06 12:54 iked[148]: TO "Client PIP" IF-HDR*#-CE6A45FD ISA_HASH ISA_NOTIFY
09/08/06 12:54 iked[148]: Ending phase1 as RESPONDER
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-89EB842B ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: WARNING - No Matching IPSec Policy found for "Client PIP"
09/08/06 12:54 iked[148]: ACTION - Verify VPN IPSec Policies for "Client PIP"
09/08/06 12:54 iked[148]: get_ipsec_pref: Unable to find channel info for remote("Client PIP")
09/08/06 12:54 iked[148]: Quick Mode processing failed
09/08/06 12:54 iked[148]: FROM "Client PIP" TR-HDR*#-B45B1AF6 ISA_HASH ISA_TRANSATTR
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: TO "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
09/08/06 12:54 iked[148]: FROM "Client PIP" QM-HDR*#-E18AAE90 ISA_HASH
09/08/06 12:54 iked[148]: Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=43200sec/0KB SPI=FDCC9AE6
09/08/06 12:54 iked[148]: Load inbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=43200sec/0KB SPI=0004C92C
09/08/06 12:54 iked[148]: Tunnel created for 192.168.9.0/24 <-> 192.168.9.52/32
09/08/06 12:54 kernel: ipsec: make bundle for channel 3, 1 in SA's, 1 out SA's
wesser-h
wesser-h 13.09.2006 um 13:55:57 Uhr
Goto Top
Hallo!

Sorry für meine späte Rückmeldung.
Ich konnte endlich das Problem lösen. Scheinbar hat die x700 die Zuordnung User<->Group nicht korrekt umgesetzt. Ich habe noch einmal ein frisches MUVPN-Profil aufgesetzt und jetzt funktioniert es auch.

Vielen Dank für Deine Hilfe.