Tag Archives: BOVPN

Best Practices: Security Talk – Sicherheit im Home Office

Die Security-Experten Jonas Spieckermann von WatchGuard sowie unsere beiden WatchGuard System Professionals Werner Maier und Johannes Wolfsteiner nehmen in diesem Live-Talk die Sicherheit im Home Office unter die Lupe.
Welche technischen Herausforderungen stellen sich bei der sicheren Einbindung von Remote-Mitarbeitern sowohl im Home Office wie auch im Unternehmen und welche Lösungsansätze sind grundsätzlich wirksam?

Die folgenden Themen der Dreierrunde können Sie mithilfe der Timestamps gezielt abspielen:

Weiterlesen »

Best Practices #Sichersein-Serie – Standortvernetzung mit WatchGuard Firebox

Inhalt:

Standortvernetzung über VPN-Tunnel sind das Fundament für unternehmensweite und standortübergreifende Kommunikation. Auch die sichere Anbindung von Home Office Arbeitsplätzen ist oft auf Basis von VPN Vernetzungen gewährleistet. Innerhalb der WatchGuard Firebox Systeme stehen 3 Varianten zur Auswahl – BOVPN Gateway & Tunnel, BOVPN Virtual Interface, BOVPN over TLS. Wann ist nun aber die jeweilige Variante sinnvoll und worin unterscheiden sich diese?

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security Appliances von WatchGuard optimal und noch effektiver einsetzen können.

Jetzt zum Webinar anmelden!

BOVPN-Tunnel WatchGuard <=> Fortinet, IKEv1 – Mismatched ID Setting

Ein Kunde hatte gerade ein Problem, einen IPSec BOVPN-Tunnel zwischen WatchGuard und Fortinet / Fortigate aufzubauen.

Setup: physikalische WatchGuard => Oracle Cloud => NAT => Virtuelle Fortinet

In einer Telko mit dem Kunden und dem Techniker, der die Fortinet konfiguriert, konnten wir debuggen.

Alle Settings (IKEv1) haben soweit gepasst, allerdings kam immer ein Fehler (auf der WG gemeldet):

IKE phase-1 negotiation from xx.xx.xx.xx:500 to yy.yy.yy.yy:500 failed. Gateway-Endpoint='name-des-gateways' Reason=Authentication failure due to mismatched ID setting

2020-04-23 12:03:50 iked (217.92.226.103<->78.47.188.159)IKE phase-2 negotiation from 217.92.226.103:500 to 78.47.188.159:500 failed. Tunnel=’BOVPN.VIF.H3′ Reason=Message retry timeout. Check VPN IKE diagnostic log messages for more information. msg_id=”0205-000B” Debug

Laut Aussage des Technikers kann man bei der Fortigate die ID aber nicht einstellen; die Fortinet würde
die ID erst auf Anfrage der Gegenstelle überhaupt senden, und dann dort die externe IP reinschreiben.
(also ID = externe IP, nicht die „externe IP aus dem Transfernetz“.  => bei der WatchGuard dann remote ip = remote id).

Ein Erhöhen des Diagnostic log level auf info hat nichts wirklich Neues gegeben.

Ein Erhöhen des Diagnostic log level auf debug brachte dann eine Meldung zutage:
„invalid payload type (FQDN)“ oder so ähnlich. Wir haben leider keinen Screenshot dazu.

die WG hat also Type=IP erwartet und Type=FQDN erhalten.

Ich habe danach die Remote-ID umgestellt:

( ) By IP Address
(*) By Domain Information
=> (*) Domain Name
=> Die remote IP-Adresse als Domain Name eintragen

hat geholfen:

nach dem Abspeichern kam der Tunnel sofort hoch.

HOWTO: Branch Office VPN over TLS

Seit Fireware 12.1 bietet WatchGuard die Möglichkeit, eine Standortvernetzung bequem über TLS umzusetzen. Das Server-Client Modell spielt seine Stärken besonders dann aus, wenn keine statischen IP-Adressen vorhanden oder IP-SEC durch vorgelagerte Router nicht möglich ist. Sie können also eine vorkonfigurierte Firewall an einen entsprechenden Außenstandort liefern lassen und unabhängig vom ISP benötigt das Remote-Device nur eine WAN Verbindung via Port 443. Weiterlesen »

Anbindung an ZIVIT (Atlas Zollverfahren) mit WatchGuard ab 11.12.2

Eine Anbindung an ZIVIT (Atlas Zollverfahren) mit einer WatchGuard Firebox ist mit Fireware 11.12.2 unterstützt und getestet. Das Setup basiert auf einem oder mehreren route-based VPNs, es wird also über ein/mehrere virtuelle BOVPN-Interface(s) realisiert. Um die nötigen kundenspezifischen VPN-Einstellungen in Erfahrung zu bringen, sind der Zugang auf der Website des Zoll-Portals sowie ein per Briefpost überstellter Aktivierungs-Code notwendig. Genauere Informationen zu den WatchGuard-seitigen Einstellungen können Sie über unser Kontaktformular anfordern.

Neuer Knowledge Base Content im Juli 2016

WatchGuard erstellt ständig neue Inhalte in der Knowledge Base. Die folgenden Artikel wurden im Mai 2016 hinzugefügt. Um die WatchGuard Knowledge Base zu durchsuchen, verwenden Sie die Technische Suche (Technical Search) im WatchGuard Support Center.

Known Issues (Login auf der WatchGuard Website erforderlich)

Neuer Knowledge Base Content im Juni 2016

WatchGuard erstellt ständig neue Inhalte in der Knowledge Base. Die folgenden Artikel wurden im Mai 2016 hinzugefügt. Um die WatchGuard Knowledge Base zu durchsuchen, verwenden Sie die Technische Suche (Technical Search) im WatchGuard Support Center.

Artikel

Known Issues (Login auf der WatchGuard Website erforderlich)