J'ai un client qui possède un appareil WatchGuard XTM 23 sur site comme pare-feu principal. Je viens de mettre à jour son micrologiciel il y a quelques jours à la dernière version de cette série, 11.6.6.
Le problème est que je n'ai pas réussi à configurer une connexion VPN pour eux.
En utilisant les instructions sur http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html#en-US/mvpn/ssl/configure_fb_for_mvpn_ssl_c.html, j'essaie de configurer une connexion VPN avec SSL : Depuis l'interface web du pare-feu / Tableau de bord, je vais dans VPN -> VPN mobile avec SSL, je l'active, j'ajoute l'adresse IP publique de l'organisation à laquelle le pare-feu est connecté. J'ai configuré un groupe dans Active Directory nommé "SSLVPN-Users", vérifié que la box WatchGuard peut communiquer avec le serveur Active Directory, et je me suis ajouté à ce groupe.
J'ai ensuite téléchargé le client WatchGuard Mobile VPN with SSL sur mon propre ordinateur Windows 7, je me suis rendu au 2ème bâtiment du client de l'autre côté de la rue (qui dispose d'une connexion Internet publique différente), et j'ai essayé de me connecter au VPN.
Quand j'essaie de me connecter avec le client, je reçois les erreurs suivantes:
2013-06-24T15:41:32.119 Lancement du client WatchGuard Mobile VPN with SSL. Version 11.6.0 (Build 343814) Construit:Jun 13 2012 01:42:55
2013-06-24T15:41:37.595 Demande de configuration du client depuis 184.174.143.176:443
2013-06-24T15:41:50.106 ÉCHEC: Impossible d'effectuer la requête http, délai d'attente 12002
2013-06-24T15:41:50.106 échec pour obtenir le nom de domaineJ'ai découvert aujourd'hui le Gestionnaire de système Firebox, et son "Moniteur de trafic" qui donne des informations de journalisation en temps réel (rafraîchit toutes les 5 secondes). Malheureusement, il ne semble pas que le client ait configuré un serveur de journalisation WatchGuard / Firebox, donc l'enregistrement effectif des journaux côté serveur n'a pas été fait. Je peux travailler à mettre en place cela si nécessaipe.
J'ai remarqué que si j'essaie de pinguer l'adresse IP publique du client depuis une source externe, je n'obtiens pas de réponse (à moins d'avoir ajouté une règle dans le pare-feu pour permettre le trafic ICMP depuis "Externe", ce que j'ai fait avec succès il y a quelques secondes à des fins de test - cette règle a depuis été rétablie pour ne pas répondre aux demandes de ping externes).
Il y a une politique dans le pare-feu autorisant les demandes d'authentification pour le trafic SSLVPN provenant de toute source externe À destination du Firebox, et ensuite pour effectuer l'authentification / autoriser réellement le trafic VPN, il y a une politique autorisant le trafic pour toute personne dans le groupe SSLVPN-Users à circuler entre cet utilisateur et le réseau interne.
Donc mes questions sont:
- Est-ce que quelqu'un a déjà vu ces erreurs provenant du client VPN WatchGuard, et/ou avez-vous des suggestions sur la manière de résoudre cette erreur?
- Si je dois mettre en place un serveur de journalisation pour récupérer les journaux du pare-feu (afin de résoudre davantage ce problème), quelle est la complexité de cette tâche et nécessite-t-elle beaucoup de ressources système? L'organisation avec laquelle je travaille en consultation n'a qu'un seul serveur et pas beaucoup de ressources ou de connaissances techniques.
0 votes
Le client Watchguard ne fonctionne pas sur Windows XP et Windows Vista. Veuillez vous référer aux connexions Mobile VPN avec SSL ne sont pas prises en charge sur Windows XP et Windows Vista. WatchGuard recommande de ne pas utiliser de système d'exploitation ou de version de navigateur ne prenant pas en charge les normes de cryptage sécurisées. Veuillez vous référer à enter link description here