Watchguard T15 VPN Einrichtung
Hallo zusammen,
wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten!
Als Client nutzen wir den Watchgaurd Mobile VPN
Folgende Einstellungen wurde vorgenommen:
General Settings
Passphrase (wurde vergeben)
Firebox IP Addresses (feste IP-Adresse vom Provider)
IPSec Tunnel
Use the passphrase of the end user profile as the pre-shared key
Phase 1 Settings
Authentication (SHA2-256)
Encryption (AES-256bit)
Phase 2 Settings
PFS (Diffie-Hellman Group14)
Allow All Traffic Through Tunnel
Any-External (0.0.0.0/0)
Virtual IP Address Pool 192.168.10.210-192.168.10.220
Line Management
Das sind die Einstellungen, jedoch öffnet sich der VPN-Tunnel nicht....
log
24.04.2018 10:47:49 - System: DNSHandling=0
24.04.2018 10:47:49 - IPSec: Start building connection
24.04.2018 10:47:49 - System: ikeusesocket=0
24.04.2018 10:47:49 - IpsDial: connection time interface choice,LocIpa=172.20.10.11,AdapterIndex=205
24.04.2018 10:47:49 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=87.xx.xx.xx : DAEXVPN
24.04.2018 10:47:49 - Ike: XMIT_MSG1_AGGRESSIVE - DAEXVPN,vpngw=87.XX.XX.XX:500
24.04.2018 10:47:49 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,will_thomas
24.04.2018 10:47:53 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:47:53 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:47:57 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:47:57 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:48:01 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:48:01 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:48:05 - INFO - MONITOR: Disconnected
24.04.2018 10:48:05 - INFO - MONITOR: Media=Wi-Fi, Tx=0 Byte, Rx=0 Byte
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
24.04.2018 10:48:05 - Ike: phase1:name(DAEXVPN) - ERROR - retry timeout - max retries
24.04.2018 10:48:05 - IPSec: Disconnected from DAEXVPN on channel 1.
Gruß
Thomas
wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten!
Als Client nutzen wir den Watchgaurd Mobile VPN
Folgende Einstellungen wurde vorgenommen:
General Settings
Passphrase (wurde vergeben)
Firebox IP Addresses (feste IP-Adresse vom Provider)
IPSec Tunnel
Use the passphrase of the end user profile as the pre-shared key
Phase 1 Settings
Authentication (SHA2-256)
Encryption (AES-256bit)
Phase 2 Settings
PFS (Diffie-Hellman Group14)
Allow All Traffic Through Tunnel
Any-External (0.0.0.0/0)
Virtual IP Address Pool 192.168.10.210-192.168.10.220
Line Management
Das sind die Einstellungen, jedoch öffnet sich der VPN-Tunnel nicht....
log
24.04.2018 10:47:49 - System: DNSHandling=0
24.04.2018 10:47:49 - IPSec: Start building connection
24.04.2018 10:47:49 - System: ikeusesocket=0
24.04.2018 10:47:49 - IpsDial: connection time interface choice,LocIpa=172.20.10.11,AdapterIndex=205
24.04.2018 10:47:49 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=87.xx.xx.xx : DAEXVPN
24.04.2018 10:47:49 - Ike: XMIT_MSG1_AGGRESSIVE - DAEXVPN,vpngw=87.XX.XX.XX:500
24.04.2018 10:47:49 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,will_thomas
24.04.2018 10:47:53 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:47:53 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:47:57 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:47:57 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:48:01 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:48:01 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:48:05 - INFO - MONITOR: Disconnected
24.04.2018 10:48:05 - INFO - MONITOR: Media=Wi-Fi, Tx=0 Byte, Rx=0 Byte
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
24.04.2018 10:48:05 - Ike: phase1:name(DAEXVPN) - ERROR - retry timeout - max retries
24.04.2018 10:48:05 - IPSec: Disconnected from DAEXVPN on channel 1.
Gruß
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372044
Url: https://administrator.de/forum/watchguard-t15-vpn-einrichtung-372044.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
25 Kommentare
Neuester Kommentar
Hallo,
Log vom Server oder vom Client? Beide Seiten nutzen IPv4?
Gruß,
Peter
Log vom Server oder vom Client? Beide Seiten nutzen IPv4?
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
Welches Gateway?Gruß,
Peter
Moin,
Na steht doch da: 87.xx.xx.xx. Wie die Xe zu ersetzen sind, wirst Du sicherlich wissen. ;) Offensichtlich antwortet das VPN-Gateway, mit dem sich der Client verbinden will, nicht.
LG
Erik
Na steht doch da: 87.xx.xx.xx. Wie die Xe zu ersetzen sind, wirst Du sicherlich wissen. ;) Offensichtlich antwortet das VPN-Gateway, mit dem sich der Client verbinden will, nicht.
LG
Erik
Meines Wissens nach läuft der Watchguard Client nicht mehr unter Win10!
Probiere es bitte mal mit dem ShrewSoft VPN Client, der läuft unter Win10 super.
Mich wundert es etwas, das der Watchguard Client auf einer Win10 Kiste läuft..
Du kannst ja in der GUI unter VPN-> Mobile VPN with IPSEC -> richtige Gruppe auswählen -> Configuration File Generation -> Client -> ShrewSoft VPN -> Generate dir eine Config rauslassen.
Die importierst du dann im ShrewSoft Client, meldest dich mit einem Benutzer an, dann müsste das Ding laufen, voraussgesetzt deine IP stimmt?
Edit://
Du hast wahrscheinlich den Watchguard Mobile VPN SSL Client?
Probiere es bitte mal mit dem ShrewSoft VPN Client, der läuft unter Win10 super.
Mich wundert es etwas, das der Watchguard Client auf einer Win10 Kiste läuft..
Du kannst ja in der GUI unter VPN-> Mobile VPN with IPSEC -> richtige Gruppe auswählen -> Configuration File Generation -> Client -> ShrewSoft VPN -> Generate dir eine Config rauslassen.
Die importierst du dann im ShrewSoft Client, meldest dich mit einem Benutzer an, dann müsste das Ding laufen, voraussgesetzt deine IP stimmt?
Edit://
Du hast wahrscheinlich den Watchguard Mobile VPN SSL Client?
Moin,
Stimmt, weil er nicht mehr notwendig ist. Der eingebaute Client funktioniert mit der Watchguard problemlos. Das steht auch irgendwo auf der Website von Watchguard nebst Anleitung, wie man ihn für die Watchguard einrichten muss.
LG
Stimmt, weil er nicht mehr notwendig ist. Der eingebaute Client funktioniert mit der Watchguard problemlos. Das steht auch irgendwo auf der Website von Watchguard nebst Anleitung, wie man ihn für die Watchguard einrichten muss.
LG
Mit welchem User meldest du dich an?
Ist dieser User auch in der richtigen Gruppe?
Deine Mobile-VPN with IPSec VPN hat ja einen Gruppennamen, in dieser muss auch dein User sein!
GUI -> Authentication -> Servers -> vermutlich Firebox-DB? -> oben sind die Users, und da drunter sind die Guppen für das entsprechende VPN, dort muss der User drin sein.
Edit://
Ansonsten das hier nochmal ganz genau durchgehen:
https://www.watchguard.com/help/docs/fireware/12/en-US/Content/en-US/mvp ...
Ist dieser User auch in der richtigen Gruppe?
Deine Mobile-VPN with IPSec VPN hat ja einen Gruppennamen, in dieser muss auch dein User sein!
GUI -> Authentication -> Servers -> vermutlich Firebox-DB? -> oben sind die Users, und da drunter sind die Guppen für das entsprechende VPN, dort muss der User drin sein.
Edit://
Ansonsten das hier nochmal ganz genau durchgehen:
https://www.watchguard.com/help/docs/fireware/12/en-US/Content/en-US/mvp ...
Hallo,
Was hast du vergessen? Wir wissen hier nicht was du wo eingetragen hast oder eben nicht eingetragen hast. Wir sind hier Blind und Taub und lesen nur was du uns sagst.
Gruß,
Peter
Was hast du vergessen? Wir wissen hier nicht was du wo eingetragen hast oder eben nicht eingetragen hast. Wir sind hier Blind und Taub und lesen nur was du uns sagst.
Gruß,
Peter
Fehlermeldung laut Log
gateway authentication error
gateway authentication error
Wie schon weiter oben erwähnt: Dein Gateway antwortet nicht. Das ändert sich nicht dadurch, dass Du den Client wechselst. Die Aussage, dass der Watchguard Client unter Win10 nicht läuft, ist so auch nicht richtig. Er stürzt immer mal wieder ab, ist die korrekte Aussage.
Du musst an der Stelle suchen, die nicht funktioniert. Stimmt die IP des Gateways? Kommen die Pakete beim Gateway an? Was macht das Gateway mit den Paketen? Was steht dort im Log? ...
Die Aussage, dass der Watchguard Client unter Win10 nicht läuft, ist so auch nicht richtig. Er stürzt immer mal wieder ab, ist die korrekte Aussage.
Der Client hat mir durch ein Upgrade von Win7 auf Win10 nur Probleme bereitet, neu installieren unter Win10 hat gar nicht mehr funktioniert, daher passt die Aussage, das der Client nicht läuft, doch ganz gut.
Geh die Anleitung Schritt für Schritt für durch, dann klappt das auch, sonst Rätseln wir hier nur rum.
Hallo,
Hier steht aber jetzt nicht das das Gateway nicht wie vorher in
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
gefunden werden kann. Hier steht jetzt das das Gateway die Authetfizierung nicht akzeptiert. Zwei völlig verschiedene Meldungen und Ursachen. Lesen musst du schon richtig.
Prüfen kannst nur du es
Wie dir schon einmal versucht zu erklären, wir wissen nur das was du uns sagst bzw. schreibst. Alles andere fällt in die Aufgabe einer Glaskugelraterei. Und es kommt gar vor das unterschiedliche Hersteller anders lautende Meldung für ein und das gleiche ausgeben...
Gruß,
Peter
Hier steht aber jetzt nicht das das Gateway nicht wie vorher in
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
gefunden werden kann. Hier steht jetzt das das Gateway die Authetfizierung nicht akzeptiert. Zwei völlig verschiedene Meldungen und Ursachen. Lesen musst du schon richtig.
Prüfen kannst nur du es
Authentication > Firebox Users (wurde zugeteilt)
Was soll uns dein wurde zugeteilt hier sagen? Das noch jemand anderes beteiligt ist?Wie dir schon einmal versucht zu erklären, wir wissen nur das was du uns sagst bzw. schreibst. Alles andere fällt in die Aufgabe einer Glaskugelraterei. Und es kommt gar vor das unterschiedliche Hersteller anders lautende Meldung für ein und das gleiche ausgeben...
Gruß,
Peter
"The devices identify each other.
Each device provides a Phase 1 identifier, which can be an IP address, domain name, domain information, or an X500 name. The VPN configuration on each peer contains the Phase 1 identifier of the local and the remote device, and the configurations must match."
aus: https://www.watchguard.com/help/docs/fireware/12/en-US/Content/en-US/mvp ...
Danke für den Link, hab ich auf die Schnelle nicht gefunden.
Wirklich schlau werde ich daraus aber nicht, der Client scheint ja eine Verbindung zur Watchguard aufbauen zu wollen, was aber aufgrund einer falschen ID nicht klappt.
Wenn du dir aber die Config für die VPN aus der Watchguard rauslässt, müssen die Einstellungen bzw. die ID aber auf seitens der Watchguard und des Clients gleich sein?
Edit://
Authentifizierst du dich an der Watchguard über deine AD-Credentials?
Wirklich schlau werde ich daraus aber nicht, der Client scheint ja eine Verbindung zur Watchguard aufbauen zu wollen, was aber aufgrund einer falschen ID nicht klappt.
Wenn du dir aber die Config für die VPN aus der Watchguard rauslässt, müssen die Einstellungen bzw. die ID aber auf seitens der Watchguard und des Clients gleich sein?
Edit://
Authentifizierst du dich an der Watchguard über deine AD-Credentials?