Unternehmen     Impressum     Kontakt
+ Antworten
Ergebnis 1 bis 4 von 4

Thema: VPN Drucker intranator2500<=>watchguard x1000

  1. 08.04.2009 17:08 #1
    j.biegansky
    j.biegansky ist offline Registered User
    Registriert seit
    Jul 2008
    Beiträge
    4

    Question VPN Drucker intranator2500<=>watchguard x1000

    Hallo Supporter und Mitleser,
    ich versuche derzeit verzweifelt eine Verbindung zwischen unserer 2500er und einer Watchguard x1000 hinzubekommen.
    Ziel ist es, das wir aus unserem Netz eineen Drucker im Fremd-Netz ansprechen können.
    Zwischenzeitlich konnte ich auch schon für ein paar Minuten darauf zugreifen.
    Danach funktionierte der Tunnel nicht mehr, auch wenn er auf der Hauptseite als bestehend angezeigt wurde. Nach dem manuellen Trennen konnte ich die Verbindung nicht wieder aufbauen.
    Eigentlich sollte die Anbindung auch über ein Zertifikat laufen, aber dummerweise unterstützt die Watchguard keine fremden Zertifikate und so müssen wir zeitweuise mit einem PSK arbeiten

    Unter System /Information /VPN steht:
    "C13": XXX/24===YYYY:4500...:4500===ZZZ/24; erouted HOLD; eroute owner: #0
    "C13": newest ISAKMP SA: #0; newest IPsec SA: #0;

    2709: "C13" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 1s
    #2709: pending Phase 2 for "C13" replacing #0

    in den Messages steht:
    Apr 8 16:00:01 intranator pluto[2318]: "C13" #2710: starting keying attempt 3 of at most 3
    Apr 8 16:00:01 intranator pluto[2318]: "C13" #2711: initiating Main Mode to replace #2710
    Apr 8 16:01:11 intranator pluto[2318]: "C13" #2711: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message

    Nun ist mir nicht klar wo er jetzt hängen bleibt.

    Ich wäre für jeden sinnvollen Hinweis dankbar.
    Zitieren Zitieren
  2. 08.04.2009 18:43 #2
    Gerd von Egidy
    Gerd von Egidy ist offline Administrator
    Registriert seit
    Dec 2001
    Ort
    Tübingen
    Beiträge
    948
    Hallo,

    Zitat Zitat von j.biegansky Beitrag anzeigen
    Eigentlich sollte die Anbindung auch über ein Zertifikat laufen, aber dummerweise unterstützt die Watchguard keine fremden Zertifikate und so müssen wir zeitweuise mit einem PSK arbeiten
    Was meinen mit "fremden Zertifikaten"? Kann die Watchguard denn eigene Zertifikate erzeugen und damit arbeiten? Wenn ja dann sollte es gehen.

    Haben Sie feste IP-Adressen auf beiden Seiten der Verbindung? Wenn nein, dann sollten Sie unbedingt die Sache mit den Zertifikaten ausprobieren. Wenn ja, dann können Sie es weiter mit dem PSK versuchen. Als Tipp kann ich Ihnen nur geben, die festen IPs auf beiden Seiten als IPSec-IDs zu verwenden. Damit kommen die meisten Gegenstellen zurecht, die auf dem Intranator dann angezeigte Warnung können Sie ignorieren.

    Apr 8 16:00:01 intranator pluto[2318]: "C13" #2711: initiating Main Mode to replace #2710
    Apr 8 16:01:11 intranator pluto[2318]: "C13" #2711: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
    Tja, der Intranator versucht die Phase 1 aufzubauen und sendet mehrfach die entsprechenden Pakete an die Watchguard, bekommt aber keine Antwort.

    Warum er keine Antwort bekommt, finden Sie höchstwahrscheinlich in den Logs der Watchguard. Der Intranator protokolliert alles was er mitbekommt, nämlich daß er einfach keine Antwort bekommt.

    Herzliche Grüße,

    v. Egidy
    Zitieren Zitieren
  3. 09.04.2009 08:48 #3
    j.biegansky
    j.biegansky ist offline Registered User
    Registriert seit
    Jul 2008
    Beiträge
    4

    VPN Drucker intranator2500<=>watchguard x1000

    Hallo Herr v. Egidy,
    erst einmal Danke für die Rückmeldung.
    Diese Version der Watchguard kann zwar Zertifikate erzeugen, akzeptiert aber angeblich nur öffentliche Schlüssel von Watchguard Firewalls. Verstehe ich zwar nicht so ganz, aber muss ich wohl hinnehmen
    Daher der Weg mit den PSKs.
    Als IPSec ID haben wir bereits die IPs eingesetzt. Nachdem wir diese eingestellt hatten, ging es ja kurzfristig....
    Die IPS auf beiden Seiten sind fest.
    Frage am Rande:
    Sehe ich es richtig, dass die von mir eingestellten Firewallregeln (recht streng, damit die Gegenstelle nicht in unsere Netz kommt) zum Drucken in der Ferne zu diesem Zeitpunkt noch uninteressant sind ?

    Ich werde meine Gegenstelle bitten mir die Logs zukommen zu lassen.

    Schöne Grüße,
    J.Biegansky
    Zitieren Zitieren
  4. 09.04.2009 17:51 #4
    bjoerns
    bjoerns ist offline Administrator
    Registriert seit
    Mar 2007
    Beiträge
    206
    Hallo Herr Biegansky,

    naja, uninteressant würde ich nicht sagen. Siehe hierzu:
    http://intra2net-com/de/support/manu...-traversal.php
    Ausgehende Pakete auch wenn diese ins VPN gerichtet sind, also in diesem Fall an den Netzwerkdrucker auf der Gegenseite, durchlaufen die LAN-Regeln. D.h. wenn Sie wollen das ein Intra Client dort Drucken können soll, dann müssen die entsprechenden Ports in der Firewall-Regelliste die dem Client unter Netzwerk->Intranet->Rechner zugewiesen ist, freigeschalten sein. Zurück kommen die Pakete vom VPN durch die Firewall-Regellist die der entsprechenden VPN-Verbindung zugewiesen ist, allerdings wenn die Rückantwort erlaubt ist, was im Normalfall Standard ist, dann sollte es reichen wenn Sie die LAN-Regel der entsprechenden Rechner dahingehend anpassen das die Ports für den Netzwerk-Drucker freigegeben sind.

    Wegen der VPN-Verbindung können Sie sich ja wieder melden sobald Sie die Log der Gegenstelle haben.

    MFG Björn
    Zitieren Zitieren
+ Antworten
« Vorheriges Thema | Nächstes Thema »

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln