Tag Archives: VPN

AuthPoint Support für MSCHAPv2/IKEv2 VPNs jetzt verfügbar

Mit dem Launch von AuthPoint Gateway v5.3.1  sind nun RADIUS MSCHAPv2-Authentifizierungen in der Active Directory möglich. Dies bedeutet, dass Sie jetzt IKEv2-VPNs erstellen und Benutzer in der Active Directory authentifizieren können, wobei AuthPoint als MFA-Lösung verwendet wird.

Warum IKEv2?
Weiterlesen »

HOWTO: L2TP VPN via RADIUS und Start-Before-Logon

Mit L2TP können Sie Windows Endgeräte mit Boardmittel für eine VPN Einwahl konfigurieren. Durch die RADIUS Anbindung können Sie nicht nur die Zugänge via AD steuern, sondern auch Start-Before-Logon vernünftig konfigurieren. Durch Start-Before-Logon haben Sie den Vorteil, dass Sie bereits vor der User-Anmeldung eine Verbindung zum AD herstellen können und so Netzlaufwerke, Richtlinien, … via VPN bereitgestellt werden.
Weiterlesen »

HOWTO: Branch Office VPN over TLS

Seit Fireware 12.1 bietet WatchGuard die Möglichkeit, eine Standortvernetzung bequem über TLS umzusetzen. Das Server-Client Modell spielt seine Stärken besonders dann aus, wenn keine statischen IP-Adressen vorhanden oder IP-SEC durch vorgelagerte Router nicht möglich ist. Sie können also eine vorkonfigurierte Firewall an einen entsprechenden Außenstandort liefern lassen und unabhängig vom ISP benötigt das Remote-Device nur eine WAN Verbindung via Port 443. Weiterlesen »

Best Practices – MFA für Mobile User VPN

Inhalt:

Der Zugriff von Mitarbeitern im Außendienst auf interne Ressourcen wird oft über VPN Technologien ermöglicht. Eine Anmeldung nur mit Benutzername und Kennwort stellt hierbei ein erhöhtes Risiko dar. Dank Multifaktor-Authentifizierung mit WatchGuard Authpoint kann schnell und einfach die Sicherheit erhöht werden.

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security-Lösungen von WatchGuard optimal und effektiv einsetzen können.

 

Webinaraufzeichnung jetzt ansehen

HOWTO: Mobile IKEv2 VPN – Client-Anbindung mit Windows 10 Boardmitteln

Das IKEv2 Mobile VPN lässt Windows 10 Geräte eine stark verschlüsselte und performante Verbindung zu Ihrer WatchGuard aufbauen und benötigt hierfür keine 3rd Party Software auf dem Client-Device. Es lassen sich selbstverständlich auch andere Clients wie Mac OS, Android,… über IKEv2 mit der WatchGuard verbinden, was aber den Rahmen des Blog-Artikels sprengen würde.

Bei der IKEv2 Implementierung handelt es sich um einen Full-Tunnel, daher wird jeglicher Traffic über die WatchGuard geroutet!

Weiterlesen »

L2TP-VPN Watchguard <=> Windows, Tipps und Tricks

L2TP Routing

Unter Windows wird nativ das L2TP VPN unterstützt. Allerdings gibt es hierbei ein paar Dnge zu beachten:

  • L2TP verwendet Port 1701/UDP. Wenn man in einem Hotel sitzt, ist dieser Port möglicherweise nicht freigeschaltet. Dann hilft leider nur SSLVPN oder normales IPSec VPN oder eine UMTS/LTE Karte im Laptop bzw. der Hotspot im Handy.
  • L2TP verwendet normalerweise eine default route (0.0.0.0) durch den Tunnel. Damit geht der komplette Traffic einmal durch den Tunnel, was gewünscht sein kann, aber nicht muß

Dieser Artikel beschreibt Tipps und Tricks im Umgang mit L2TP VPN unter Windows 2008 und Windows 10.

Weiterlesen »

VPN-Probleme aufgrund teilweisem Leitungsausfall im Backbone des Providers

Konfuzius spricht: “Nicht immer ist die Firewall des Kunden schuld, wenn ein VPN nicht (mehr) funktioniert und der Kunde sagt, er habe nichts geändert. Das kann auch wirklich mal den Tatsachen entsprechen.” 🙂

Die hier erlebte Ausgangs-Situation für den Support Call war äußerst seltsam: Der Internetanschluss funktioniert, nur die Verbindung zwischen zwei BOVPN-Standorten zeigte extrem unübliche Verhaltensweisen – Kommunikation auf einer IP eines Standorts funktionierte, eine weitere IP funktionierte nicht, ICMP Pakete kamen in eine Richtung an, in die andere nicht, aber dann auch wieder abhängig von der Ziel-IP.

Ist-Zustand: VPN zwischen zwei Standorten funktioniert nicht:

  • BOVPN wird aufgebaut.
  • Daten fließen aber nur in eine Richtung (received-packets auf der anderen Seite: 0, zu sehen im Firebox System Manager bei Aufblättern des VPNs).
  • Ping von Standort 1 zu Standort 2 geht nicht.
  • Ping von Standort 2 zu Standort 1 geht nicht – tcpdump zeigt aber, dass icmp request ankommt und icmp reply gesendet wird.
  • Ping von Standort 2 zu Standort 1 sekundäre IP geht
  • Ping von Standort 1 sekundäre IP zu Standort 2 geht nicht
  • Beide Standorte können problemlos im Internet arbeiten, empfangen E-Mail und können von einem dritten Standort per WatchGuard System Manager administriert werden.
  • WSM nur eben nicht vom jeweiligen anderen Standort aus.
  • Teamviewer-Sitzungen sind stabil.

Nach langer Suche und mehreren Telefonkonferenzen mit dem Internet Provider stellt sich heraus:

  • Eine Strecke zwischen zwei Routern im Backbone des Providers hat zwei 10G Interfaces zum nächsten Router
  • Diese sind mittels Link Aggregation zusammengeschaltet (also 1 logische Leitung, 2 physikalische Strecken)
  • Aufgrund dessen wird über die Pakete offenbar über (src-dest-type-port) ein Hash zusammengebaut, anhand dessen bestimmt wird, ob das Paket über die eine oder die andere physikalische Leitung geht.
  • Demzufolge geht Ping mal oder mal nicht (abhängig von der Ziel IP-Adresse), ein traceroute geht mal und mal nicht, und VPN baut sich auf oder auch nicht (udp/tcp) und/oder kann in eine Richtung keine Daten senden, empfängt aber aus der anderen Richtung, (weil diese Strecke mit Typ IPSec und den jeweiligen Ziel-IPs mal in die eine Richtung auf der richtigen und in die andere Richtung auf der falschen Leitung landet).

Nach Abschalten des 10G-Interfaces der defekten Strecke war sofort Traffic auf dem VPN sichtbar und ping / traceroute verrichteten wieder völlig normal ihren Dienst.
Trotz der anfänglichen Behauptung des Providers, es liege an der Firewall des Kunden, konnte gezeigt werden, dass die WatchGuard unschuldig war 🙂

Wie findet man so etwas?

  • Binden aller verfügbaren externen IPs als Secondary IP
  • Prüfen, welche IPs auf Ping antworten
  • Pingen aller Router im Traceroute
  • Pingen der Zwischeninterfaces aus dem Traceroute (Router Eingangs-IP, Router Ausgangs-IP aus dem Transfernetz, Auslesen/Zuordnen per traceroutes in beide Richtungen)
  • Unabdingbar: ein technisch kompetenter Ansprechpartner auf Seiten des Providers 🙂
  • Die richtige Eingebung zum richtigen Zeitpunkt beim richtigen Router nach Link Aggregation zu fragen 🙂

Anbindung an ZIVIT (Atlas Zollverfahren) mit WatchGuard ab 11.12.2

Eine Anbindung an ZIVIT (Atlas Zollverfahren) mit einer WatchGuard Firebox ist mit Fireware 11.12.2 unterstützt und getestet. Das Setup basiert auf einem oder mehreren route-based VPNs, es wird also über ein/mehrere virtuelle BOVPN-Interface(s) realisiert. Um die nötigen kundenspezifischen VPN-Einstellungen in Erfahrung zu bringen, sind der Zugang auf der Website des Zoll-Portals sowie ein per Briefpost überstellter Aktivierungs-Code notwendig. Genauere Informationen zu den WatchGuard-seitigen Einstellungen können Sie über unser Kontaktformular anfordern.