Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Site-to-Site VPN zwischen Watchguard und Fortigate

Mitglied: FiSi-Chrissi

FiSi-Chrissi (Level 1) - Jetzt verbinden

15.01.2014 um 16:18 Uhr, 6775 Aufrufe, 7 Kommentare

Hallo,

habe ein Problem bei einer VPN Verbindung....

anbei das Log der Watchguard
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received fifth message with policy [gw-yaveon] from y.y.y.y:500 main mode
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : SAState.sState(7)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkePrepareIsakmpKeyMat()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeMMProcessIDMsg : Calling IkeCipherMsg()
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(5) Len(21)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(8) Len(24)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeCheckPayloadsG: Payload(11) Len(28)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)IkeNotifyPayloadNtoH : SPI Size 16 first4(0xabf2ee57)
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Received an INITIAL_CONTACT message from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Ignored the INITIAL_CONTACT (repeated) from y.y.y.y:500
<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an authentication failure
<155>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Process 5/6 Msg : failed to process ID payload
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)Cannot process MM ID payload from y.y.y.y:500 to x.x.x.x cookies i=57eef2ab 9acb2837 r=3826b559 87bcd610
<158>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)ike_process_pkt : ProcessData returned error (-1)

Leider kenn ich mich mit Watchguard nicht so gut aus... Kann mir vllt. jemand aufgrund des Log's einen Lösungsansatz geben?

Grüße

Christian
Mitglied: Dirmhirn
15.01.2014 um 16:40 Uhr
Hi!

musste vor Jahren mal eine FGT mit einer Netgear Kiste (o.ä.) verbinden.
Am Ende hat es dadurch Funktioniert, dass in beiden Geräten nur genau eine Konfig eingestellt war, d.h. zb Diffie-Hellman nur eine bestimmte Gruppe zulassen. Bei der FGT kannst du verschiedene anwählen und zwei FGTs einigen sich auf eine.
Bei Cisco mussten wieder an beiden Enden die exakt gleichen Remote Netz angegeben werden.

vll findest du das was.

sg Dirm
Bitte warten ..
Mitglied: Th0mKa
15.01.2014 um 17:14 Uhr
Zitat von FiSi-Chrissi:

<156>Jan 15 16:02:25 iked[2210]: (x.x.x.x<->y.y.y.y)WARNING: Mismatched ID settings at peer y.y.y.y:500 caused an
authentication failure

Moin,

du solltest mal die IDs auf beiden Seiten prüfen, eventuell auch mal was anderes als Identifier nehmen. Tunnel zwischen zwei Herstellern sind immer etwas tricky...

VG,

Thomas
Bitte warten ..
Mitglied: aqui
15.01.2014, aktualisiert um 23:00 Uhr
Ein paar Grundlagen und Tips für heterogene IPsec VPNs kannst du hier nachlesen:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und Allgemein:
https://www.administrator.de/contentid/73117
Kollege tkr104 hat aber den richtigen Riecher mit den miskonfigurierten Identifiern. Da liegt der Fehler ! Korrigier das und dann sollte das zum Fliegen kommen.
Bitte warten ..
Mitglied: exellent
16.01.2014 um 08:33 Uhr
Hey,

was sagt denn die Fortigate im Log? Hast du bei der Phase2 in der Fortigate die Quick Mode Selectoren ausgefüllt/eingetragen? Auch drauf achten, dass die Phase1 und Phase2 Einstellungen bei Watchguard und Fortigate übereinstimmen.

Das VPN Troubleshooting ist bei Fortigate besser als bei den Watchguards. Vielleicht schaust du auf der Fortigate mal woran es liegt. Auf der CLI :

diag debug enable
diag vpn ike filter dst-addr4 *Externe IP der Watchguard*
diag debug application ike 255

Lass den Debug circa ne Minute laufen und tipp dann "blind" auf der CLI ein
diag debug disable

Danach kannst du dir in Ruhe den Output ansehen und schauen woran es liegt.
Bitte warten ..
Mitglied: FiSi-Chrissi
16.01.2014 um 08:41 Uhr
Danke für die Antwort.

Bei der Watchguard stellt sich die ID Automatisch gleich mit der IP Adresse, Leer lassen des Feldes funktioniert nicht, während ich bei der Fortigate nur eine Local ID und keine Remote ID angeben kann.

Wenn ich auf das Log der Forti schaue sehe ich das die Abhandlung der Stufe 1 - 3 im Outbound mit einem Success abgeschlossen werden während ich von der Watchguard gar keine Inbound Anfrage bekomme...
Bitte warten ..
Mitglied: FiSi-Chrissi
16.01.2014 um 10:03 Uhr
Das bringt mich schonmal weiter, dooferweise funktioniert dass mit den Filter nicht, ich bekomme sämtliche VPN's angezeigt habe nicht die Möglichkeit blind einzugeben.....
Bitte warten ..
Mitglied: exellent
16.01.2014 um 13:50 Uhr
Hey FiSi-Chrissi,

wenn der ganze Output läuft, musst du blind "diag debug reset" eingeben und dann enter drücken. Dann hört der Output auf. Am besten dabei nicht auf den Bildschirm gucken da in der Zeit wo du es eingibst 1000000 Zeilen runterrattern

Welche Firmware läuft auf der Fortigate? Der Filter müsste eigentlich funktionieren.

diag debug enable
diag vpn ike filter dst-addr4 86.88.64.136 (<- dort die externe IP der Watchguard eintragen)
diag debug application ike 255
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail

Outlook 2016 beim Senden einer Mail sit die Liste unter "Datei anfügen" ausgegraut

Frage von spiky123Outlook & Mail1 Kommentar

Hallo Zusammen, ich habe mit einem frisch installierten Outlook 2016 mit Zugriff auf den Cloud-Exchange-Server von Microsoft ein Problem. ...

Router & Routing

Watchguard VPN: Unerklärliche Verbindungsabbrüche

gelöst Frage von RottenSon667Router & Routing13 Kommentare

Hallo, ich wollte den Case eigentlich an Watchguard selbst weiter geben, aber deren nicht vorhandener Support lässt die Erstellung ...

LAN, WAN, Wireless

Watchguard T15 VPN Einrichtung

gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Router & Routing

Tunnel VPN to VPN

Frage von itschloeglRouter & Routing8 Kommentare

Guten Abend. Folgende Problemstellung: Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den ...

Neue Wissensbeiträge
Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 1 TagPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Batch & Shell
PowerShell Konferenz - Videos online
Information von NetzwerkDude vor 1 TagBatch & Shell

Abend, die Tage werden Videos der Talks von der diesjährigen EU Powershell Konferenz hochgeladen, sind einige Interessante dabei: MFG ...

Windows Update

Windows 10 1903 Updates über Wsus erst nach Auswahl weiterer Produktkategorie

Information von Spirit-of-Eli vor 3 TagenWindows Update6 Kommentare

Moin, den Tipp habe ich hier noch nicht gesehen. Er adressiert all diejenigen, die Windows 10 1903 über einen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
Unerklärlicher Gestank im EDV-Raum - "neues" Gebäude und keine offenkundige Ursache feststellbar!
Frage von VGem-eErkennung und -Abwehr29 Kommentare

Moin Kollegen, ich habe seit heute Morgen das Problem, dass in unserem EDV-Raum ein total unerklärbarer Gestank herrscht! Ich ...

Verschlüsselung & Zertifikate
Bitlocker oder Veracrypt unter Win10? Was ist hinsichtlich Performance, Sicherheit, Backup und Kompatibilität besser?
Frage von PluwimVerschlüsselung & Zertifikate23 Kommentare

Guten Morgen, bei mir wird demnächst eine neue Platte fällig, weil ich mein Win7-System auf Win10 umstellen will. D.h. ...

LAN, WAN, Wireless
Warum ist die Datenübertragung per WLAN zu bestimmten Servern sehr langsam?
Frage von PluwimLAN, WAN, Wireless18 Kommentare

Hallo Netzwerker, beim Einrichten des Notebooks für einen Bekannten fiel mir auf, dass Downloads per WLAN teilweise extrem lahm ...

Router & Routing
Microsoft Server: Kopierlast auf bestimmte NIC legen für Backup
gelöst Frage von LollipopRouter & Routing15 Kommentare

Guten Tag Mit zwei Servern machen wir eine einfache Datenspiegelung als Teil unseres Backup-Systems. Dazu wünsche ich mir einen ...