Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Watchguard IKEv2 Mobile VPN mit NPS

Mitglied: Mr.Klix

Mr.Klix (Level 1) - Jetzt verbinden

25.03.2020 um 22:30 Uhr, 263 Aufrufe, 7 Kommentare

Hallo zusammen,

bin gerade etwas am verzweifeln.
Ziel ist es die User demnächst auf ein IKEv2 Mobile VPN mit Radius (NPS Server 2016) Authentifizierung umzustellen. IKEv2 mit Zertifikat und lokalen Firebox Usern läuft problemlos. Sobald ich auf den Radius umstelle bekomme ich keine Verbindung zu stande. Es soll die Mitgliedschaft der AD VPN-User Gruppe geprüft werden und entsprechend Zugang zum Netz gewährt werden.

Ich nutze den nativen Win10 1903 VPN Client um die Verbidnung zu testen. Das Watchguard Cluster M270 ist auf dem aktuellsten Stand 12.5.2

Folgende Log's erhalte ich.

NPS:
Die NPS Eventlogs melden: Event 6272 Network Policy Server granted access to a user. Soweit so gut.

Client:

Windows Eventlogs:
Event 20221 Quelle: RasClient
Event 20222 Quelle: RasClient
Event 20223 Quelle: RasClient
Event 20224 Quelle: RasClient

zum Schluss:

Event 20227 CoID={507D3DF9-9A50-466F-98B1-5EDA8F0CD022}: Der Benutzer "Domain\User" hat eine Verbindung mit dem Namen "WG IKEv2" gewählt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: -2143157998.

Watchguard:
Firebox Diagnostic LOG: 2020-03-25 21:54:15 WG2 admd RADIUS:check RADIUS authenticator (172.20.1.1) failed
Firebox Event: 2020-03-25 22:00:13 WG2 admd Authentication of MUVPN user [dk@RADIUS] from 84.59.XXX.XXX was rejected, Recv timeout msg_id="1100-0005"


Scheinbar geht die Radius Auth durch. An der korrekten Rückmeldung hapert es jedoch.

Hat eventuell jemand ein ähnliches Konstrukt am laufen und möchte mal seine Config mit mir durchgehen? Werde aus der Sache einfach nicht mehr schlau.


PS:
Die Watchguard KB Artikel habe ich natürlich gelesen und befolgt. Config mehrfach überflogen, geprüft, gelöscht und wieder neu gemacht. Immer das selbe Bild.

Meine Quellen
- Einrichtung Firebox: https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
- Einrichtung NPS: https://watchguardsupport.secure.force.com/publicKB?type=KBArticle&S ...
- IIKEv2: https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
Mitglied: chgorges
25.03.2020 um 23:29 Uhr
Hi,

hört sich blöd an, aber den NPS hast du zwischendurch mal neugestartet? In der letzten Zeit konnten gefühlt 10 Threads mit NPS-Problem mit einem Neustart des Servers behoben werden.
Bitte warten ..
Mitglied: Mr.Klix
26.03.2020, aktualisiert um 08:13 Uhr
Zitat von chgorges:

Hi,

hört sich blöd an, aber den NPS hast du zwischendurch mal neugestartet? In der letzten Zeit konnten gefühlt 10 Threads mit NPS-Problem mit einem Neustart des Servers behoben werden.

Hatte ich tatsächlich noch nicht gemacht. Hat das Problem leider nicht gelöst. Wäre zu schön gewesen

Was mir im NPS Log noch aufgefallen ist, was bei der WLAN Auth definitiv nicht so ist. (siehe Bild)

nps_issue - Klicke auf das Bild, um es zu vergrößern


Wenn ich die Einwahl über Android teste (selbes IKEv2 Profil) sieht der LOG EIntrag im NPS normal aus. Also domain\User
Bitte warten ..
Mitglied: Deepsys
26.03.2020 um 12:03 Uhr
Hi,


Zitat von Mr.Klix:
Ich nutze den nativen Win10 1903 VPN Client um die Verbidnung zu testen.
Ähm du meinst uner Einstellungen/VPN den Dialog?
Hast du zum einrichtung das skript von WG benutzt?

Firebox Diagnostic LOG: 2020-03-25 21:54:15 WG2 admd RADIUS:check RADIUS authenticator (172.20.1.1) failed
Firebox Event: 2020-03-25 22:00:13 WG2 admd Authentication of MUVPN user [dk@RADIUS] from 84.59.XXX.XXX was rejected, Recv timeout msg_id="1100-0005"


Scheinbar geht die Radius Auth durch. An der korrekten Rückmeldung hapert es jedoch.
Nein tut es nicht, der Radius Authenticator ist schon failed, wohl wegen TimeOut?

Ist der Radius/NPS im der wg korrekt eingetragen?
Wie sehen die Regeln im Radius aus?

Wir fahren genau dieses Konstrukt auch

VG
Deepsys
Bitte warten ..
Mitglied: Deepsys
26.03.2020 um 12:16 Uhr
Wenn der NPS ablehnt, weil Konto gesperrrt oder anmeldedaten falsch, dann sieht das in der WG so aus:

Authentication of MUVPN user [deepsys@doamin] from 19.23.13.108 was rejected, user binding error,check your username or password, pri=4, proc_id=admd, msg_id=1100-0005

Klappt alles, dann so:

Authentication of MUVPN user [VPN-W10@RADIUS] from 94.14.16.210 was accepted, pri=6, proc_id=admd, msg_id=1100-0004
Bitte warten ..
Mitglied: Mr.Klix
26.03.2020, aktualisiert um 14:30 Uhr
Zitat von Deepsys:

Hi,


Zitat von Mr.Klix:
Ich nutze den nativen Win10 1903 VPN Client um die Verbidnung zu testen.
Ähm du meinst uner Einstellungen/VPN den Dialog?
Hast du zum einrichtung das skript von WG benutzt?

Firebox Diagnostic LOG: 2020-03-25 21:54:15 WG2 admd RADIUS:check RADIUS authenticator (172.20.1.1) failed
Firebox Event: 2020-03-25 22:00:13 WG2 admd Authentication of MUVPN user [dk@RADIUS] from 84.59.XXX.XXX was rejected, Recv timeout msg_id="1100-0005"


Scheinbar geht die Radius Auth durch. An der korrekten Rückmeldung hapert es jedoch.
Nein tut es nicht, der Radius Authenticator ist schon failed, wohl wegen TimeOut?

Ist der Radius/NPS im der wg korrekt eingetragen?
Wie sehen die Regeln im Radius aus?

Wir fahren genau dieses Konstrukt auch

VG
Deepsys


Hey, danke für deine Rückmeldung.

Ja das Skript genutzt.

Wenn ich die Verbindung von extern aufbaue, geht die Kommunikation bis zum NPS durch. In den NPS Log's kann ich sehen das der User Zugriff erhält. Der Auth Response kommt allerdings aufgrund von Timeout nicht zurück. Das sehe ich in den LOG'S vom stronSWAN VPN Client.
Eventuell ein MTU Size Problem? Habt ihr in die Richtung etwas konfiguriert?

Ansonsten habe ich den NPS wie von Watchguard beschrieben konfiguriert.
https://watchguardsupport.secure.force.com/publicKB?type=KBArticle&S ...
Bitte warten ..
Mitglied: Deepsys
26.03.2020 um 22:59 Uhr
Zitat von Mr.Klix:
Zugriff erhält. Der Auth Response kommt allerdings aufgrund von Timeout nicht zurück. Das sehe ich in den LOG'S vom stronSWAN VPN Client.
Naja, guck lieber auf den Firewall Log


Eventuell ein MTU Size Problem? Habt ihr in die Richtung etwas konfiguriert?
Nein, das ist bestimmt kein Problem (Ich wundere mich immer über die MTU Fragen, da habe ich noch nie was geändert ...)

Ansonsten habe ich den NPS wie von Watchguard beschrieben konfiguriert.
https://watchguardsupport.secure.force.com/publicKB?type=KBArticle&S ...
Nee, habe ich händisch gemacht, wir authentifizieren direkt gegen AD-Gruppen und nicht mit IKEv2-Users.

Hmm, pingbar ist der NPS von der Firebox aus?
Sind die Firebox und der NPS im gleichem Netz?
Irgendwas dazwischen, irgendeine Sicherheitssoftware auf dem NPS?

Du kannst das auch anders testen, richte dir über den Firebox Manager (nicht den Policy Manager) mal lokale Zugänge auf die FB ein, und das mit RADIUS. Ich meine das geht, dann teste das mal so.

Ansonsten hast du doch Support von WG, frage das mal nach.
Die können auch mal in deine Konfig gucken, evtl. ist das was falsch.
Bitte warten ..
Mitglied: Mr.Klix
27.03.2020 um 11:49 Uhr
Zitat von Deepsys:

Zitat von Mr.Klix:
Zugriff erhält. Der Auth Response kommt allerdings aufgrund von Timeout nicht zurück. Das sehe ich in den LOG'S vom stronSWAN VPN Client.
Naja, guck lieber auf den Firewall Log


Eventuell ein MTU Size Problem? Habt ihr in die Richtung etwas konfiguriert?
Nein, das ist bestimmt kein Problem (Ich wundere mich immer über die MTU Fragen, da habe ich noch nie was geändert ...)

Ansonsten habe ich den NPS wie von Watchguard beschrieben konfiguriert.
https://watchguardsupport.secure.force.com/publicKB?type=KBArticle&S ...
Nee, habe ich händisch gemacht, wir authentifizieren direkt gegen AD-Gruppen und nicht mit IKEv2-Users.

Ja wir auch, den Part habe ich natürlich angepasst.

Hmm, pingbar ist der NPS von der Firebox aus?

Ja

Sind die Firebox und der NPS im gleichem Netz?

ja

Irgendwas dazwischen, irgendeine Sicherheitssoftware auf dem NPS?

Nein

Du kannst das auch anders testen, richte dir über den Firebox Manager (nicht den Policy Manager) mal lokale Zugänge auf die FB ein, und das mit RADIUS. Ich meine das geht, dann teste das mal so.

Ansonsten hast du doch Support von WG, frage das mal nach.

Ist der nächste Schritt.

Die können auch mal in deine Konfig gucken, evtl. ist das was falsch.

Habe den Spass mal an einem anderen Standort eingerichtet. Läuft auf Anhieb. Wende mich jetzt erstmal an den Support. Werde das Cluster heute abend mal durchbooten.

Vielen Dank für deinen Rat. Werde berichten sobald ich die Lösung habe.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
IKEv2 VPN Authentifizierungsfehler
Frage von itschloeglNetzwerkmanagement14 Kommentare

Hallo und Guten Abend, folgendes Problem: Ich habe eine IKEv2-VPN nach folgender Anleitung erstellt: Leider sagt mir mein Windows-Rechner: ...

Netzwerkmanagement
ZYXELVPN100 VPN (IKev2) einrichten
Frage von FaSi3LJNetzwerkmanagement8 Kommentare

Liebes Forum. Ich versuche gerade eine VPN (Zyxel VPN100) einzurichten. Das geht soweit auch nach der Anleitung: Wenn ich ...

Verschlüsselung & Zertifikate

Eigene Zertifizierungsstelle für IKEv2-VPN

Frage von N-A-G-U-SVerschlüsselung & Zertifikate2 Kommentare

Hallo zusammen, aktuelle Situation und Vorhaben: ich setze zuhause einen LANCOM 1781VA-4G (VPN-5) ein. Zu diesem verbinde ich mich ...

Router & Routing

Lancom IKEv2 - Mac OS VPN

Frage von geforce28Router & Routing17 Kommentare

Hallo Leute, gibt es hier zufällig einen Lancom Experten, der das besagte Szenario schon einmal erfolgreich durchgeführt hat ? ...

Neue Wissensbeiträge
Internet

Aktuelle Netzauslastung in Deutschland durch die Covid-19-Pandemie

Information von Frank vor 8 StundenInternet4 Kommentare

Viele Bürger fragen sich, ob die Telekommunikationsnetze während der Covid-19-Pandemie der verstärkten Internetnutzung durch Home Office, eLearning, Videostreaming und ...

iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 2 TageniOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 2 TagenSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 2 TagenWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Heiß diskutierte Inhalte
KVM
Best Practice für Fileserver auf Proxmox Cluster
gelöst Frage von maichelmannKVM17 Kommentare

Hallo, derzeit laufen in einer Firma, dessen Netzwerk ich betreue, zwei Windows Server Hyper-V Hosts, jeweils mit einem recht ...

Windows Server
DNS Problem Server 2019 unter Win10 Host
Frage von Ketme10Windows Server15 Kommentare

Guten Tag zusammen. Ich bräuchte mal Hilfe. Ich habe Win 10 und Hyper V laufen. Hier habe ich 4 ...

TK-Netze & Geräte
Netphone APP nimmt kein Kontakt auf
Frage von Finchen961988TK-Netze & Geräte12 Kommentare

Hallo, ich kämfpe mit einem Problem im Bereich Netphone und der Mobil APP. Bei einem Kunden habe ich eine ...

Firewall
PfSense und VLANs mit LAGG
Frage von unique24Firewall12 Kommentare

Hallo, ich habe ein Mikrotik Switch Netzwerk welches über 2 LWL an die pfSense angeschlossen ist pfSense: ixl2 = ...