ipsec nat-t dóór een Watchguard Firebox? - Netwerken

vrijdag 23 maart 2012 13:33

Acties:

Topicstarter

Dit zou een simpel probleempje moeten zijn maar google geeft me niet veel specifieks weer.

We hebben een vpn client die een ipsec verbinding moet opzetten door een watchguard firebox naar een device achter deze firewall.
Het lijkt er echter op dat de watchguard het udp 4500 verkeer beschouwt als zijnde voor hem bedoeld ipv het te NATten naar het interne device zoals we in de policy geconfigureerd hebben.

Hoe krijgen we die watchguard zover dat het udp 4500 traffic op een specifiek extern ip adres van de watchguard simpelweg forward naar het interne device ipv het voor hemzelf te houden?

vrijdag 23 maart 2012 16:59

Acties:

Rolfie

Misschien een call inschieten bij de leverancier?

vrijdag 23 maart 2012 17:37

Acties:

Fatsie

Afhankelijk van je setup kan 1-to-1 NAT misschien soelaas brengen, daar heb ik goede ervaringen mee in dergelijke setup's.

vrijdag 23 maart 2012 17:56

Acties:

Verwijderd

Je dient ipsec passthrough in de Watchguard Firewall aan te zetten. Dat doe je in de VPN settings van de Firewall. Vink de optie IPsec passthrough aan.

zaterdag 24 maart 2012 02:06

Acties:

witchdoc

Topicstarter

Verwijderd schreef op vrijdag 23 maart 2012 @ 17:56:
Je dient ipsec passthrough in de Watchguard Firewall aan te zetten. Dat doe je in de VPN settings van de Firewall. Vink de optie IPsec passthrough aan.

Tried, failed

Da's blijkbara de functie om nat-t naar buiten toe door de firewall te kunnen doen. Ik wil nara binnen.

zaterdag 24 maart 2012 14:27

Acties:

Equator

Crew Council

#whisky #barista

En wat heb je zelf al gedaan om je probleem op te lossen? Wan uit je huidige startpost blijkt niet dat je ook maar enig vooronderzoek hebt gedaan.

Is verplaats het topic naar Netwerken maar ik zou wel graag willen horen wat je allemaal zelf al geprobeerd hebt.

zaterdag 24 maart 2012 14:31

Acties:

Fish

How much is the fish

Moet je ook niet protocol 50 of 51 doorsturen voor ipsec. dat is imho meer dan alleen tcp/udp verkeer

Iperf

zondag 25 maart 2012 14:50

Acties:

enveekaa

Wat is het typenummer en de software versie van de Firebox?
Het is namelijk gewoon mogelijk, ik heb het meerdere keren zo geconfigureerd op een Firebox XTM's.

En hoe ziet je regel eruit? heb je een screenshot vanuit de WSM? of doe je het via de webui?

En ben je er zeker van dat het verkeer niet aankomt bij het device achter de Watchguard? misschien gaat het wel ergens anders mis.

[ Voor 20% gewijzigd door enveekaa op 25-03-2012 14:51 ]

maandag 26 maart 2012 09:16

Acties:

witchdoc

Topicstarter

enveekaa schreef op zondag 25 maart 2012 @ 14:50:
Wat is het typenummer en de software versie van de Firebox?
Het is namelijk gewoon mogelijk, ik heb het meerdere keren zo geconfigureerd op een Firebox XTM's.

En hoe ziet je regel eruit? heb je een screenshot vanuit de WSM? of doe je het via de webui?

En ben je er zeker van dat het verkeer niet aankomt bij het device achter de Watchguard? misschien gaat het wel ergens anders mis.

Heel zeker dat't niet aan komt. Kan op dat device zien of er connectie geprobeert wordt. Zelfs in de firebox policy is niks te zien terwijl ik toch echt zéker ben dat het op dat ip adres (een secundary ip adres op die fw) dient aan te komen.

'Ik' (lees klant) doet config via god mag weten welke software. Anyway, ondertussen dit probleempje opgegeven tot de klant zelf even dat watchguard verhaal uitklaart. Zal nog even een update geven als ik de oplossing te horen krijg.