Neues vom Michl

 

Watchguard

Einrichtung als VDSL-Modem

Da Watchguard in seinen Firewalls leider keine DSL Modem verbaut wird immer ein zusätzliches DSL Modem benötigt (am Besten DSL-Modem only). Im VDSL Bereich konnte ich bisher noch kein Gerät ohne Routingfunktion finden. Auch Geräte die als “Modem-only” konfiguriert werden können sind nicht so leicht zu finden.

Als zuverlässig hat sich folgende Konfiguration erwiesen

  • Watchguard Firewall
  • ZyXEL VDSL Modem (min. Firmware 0909)

Die Konfiguration “Modem-only” wird folgendermaßen durchgeführt

  • Netzwerk –> WAN –> Internet Connection –> Profil löschen
  • Netzwerk –> WAN –> Layer2Interface (Profil löschen)
  • neues Interface anlegen (Name: VLAN MUX Mode – ohne QoS)
  • Netzwerk –> WAN –> Internet Connection –> Profil anlegen mit Bridging, Tag VLan ID und “7” fĂĽr 802.1P und 802.1Q
  • Netzwerk –> LAN –> DHCP deaktivieren

AnschlieĂźend kann die Firebox mit den PPPoE Zugangsdaten konfiguriert werden und eine Internetverbindung aufbauen.

Falsche Gateways bei der Verwendung von PPPOE

Nach einem Update auf die aktuelle Version 11.6 erleben viele Watchguard Administratoren eine böse Überraschung. Im Zusammenhang mit PPPOE Interfaces – Standleitungen kommt es vor, dass nach einem Reconnect des DSL Interfaces automatisch für alle anderen als external gekennzeichneten Verbindungen, die Standardgateways gelöscht bzw. alles über das DSL geroutet wird. Geholfen hat oft nur ein Reboot der Firewall.

Nach ausführlicher und teils emotional geführter Konversation mit dem 1st Level Support wurde ich zum 2nd Level weitergeleitet. Nach einer kurzen Mail wurde mir mitgeteilt – BUG !!!!– es gibt auch schon eine Nummer (Tracking ID 67424) …. was aber noch viel wichtiger ist, ein Hotfix ist bereits erstellt und kann auf Anfrage beim Support heruntergeladen werden. Nach der Installation – Problem weg

Wer mehr wissen will bzw. keinen Bock auf WG Support hat – einfach einen kurzen Kommentar hinterlassen.

image

Für Besitzer einer Watchguard Firewall gibt es die Möglichkeit einen SSL VPN Client auf Macs zu installieren. Vor kurzem erschien eine neue Version der Firebox SSL Software mit Unterstützung von Snow Leopard (lt. Release Notes). Die Installation ist wie unter Mac gewohnt sehr einfach. Bei Verwendung des Client zeigt sich aber recht schnell, es läuft bei weitem nicht alles rund. Nach ersten Tests konnte ich keine VPN Verbindung herstellen. Nachdem man auf Connect klickt beendet sich die Software. Dieses Verhalten ist auf 3 unterschiedlichen MacBooks gleich.

Der Watchguard Support hatte dafĂĽr auch relativ schnell eine Erklärung – ein Bug in der Software. Als Alternative kommt Tunnelblick in Frage. Hierbei handelt es sich um Portierung des OpenVPN Projektes fĂĽr Mac. Einen Test konnte ich leider noch nicht durchfĂĽhren, werde es aber in nächster Zeit testen (oder Watchguard released einen funktionierenden Client).

WGsslclient.jpg

wgvpnclient.png

Sollte es zu unerklärlichen Verbindungsabbrüchen des MUVPN Clients für Watchguard kommen, ist wahrscheinlich die Windows Firewall die Ursache. Eine Watchguard Firewall sendet und empängt Keep Alive Pakete. Unbedingt nötig hierfür ist ein offener Port 4500 UDP. Im Log des VPN Clients kann überwacht werden ob solche Pakete richtig empfangen und beantwortet werden. Alternativ kann natürlich auch die Firewall von Windows XP bzw Windows Vista deaktiviert werden.

Watchguard hat eine Beta Version des Mobile User VPN Clients fĂĽr Windows Vista freigegeben. Jeder der interessiert ist, kann ĂĽber die Beta Site des Support Portals einen Download anfordern. Allerdings ist es nicht ganz einfach zum Download zu gelangen. Neben einem registrierten Benutzer, wird auĂźerdem noch eine Anmelung im Forum verlangt. Zu diesem wird man auch nach dem Klick auf „Link“ weitergeleitet. Von hier kann die Beta per Email an MUVPNVISTABETA@WatchGuard.com beantragt werden. Bei mir hat es ohne Probleme funktioniert und ich bekam nach kurzer Zeit den Beta Client.

Zukünfigt setzt Watchguard nicht mehr auf Safenet, sondern auf dem NCP VPN Client (natürlich in angepasster Version). Der Beta Client ist für Windows XP sowie Vista geeignet. Momentan kann leider noch keine Konfigurationsdatei importiert werden, soll aber mit der fertigen Version wieder möglich sein. Im Download befindet sich neben den Installationsdateien auch eine Anleitung zum Konfigurieren des Client für eine Firebox EDGE und Firebox CORE. Hält man sich an die vorgegebenen Schritte, funktioniert VPN auch unter Windows Vista.

wglogo.png

Leider kann unter Watchguard Fireware Pro 8 und 9 kein VPN Tunnel mit Hilfe des WSM zurückgesetzt (resettet) werden. Mit Version 7 war dies noch möglich. Mit dem CLI der Fireware Pro kann dies allerdings durchgeführt werden. Einen Artikel zur CLI hab ich bereits hier geschrieben.

Jede VPN Verbindung bekommt eine eigene ID (meist eine 7-stellige Nummer). Je nach Art kommen verschiedene Befehle zum Einsatz :

WG#show vpn-tunnel ike-gateway
WG#show vpn-tunnel ipsec
WG#show vpn-tunnel muvpn
WG#show vpn-tunnel pptp

Reset des Tunnels mit folgenden Befehl durchfĂĽhren :

WG#no vpn-tunnel ipsec ID-BOVPN-Tunnel
WG#no vpn-tunnel muvpn ID-MUVPN-Tunnel
WG#no vpn-tunnel pptp IP-Adresse-PPTP-Client

Vorsicht : Mit dem CLI kann eine Firebox komplett konfiguriert werden. Unter Umständen ist die Konfiguration aber nicht lesbar für den WSM.

UPDATE : Mit Version 9.1 funktionieren die oben beschriebenen Befehle leider nicht mehr. Laut Watchguard soll ein Reset auch mit dem System Manager möglich sein.

Auch unter Watchguard Fireware Pro 8 und 9 wird ein CLI mitgeliefert. Erreichbar mit einer SSH Verbindung auf Port 4118 des Trusted Interface. Bei der Anmeldung wird als User „admin“ und als Passwort das Configuration Passphrase der Firebox verwendet. Watchguard empfiehlt das CLI nur zu benutzen, wenn zeitgleich keine Verbindung mit dem WSM zur Firebox hergestellt ist.

watchguard.jpg