Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zyxel ZyWall USG 100 nach Firmware Update keine VPN Authentifizierung über AD mehr möglich

Mitglied: Gilneas

Gilneas (Level 1) - Jetzt verbinden

10.02.2010 um 08:47 Uhr, 11538 Aufrufe, 11 Kommentare

Folgendes Szenario:
Eine Zyxel ZyWall USG 100 ist das VPN Gateway für einige Außendienstler. Diese wählen sich per Windows VPN-Assi ein und authentifizieren sich mit ihrem Domainaccount, um ins Netz zu kommen. Installierte Firmware war 2.10(AQQ.3).

Ohne den Zeitpunkt genau nennen zu können hatten zwei User plötzlich das Problem, dass sie von der Zywall beim VPN Login abgewiesen wurden. Ich habe die Domainuser am PDC kopiert und siehe da, mit diesem kopierten Account konnten sich die User unter sonst gleichen Umständen wieder einloggen. Auf Anfrage beim Zyxel Support erhielt ich die Antwort, dass wir bitte auf eine aktuelle Firmware upgraden sollen, da die 10er nicht mehr unterstützt wird.

Gesagt getan, ich habe zunächst auf v2.11(AQQ.0) gehen müssen, der Support empfahl über diese Version zu gehen. Direkt danach konnte sich kein einziger User mehr einwählen. Wieder kam der Fehler "Incorrect password or inexistent user", diesmal jedoch ausnahmslos für alle AD-User. Reboot der Zywall und neues Einlesen der gesicherten Konfiguration brachte keinen Erfolg. Also erneut beim Support angefragt. Daraufhin erhielt ich wieder den Hinweis, dass ich bitte upgraden möge, die 11er - Version mache Probleme in Verbindung mit dem AD.

Also schnell auf die diesmal aktuellste Version 2.12(AQQ.2) upgegraded. Leider hat das zu keiner Besserung geführt. Auch bei 2.12 haben wir bereits die Zywall gebootet, die Konfiguration überprüft und können uns ohne Probleme mit an der ZyWall lokal eingerichteten Usern per VPN einwählen.



Seit 2 Tagen warte ich nun darauf, dass sich der Zyxel Support zurückmeldet. Hat jemand eine Idee, oder ähnliches schon einmal erlebt, was mir weiterhelfen könnte?
Mitglied: GuentherH
10.02.2010 um 08:55 Uhr
Hallo.

Wie tief ist die OU verschachtelt, in der im AD die VPN User liegen?

Ich habe die Erfahrung gemacht, das bei zu tief verschachtelten OUs die Authentifizierung über das AD nicht klappt.

LG Günther
Bitte warten ..
Mitglied: Gilneas
10.02.2010 um 09:09 Uhr
Danke für den Hinweis...

Ist diese Struktur zu verschachtelt?

domain.local\business\users\group
Bitte warten ..
Mitglied: Gilneas
10.02.2010 um 11:11 Uhr
Ich habe es gerade mal mit sehr simplen Strukturen versucht. Leider ohne Erfolg.
Bitte warten ..
Mitglied: Gilneas
12.02.2010 um 13:14 Uhr
So, nun endlich eine Antwort vom Zyxel Support. Ich soll das Ding komplett zurücksetzen und die Config neu einspielen. Dann soll es wieder gehen...

Naja, das werd ich wohl oder übel noch testen müssen.
Bitte warten ..
Mitglied: sk
14.02.2010 um 09:59 Uhr
Hallo,

bevor Du lange rumexperimentierst, stelle besser gleich auf Radius-Authentifizierung gegen IAS um. Das hat m.E. nur Vorteile.

Gruß
Steffen
Bitte warten ..
Mitglied: Gilneas
15.02.2010 um 08:06 Uhr
Danke, erst versuch ich noch den Hint mit dem Reset, sollte das nicht funktionieren, dann scheint mir das tatsächlich eine gute Idee zu sein.
Bitte warten ..
Mitglied: Gilneas
22.02.2010 um 15:14 Uhr
So, inzwischen hat der ZyxelSupport seinen Rat widerrufen. Das zurücksetzen soll ich lassen.
Dafür kümmert sich nun ein Kollege doch sehr intensiv darum das ganze zu testen etc.

Als Tipp nehme ich mit (Aussagen des Supports):

Auch wenn es die ZyWall zulässt:
- keine Binde- oder Unterstriche in Passwörtern verwenden (wurde geändert, hat aber auch nichts geholfen)
- die Verbdinung zum AD muss über den Account des Domain Admins erfolgen (war bereits so)
Bitte warten ..
Mitglied: Gilneas
25.02.2010 um 15:02 Uhr
Kurzer Zwischenstand und sehr lustig:

Nachdem ich heute Nacht mehrere fehlgeschlagene Versuche eines Logins über den urspünglich für den Support angelegten Account (ich hatte ihn nach der Session natürlich wieder deaktiviert) im Log gesehen habe, habe ich beim Zyxel Support nachgefragt.
Es handelt sich um einen Entwickler aus Übersee, der das ganze Troubleshooten wollte.

Scheinbar haben wir da eine kleine Ungereimtheit in der Firmware entdeckt.
Bitte warten ..
Mitglied: Gilneas
17.03.2010 um 09:07 Uhr
Neuer Stand:
Die ZyWall verkraftet keinerlei Sonderzeichen. Versucht man sich mit einem Account, der Sonderzeichen wie z.B. % im Passwort enthält, dann blockt die ZyWall diesen User. Hübscher Nebeneffekt bei der Geschichte:
Es werden daraufhin ALLE user von dieser Workstation geblockt. Nach ca. einer halben Stunde ist diese Sperre passé.

Was unser Problem inzwischen behoben hat:
Der Account zur LDAP Anfrage hatte ein %-Zeichen im Passwort. Ich habe den Account kopiert und ihm ein Passwort ohne Sonderzeichen gegeben. Danach war das einwählen per VPN wieder möglich, wie früher.
Bitte warten ..
Mitglied: GuentherH
17.03.2010 um 19:53 Uhr
Hallo.

Danke für die Rückmeldung.

LG Günther
Bitte warten ..
Mitglied: Gilneas
17.03.2010 um 21:08 Uhr
Gerne, hab lange genug damit rumgetan. Leider war der Support keine große Hilfe.

Btw. die 30 min. sind Einstellungssache, das kann man in den Untiefen der ZyWall regeln, wie lange ein User bei wievielen Fehlversuchen ausgesperrt werden soll. In dem Fall mit dem Sonderzeichen greift allerdings nur die Zeit und das sofort .

Erlaubte /funktionierende Sonderzeichen gibt es auch:

!
.
-
_

Die letzten beiden wurden eigentlich vom Support als "geht nicht" eingestuft. In unserem Preshared Key und auch in den PWs der User sind sie kein Thema. Und das Problem ist reproduzierbar.
Der Zyxel Support hat mich übrigens hängen lassen.

Bei mir kommt im Log keine Meldung, dass eine Verbindung zum AD zu stande kommt. Auch jetzt nicht, wo das wieder funkioniert, wenn ich die AD Verbindung reinitialisiere. Der Support wollte mir nicht weiterhelfen, bis ich nicht diese Meldung sehe und empfahl mir mit Wireshark die Verbindung zum AD zu troubleshooten.
Bitte warten ..
Ähnliche Inhalte
Firewall

ZyXEL ZyWALL USG 100 - Multinat möglich ?

Frage von uridium69Firewall6 Kommentare

Ich plane eine ZyXEL ZyWALL USG 100 zu erwerben, gebraucht, für mich ist es ein MUSS dass ich mehrere ...

Router & Routing

ZyXEL ZyWALL USG 20 Routing

Frage von Oggy01Router & Routing42 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Firewall

Zyxel USG 100 Passwort ändern

Frage von basilinaFirewall11 Kommentare

Hallo Zusammen Ich habe eine Zyxel USG 100 Firewall und möchte die Login-Daten ändern. Mein Ex hatte das alles ...

Netzwerke

SSL-VPN Durchsatz mit ZyXEL USG 110 und USG 100 sehr gering

Frage von vanfeuchtsingNetzwerke53 Kommentare

Hallo Leute, ich eröffne dann mal mein zweites größeres Thema mit dem ich mich schon lange rumschlage Ich habe ...

Neue Wissensbeiträge
Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 49 MinutenHyper-V2 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Zusammenarbeit

Verfügbar - Samsung PCoIP Zero Client NB-NH (40 Stück)

Tipp von loop.12 vor 2 StundenZusammenarbeit1 Kommentar

Wenn jemand braucht, ich habe 40 Stück: - Samsung PCoIP Zero Client NB-NH - PCoIP Client - - Preis ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 6 StundenServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 2 TagenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Heiß diskutierte Inhalte
Microsoft
Windows 10 - Kombination von lokalen Benutzerkonten und Benutzern aus einer Domäne
Frage von PappnaseVxVVMicrosoft21 Kommentare

Hi, würde gerne folgendes realisieren, von dem ich gern wüsste, ob es geht. Ich habe einen Raum mit 3 ...

Netzwerkgrundlagen
Windows Server über Außen-IP nicht ansprechbar
Frage von uups81Netzwerkgrundlagen18 Kommentare

Hallo! Es gibt mehrere Windows Server (2016, 2019), die über einen zweiten Netzwerkadapter in einem lokalen Netzwerk miteinander verbunden ...

Windows 10
Windows 10 druckt nicht mehrere Kopien?
Frage von StefanKittelWindows 1016 Kommentare

Hallo, ich hatte gerade einen Anruf eines Kunden. Sein neuer PC (Win 10 1903) druckt nicht mehr mehrere Seiten ...

Grafikkarten & Monitore
Grafikkarten Angebot auf Amazon
gelöst Frage von NudellordGrafikkarten & Monitore16 Kommentare

Hallo Community, ich suche eine neue Grafikkarte und bin auf die Nvidea Gforce GTX 1080 ti gestoßen. Und dabei ...