Zertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 06.09.2024
Die Issuing CA bietet aber keine SSL-Dienste an, wofür sie ein entsprechendes Zertifikat bräuchte. Aber selbst wenn hätte sie ja ein Computerzertifikat, da ist Server ...
20
KommentareZertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 05.09.2024
@naughty und @Mr-Gustav Die Issuing-CA hat das Zertifikat nach Default Issuing-CA Vorlage erhalten. Das alte Zertifkat hatte genau die selben Eigenschaften. ...
20
KommentareZertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 03.09.2024
Alle anderen enden mit "SUCCESS" EDIT: Gibt noch paar andere: Die enden auch mit Name not Found. ...
20
KommentareZertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 03.09.2024
Habs auch mal mit nem lokalen Admin ausprobiert, gleicher Effekt. ...
20
KommentareZertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 03.09.2024
Interessant, wusste gar nicht, dass das geht. Brachte aber leider nichts. ...
20
KommentareZertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 03.09.2024
WSUS an sich geht. Der hat ein Computerzertifikat, das durch die Issuing-CA ausgestellt wurde und dasselbe Zertifkat wird für den IIS vom WSUS genutzt. Clients ...
20
KommentareZertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 03.09.2024
Zwei Das hab ich schon geprüft, die sind synchron. Jo, sehr spezifisch, Danke. Nach was genau soll ich denn da schauen? ...
20
KommentareZertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 03.09.2024
Das schon aber in den betreffenden Gruppen sind nur User Accounts Mitglieder (Die jeweiligen Admin User). Hab auch schon probiert, die Tier-GPOs komplett zu deaktvieren ...
20
KommentareZertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 02.09.2024
Im Event-Log von den Servern hab ich in der Nähe der Kennwort-Falsch-Meldung noch folgendes Ereignis gefunden: ...
20
KommentareZertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 02.09.2024
Laut überlegt: Mit dem eingesetzten Tiering sollte es eigentlich auch nicht zusammenhängen, wenn mich nicht alles täuscht hat es auch bislang funktioniert. Per GPO ist ...
20
KommentareZertifikatsvorlagen teilweise nicht sichtbar
Erstellt am 02.09.2024
Achso das hatte ich vergessen, beim Anwenden der entsprechenden GPO für die Zertifikate sagt er, dass der RPC Server nicht erreichbar sei. Was aber eigentlich ...
20
KommentareFortiGate und genericDDNS
Erstellt am 20.08.2024
Auch wenn der Beitrag schon etwas älter ist: Ich würde das tatsächlich auch über einen Webhook realisieren (sofern der Server die IP-Adresse ausliest und nicht ...
4
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 31.07.2024
Auch das meinte ich ;-) Tut mir leid, beim zweiten Mal schon wieder -.- Ne wie gesagt, habs über systemctl enable aktiviert. Danke trotzdem vielmals ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 31.07.2024
Wuhuuu, Problem gelöst. Es war eine sysctl Einstellung: Auf dem Wireguard Interface muss man xfrm deaktivieren: ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 31.07.2024
Genau das meinte ich ja. So überleben die Tunnel dann auch nen Reboot. eine der WG-Configs sieht so aus (die anderen analog): Mit der jeweils ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 31.07.2024
Also ich das Ganze grad nochmal auf nem anderen Debian Server nachgestellt, gleiches Problem. Muss also wohl echt an der Config liegen. ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 31.07.2024
Genau das vermute ich eben auch, aber welche Tags könnten das sein? sieht für mich persönlich auch gut aus, die Routen die ich in die ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 31.07.2024
Also mit GRE Tunnel geht überhaupt nix. Egal ob v4 oder v6. Musste v6 auch mal testen weil v4 hinter CGNAT liegt (Forti Seite). Ich ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Also viel gebracht hat das kühle Blonde leider nicht. Das mit dem GRE Tunnel hab ich nicht verstanden, wie das gehen soll. Ich baue den ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Das werd ich heute abend mal testen. Der Tunnel wird mit wg-quick aufgebaut, die nötige config steht jeweils in der /etc/wireguard/(TUNNEL).conf Mehrfach geprüft ;-) Routing-technisch ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Komisch Bei mir ist halt wegen Route-Based noch disable_policy=0 aber sonst auch genau wie bei dir. Ich hab jetzt mal testweise damit ich wieder arbeiten ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Seltsam Ich hab auch n Debian 12. Der IPSec isn IKEv2. Kannst du mir evtl. deine sysctl für die betreffenden Interfaces zukommen lassen? Ich vermute, ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Da hab ich testweise auch ne any Regel gebaut. Es scheitert ja schon daran, dass der Traffic Richtung Wireguard (OPNSense) das entsprechende Interface aufm Debian ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Die nftables FOTWARD chain sieht aktuell testweise so aus (daran sollte also also auch definitiv nicht liegen): ...
27
KommentarePakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)
Erstellt am 30.07.2024
Jap, is defintiv aus. Jap, die relevanten Einträge hier: Global: BGP: Default MTU 1500 abzüglich PPPoE abzüglich IPv6 abzüglich Wireguard gibt 1412, deshalb 1412, weil ...
27
KommentareRoute-based IPSec with multiple initators on same ID
Erstellt am 29.07.2024
Also zur Auflösung: Mit folgendem script funktioniert es jetzt: In der swanctl ist für jeden Tunnel eine connection konfiguriert, die children sind mit konfiguriert, Transfernetz ...
13
KommentareRoute-based IPSec with multiple initators on same ID
Erstellt am 29.07.2024
Sorry, dachte das wurde klar. Dann versteh ichs noch nicht so ganz was du genau meinst. Genau diese IP-Änderung muss ich auf dem Tunnel Interface ...
13
KommentareRoute-based IPSec with multiple initators on same ID
Erstellt am 29.07.2024
Ok dann gabs da wohl n Missverständnis. Der Strongswan ist der Responder, die Fortis mit dyn. IPs sind die Initiatoren. Sobald die Verbindung aufgebaut wird ...
13
KommentareRoute-based IPSec with multiple initators on same ID
Erstellt am 29.07.2024
Yep, FRR läuft eh schon für die ganzen wireguard Tunnel (das kann Forti ja leider nicht). Ab dem zweiten Tunnel hab ich dann nur das ...
13
KommentareRoute-based IPSec with multiple initators on same ID
Erstellt am 29.07.2024
Hab ich mir fast gedacht. Danke trotzdem! Dann wirds wohl ein Tunnel pro Remote-Site. Jap, das funktioniert so mit der Forti tatsächlich nicht, die lässt ...
13
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 28.07.2024
So und jetzt die Auflösung: Ich hab das Ganze noch nicht produktiv eingesetzt sondern erstmal hinter meiner alten OPNsense, welche das dann logischerweise geblockt hat. ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 28.07.2024
Also auch mit der ESP Regel auf der Forti geht’s nicht. Ich Probier jetzt mal noch aus, was passiert wenn ich in Strongswan als remote_addrs ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Haha ja so scheint das wohl zu sein. :-D Das automatisieren bei der Forti geht nicht so einfach haha, besser gesagt gar nicht. aber ich ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Is ja auch behindert, dass man das für v6 extra aktivieren muss. Für v4 macht sies von selbst ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Das wars auch bei mir. Ein "Problem" hab ich noch: Wenn der Tunnel rum-idled und ich versuche vom strongswan in Richtung Forti zu Pingen macht ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Jupp das meinte ich mit der gleichen Config, hab local_addrs auf die v6 Adresse angepasst sowie in Phase 2 local_ts und remote_ts. Ich krieg jetzt ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Ah und noch ne frage: Wie würde das Ganze für IPv6 aussehen? Hab das mal exakt mit der gleichen Config nachgestellt, Tunnel steht auch hier ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Danke, stimmt! Ich korrigiere: automatisieren ;-) Läuft derzeit auf ner Debian-Kiste, /etc/network/interfaces und so xD ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Ja so läuft das jetzt auch bei mir. Ich hab keine Ahnung woran es genau lag. Entweder an reqid oder an den sysctl Dingern. Jetzt ...
22
KommentareRoute-based Strongswan IPSec zu Fortigate: Antwort kommt nicht an
Erstellt am 26.07.2024
Mit der 10.58.0.1 (die die auch aufm Interface konfiguriert ist) auf die 10.58.0.2 (die die auf der Forti konfiguriert ist). Die Pakete sieht man auch ...
22
Kommentare