bitbauer
11.09.2013
view7862
view9
1
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Watchguard Firebox: VPN Ping nur in eine Richtung möglich

FrageNetzwerkeRouter, Routing
Hallo!

Ich habe eine Watchguard Firebox X750e im Einsatz und einen PPTP-VPN-Zugang konfiguriert (Ich weiß, ist nicht das sicherste, dafür aber einfachste).

Die VPN-Verbindung wird auch aufgebaut. Wenn ich jetzt jedoch von dem VPN-Client eine Verbindung zu einem Server im Watchguard-Netzwerk aufbauen möchte, gelingt das nicht. Auch ein Ping geht nicht durch.

Und jetzt kommt das seltsame: Wenn ich den Ping von einem Server im Watchguard-Netzwerk (172.16.x.x) auf den VPN-Client (172.18.0.x) mache, klappt das sofort. Witzigerweise funktioniert danach dann auf einmal auch der Ping in die andere Richtung.

Woran könnte das liegen?

Gruß

Gerrit
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 216644

Url: https://administrator.de/forum/watchguard-firebox-vpn-ping-nur-in-eine-richtung-moeglich-216644.html

Ausgedruckt am: 20.05.2025 um 20:05 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
108012
108012 11.09.2013 um 12:08:41 Uhr
Goto Top
Hallo,

(Ich weiß, ist nicht das sicherste, dafür aber einfachste).
Und warum änderst Du das nicht einfach!?

Woran könnte das liegen?
An den Firewall Regeln eventuell?

Gruß
Dobby
heart1
Deepsys
Deepsys 11.09.2013 um 13:46:42 Uhr
Goto Top
Hi,

Zitat von @Bitbauer:
Ich habe eine Watchguard Firebox X750e im Einsatz und einen PPTP-VPN-Zugang konfiguriert (Ich weiß, ist nicht das sicherste,
dafür aber einfachste).
Da bin ich anderer Meinung.
Du bekommst von Watchguard den (ShrewSoft) IPSec-Client und den SSL-Client für umme, die Einrichtung sind ein paar Schritte, SSL ist einfacher.
Dann bekommst du für IPSec eine fertige Konfig-Datei und für SSL brauchst du den Namen/IP der Firewall und deine Anmeldedaten, fertig!
Also, lass die Finger von dem unsicheren, geknackten PPTP!

Die VPN-Verbindung wird auch aufgebaut. Wenn ich jetzt jedoch von dem VPN-Client eine Verbindung zu einem Server im
Watchguard-Netzwerk aufbauen möchte, gelingt das nicht. Auch ein Ping geht nicht durch.
Guck dir mal auf System Manager ob das was hängen bleibt ...

Und jetzt kommt das seltsame: Wenn ich den Ping von einem Server im Watchguard-Netzwerk (172.16.x.x) auf den VPN-Client
(172.18.0.x) mache, klappt das sofort. Witzigerweise funktioniert danach dann auf einmal auch der Ping in die andere Richtung.
Das spricht aber eher für eine Firewall/Sicherheitssoftware auf dem Server ....

VG
Deepsys
heart1
Bitbauer
Bitbauer 11.09.2013 um 15:16:50 Uhr
Goto Top
Das Phänomenen tritt auch auf, wenn ich einen anderen Server pinge. Ich muss immer erst aus dem Watchguard-Netzwerk den VPN-Client anpingen, bevor ich anders herum pingen kann. Das witzige ist auch, dass es früher mal ohne ging. Ich hatte auch schon das Verhalten, dass die ersten 3 oder 4 Pings durchgehen und dann auf einmal nicht mehr.

Ich werde das ganze jetzt noch mal mit dem Shrewsoft versuchen, meine aber das ich da damals ähnliche Probleme hatte.
108012
108012 11.09.2013 um 16:01:31 Uhr
Goto Top
Ich werde das ganze jetzt noch mal mit dem Shrewsoft versuchen, meine aber das ich da damals ähnliche Probleme hatte.
- Der ShrewSoft umgeht das ganze nicht, sondern ist nur sicherer in der Wahl der VPN Methode.
- Du wirst mit allem immer Probleme bekommen wenn dort die Berechtigungen nicht gesetzt sind
- Wenn es an den Firewallregeln liegt so wie ich das sehe!
- Wenn dahinter VLANs sind und man von der Firewall die IP Adressen per DHCP vergeben bekommt und
zwar von einem VLAN das eben keinen Zugriff auf das VLAN der Server hat!!!!
Dann muss eine Route her bzw. angelegt werden und zwar so dass man auf alles zugreifen kann im LAN oder
eben speziell auf das VLAN mit den Servern!

Normalerweise verhält es sich so, dass man wenn die VPN Verbindung "steht" Zugriff auf das gesamte
LAN hinter dem Router bzw. der Firewall hat, ist dem nicht so sind mit unter bzw. sehr oft die Regeln der
Firewall nicht richtig gesetzt. Kann man auch schnell mit der Suchfunktion des Forums überprüfen.

Gruß
Dobby
heart1
Bitbauer
Bitbauer 11.09.2013 um 16:45:31 Uhr
Goto Top
Wie gesagt: Wenn ich einmal aus der einen Richtung pingen konnte, geht ja die andere Richtung. Das kann ja dann eigentlich nicht an den Berechtigungen liegen, oder?

Wenn es an den Berechtigungen liegen würde, dürfte es ja nie gehen.

VLAN Tags setzen wir nicht ein.

Ich tippe eigentlich eher auf ein Firmware/OS-Problem auf der Watchguard.
heart1
108012
108012 11.09.2013 um 16:49:31 Uhr
Goto Top
Wie gesagt: Wenn ich einmal aus der einen Richtung pingen konnte, geht ja die andere Richtung. Das kann ja dann eigentlich nicht an den Berechtigungen liegen, oder?
Ich denke wir reden an einander vorbei, ich meine die Firewallregeln direkt auf der Watchguard Firewall und nicht
die des Servers!
Klar muss der Benutzer angelegt sein und auch über Rechte verfügen die es Ihm erlauben als entfernter Benutzer
auf den oder die Server zuzugreifen".

Ich denke auf der Watchguard sind ein paar oder nur eine bzw. nur zum teil die Firewallreglen falsch gesetzt und
zwar für das VPN!

Gruß
Dobby
heart1
Bitbauer
Bitbauer 11.09.2013 um 17:02:29 Uhr
Goto Top
Also ich habe mittlerweile die Firewall-Richtlinie neu angelegt und habe immer noch dasselbe Problem. Ich werde die Firebox nachher mal neu starten. Und warum sollte es eine Regel geben "erst wenn von intern nach VPN ein Zugriff stattfindet, darf auch von VPN nach intern zugegriffen werden, egal wohin". Das macht ja irgendwie keinen Sinn.

Ich werde noch mal ein bisschen rumprobieren...
heart1
Bitbauer
Bitbauer 17.09.2013 aktualisiert um 11:22:23 Uhr
Goto Top
Also leider immer noch keine Lösung in Sicht. Mittlerweile habe ich zusätzlich das Problem, dass immer nur ein VPN-Benutzer zur Zeit auf die Server zugreifen kann.

Im Traffic Monitor des System Managers stehen mehrere Einträge wie z.B.

2013-09-17 12:11:16 Deny 172.18.0.2 255.255.255.255 netbios-ns/udp 137 137 pptp0 Firebox Denied 78 128 (Unhandled External Packet-00) proc_id="firewall" rc="101" src_user="VPNUser@Firebox-DB" Traffic
2013-09-17 12:11:31 Deny 172.18.0.2 255.255.255.255 8612/udp 58041 8612 pptp0 Firebox Denied 44 128 (Unhandled External Packet-00) proc_id="firewall" rc="101" src_user="VPNUser@Firebox-DB" Traffic
2013-09-17 12:09:34 Deny 172.16.3.5 172.18.0.2 49933/tcp 25524 49933 2-172 network Firebox tcp syn checking failed 41 128 (Internal Policy) proc_id="firewall" rc="101" tcp_info="offset 5 A 3601266733 win 65281" dst_user="VPNUser@Firebox-DB" Traffic
Bitbauer
Bitbauer 17.09.2013 um 11:38:51 Uhr
Goto Top
In der Watchguard gibt es genau 2 Firewall-Regeln, die von der Firewall beim Aktivieren der Option "Activate Mobile VPN with PPTP" hinzugefügt werden.
FrageNetzwerkeRouter, Routing
Heiß diskutiert
DiWiDiWiNutzung eines Teams in Hyper-V 2025DiWiDiWi - 69 Kommentarem.sterDELL PowerEdge bootet nichtm.ster - 46 Kommentarem.sterHat Microsoft seinen eigenen Patchday verpenntm.ster - 29 KommentarejensgebkenWindows-Update geht auf Notebook nichtjensgebken - 23 KommentareMeinGottWalterDatei hosts zur Abwehr von DatenschnüffeleienMeinGottWalter - 21 KommentareSeekuhrittyOffice 365 Hack trotz MFA, ohne AdminrechteSeekuhritty - 20 KommentareMadMax93Benötigen neuen DNS ServerMadMax93 - 20 KommentareYan2021Daten auf Google Drive sicher ablegen möglich?Yan2021 - 19 KommentareMarabuntaVM-Host ServerupgradeMarabunta - 19 KommentareMysticFoxDEMicrosoft sperrt auf Anordnung von Trump das E-Mail-Konto eines IStGH MitarbeitersMysticFoxDE - 19 KommentareTomTom89Univention + OpenXchange Mailserver - CalDAV CardDAVTomTom89 - 17 Kommentare1Werner1Windows 11 (24H2) ohne TPM Prüfung auf jeden PC1Werner1 - 16 KommentarePenny.CilinMicrosoft streicht NPOs die 10 kostenlosen MS 365 Business Premium LizenzenPenny.Cilin - 15 Kommentare