{"id":2166,"date":"2010-05-23T14:49:00","date_gmt":"2010-05-23T12:49:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/ldap-authentication-fuer-ipsec-mobile-user-vpn\/"},"modified":"2016-08-23T15:10:58","modified_gmt":"2016-08-23T13:10:58","slug":"ldap-authentication-fuer-ipsec-mobile-user-vpn","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/05\/ldap-authentication-fuer-ipsec-mobile-user-vpn\/","title":{"rendered":"LDAP Authentication f\u00fcr IPSec Mobile User VPN"},"content":{"rendered":"<p>In einem Migrationsprojekt von WatchGuard Fireware 10.x nach Fireware XTM 11 fand ich neulich best\u00e4tigt, dass bei Fireware XTM 11 das Coding ge\u00e4ndert wurde, mit dem die Firebox eine <span style=\"font-weight:bold;\">LDAP Authentication (hier: Novell e-Directory)<\/span> durchf\u00fchrt. Problem war, dass externe Client-PCs mit installiertem <span style=\"font-weight:bold;\">IPSec-Client (NCP)<\/span> nach der Umstellung auf Fireware XTM v11.2.3 zwar die VPN-Einwahl vornehmen konnten, anschlie\u00dfend aber <span style=\"font-weight:bold;\">kein Traffic durch den Tunnel<\/span> geflossen ist. Im Traffic Monitor war der Traffic als <span style=\"font-style:italic;\">Unhandled External Packet<\/span> zu sehen &#8211; allerdings mit korrekt angezeigtem User (z.B. testaccount@LDAP). Insofern war klar: die Firebox hat aufgrund der R\u00fcckmeldung vom LDAP erkannt, dass Benutzername und Kennwort korrekt waren. Sie konnte an dieser Stelle ebenfalls die Gruppenzugeh\u00f6rigkeit erkennen und hat aus dem korrekten IP-Adresspool eine Einwahl-IP vergeben. Soweit so gut.<\/p>\n<p>Trotzdem hat irgendetwas verhindert, dass die <span style=\"font-weight:bold;\">FIREWALLREGEL<\/span>, die zu der entsprechenden Mobile User VPN Gruppe geh\u00f6rt, ausgef\u00fchrt wird &#8211; also wurde die Gruppenzugeh\u00f6rigkeit f\u00fcr den Firewall-Part nicht korrekt hinterlegt. Bei der Ursachenforschung wurden mehrere Besonderheiten des Kunden-LDAP beleuchtet, z.B. verwendet der Kunde Leerzeichen im Benutzernamen. Im Endeffekt konnte das Problem jedoch darauf eingekreist werden, dass der <span style=\"font-weight:bold;\">LDAP Gruppenname<\/span>, der eben auch als Name f\u00fcr die MUVPN Gruppe auf der WatchGuard Firebox verwendet wird, aus einer <span style=\"font-weight:bold;\">Kombination aus Gro\u00df- und Kleinbuchstaben<\/span> bestand! Wurde also der Gruppenname im LDAP so ge\u00e4ndert, dass er entweder NUR aus Gro\u00dfbuchstaben oder NUR aus Kleinbuchstaben bestand und die MUVPN Gruppe gel\u00f6scht und mit der neuen Syntax neu erzeugt wurde, FUNKTIONIERTE sowohl VPN-Einwahl als auch Traffic korrekt.<br \/>Da der Kunde mit 70 Standorten jedoch international aufgestellt ist und die LDAP Gruppennamen auch noch f\u00fcr andere Softwareprodukte in der bisherigen Schreibweise ben\u00f6tigt wurden, musste das Problem anderweitig umgangen werden. Es zeigte sich, dass die <span style=\"font-weight:bold;\">allerneueste Version des NCP-Clients<\/span>, den WatchGuard als Version <span style=\"font-weight:bold;\">11.2.3<\/span> im Software Download Portal bereit stellt, mit der Mischung aus Gro\u00df- und Kleinbuchstaben im LDAP Gruppennamen korrekt umgehen kann. Es wurde also entschieden, diesen Anlass zu nutzen und alle mobilen Clients auf den neuesten IPSec-Client upzudaten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In einem Migrationsprojekt von WatchGuard Fireware 10.x nach Fireware XTM 11 fand ich neulich best\u00e4tigt, dass bei Fireware XTM 11 das Coding ge\u00e4ndert wurde, mit dem die Firebox eine LDAP Authentication (hier: Novell e-Directory) durchf\u00fchrt. Problem war, dass externe Client-PCs mit installiertem IPSec-Client (NCP) nach der Umstellung auf Fireware XTM v11.2.3 zwar die VPN-Einwahl vornehmen konnten, anschlie\u00dfend aber kein Traffic durch den Tunnel geflossen ist. &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/05\/ldap-authentication-fuer-ipsec-mobile-user-vpn\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">LDAP Authentication f\u00fcr IPSec Mobile User VPN<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[322,282,283,296,331,309,335,137,312],"class_list":["post-2166","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-denied","tag-fireware-11","tag-fireware-xtm","tag-ipsec-vpn","tag-ldap","tag-muvpn","tag-unhandled-packets","tag-update","tag-user-authentication"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2166"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2166"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2166\/revisions"}],"predecessor-version":[{"id":2326,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2166\/revisions\/2326"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}