Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Fortigate VPN Debug log

Mitglied: Hardstyles

Hardstyles (Level 1) - Jetzt verbinden

11.09.2019 um 08:52 Uhr, 149 Aufrufe, 4 Kommentare

Hallo zusammen,
ich steh anscheint auf dem schlauch, was der Fortinet Support von mir möchte. Er schreibt ich soll die CLI befehle absetzten.
melde mich also an der Fortigate an, webclient oder Seriel führe die befehle aus. lade die logs hoch aber es waren die Falschen


Die Fehler Beschreibung ist das sich nicht 2 Personen vom gleichen Gateway ins VPN netz einwählen können.
Auswirkung
Person1 5.1.1.1 wählt sich ins VPN ein. Erfolgreich
Person2 gleiche ip 5.1.1.1 wählt sich ein, Person1 fliegt raus oder Person2 kommt gar nicht erst rein.

Fortinet Support Antwort
Please run the following debug flow:
01.
diag vpn ike log-filter clear
02.
diag debug console timestamp en
03.
diag debug app ike -1
04.
diag vpn ike log-filter name <phase1 name>
05.
diag debug enable
Connect the first user and after connect the second one in order to catch the behavior.
I am suspecting that might be a problem with the NATing device and what are you experiencing is actually an expected behavior.
Please attach the debug flow for further troubleshooting.

Hab das ausgeführt und dann auch nach und nach die VPN Benutzer verbunden.
Gibt es irgend wo eine Extra Log für den debugfile ?
Mitglied: aqui
LÖSUNG 11.09.2019, aktualisiert um 09:39 Uhr
Leider schreibst du nicht welches VPN Protokoll verwendet wird. Vermutlich aber GRE oder IPsec. Beiden ist gemein das sie jeweils ein Session loses Prokoll für den eigentlichen Tunnel nutzen. GRE (Generic Route Encapsulation, IP Protokoll 47) oder bei IPsec ESP (Encapsulation Security Payload, IP Protokoll 50)
Billige NAT Router wie sie vermutlich bei dir auf der Client Seite zum Einsatz kommen haben meist dann kein ALG in deren Firewall an Bord die diese VPN Tunnelprotokolle pro User trackt um einem Mehrfach VPN Client Betrieb zu supporten.
Das ist leider nicht ungewöhnlich z.B. bei den billigen Schrottroutern die man von Providern bekommt.
Das Fortinet TAC hat also schon ganz recht in der Vermutung der Ursache im NAT Router. Alle Symptome sprechen stark dafür.
Diese Billig Schrottrouter können immer nur eine einzige GRE oder ESP Session outbound im NAT halten. Alle weiteren werden geblockt weil sie sie nicht mehr multiplen VPN Clients zuordnen können. First come, first serve heisst da die Devise in der Firmware.
Nach Abbruch der Tunnel Session oder Schliessen der VPN Verbindung bleibt diese noch eine Zeitlang im Cache so das keine weiteren User VPNs nutzen können. Erst nach einem Timeout des Caches funktioniert es dann wieder.
Ein typisches Verhalten und Firmware bedingt bei billigen Systemen !

Lösen kannst du das letztlich nur durch neue und bessere Router Hardware am Client Standort. Ggf. hilft auch ein Firmware Update sollte die Router Firmware nicht aktuell sein.
Die Chancen das es nur mit einem Firmware Update gefixt wird sind aber mehr als gering, denn bei solchen billigen Schrottsystemen wird in der Regel niemals mehr eine neue Funktion eingeführt oder verbessert.
Sowas darf den, der sie meistens im Rahmen von Verträgen weiterreicht, natürlich nichts mehr kosten. Die sind einzig nur an langfristigen Vertragsbindungen interessiert, niemals Kunden mit guter Hardware zu beliefern.
Bitte warten ..
Mitglied: Hardstyles
11.09.2019 um 09:25 Uhr
Vielen dank für deine Antwort.
Ipsec ist in benutzung

Ich hab jetzt noch mal den ein Test gemacht und die logfiles hochgeladen in Support mal sehen was die sagen.
Bitte warten ..
Mitglied: Hardstyles
11.09.2019 um 09:41 Uhr
sie haben auf client seite eine Fritz Box Fon WLAN 7490 in ihrem Büro
Bitte warten ..
Mitglied: aqui
11.09.2019 um 09:50 Uhr
Mmmhhh...die sollte eigentlich damit umgehen können ?! Ist das eine originale oder hat die eine gebrandete Firmware eines Providers, ist also eine Vertrags Dreingabe ?
Das Sinnvollste ist dann dort mal die Packet Capture Funktion der FB zu nutzen:
https://www.schieb.de/706106/fritzbox-packet-sniffer-die-versteckte-schn ...
und mal den ESP Traffic beider User mitzuschneiden um zu sehen was damit genau passiert nach dem NAT Prozess der FritzBox.
Das würde sicher auch dem Fortigate TAC sehr helfen.
Bitte warten ..
Ähnliche Inhalte
Apache Server

Apache modProxy debug-log schreibt in error-log

Frage von mic.weApache Server6 Kommentare

Hallo @ all, Ich habe in meinem Apache einen VHost, wo ich das Module ProxyPass verwende. Ich wollte von ...

Debian

Find: sys kernel debug Permission denied

Frage von vikozoDebian

guten Tag ich habe unter Proxmox ein LXC Container erstellt Linux prox1 4.4.15-1-pve (gcc version 4.9.2 (Debian 4.9.2-10) wenn ...

Windows Server

Log On Log Off-Verhalten per PowerShell aus dem Event Log

Frage von Leo-leWindows Server7 Kommentare

Hallo Forum, wie gehe ich am besten vor, wenn ich aus dem DC Event Log von mehreren Nutzern das ...

Ubuntu

Iptables log einschalten?

Frage von BigSnakeyeUbuntu9 Kommentare

Hallöchen! Wie kann ich auf ubuntu 1404 lts bei iptables das loggen aktivieren? Ich finde keine Einträge in messages ...

Neue Wissensbeiträge
Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 1 TagVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Apple

Apple Special Event vom 10.09.2019: Arcade, TV+, iPad und iPadOS, Watch und iPhone 11

Information von Trontur vor 3 TagenApple2 Kommentare

Hier könnt ihr euch die Keynote von Tim Cook auf dem Apple Special Event vom 10.09.2019 anschauen: September Event ...

LAN, WAN, Wireless

Das RIPE ist quasi endgültig leer was IPv4 angeht

Information von LordGurke vor 10 TagenLAN, WAN, Wireless8 Kommentare

Das RIPE teilt mit, dass sie erwarten, Ende des Jahres keine /22-IPv4-Allocations (1.024 Adressen) mehr vergeben zu können. Dann ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWusste vor 11 TagenVerschlüsselung & Zertifikate

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

Heiß diskutierte Inhalte
Router & Routing
Freitagsfrage: Welche Heimrouter habt ihr zuhause?
Frage von Ex0r2k16Router & Routing28 Kommentare

Huhu, Ich habe eine Fritzbox 7490 an nem 100/40 VDSL der Tkom und die kommt langsam in die Jahre. ...

Exchange Server
Exchange 2013 nach Umzug nicht erreichbar
gelöst Frage von dbox3Exchange Server16 Kommentare

Hallo, die Lösung für mein Problem mag einfach sein. Nur stehe ich irgendwie auf dem Schlauch. ich habe einen ...

Switche und Hubs
Hardwareberatung Switch
gelöst Frage von snowflockeSwitche und Hubs12 Kommentare

Hallo, ich bin ganz neu hier also seit gnädig :-) Ich bin seit 5 Jahre in der IT tätig, ...

Voice over IP
Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie
Erfahrungsbericht von NixVerstehenVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...