{"id":2189,"date":"2009-12-10T19:39:00","date_gmt":"2009-12-10T18:39:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/ssl-vpn-client-11-laeuft-nicht-in-verbindung-mit-fireware-10-x\/"},"modified":"2016-08-23T15:54:14","modified_gmt":"2016-08-23T13:54:14","slug":"ssl-vpn-client-11-laeuft-nicht-in-verbindung-mit-fireware-10-x","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2009\/12\/ssl-vpn-client-11-laeuft-nicht-in-verbindung-mit-fireware-10-x\/","title":{"rendered":"SSL-VPN Client 11 l\u00e4uft nicht in Verbindung mit Fireware 10.x"},"content":{"rendered":"<p>Es freut mich sehr, dass mein Blog eine ansehnliche Zahl von WatchGuard-Usern erreicht. Sinn und Zweck dieser Institution ist nat\u00fcrlich auch, meine eigene Expertise in diesem Umfeld darzustellen und auf diese Weise konstruktive Kundenkontakte anzubahnen &#8211; unbestritten! Umsonst ist der Tod, und der kostet bekanntlich das Leben! Es entsteht jedoch auch ein interessanter Dialog, wie sich an diesem Beitrag von <strong>Michael Schramm<\/strong> zeigt, der mich per E-Mail erreicht hat und den ich hier gerne wiedergeben m\u00f6chte &#8211; ungepr\u00fcft, da ich genau die beschriebene Konstellation noch nicht &#8220;vor der Flinte&#8221; hatte :-). Michael Schramm schreibt:<\/p>\n<p>&#8220;Der aktuelle <strong>WatchGuard SSLVPN-Client in der Version 11.1<\/strong> funktioniert <strong>nicht<\/strong> mit einer 10er-Fireware. Dies ist leider in den Release Notes nirgends erw\u00e4hnt &#8211; jedenfalls konnte ich keinen entsprechenden Hinweis finden. \u00d6ffnet man den Client direkt mit einem passenden Configfile (*.wgssl), erscheint beim Connecten eine irref\u00fchrende Fehlermeldung: Die Softwareversion auf dem Ger\u00e4t (1.x) ist kleiner als die Version des Clients (5.x), und man soll auf <strong>Yes<\/strong> klicken, um die neue Softwareversion herunterzuladen. Das klappt nat\u00fcrlich nicht und der Client springt dann nach einiger Zeit wieder zur\u00fcck zur Login-Maske. Der automatische Download des Config-Files funktioniert ebenfalls nicht, da sich in der Fireware XTM 11.x offensichtlich der Pfad zu diesem File ge\u00e4ndert hat. Der 11er-Client fragt bei der Firebox nach dem File<\/p>\n<p><em>https:\/\/FIREBOX:4100\/?action=sslvpn_download&#038;fw_username=USERNAME&#038;fw_password=PASSWORD&#038;filename=client.wgssl<\/em> <\/p>\n<p>und bekommt daraufhin von der Firebox &#8220;401 unauthorized&#8221; zur\u00fcck (im Logfile des Clients: FAILED, Access denied), w\u00e4hrend der alte 10er-Client nach diesem File fragt:<\/p>\n<p><em>https:\/\/FIREBOX:4100\/?action=sslvpn_download&#038;username=USERNAME&#038;password=PASSWORD&#038;filename=client.wgssl<\/em><\/p>\n<p>und dieses dann auch bekommt &#8211; man kann es sogar manuell mit einem Browser herunterladen. Das <strong>&#8220;fw_&#8221;<\/strong> vor Username und Password gab es also in der alten Version noch nicht.<\/p>\n<p>Allen Benutzern, die also unter <strong>Windows 7<\/strong> Probleme mit dem 10er-Client haben und deswegen den 11er-Client benutzen wollen, kann von dieser Idee nur abgeraten werden, solange auf der WatchGuard Firebox noch eine Fireware 10.x l\u00e4uft.<\/p>\n<p>Der 10er-Client funktioniert im \u00fcbrigen bei mir unter Windows 7, nativ und ohne Kompatibilit\u00e4tsmodus, einwandfrei! Falls es also mit dem 10er-Client unter Windows 7 zu Problemen kommt, liegt das sch\u00e4tzungsweise eher an etwas anderem. Ich hatte z.B. konkret das Problem, dass sich der Client immer nur sporadisch und v\u00f6llig ohne erkennbares Muster connecten lie\u00df. Des R\u00e4tsels L\u00f6sung war ein falsch konfigurierter Switchport f\u00fcr das entsprechende WAN-Interface auf der Secondary Firebox [Anm. BO: in einem Cluster!]. Die Ports auf beiden Fireboxen stehen auf 100FDx, der entsprechende Switchport stand auf Auto und hat sich dann immer auf 100HDx eingependelt. Deswegen konnte ich mich immer dann nicht verbinden, wenn gerade die Secondary Firebox die aktive war&#8230;&#8221;<\/p>\n<p>Soweit <strong>Michael Schramm<\/strong>! Vielen Dank f\u00fcr diesen konstruktiven Beitrag. Erg\u00e4nzend zum letzten Absatz von mir noch einmal der Hinweis auf einen meiner fr\u00fcheren Beitr\u00e4ge: <a href=\"http:\/\/de.watchguard-blog.com\/2008\/12\/verbindungsprobleme-wegen-ethernet.html\">http:\/\/de.watchguard-blog.com\/2008\/12\/verbindungsprobleme-wegen-ethernet.html<\/a>: Lassen Sie m\u00f6glichst ALLE Interfaces der WatchGuard Firebox auf <strong>&#8220;Auto Sensing&#8221;<\/strong> &#8211; und sorgen Sie <strong>NUR<\/strong> bei offensichtlichen Kompatibilit\u00e4tsproblemen zun\u00e4chst daf\u00fcr, dass das direkt an der WatchGuard Firebox angeschlossene Ethernet-Device (Switch\/Router) auf einen festen Wert eingestellt wird&#8230;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es freut mich sehr, dass mein Blog eine ansehnliche Zahl von WatchGuard-Usern erreicht. Sinn und Zweck dieser Institution ist nat\u00fcrlich auch, meine eigene Expertise in diesem Umfeld darzustellen und auf diese Weise konstruktive Kundenkontakte anzubahnen &#8211; unbestritten! Umsonst ist der Tod, und der kostet bekanntlich das Leben! Es entsteht jedoch auch ein interessanter Dialog, wie sich an diesem Beitrag von Michael Schramm zeigt, der mich &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2009\/12\/ssl-vpn-client-11-laeuft-nicht-in-verbindung-mit-fireware-10-x\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">SSL-VPN Client 11 l\u00e4uft nicht in Verbindung mit Fireware 10.x<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[86,283,129,304],"class_list":["post-2189","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-cluster","tag-fireware-xtm","tag-high-availability","tag-ssl-vpn"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2189"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2189"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2189\/revisions"}],"predecessor-version":[{"id":2404,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2189\/revisions\/2404"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2189"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2189"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2189"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}