6
VPN über Fritzbox an Watchguard - Vista abbrüche, XP und andere Router laufen problemlos
Hallo Forum,
bisher konnte ich immer eine Lösung zu meinen IT-Probleme über das Forum oder Google finden, doch diesmal finde ich einfach nichts.
Ich hoffe Ihr könnt mir helfen
Ausgangsituation:
VPN-Verbindung über div. Rechner im HomeOffice mit "WatchGuard Mobile VPN" Software auf eine WatchGuard Edge.
Das Problem:
Wenn die VPN Verbindung über eine Fritzbox läuft, funktioniert es über einen XP-Rechner einwandfrei.
Das Notebook mit Vista Home "Light" kann auch eine Verbindung aufbauen, nur bricht diese nach ca. 3 Minuten ab, auch bei permanten Datenfluss.
Das Unglaubliche:
Das Notebook mit Vista Home läuft über andere Router (in div. Hotels, keine Ahnung welche Router das sind) einwandfrei und es gibt keine Verbindungsabbrüche!
Irgendwie scheint die FritzBox ein Keep-Alive nicht durchzulassen, das nur Vista benötigt und nicht XP. Kann es so etwas geben?
Bisherige Lösungsansätze:
Ich habe als Lösungsansatz etwas mit UDP 500 Port-Freigabe gefunden, nur brachte das leider keinen Erfolg (Vielleicht habe ich auch einen Fehler gemacht)-
Hat noch jemand eine Idee was an Vista und XP in Verbindung mit VPN über eine Firtzbox unterschiedlich sein könnte?
Danke!
Michael
bisher konnte ich immer eine Lösung zu meinen IT-Probleme über das Forum oder Google finden, doch diesmal finde ich einfach nichts.
Ich hoffe Ihr könnt mir helfen
Ausgangsituation:
VPN-Verbindung über div. Rechner im HomeOffice mit "WatchGuard Mobile VPN" Software auf eine WatchGuard Edge.
Das Problem:
Wenn die VPN Verbindung über eine Fritzbox läuft, funktioniert es über einen XP-Rechner einwandfrei.
Das Notebook mit Vista Home "Light" kann auch eine Verbindung aufbauen, nur bricht diese nach ca. 3 Minuten ab, auch bei permanten Datenfluss.
Das Unglaubliche:
Das Notebook mit Vista Home läuft über andere Router (in div. Hotels, keine Ahnung welche Router das sind) einwandfrei und es gibt keine Verbindungsabbrüche!
Irgendwie scheint die FritzBox ein Keep-Alive nicht durchzulassen, das nur Vista benötigt und nicht XP. Kann es so etwas geben?
Bisherige Lösungsansätze:
Ich habe als Lösungsansatz etwas mit UDP 500 Port-Freigabe gefunden, nur brachte das leider keinen Erfolg (Vielleicht habe ich auch einen Fehler gemacht)-
Hat noch jemand eine Idee was an Vista und XP in Verbindung mit VPN über eine Firtzbox unterschiedlich sein könnte?
Danke!
Michael
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 133196
Url: https://administrator.de/forum/vpn-ueber-fritzbox-an-watchguard-vista-abbrueche-xp-und-andere-router-laufen-problemlos-133196.html
Ausgedruckt am: 15.04.2025 um 19:04 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
WatchGuard Mobile VPN schreibt doch sicher ein Log? Was steht dort drin?
vg
Bytecounter
WatchGuard Mobile VPN schreibt doch sicher ein Log? Was steht dort drin?
vg
Bytecounter
Um dir detailiert helfen zu können müsstest du uns ja mindestens einmal mitteilen welches VPN Protokoll denn deine "WatchGuard Mobile VPN" Software benutzt.
Wie du ja sicher selber weist gibt es derer sehr viele (PPTP, IPsec, L2TP, SSL usw. usw) und jedes mit anderen Mechanismen. Mit den oberflächlichen Informationen von oben kann man die Lösung nur HIER finden
Die Frage die sich generell stellt: Wenn du mehrere Rechner hinter der FB hast warum lässt du nicht zentral die FritzBox selber einen VPN Tunnel zur Watchguard aufbauen ??
Das funktioniert problemlos wenn man die Anleitung hier beachtet !
Damit ersparst du dir die Frickelei mit zig einzelnen VPN Verbindungen hinter einer NAT Firewall. Vermutlich hat die FB Problem die VPN Passthrough Sessions zu handeln, was mehr oder weniger normal ist bei schwachbrüstigen Consumer DSL Routern. Da du in einem Hotel vermutlich der einzige bis der VPN Passthrough benutzt ist es logisch das es dort mit dem gleichen Rechner funktioniert.
Mit mehreren Rechnern die per VPN Zugreifen müssen solltest du dir mal Gedanken zu einem sinnvolleren VPN Konzept machen !
Wie du ja sicher selber weist gibt es derer sehr viele (PPTP, IPsec, L2TP, SSL usw. usw) und jedes mit anderen Mechanismen. Mit den oberflächlichen Informationen von oben kann man die Lösung nur HIER finden
Die Frage die sich generell stellt: Wenn du mehrere Rechner hinter der FB hast warum lässt du nicht zentral die FritzBox selber einen VPN Tunnel zur Watchguard aufbauen ??
Das funktioniert problemlos wenn man die Anleitung hier beachtet !
Damit ersparst du dir die Frickelei mit zig einzelnen VPN Verbindungen hinter einer NAT Firewall. Vermutlich hat die FB Problem die VPN Passthrough Sessions zu handeln, was mehr oder weniger normal ist bei schwachbrüstigen Consumer DSL Routern. Da du in einem Hotel vermutlich der einzige bis der VPN Passthrough benutzt ist es logisch das es dort mit dem gleichen Rechner funktioniert.
Mit mehreren Rechnern die per VPN Zugreifen müssen solltest du dir mal Gedanken zu einem sinnvolleren VPN Konzept machen !
Vielen Dank
Tja, ich hatte gehofft das es an einer mehr oder wenigen bekannten Problematik/Unterschied von XP zu Vista liegt.
Denn an dem Client liegt es ja offenbar nicht, zumindest funktioniert der wenn er nicht an einer Fritzbox hängt.
Es handelt sich um zwei HomeOffices, beide mit einer Fritzbox bestückt. In der Firma steht eine WatchGuard Edge.
In dem dem einen HO seht nur ein Notebook.
In dem andern HO steht ein Desktop sowie ein Notebook, nur von dem Notebook soll auf die Firma zugeriffen werden.
Mit beiden Notebooks wird auch von unterwegs mal kurz auf die Firma zugegriffen.
Es wird bei beiden nur wenige Stunden in der Woche gearbeitet.
WatchGuard liefert einen Client namens "Mobile VPN", der seit Jahren einwandfrei und ordentlich arbeitet.
Eine Router zu Router VPN Lösung macht wenig Sinn, da die Notebooks auch über UMTS/GPRS auf die Firma zugreifen können sollen und weil das mit dem Client ja bisher einwandfrei funktionierte.
Ist an dem "VPN-Konzept" etwas verbesserungswürdig?
Zurück zu den wichtigen Fragen, bei denen ich mich schwertue.
Der Client heisst Mobile VPN with IPSec. In der WatchGuard Edge kann man aber auch noch PPTP und SSL-VPN freischalten.
DPD ist absichtlich ausgeschaltet, wurde mal so empfohlen.
Das lässt sich "Traffic idle timeout" und "Max retries" jeweils mit Sekunden einstellen.
In der Fritzbox gibt es kein Protokoll bzw. Fehler.
Auch der VPN-Client hat keinen Abbruch und zeigt weiterhin an, dass er eine Verbindung hat.
Es friert nur nach wenigen Minuten der Citrix Client ein und es passiert nichts mehr.
Ich kann dann mit dem VPN-Client die Verbindung trennen und neu aufbauen, Citrix macht dann einen Auto-Reconnect und es geht wieder weiter.
Gibt es denn einen Port, über den bei IPSEC (UDP500 ist schon freigegeben) ein Keep-Alive Signal geleitet wird?
Das Protokoll:
Vielen Dank!
Michael
Tja, ich hatte gehofft das es an einer mehr oder wenigen bekannten Problematik/Unterschied von XP zu Vista liegt.
Denn an dem Client liegt es ja offenbar nicht, zumindest funktioniert der wenn er nicht an einer Fritzbox hängt.
Es handelt sich um zwei HomeOffices, beide mit einer Fritzbox bestückt. In der Firma steht eine WatchGuard Edge.
In dem dem einen HO seht nur ein Notebook.
In dem andern HO steht ein Desktop sowie ein Notebook, nur von dem Notebook soll auf die Firma zugeriffen werden.
Mit beiden Notebooks wird auch von unterwegs mal kurz auf die Firma zugegriffen.
Es wird bei beiden nur wenige Stunden in der Woche gearbeitet.
WatchGuard liefert einen Client namens "Mobile VPN", der seit Jahren einwandfrei und ordentlich arbeitet.
Eine Router zu Router VPN Lösung macht wenig Sinn, da die Notebooks auch über UMTS/GPRS auf die Firma zugreifen können sollen und weil das mit dem Client ja bisher einwandfrei funktionierte.
Ist an dem "VPN-Konzept" etwas verbesserungswürdig?
Zurück zu den wichtigen Fragen, bei denen ich mich schwertue.
Der Client heisst Mobile VPN with IPSec. In der WatchGuard Edge kann man aber auch noch PPTP und SSL-VPN freischalten.
DPD ist absichtlich ausgeschaltet, wurde mal so empfohlen.
Das lässt sich "Traffic idle timeout" und "Max retries" jeweils mit Sekunden einstellen.
In der Fritzbox gibt es kein Protokoll bzw. Fehler.
Auch der VPN-Client hat keinen Abbruch und zeigt weiterhin an, dass er eine Verbindung hat.
Es friert nur nach wenigen Minuten der Citrix Client ein und es passiert nichts mehr.
Ich kann dann mit dem VPN-Client die Verbindung trennen und neu aufbauen, Citrix macht dann einen Auto-Reconnect und es geht wieder weiter.
Gibt es denn einen Port, über den bei IPSEC (UDP500 ist schon freigegeben) ein Keep-Alive Signal geleitet wird?
Das Protokoll:
Jan 13 19:46:53
userd
User Heidi logged out from 192.168.100.200
Jan 13 19:46:52
iked
peer_cookie 6E32B60F24B75853
Jan 13 19:46:52
iked
my_cookie 4A345068D932D22A
Jan 13 19:46:52
iked
Deleting SA: peer 84.130.245.114
Jan 13 19:45:38
kernel
deny in eth0 128 icmp 20 59 84.130.245.114 217.91.63.172 3 1 (unmatched icmp)
Jan 13 19:43:27
iked
RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH
Jan 13 19:43:17
iked
RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH
Jan 13 19:43:07
iked
RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH
Jan 13 19:42:57
iked
RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH
Jan 13 19:42:47
iked
RE-TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH
Jan 13 19:42:37
iked
Tunnel created for 192.168.100.0/24 <-> 192.168.100.200/32
Jan 13 19:42:37
iked
Load inbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=2DF90408
Jan 13 19:42:37
iked
Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=AA59D0F0
Jan 13 19:42:37
iked
FROM 84.130.245.114 QM-HDR*#-1EBB5770 ISA_HASH
Jan 13 19:42:37
iked
TO 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
Jan 13 19:42:37
iked
FROM 84.130.245.114 QM-HDR*#-71C1880A ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
Jan 13 19:42:37
iked
TO 84.130.245.114 QM-HDR*#-1EBB5770 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
Jan 13 19:42:37
iked
FROM 84.130.245.114 QM-HDR*#-1EBB5770 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
Jan 13 19:42:36
iked
FROM 84.130.245.114 TR-HDR*#-42D1EEEB ISA_HASH ISA_TRANSATTR
Jan 13 19:42:36
iked
Quick Mode processing failed
Jan 13 19:42:36
iked
get_ipsec_pref: Unable to find channel info for remote(84.130.245.114)
Jan 13 19:42:36
iked
ACTION - Verify VPN IPSec Policies for 84.130.245.114
Jan 13 19:42:36
iked
WARNING - No Matching IPSec Policy found for 84.130.245.114
Jan 13 19:42:36
iked
FROM 84.130.245.114 QM-HDR*#-402BC513 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
Jan 13 19:42:36
iked
Ending phase1 as RESPONDER
Jan 13 19:42:36
iked
TO 84.130.245.114 TR-HDR*#-42D1EEEB ISA_HASH ISA_TRANSATTR
Jan 13 19:42:36
iked
Will proxyarp for 192.168.100.200 on eth1
Jan 13 19:42:36
userd
User Heidi authenticated from 192.168.100.200 via Mobile VPN with IPSec
Jan 13 19:42:36
iked
Attempting to update laddr 84.130.245.114 to ruser_ip 217.91.63.172
Jan 13 19:42:36
userd
User Heidi logged out from 192.168.100.200
Jan 13 19:42:36
iked
peer_cookie 1BFA4F303ED11609
Jan 13 19:42:36
iked
my_cookie A4FDFF1E5671DA91
Jan 13 19:42:36
iked
Deleting SA: peer 84.130.245.114
Jan 13 19:42:36
iked
Deleting old phase 1 SA for User Heidi
Jan 13 19:42:36
iked
Ignoring INITIAL_CONTACT from remote user
Jan 13 19:42:36
iked
Received INITIAL_CONTACT message, mess_id=0x00000000
Jan 13 19:42:36
iked
FROM 84.130.245.114 AG-HDR*# ISA_HASH NAT-D NAT-D ISA_NOTIFY
Jan 13 19:42:36
iked
CRYPTO ACTIVE after delay
Jan 13 19:42:36
iked
TO 84.130.245.114 AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_HASH ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID NAT-D NAT-D
Jan 13 19:42:36
iked
Rejecting peer DPD request: not configured
Jan 13 19:42:35
iked
FROM 84.130.245.114 AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID ISA_VENDORID
Jan 13 19:42:35
iked
Received a packet for an unknown SA
Jan 13 19:42:35
iked
FROM 84.130.245.114 IF-HDR* -BC7F4264 ISA_HASH
Jan 13 19:42:35
iked
FROM 84.130.245.114 IF-HDR*#-30062737 ISA_HASH ISA_DELETE
Jan 13 19:41:51
iked
RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH
Jan 13 19:41:41
iked
RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH
Jan 13 19:41:30
iked
RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH
Jan 13 19:41:21
httpd
device busy, will retry
Jan 13 19:41:21
iked
RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH
Jan 13 19:41:16
lsd
lsd_idle: server returned ok
Jan 13 19:41:13
lsd
wgcmd_handler: writing message back: OK
Jan 13 19:41:13
lsd
wgcmd_cmd_find: Found handler for module
Jan 13 19:41:13
lsd
wgcmd_server_cmd_cb: peer=lsd-api access=1 cmd=module count=2
Jan 13 19:41:11
iked
RE-TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH
Jan 13 19:41:01
iked
Tunnel created for 192.168.100.0/24 <-> 192.168.100.200/32
Jan 13 19:41:01
iked
Load inbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=0CE00406
Jan 13 19:41:01
iked
Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=86400sec/0KB SPI=BDAAAB22
Jan 13 19:41:01
iked
FROM 84.130.245.114 QM-HDR*#-CD7234F8 ISA_HASH
Jan 13 19:41:01
iked
TO 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
Jan 13 19:41:01
iked
FROM 84.130.245.114 QM-HDR*#-84051A02 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
Jan 13 19:41:01
iked
TO 84.130.245.114 QM-HDR*#-CD7234F8 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
Jan 13 19:41:01
iked
FROM 84.130.245.114 QM-HDR*#-CD7234F8 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID
Jan 13 19:41:01
iked
FROM 84.130.245.114 TR-HDR*#-09733546 ISA_HASH ISA_TRANSATTR
Jan 13 19:41:00
iked
Ending phase1 as RESPONDER
Jan 13 19:41:00
iked
TO 84.130.245.114 TR-HDR*#-09733546 ISA_HASH ISA_TRANSATTR
Jan 13 19:41:00
iked
Will proxyarp for 192.168.100.200 on eth1
Jan 13 19:41:00
userd
User Heidi authenticated from 192.168.100.200 via Mobile VPN with IPSec
Vielen Dank!
Michael
Ein SSL VPN funktionier ganz simple über einen HTTPS Tunnel mit einem Browser. PPTP ist das Protokoll was Windows und alle anderen Betreibssysteme so mit an Bord haben...
OK, dein Client nutzt dann IPsec. Nun musst du noch klären ob der Client NAT Traversal supportet. Tut er das nicht musst du zwingend die Ports UDP 500 (IKE) und das ESP Protokoll (Protokoll Nummer 50, Kein UDP oder TCP 50 !) auf die IP Adresse des Clients forwarden in der Port Weiterleitung. Sonst funktioniert es nicht.
Mit NAT Traversal Support ist das nicht nötig.
Eine Kopplung der Fritzboxen direkt auf die Watchguard macht schon Sinn, denn dann kann man problemlos ohne NAT Frickelei auf das Firmennetz zugreifen, da der Router die VPN Verbindung hält.
Es hinter dich ja niemand daran in UMTS oder GSM Netzen dann wieder den Client zu benutzen...
Als Alternative solltest du ggf. einmal den kostenlosen Shrew Client probieren, denn der supportet sicher NAT Traversal und funktioniert problemlos mit der Watchguard:
http://www.shrew.net/download
OK, dein Client nutzt dann IPsec. Nun musst du noch klären ob der Client NAT Traversal supportet. Tut er das nicht musst du zwingend die Ports UDP 500 (IKE) und das ESP Protokoll (Protokoll Nummer 50, Kein UDP oder TCP 50 !) auf die IP Adresse des Clients forwarden in der Port Weiterleitung. Sonst funktioniert es nicht.
Mit NAT Traversal Support ist das nicht nötig.
Eine Kopplung der Fritzboxen direkt auf die Watchguard macht schon Sinn, denn dann kann man problemlos ohne NAT Frickelei auf das Firmennetz zugreifen, da der Router die VPN Verbindung hält.
Es hinter dich ja niemand daran in UMTS oder GSM Netzen dann wieder den Client zu benutzen...
Als Alternative solltest du ggf. einmal den kostenlosen Shrew Client probieren, denn der supportet sicher NAT Traversal und funktioniert problemlos mit der Watchguard:
http://www.shrew.net/download
Danke aqui,
eine direkte Verbindung wollte ich vermeiden, um ggf. vorhandene private Rechner mit Schädlingen fern zu halten.
Die Frage, die sich mir immer noch stellt, ist was an Vista Home Basic anders gehandhabt wird als mit XP-Professional. Denn die VPN Clientsoftware ist 100% identisch (inkl. Versionsnummer).
Ich werde die von Dir vorgeschlagenen Port-/Protokoll Weiterleitungen ausprobieren. Wenn es nicht klappt, werde ich wohl XP aufspielen und hoffen das die nächten Notebooks mit Win7 die Probleme nicht haben bzw. das wir bis dahin neue Router einsetzen.
Ich werde noch berichten wie die Lösung aussah.
Danke
Michael
eine direkte Verbindung wollte ich vermeiden, um ggf. vorhandene private Rechner mit Schädlingen fern zu halten.
Die Frage, die sich mir immer noch stellt, ist was an Vista Home Basic anders gehandhabt wird als mit XP-Professional. Denn die VPN Clientsoftware ist 100% identisch (inkl. Versionsnummer).
Ich werde die von Dir vorgeschlagenen Port-/Protokoll Weiterleitungen ausprobieren. Wenn es nicht klappt, werde ich wohl XP aufspielen und hoffen das die nächten Notebooks mit Win7 die Probleme nicht haben bzw. das wir bis dahin neue Router einsetzen.
Ich werde noch berichten wie die Lösung aussah.
Danke
Michael
so, dass Problem ist ohne XP-Installation gelöst
Warum das auch das so ist:
Nach der Freigabe in der Firebox Firewall von VPN-Any (BOVPN) für ausgehende Verbindungen klappt es auch mit Vista Home Basic und der Fritzbox.
Ohne die Freigabe ist nach ca. 3 Minuten Schluss, egal was auf der Clientseite eingestellt ist. Mit XP klappt es problemlos, mit Vista halt nur so.
So weit ich mich eingelesen habe, wird das Branch Office Virtual Private Network eigentlich nur von Router zu Router genutzt.
Warum das auch das so ist:
Nach der Freigabe in der Firebox Firewall von VPN-Any (BOVPN) für ausgehende Verbindungen klappt es auch mit Vista Home Basic und der Fritzbox.
Ohne die Freigabe ist nach ca. 3 Minuten Schluss, egal was auf der Clientseite eingestellt ist. Mit XP klappt es problemlos, mit Vista halt nur so.
So weit ich mich eingelesen habe, wird das Branch Office Virtual Private Network eigentlich nur von Router zu Router genutzt.
