Weblog

Sollte es zu unerklärlichen Verbindungsabbrüchen des MUVPN Clients für Watchguard kommen, ist wahrscheinlich die Windows Firewall die Ursache. Eine Watchguard Firewall sendet und empängt Keep Alive Pakete. Unbedingt nötig hierfür ist ein offener Port 4500 UDP. Im Log des VPN Clients kann überwacht werden ob solche Pakete richtig empfangen und beantwortet werden. Alternativ kann natürlich auch die Firewall von Windows XP bzw Windows Vista deaktiviert werden.

Watchguard hat eine Beta Version des Mobile User VPN Clients für Windows Vista freigegeben. Jeder der interessiert ist, kann über die Beta Site des Support Portals einen Download anfordern. Allerdings ist es nicht ganz einfach zum Download zu gelangen. Neben einem registrierten Benutzer, wird außerdem noch eine Anmelung im Forum verlangt. Zu diesem wird man auch nach dem Klick auf “Link” weitergeleitet. Von hier kann die Beta per Email an MUVPNVISTABETA@WatchGuard.com beantragt werden. Bei mir hat es ohne Probleme funktioniert und ich bekam nach kurzer Zeit den Beta Client.

Zukünfigt setzt Watchguard nicht mehr auf Safenet, sondern auf dem NCP VPN Client (natürlich in angepasster Version). Der Beta Client ist für Windows XP sowie Vista geeignet. Momentan kann leider noch keine Konfigurationsdatei importiert werden, soll aber mit der fertigen Version wieder möglich sein. Im Download befindet sich neben den Installationsdateien auch eine Anleitung zum Konfigurieren des Client für eine Firebox EDGE und Firebox CORE. Hält man sich an die vorgegebenen Schritte, funktioniert VPN auch unter Windows Vista.

Leider kann unter Watchguard Fireware Pro 8 und 9 kein VPN Tunnel mit Hilfe des WSM zurückgesetzt (resettet) werden. Mit Version 7 war dies noch möglich. Mit dem CLI der Fireware Pro kann dies allerdings durchgeführt werden. Einen Artikel zur CLI hab ich bereits hier geschrieben.

Jede VPN Verbindung bekommt eine eigene ID (meist eine 7-stellige Nummer). Je nach Art kommen verschiedene Befehle zum Einsatz :

WG#show vpn-tunnel ike-gateway
WG#show vpn-tunnel ipsec
WG#show vpn-tunnel muvpn
WG#show vpn-tunnel pptp

Reset des Tunnels mit folgenden Befehl durchführen :

WG#no vpn-tunnel ipsec ID-BOVPN-Tunnel
WG#no vpn-tunnel muvpn ID-MUVPN-Tunnel
WG#no vpn-tunnel pptp IP-Adresse-PPTP-Client

Vorsicht : Mit dem CLI kann eine Firebox komplett konfiguriert werden. Unter Umständen ist die Konfiguration aber nicht lesbar für den WSM.

UPDATE : Mit Version 9.1 funktionieren die oben beschriebenen Befehle leider nicht mehr. Laut Watchguard soll ein Reset auch mit dem System Manager möglich sein.

Auch unter Watchguard Fireware Pro 8 und 9 wird ein CLI mitgeliefert. Erreichbar mit einer SSH Verbindung auf Port 4118 des Trusted Interface. Bei der Anmeldung wird als User “admin” und als Passwort das Configuration Passphrase der Firebox verwendet. Watchguard empfiehlt das CLI nur zu benutzen, wenn zeitgleich keine Verbindung mit dem WSM zur Firebox hergestellt ist.