Tag Archives: BOVPN

BestPractices.live – Sichere VPN-Verbindungen mit WatchGuard Firebox

Comment

Inhalt:

Die WatchGuard Firebox ist eine extrem vielseitige und leistungsstarke Netzwerksicherheitslösung, die mehrere Möglichkeiten bietet, verschiedene Standorte sicher über öffentliche Internetverbindungen zu verbinden.

Welche Methode ist also für die Anwendungsfälle Ihrer Kunden am besten geeignet? Wie sollte VPN genutzt werden, um Standorte mit Fireboxen effektiv und sicher zu verbinden?

In diesem Webinar werden WatchGuard Security-Experten die Firebox BOVPN-Funktionen besprechen und folgende Punkte hervorheben:

– Best Practices für ein belastbares und redundantes Netzwerk
– Wann man IPSec, IKEv2 oder SSL-Optionen verwenden sollte
– Vorteile der Cloud-Verwaltung gegenüber der lokalen Verwaltung
– Neue verfügbare Optionen für Cloud-verwaltete VPNs

BestPractices.live – Anbindung kleiner Remote Standorte und Homeoffice-Umgebungen

Comment

Für viele Unternehmen gehören kleinere Außenstandorte, Homeoffice Arbeitsplätze und Remote Mitarbeiter zum Alltag. Für diese Situationen ist eine sichere aber gleichzeitig auch einfach umsetzbare Anbindung an zentral bereitgestellte Dienste und Systeme essentiell. Die gleichen Anforderungen treffen auch auf Unternehmen zu, die vielfältige dezentrale Anwendungen betreiben (z.B. Kiosk, digitale Werbung, Automaten).

In diesem BestPractices.Live Webinar stellen Ihnen WatchGuard Security-Experten Möglichkeiten vor, wie eine sichere Verbindung in einfachster Art und Weise implementiert werden kann. Außerdem geht es um die Gegenüberstellung von Branch Office VPN, Access Point VPN und Mobile User VPN Technologien um die bestmögliche Variante für die jeweilige Kundensituation finden zu können. Insbesondere die kleine Firebox NV5 Appliance bietet in diesem Zusammenhang viele Mehrwerte, die detailliert betrachten werden.

Neben der Theorie werden in diesem BestPractices.Live Webinar die Varianten der Einbindung auch Live vorgestellt.

Weiterlesen »

Fireware 12.8 mit Problemen bei IKEv2 – behoben mit 12.8 Update 1

Comment

Update 2022-04-29:

Das Release 12.8 Update 1 enthält einen Fix für das in diesem Artikel beschriebene Problem.
Bei uns sind in den letzten 2 Wochen keine negativen Rückmeldungen zu 12.8 Update 1 eingegangen.

Wir haben inzwischen mehrere Kundenfälle, bei denen nach Upgrade auf die Version 12.8 Probleme mit IKEv2 aufgetreten sind. Leider ist es noch nicht klar ersichtlich, unter welchen Bedingungen die Probleme auftreten – bei manchen Kunden gibt es keine Probleme, bei anderen treten die Probleme auf.

Die Symptome sind i.d.R. “unstabile” BOVPN.Tunnel, meist mit BOVPN-Virtual-Interfaces.

Es scheint möglich, dass die Änderungen für die IKEv2-Erweiterung für MOBIKE (also der MOBIKE-Support für IKEv2, der mit der 12.8 reingekommen ist) damit zusammen hängen.

Der Mobike-Support kann über die CLI wie folgt abgeschaltet werden:

diagnose vpn "/ike/param/set mobike_support=0"
diagnose vpn "/ike/restart"

Vorsicht bei dem Befehl vpn ike/restart werden Ihre IKE Verbindungen möglicherweise unterbrochen.

Das Abschalten des Mobike-Supports hat bei einigen Kunden Besserung gebracht, allerdings hat es nicht überall das Problem vollständig beseitigen können.

In einem Support-Case zu diesem Problem haben wir folgende Antwort bekommen:

Our Engineering Team identified a BUG for this and are working on a fix.

Mainly it seems to affect only VPNs configured for VPN Failover.

FBX-23104 After upgrade to 12.8 IKEv2 BOVPNs using VPN failover are instable

Workaround is switching to IKEv1 for the affected VPNs.

Sobald wir mehr Informationen haben, werden wir diesen Blogartikel ergänzen.

Update 2022-04-29:

Das Release 12.8 Update 1 enthält einen Fix für das in diesem Artikel beschriebene Problem.
Bei uns sind in den letzten 2 Wochen keine negativen Rückmeldungen zu 12.8 Update 1 eingegangen.

 

Best Practices: Standortvernetzung mit WatchGuard Firebox

Comment

Standortvernetzung über VPN-Tunnel sind das Fundament für unternehmensweite und standortübergreifende Kommunikation. Auch die sichere Anbindung von Home Office Arbeitsplätzen ist oft auf Basis von VPN Vernetzungen gewährleistet. Innerhalb der WatchGuard Firebox Systeme stehen 3 Varianten zur Auswahl – BOVPN Gateway & Tunnel, BOVPN Virtual Interface, BOVPN over TLS. Wann ist nun aber die jeweilige Variante sinnvoll und worin unterscheiden sich diese?

Folgende Themen werden in diesem Webinar behandelt:

Weiterlesen »

Best Practices: Security Talk – Sicherheit im Home-Office

Comment
Die Security-Experten Jonas Spieckermann von WatchGuard sowie unsere beiden WatchGuard System Professionals Werner Maier und Johannes Wolfsteiner nehmen in diesem Live-Talk die Sicherheit im Home-Office unter die Lupe.
Welche technischen Herausforderungen stellen sich bei der sicheren Einbindung von Remote-Mitarbeitern sowohl im Home-Office wie auch im Unternehmen und welche Lösungsansätze sind grundsätzlich wirksam?

Die folgenden Themen der Dreierrunde können Sie mithilfe der Timestamps gezielt abspielen:

Weiterlesen »

Best Practices – Standortvernetzung mit WatchGuard Firebox

Comment

Inhalt:

Standortvernetzung über VPN-Tunnel sind das Fundament für unternehmensweite und standortübergreifende Kommunikation. Auch die sichere Anbindung von Home Office Arbeitsplätzen ist oft auf Basis von VPN Vernetzungen gewährleistet. Innerhalb der WatchGuard Firebox Systeme stehen 3 Varianten zur Auswahl – BOVPN Gateway & Tunnel, BOVPN Virtual Interface, BOVPN over TLS. Wann ist nun aber die jeweilige Variante sinnvoll und worin unterscheiden sich diese?

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security Appliances von WatchGuard optimal und noch effektiver einsetzen können.

Webinaraufzeichnung jetzt ansehen!

BOVPN-Tunnel WatchGuard <=> Fortinet, IKEv1 – Mismatched ID Setting

Comment

Ein Kunde hatte gerade ein Problem, einen IPSec BOVPN-Tunnel zwischen WatchGuard und Fortinet / Fortigate aufzubauen.

Setup: physikalische WatchGuard => Oracle Cloud => NAT => Virtuelle Fortinet

In einer Telko mit dem Kunden und dem Techniker, der die Fortinet konfiguriert, konnten wir debuggen.

Alle Settings (IKEv1) haben soweit gepasst, allerdings kam immer ein Fehler (auf der WG gemeldet):

IKE phase-1 negotiation from xx.xx.xx.xx:500 to yy.yy.yy.yy:500 failed. Gateway-Endpoint='name-des-gateways' Reason=Authentication failure due to mismatched ID setting

Laut Aussage des Technikers kann man bei der Fortigate die ID aber nicht einstellen; die Fortinet würde
die ID erst auf Anfrage der Gegenstelle überhaupt senden, und dann dort die externe IP reinschreiben.
(also ID = externe IP, nicht die „externe IP aus dem Transfernetz“.  => bei der WatchGuard dann remote ip = remote id).

Ein Erhöhen des Diagnostic log level auf info hat nichts wirklich Neues gegeben.

Ein Erhöhen des Diagnostic log level auf debug brachte dann eine Meldung zutage:
„invalid payload type (FQDN)“ oder so ähnlich. Wir haben leider keinen Screenshot dazu.

die WG hat also Type=IP erwartet und Type=FQDN erhalten.

Ich habe danach die Remote-ID umgestellt:

( ) By IP Address
(*) By Domain Information
=> (*) Domain Name
=> Die remote IP-Adresse als Domain Name eintragen

hat geholfen:

nach dem Abspeichern kam der Tunnel sofort hoch.

HOWTO: Branch Office VPN over TLS

Comment

Seit Fireware 12.1 bietet WatchGuard die Möglichkeit, eine Standortvernetzung bequem über TLS umzusetzen. Das Server-Client Modell spielt seine Stärken besonders dann aus, wenn keine statischen IP-Adressen vorhanden oder IP-SEC durch vorgelagerte Router nicht möglich ist. Sie können also eine vorkonfigurierte Firewall an einen entsprechenden Außenstandort liefern lassen und unabhängig vom ISP benötigt das Remote-Device nur eine WAN Verbindung via Port 443. Weiterlesen »