25
Watchguard T15 VPN Einrichtung
Hallo zusammen,
wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten!
Als Client nutzen wir den Watchgaurd Mobile VPN
Folgende Einstellungen wurde vorgenommen:
General Settings
Passphrase (wurde vergeben)
Firebox IP Addresses (feste IP-Adresse vom Provider)
IPSec Tunnel
Use the passphrase of the end user profile as the pre-shared key
Phase 1 Settings
Authentication (SHA2-256)
Encryption (AES-256bit)
Phase 2 Settings
PFS (Diffie-Hellman Group14)
Allow All Traffic Through Tunnel
Any-External (0.0.0.0/0)
Virtual IP Address Pool 192.168.10.210-192.168.10.220
Line Management
Das sind die Einstellungen, jedoch öffnet sich der VPN-Tunnel nicht....
log
24.04.2018 10:47:49 - System: DNSHandling=0
24.04.2018 10:47:49 - IPSec: Start building connection
24.04.2018 10:47:49 - System: ikeusesocket=0
24.04.2018 10:47:49 - IpsDial: connection time interface choice,LocIpa=172.20.10.11,AdapterIndex=205
24.04.2018 10:47:49 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=87.xx.xx.xx : DAEXVPN
24.04.2018 10:47:49 - Ike: XMIT_MSG1_AGGRESSIVE - DAEXVPN,vpngw=87.XX.XX.XX:500
24.04.2018 10:47:49 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,will_thomas
24.04.2018 10:47:53 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:47:53 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:47:57 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:47:57 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:48:01 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:48:01 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:48:05 - INFO - MONITOR: Disconnected
24.04.2018 10:48:05 - INFO - MONITOR: Media=Wi-Fi, Tx=0 Byte, Rx=0 Byte
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
24.04.2018 10:48:05 - Ike: phase1:name(DAEXVPN) - ERROR - retry timeout - max retries
24.04.2018 10:48:05 - IPSec: Disconnected from DAEXVPN on channel 1.
Gruß
Thomas
wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten!
Als Client nutzen wir den Watchgaurd Mobile VPN
Folgende Einstellungen wurde vorgenommen:
General Settings
Passphrase (wurde vergeben)
Firebox IP Addresses (feste IP-Adresse vom Provider)
IPSec Tunnel
Use the passphrase of the end user profile as the pre-shared key
Phase 1 Settings
Authentication (SHA2-256)
Encryption (AES-256bit)
Phase 2 Settings
PFS (Diffie-Hellman Group14)
Allow All Traffic Through Tunnel
Any-External (0.0.0.0/0)
Virtual IP Address Pool 192.168.10.210-192.168.10.220
Line Management
Das sind die Einstellungen, jedoch öffnet sich der VPN-Tunnel nicht....
log
24.04.2018 10:47:49 - System: DNSHandling=0
24.04.2018 10:47:49 - IPSec: Start building connection
24.04.2018 10:47:49 - System: ikeusesocket=0
24.04.2018 10:47:49 - IpsDial: connection time interface choice,LocIpa=172.20.10.11,AdapterIndex=205
24.04.2018 10:47:49 - Ike: Outgoing connect request AGGRESSIVE mode - gateway=87.xx.xx.xx : DAEXVPN
24.04.2018 10:47:49 - Ike: XMIT_MSG1_AGGRESSIVE - DAEXVPN,vpngw=87.XX.XX.XX:500
24.04.2018 10:47:49 - ike_phase1:send_id:ID_USER_FQDN:pid=0,port=0,will_thomas
24.04.2018 10:47:53 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:47:53 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:47:57 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:47:57 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:48:01 - Ike: ConRef=352, retry timeout, resend to=87.xx.xx.xx
24.04.2018 10:48:01 - Isakmp: re-sending packet to=87.XX.XX.XX:500,size=1435
24.04.2018 10:48:05 - INFO - MONITOR: Disconnected
24.04.2018 10:48:05 - INFO - MONITOR: Media=Wi-Fi, Tx=0 Byte, Rx=0 Byte
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
24.04.2018 10:48:05 - Ike: phase1:name(DAEXVPN) - ERROR - retry timeout - max retries
24.04.2018 10:48:05 - IPSec: Disconnected from DAEXVPN on channel 1.
Gruß
Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372044
Url: https://administrator.de/contentid/372044
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
25 Kommentare
Neuester Kommentar
Hallo,
Log vom Server oder vom Client? Beide Seiten nutzen IPv4?
Gruß,
Peter
Log vom Server oder vom Client? Beide Seiten nutzen IPv4?
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
Welches Gateway?Gruß,
Peter
Hallo Peter,
der Log ist vom Client und ja beide nutzen IPv4...
Wo und wleche Gateway, die Frage stellt ich mir auch?
Gruß
Thomas J.
der Log ist vom Client und ja beide nutzen IPv4...
Wo und wleche Gateway, die Frage stellt ich mir auch?
Gruß
Thomas J.
Hallo Thomas,
Auf was für einer Kiste?
Aber das Gateway ist ja eure Watchguard? Da passt die IP?
Als Client nutzen wir den Watchgaurd Mobile VPN
Auf was für einer Kiste?
Aber das Gateway ist ja eure Watchguard? Da passt die IP?
Hallo,
also der VPN Client läuft auf einen Win10 Notebook!
Wo muss ich den Gateway eintragen?
Gruß
Thomas J.
also der VPN Client läuft auf einen Win10 Notebook!
Wo muss ich den Gateway eintragen?
Gruß
Thomas J.
Moin,
Na steht doch da: 87.xx.xx.xx. Wie die Xe zu ersetzen sind, wirst Du sicherlich wissen. ;) Offensichtlich antwortet das VPN-Gateway, mit dem sich der Client verbinden will, nicht.
LG
Erik
Na steht doch da: 87.xx.xx.xx. Wie die Xe zu ersetzen sind, wirst Du sicherlich wissen. ;) Offensichtlich antwortet das VPN-Gateway, mit dem sich der Client verbinden will, nicht.
LG
Erik
Meines Wissens nach läuft der Watchguard Client nicht mehr unter Win10!
Probiere es bitte mal mit dem ShrewSoft VPN Client, der läuft unter Win10 super.
Mich wundert es etwas, das der Watchguard Client auf einer Win10 Kiste läuft..
Du kannst ja in der GUI unter VPN-> Mobile VPN with IPSEC -> richtige Gruppe auswählen -> Configuration File Generation -> Client -> ShrewSoft VPN -> Generate dir eine Config rauslassen.
Die importierst du dann im ShrewSoft Client, meldest dich mit einem Benutzer an, dann müsste das Ding laufen, voraussgesetzt deine IP stimmt?
Edit://
Du hast wahrscheinlich den Watchguard Mobile VPN SSL Client?
Probiere es bitte mal mit dem ShrewSoft VPN Client, der läuft unter Win10 super.
Mich wundert es etwas, das der Watchguard Client auf einer Win10 Kiste läuft..
Du kannst ja in der GUI unter VPN-> Mobile VPN with IPSEC -> richtige Gruppe auswählen -> Configuration File Generation -> Client -> ShrewSoft VPN -> Generate dir eine Config rauslassen.
Die importierst du dann im ShrewSoft Client, meldest dich mit einem Benutzer an, dann müsste das Ding laufen, voraussgesetzt deine IP stimmt?
Edit://
Du hast wahrscheinlich den Watchguard Mobile VPN SSL Client?
Moin,
Stimmt, weil er nicht mehr notwendig ist. Der eingebaute Client funktioniert mit der Watchguard problemlos. Das steht auch irgendwo auf der Website von Watchguard nebst Anleitung, wie man ihn für die Watchguard einrichten muss.
LG
Stimmt, weil er nicht mehr notwendig ist. Der eingebaute Client funktioniert mit der Watchguard problemlos. Das steht auch irgendwo auf der Website von Watchguard nebst Anleitung, wie man ihn für die Watchguard einrichten muss.
LG
Gerade bei Windows 10 nehm ich dann doch lieber den ShrewSoft Client...
Best practice ist meiner Meinung nach nen IKEv2 Tunnel zu nutzen und den W10 eigenen client dafür zu verwenden.
Hallo,
habe jetzt mal den ShrewSoft VPN Client versucht!
Fehlermeldung laut Log
gateway authentication error
Gruß
Thomas J.
habe jetzt mal den ShrewSoft VPN Client versucht!
Fehlermeldung laut Log
gateway authentication error
Gruß
Thomas J.
Mit welchem User meldest du dich an?
Ist dieser User auch in der richtigen Gruppe?
Deine Mobile-VPN with IPSec VPN hat ja einen Gruppennamen, in dieser muss auch dein User sein!
GUI -> Authentication -> Servers -> vermutlich Firebox-DB? -> oben sind die Users, und da drunter sind die Guppen für das entsprechende VPN, dort muss der User drin sein.
Edit://
Ansonsten das hier nochmal ganz genau durchgehen:
https://www.watchguard.com/help/docs/fireware/12/en-US/Content/en-US/mvp ...
Ist dieser User auch in der richtigen Gruppe?
Deine Mobile-VPN with IPSec VPN hat ja einen Gruppennamen, in dieser muss auch dein User sein!
GUI -> Authentication -> Servers -> vermutlich Firebox-DB? -> oben sind die Users, und da drunter sind die Guppen für das entsprechende VPN, dort muss der User drin sein.
Edit://
Ansonsten das hier nochmal ganz genau durchgehen:
https://www.watchguard.com/help/docs/fireware/12/en-US/Content/en-US/mvp ...
Hallo,
Was hast du vergessen? Wir wissen hier nicht was du wo eingetragen hast oder eben nicht eingetragen hast. Wir sind hier Blind und Taub und lesen nur was du uns sagst.
Gruß,
Peter
Was hast du vergessen? Wir wissen hier nicht was du wo eingetragen hast oder eben nicht eingetragen hast. Wir sind hier Blind und Taub und lesen nur was du uns sagst.
Gruß,
Peter
Fehlermeldung laut Log
gateway authentication error
gateway authentication error
Wie schon weiter oben erwähnt: Dein Gateway antwortet nicht. Das ändert sich nicht dadurch, dass Du den Client wechselst. Die Aussage, dass der Watchguard Client unter Win10 nicht läuft, ist so auch nicht richtig. Er stürzt immer mal wieder ab, ist die korrekte Aussage.
Du musst an der Stelle suchen, die nicht funktioniert. Stimmt die IP des Gateways? Kommen die Pakete beim Gateway an? Was macht das Gateway mit den Paketen? Was steht dort im Log? ...
Die Aussage, dass der Watchguard Client unter Win10 nicht läuft, ist so auch nicht richtig. Er stürzt immer mal wieder ab, ist die korrekte Aussage.
Der Client hat mir durch ein Upgrade von Win7 auf Win10 nur Probleme bereitet, neu installieren unter Win10 hat gar nicht mehr funktioniert, daher passt die Aussage, das der Client nicht läuft, doch ganz gut.
Geh die Anleitung Schritt für Schritt für durch, dann klappt das auch, sonst Rätseln wir hier nur rum.
Hallo,
also hier noch einmal der Auszug vom Log
config loaded for site '87.xx.xx.xx'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
gateway authentication error
tunnel disabled
detached from key daemon
Firebox-Einstellung
Authentication > Firebox Users (wurde zugeteilt)
Firebox Groups > User wurde der Gruppe zugeteilt
Gruß
Thomas J.
also hier noch einmal der Auszug vom Log
config loaded for site '87.xx.xx.xx'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
gateway authentication error
tunnel disabled
detached from key daemon
Firebox-Einstellung
Authentication > Firebox Users (wurde zugeteilt)
Firebox Groups > User wurde der Gruppe zugeteilt
Gruß
Thomas J.
Was steht im Watchguard-LOG?
Schau welche IP dein Client hat, danach kannst du dann im LOG filtern.
Die Gateway-IP ist auch sicher richtig?
Schau welche IP dein Client hat, danach kannst du dann im LOG filtern.
Die Gateway-IP ist auch sicher richtig?
Hier der Log der Firebox!
Hallo,
Hier steht aber jetzt nicht das das Gateway nicht wie vorher in
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
gefunden werden kann. Hier steht jetzt das das Gateway die Authetfizierung nicht akzeptiert. Zwei völlig verschiedene Meldungen und Ursachen. Lesen musst du schon richtig.
Prüfen kannst nur du es
Wie dir schon einmal versucht zu erklären, wir wissen nur das was du uns sagst bzw. schreibst. Alles andere fällt in die Aufgabe einer Glaskugelraterei. Und es kommt gar vor das unterschiedliche Hersteller anders lautende Meldung für ein und das gleiche ausgeben...
Gruß,
Peter
Hier steht aber jetzt nicht das das Gateway nicht wie vorher in
24.04.2018 10:48:05 - ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - DAEXVPN.
gefunden werden kann. Hier steht jetzt das das Gateway die Authetfizierung nicht akzeptiert. Zwei völlig verschiedene Meldungen und Ursachen. Lesen musst du schon richtig.
Prüfen kannst nur du es
Authentication > Firebox Users (wurde zugeteilt)
Was soll uns dein wurde zugeteilt hier sagen? Das noch jemand anderes beteiligt ist?Wie dir schon einmal versucht zu erklären, wir wissen nur das was du uns sagst bzw. schreibst. Alles andere fällt in die Aufgabe einer Glaskugelraterei. Und es kommt gar vor das unterschiedliche Hersteller anders lautende Meldung für ein und das gleiche ausgeben...
Gruß,
Peter
Da steht's doch: Received ID did not match ...
Ja, und welche ID ist damit gemeint?
"The devices identify each other.
Each device provides a Phase 1 identifier, which can be an IP address, domain name, domain information, or an X500 name. The VPN configuration on each peer contains the Phase 1 identifier of the local and the remote device, and the configurations must match."
aus: https://www.watchguard.com/help/docs/fireware/12/en-US/Content/en-US/mvp ...
Danke für den Link, hab ich auf die Schnelle nicht gefunden.
Wirklich schlau werde ich daraus aber nicht, der Client scheint ja eine Verbindung zur Watchguard aufbauen zu wollen, was aber aufgrund einer falschen ID nicht klappt.
Wenn du dir aber die Config für die VPN aus der Watchguard rauslässt, müssen die Einstellungen bzw. die ID aber auf seitens der Watchguard und des Clients gleich sein?
Edit://
Authentifizierst du dich an der Watchguard über deine AD-Credentials?
Wirklich schlau werde ich daraus aber nicht, der Client scheint ja eine Verbindung zur Watchguard aufbauen zu wollen, was aber aufgrund einer falschen ID nicht klappt.
Wenn du dir aber die Config für die VPN aus der Watchguard rauslässt, müssen die Einstellungen bzw. die ID aber auf seitens der Watchguard und des Clients gleich sein?
Edit://
Authentifizierst du dich an der Watchguard über deine AD-Credentials?
Moin,
also auf ein neues...!
Authentication > Authentication Servers > Firebox-DB 1 Users 1 Groups
Firebox Users > Enable case-sensitivity for Firebox-DB user names >
Firebox Group > daexvpn > steht der User als Firebox Authentication User drin
Wir nutzen die Firebox als Authentication Server
Einstellung im ShrewSoft VPN Client
Authentication Method > Mutual PSK + XAuth
Local Identity > Identification Typ > Key Identifier > Key ID String > (Name des Firebox User)
Remote Identity > Identification Typ > any
Credentials > Pre Shared Key > (Passphrase Passwort in der Firebox)
Gruß
Thomas
also auf ein neues...!
Authentication > Authentication Servers > Firebox-DB 1 Users 1 Groups
Firebox Users > Enable case-sensitivity for Firebox-DB user names >
Firebox Group > daexvpn > steht der User als Firebox Authentication User drin
Wir nutzen die Firebox als Authentication Server
Einstellung im ShrewSoft VPN Client
Authentication Method > Mutual PSK + XAuth
Local Identity > Identification Typ > Key Identifier > Key ID String > (Name des Firebox User)
Remote Identity > Identification Typ > any
Credentials > Pre Shared Key > (Passphrase Passwort in der Firebox)
Gruß
Thomas
Moin zusammen,
lange Rede kurzer Sinn, es waren ein paar Einstellungen im VPN Client die nicht korrekt waren!
Identification Type musste auf User Fully Qualified Domain Name geändert werden... > UFQDN String
Nochmals vielen Dank an alle die mir geholfen haben! Super Support..
Gruß
Thomas
lange Rede kurzer Sinn, es waren ein paar Einstellungen im VPN Client die nicht korrekt waren!
Identification Type musste auf User Fully Qualified Domain Name geändert werden... > UFQDN String
Nochmals vielen Dank an alle die mir geholfen haben! Super Support..
Gruß
Thomas
Also meldest du dich doch mit deinen AD-Credentials an?
Im ShrewSoft muss man eigentlich gar nix einstellen, dafür generierst du dir ja eine Configfile aus der Watchguard..
Gut, wenn es endlich läuft
Viele Grüße
Im ShrewSoft muss man eigentlich gar nix einstellen, dafür generierst du dir ja eine Configfile aus der Watchguard..
Gut, wenn es endlich läuft
Viele Grüße
