Tag Archives: BOVPN

Fireware 12.8 mit Problemen bei IKEv2 – behoben mit 12.8 Update 1

Update 2022-04-29:

Das Release 12.8 Update 1 enthält einen Fix für das in diesem Artikel beschriebene Problem.
Bei uns sind in den letzten 2 Wochen keine negativen Rückmeldungen zu 12.8 Update 1 eingegangen.

Wir haben inzwischen mehrere Kundenfälle, bei denen nach Upgrade auf die Version 12.8 Probleme mit IKEv2 aufgetreten sind. Leider ist es noch nicht klar ersichtlich, unter welchen Bedingungen die Probleme auftreten – bei manchen Kunden gibt es keine Probleme, bei anderen treten die Probleme auf.

Die Symptome sind i.d.R. “unstabile” BOVPN.Tunnel, meist mit BOVPN-Virtual-Interfaces.

Es scheint möglich, dass die Änderungen für die IKEv2-Erweiterung für MOBIKE (also der MOBIKE-Support für IKEv2, der mit der 12.8 reingekommen ist) damit zusammen hängen.

Der Mobike-Support kann über die CLI wie folgt abgeschaltet werden:

diagnose vpn "/ike/param/set mobike_support=0"
diagnose vpn "/ike/restart"

Vorsicht bei dem Befehl vpn ike/restart werden Ihre IKE Verbindungen möglicherweise unterbrochen.

Das Abschalten des Mobike-Supports hat bei einigen Kunden Besserung gebracht, allerdings hat es nicht überall das Problem vollständig beseitigen können.

In einem Support-Case zu diesem Problem haben wir folgende Antwort bekommen:

Our Engineering Team identified a BUG for this and are working on a fix.

Mainly it seems to affect only VPNs configured for VPN Failover.

FBX-23104 After upgrade to 12.8 IKEv2 BOVPNs using VPN failover are instable

Workaround is switching to IKEv1 for the affected VPNs.

Sobald wir mehr Informationen haben, werden wir diesen Blogartikel ergänzen.

Update 2022-04-29:

Das Release 12.8 Update 1 enthält einen Fix für das in diesem Artikel beschriebene Problem.
Bei u
ns sind in den letzten 2 Wochen keine negativen Rückmeldungen zu 12.8 Update 1 eingegangen.

 

Best Practices: Standortvernetzung mit WatchGuard Firebox

Standortvernetzung über VPN-Tunnel sind das Fundament für unternehmensweite und standortübergreifende Kommunikation. Auch die sichere Anbindung von Home Office Arbeitsplätzen ist oft auf Basis von VPN Vernetzungen gewährleistet. Innerhalb der WatchGuard Firebox Systeme stehen 3 Varianten zur Auswahl – BOVPN Gateway & Tunnel, BOVPN Virtual Interface, BOVPN over TLS. Wann ist nun aber die jeweilige Variante sinnvoll und worin unterscheiden sich diese?

Folgende Themen werden in diesem Webinar behandelt:

Weiterlesen »

Best Practices: Security Talk – Sicherheit im Home Office

Die Security-Experten Jonas Spieckermann von WatchGuard sowie unsere beiden WatchGuard System Professionals Werner Maier und Johannes Wolfsteiner nehmen in diesem Live-Talk die Sicherheit im Home Office unter die Lupe.
Welche technischen Herausforderungen stellen sich bei der sicheren Einbindung von Remote-Mitarbeitern sowohl im Home Office wie auch im Unternehmen und welche Lösungsansätze sind grundsätzlich wirksam?

Die folgenden Themen der Dreierrunde können Sie mithilfe der Timestamps gezielt abspielen:

Weiterlesen »

Best Practices – Standortvernetzung mit WatchGuard Firebox

Inhalt:

Standortvernetzung über VPN-Tunnel sind das Fundament für unternehmensweite und standortübergreifende Kommunikation. Auch die sichere Anbindung von Home Office Arbeitsplätzen ist oft auf Basis von VPN Vernetzungen gewährleistet. Innerhalb der WatchGuard Firebox Systeme stehen 3 Varianten zur Auswahl – BOVPN Gateway & Tunnel, BOVPN Virtual Interface, BOVPN over TLS. Wann ist nun aber die jeweilige Variante sinnvoll und worin unterscheiden sich diese?

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security Appliances von WatchGuard optimal und noch effektiver einsetzen können.

Webinaraufzeichnung jetzt ansehen!

BOVPN-Tunnel WatchGuard <=> Fortinet, IKEv1 – Mismatched ID Setting

Ein Kunde hatte gerade ein Problem, einen IPSec BOVPN-Tunnel zwischen WatchGuard und Fortinet / Fortigate aufzubauen.

Setup: physikalische WatchGuard => Oracle Cloud => NAT => Virtuelle Fortinet

In einer Telko mit dem Kunden und dem Techniker, der die Fortinet konfiguriert, konnten wir debuggen.

Alle Settings (IKEv1) haben soweit gepasst, allerdings kam immer ein Fehler (auf der WG gemeldet):

IKE phase-1 negotiation from xx.xx.xx.xx:500 to yy.yy.yy.yy:500 failed. Gateway-Endpoint='name-des-gateways' Reason=Authentication failure due to mismatched ID setting

Laut Aussage des Technikers kann man bei der Fortigate die ID aber nicht einstellen; die Fortinet würde
die ID erst auf Anfrage der Gegenstelle überhaupt senden, und dann dort die externe IP reinschreiben.
(also ID = externe IP, nicht die „externe IP aus dem Transfernetz“.  => bei der WatchGuard dann remote ip = remote id).

Ein Erhöhen des Diagnostic log level auf info hat nichts wirklich Neues gegeben.

Ein Erhöhen des Diagnostic log level auf debug brachte dann eine Meldung zutage:
„invalid payload type (FQDN)“ oder so ähnlich. Wir haben leider keinen Screenshot dazu.

die WG hat also Type=IP erwartet und Type=FQDN erhalten.

Ich habe danach die Remote-ID umgestellt:

( ) By IP Address
(*) By Domain Information
=> (*) Domain Name
=> Die remote IP-Adresse als Domain Name eintragen

hat geholfen:

nach dem Abspeichern kam der Tunnel sofort hoch.

HOWTO: Branch Office VPN over TLS

Seit Fireware 12.1 bietet WatchGuard die Möglichkeit, eine Standortvernetzung bequem über TLS umzusetzen. Das Server-Client Modell spielt seine Stärken besonders dann aus, wenn keine statischen IP-Adressen vorhanden oder IP-SEC durch vorgelagerte Router nicht möglich ist. Sie können also eine vorkonfigurierte Firewall an einen entsprechenden Außenstandort liefern lassen und unabhängig vom ISP benötigt das Remote-Device nur eine WAN Verbindung via Port 443. Weiterlesen »

Anbindung an ZIVIT (Atlas Zollverfahren) mit WatchGuard ab 11.12.2

Eine Anbindung an ZIVIT (Atlas Zollverfahren) mit einer WatchGuard Firebox ist mit Fireware 11.12.2 unterstützt und getestet. Das Setup basiert auf einem oder mehreren route-based VPNs, es wird also über ein/mehrere virtuelle BOVPN-Interface(s) realisiert. Um die nötigen kundenspezifischen VPN-Einstellungen in Erfahrung zu bringen, sind der Zugang auf der Website des Zoll-Portals sowie ein per Briefpost überstellter Aktivierungs-Code notwendig. Genauere Informationen zu den WatchGuard-seitigen Einstellungen können Sie über unser Kontaktformular anfordern.