Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Watchguard IKEv2 Mobile VPN mit NPS

Mitglied: Mr.Klix

Mr.Klix (Level 1) - Jetzt verbinden

25.03.2020 um 22:30 Uhr, 281 Aufrufe, 7 Kommentare

Hallo zusammen,

bin gerade etwas am verzweifeln.
Ziel ist es die User demnächst auf ein IKEv2 Mobile VPN mit Radius (NPS Server 2016) Authentifizierung umzustellen. IKEv2 mit Zertifikat und lokalen Firebox Usern läuft problemlos. Sobald ich auf den Radius umstelle bekomme ich keine Verbindung zu stande. Es soll die Mitgliedschaft der AD VPN-User Gruppe geprüft werden und entsprechend Zugang zum Netz gewährt werden.

Ich nutze den nativen Win10 1903 VPN Client um die Verbidnung zu testen. Das Watchguard Cluster M270 ist auf dem aktuellsten Stand 12.5.2

Folgende Log's erhalte ich.

NPS:
Die NPS Eventlogs melden: Event 6272 Network Policy Server granted access to a user. Soweit so gut.

Client:

Windows Eventlogs:
Event 20221 Quelle: RasClient
Event 20222 Quelle: RasClient
Event 20223 Quelle: RasClient
Event 20224 Quelle: RasClient

zum Schluss:

Event 20227 CoID={507D3DF9-9A50-466F-98B1-5EDA8F0CD022}: Der Benutzer "Domain\User" hat eine Verbindung mit dem Namen "WG IKEv2" gewählt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: -2143157998.

Watchguard:
Firebox Diagnostic LOG: 2020-03-25 21:54:15 WG2 admd RADIUS:check RADIUS authenticator (172.20.1.1) failed
Firebox Event: 2020-03-25 22:00:13 WG2 admd Authentication of MUVPN user [dk@RADIUS] from 84.59.XXX.XXX was rejected, Recv timeout msg_id="1100-0005"


Scheinbar geht die Radius Auth durch. An der korrekten Rückmeldung hapert es jedoch.

Hat eventuell jemand ein ähnliches Konstrukt am laufen und möchte mal seine Config mit mir durchgehen? Werde aus der Sache einfach nicht mehr schlau.


PS:
Die Watchguard KB Artikel habe ich natürlich gelesen und befolgt. Config mehrfach überflogen, geprüft, gelöscht und wieder neu gemacht. Immer das selbe Bild.

Meine Quellen
- Einrichtung Firebox: https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
- Einrichtung NPS: https://watchguardsupport.secure.force.com/publicKB?type=KBArticle&S ...
- IIKEv2: https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
Mitglied: chgorges
25.03.2020 um 23:29 Uhr
Hi,

hört sich blöd an, aber den NPS hast du zwischendurch mal neugestartet? In der letzten Zeit konnten gefühlt 10 Threads mit NPS-Problem mit einem Neustart des Servers behoben werden.
Bitte warten ..
Mitglied: Mr.Klix
26.03.2020, aktualisiert um 08:13 Uhr
Zitat von chgorges:

Hi,

hört sich blöd an, aber den NPS hast du zwischendurch mal neugestartet? In der letzten Zeit konnten gefühlt 10 Threads mit NPS-Problem mit einem Neustart des Servers behoben werden.

Hatte ich tatsächlich noch nicht gemacht. Hat das Problem leider nicht gelöst. Wäre zu schön gewesen

Was mir im NPS Log noch aufgefallen ist, was bei der WLAN Auth definitiv nicht so ist. (siehe Bild)

nps_issue - Klicke auf das Bild, um es zu vergrößern


Wenn ich die Einwahl über Android teste (selbes IKEv2 Profil) sieht der LOG EIntrag im NPS normal aus. Also domain\User
Bitte warten ..
Mitglied: Deepsys
26.03.2020 um 12:03 Uhr
Hi,


Zitat von Mr.Klix:
Ich nutze den nativen Win10 1903 VPN Client um die Verbidnung zu testen.
Ähm du meinst uner Einstellungen/VPN den Dialog?
Hast du zum einrichtung das skript von WG benutzt?

Firebox Diagnostic LOG: 2020-03-25 21:54:15 WG2 admd RADIUS:check RADIUS authenticator (172.20.1.1) failed
Firebox Event: 2020-03-25 22:00:13 WG2 admd Authentication of MUVPN user [dk@RADIUS] from 84.59.XXX.XXX was rejected, Recv timeout msg_id="1100-0005"


Scheinbar geht die Radius Auth durch. An der korrekten Rückmeldung hapert es jedoch.
Nein tut es nicht, der Radius Authenticator ist schon failed, wohl wegen TimeOut?

Ist der Radius/NPS im der wg korrekt eingetragen?
Wie sehen die Regeln im Radius aus?

Wir fahren genau dieses Konstrukt auch

VG
Deepsys
Bitte warten ..
Mitglied: Deepsys
26.03.2020 um 12:16 Uhr
Wenn der NPS ablehnt, weil Konto gesperrrt oder anmeldedaten falsch, dann sieht das in der WG so aus:

Authentication of MUVPN user [deepsys@doamin] from 19.23.13.108 was rejected, user binding error,check your username or password, pri=4, proc_id=admd, msg_id=1100-0005

Klappt alles, dann so:

Authentication of MUVPN user [VPN-W10@RADIUS] from 94.14.16.210 was accepted, pri=6, proc_id=admd, msg_id=1100-0004
Bitte warten ..
Mitglied: Mr.Klix
26.03.2020, aktualisiert um 14:30 Uhr
Zitat von Deepsys:

Hi,


Zitat von Mr.Klix:
Ich nutze den nativen Win10 1903 VPN Client um die Verbidnung zu testen.
Ähm du meinst uner Einstellungen/VPN den Dialog?
Hast du zum einrichtung das skript von WG benutzt?

Firebox Diagnostic LOG: 2020-03-25 21:54:15 WG2 admd RADIUS:check RADIUS authenticator (172.20.1.1) failed
Firebox Event: 2020-03-25 22:00:13 WG2 admd Authentication of MUVPN user [dk@RADIUS] from 84.59.XXX.XXX was rejected, Recv timeout msg_id="1100-0005"


Scheinbar geht die Radius Auth durch. An der korrekten Rückmeldung hapert es jedoch.
Nein tut es nicht, der Radius Authenticator ist schon failed, wohl wegen TimeOut?

Ist der Radius/NPS im der wg korrekt eingetragen?
Wie sehen die Regeln im Radius aus?

Wir fahren genau dieses Konstrukt auch

VG
Deepsys


Hey, danke für deine Rückmeldung.

Ja das Skript genutzt.

Wenn ich die Verbindung von extern aufbaue, geht die Kommunikation bis zum NPS durch. In den NPS Log's kann ich sehen das der User Zugriff erhält. Der Auth Response kommt allerdings aufgrund von Timeout nicht zurück. Das sehe ich in den LOG'S vom stronSWAN VPN Client.
Eventuell ein MTU Size Problem? Habt ihr in die Richtung etwas konfiguriert?

Ansonsten habe ich den NPS wie von Watchguard beschrieben konfiguriert.
https://watchguardsupport.secure.force.com/publicKB?type=KBArticle&S ...
Bitte warten ..
Mitglied: Deepsys
26.03.2020 um 22:59 Uhr
Zitat von Mr.Klix:
Zugriff erhält. Der Auth Response kommt allerdings aufgrund von Timeout nicht zurück. Das sehe ich in den LOG'S vom stronSWAN VPN Client.
Naja, guck lieber auf den Firewall Log


Eventuell ein MTU Size Problem? Habt ihr in die Richtung etwas konfiguriert?
Nein, das ist bestimmt kein Problem (Ich wundere mich immer über die MTU Fragen, da habe ich noch nie was geändert ...)

Ansonsten habe ich den NPS wie von Watchguard beschrieben konfiguriert.
https://watchguardsupport.secure.force.com/publicKB?type=KBArticle&S ...
Nee, habe ich händisch gemacht, wir authentifizieren direkt gegen AD-Gruppen und nicht mit IKEv2-Users.

Hmm, pingbar ist der NPS von der Firebox aus?
Sind die Firebox und der NPS im gleichem Netz?
Irgendwas dazwischen, irgendeine Sicherheitssoftware auf dem NPS?

Du kannst das auch anders testen, richte dir über den Firebox Manager (nicht den Policy Manager) mal lokale Zugänge auf die FB ein, und das mit RADIUS. Ich meine das geht, dann teste das mal so.

Ansonsten hast du doch Support von WG, frage das mal nach.
Die können auch mal in deine Konfig gucken, evtl. ist das was falsch.
Bitte warten ..
Mitglied: Mr.Klix
27.03.2020 um 11:49 Uhr
Zitat von Deepsys:

Zitat von Mr.Klix:
Zugriff erhält. Der Auth Response kommt allerdings aufgrund von Timeout nicht zurück. Das sehe ich in den LOG'S vom stronSWAN VPN Client.
Naja, guck lieber auf den Firewall Log


Eventuell ein MTU Size Problem? Habt ihr in die Richtung etwas konfiguriert?
Nein, das ist bestimmt kein Problem (Ich wundere mich immer über die MTU Fragen, da habe ich noch nie was geändert ...)

Ansonsten habe ich den NPS wie von Watchguard beschrieben konfiguriert.
https://watchguardsupport.secure.force.com/publicKB?type=KBArticle&S ...
Nee, habe ich händisch gemacht, wir authentifizieren direkt gegen AD-Gruppen und nicht mit IKEv2-Users.

Ja wir auch, den Part habe ich natürlich angepasst.

Hmm, pingbar ist der NPS von der Firebox aus?

Ja

Sind die Firebox und der NPS im gleichem Netz?

ja

Irgendwas dazwischen, irgendeine Sicherheitssoftware auf dem NPS?

Nein

Du kannst das auch anders testen, richte dir über den Firebox Manager (nicht den Policy Manager) mal lokale Zugänge auf die FB ein, und das mit RADIUS. Ich meine das geht, dann teste das mal so.

Ansonsten hast du doch Support von WG, frage das mal nach.

Ist der nächste Schritt.

Die können auch mal in deine Konfig gucken, evtl. ist das was falsch.

Habe den Spass mal an einem anderen Standort eingerichtet. Läuft auf Anhieb. Wende mich jetzt erstmal an den Support. Werde das Cluster heute abend mal durchbooten.

Vielen Dank für deinen Rat. Werde berichten sobald ich die Lösung habe.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
IKEv2 VPN Authentifizierungsfehler
Frage von itschloeglNetzwerkmanagement14 Kommentare

Hallo und Guten Abend, folgendes Problem: Ich habe eine IKEv2-VPN nach folgender Anleitung erstellt: Leider sagt mir mein Windows-Rechner: ...

Netzwerkmanagement
ZYXELVPN100 VPN (IKev2) einrichten
Frage von FaSi3LJNetzwerkmanagement8 Kommentare

Liebes Forum. Ich versuche gerade eine VPN (Zyxel VPN100) einzurichten. Das geht soweit auch nach der Anleitung: Wenn ich ...

Verschlüsselung & Zertifikate

Eigene Zertifizierungsstelle für IKEv2-VPN

Frage von N-A-G-U-SVerschlüsselung & Zertifikate2 Kommentare

Hallo zusammen, aktuelle Situation und Vorhaben: ich setze zuhause einen LANCOM 1781VA-4G (VPN-5) ein. Zu diesem verbinde ich mich ...

Router & Routing

Lancom IKEv2 - Mac OS VPN

Frage von geforce28Router & Routing17 Kommentare

Hallo Leute, gibt es hier zufällig einen Lancom Experten, der das besagte Szenario schon einmal erfolgreich durchgeführt hat ? ...

Neue Wissensbeiträge
Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 1 TagInformationsdienste7 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 1 TagInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Off Topic

Ein wenig Aufklärung über Corona von Bill Gates persönlich

Information von Frank vor 2 TagenOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 2 TagenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Heiß diskutierte Inhalte
Windows Server
Windows 7 wird im WSUS nicht angezeigt
gelöst Frage von DavidHergWindows Server24 Kommentare

Guten Abend zusammen, nachdem sich die Frage mit meinem WSUS erledigt hat und somit alles jetzt funktioniert, hab ich ...

Windows Server
Hyper-V VM vorm Admin absichern
Frage von MarabuntaWindows Server24 Kommentare

Hallo, wie bekomme ich eine VM in WS 2012 Hyper-V soweit abgetrennt, dass ein Admin ohne Passwort keinen (leichten) ...

Festplatten, SSD, Raid
Storage Wahl für Virtualisierungsumgebung
Frage von Le2000Festplatten, SSD, Raid11 Kommentare

Hallo allerseits, da ich bereits seit einiger Zeit aus der Materie ausgestiegen war und mich allmählich wieder einarbeite, wüsste ...

Batch & Shell
Lokale Variable belegen
gelöst Frage von IleiesBatch & Shell11 Kommentare

Hallo zusammen, Wie kann ich, wenn ich zwei cmd-Fenster geöffnet habe, von dem einen die Variablen des anderen verändern?