Hilfe beim auslesen/"übersetzen" eines VPN Logs

[Blase]

Mahlzeit allerdseits,

ich weiß nicht, ob ich hier richtig bin mit meiner VPN Anfrage, aber ich habe meiner Meinung nach kein geeigneteres Unterforum gefunden. Konkret brauche ich Hilfe beim Auslesen bzw. "übersetzen" eines Fehlerprotokolls eines VPN Zugriffs.

Folgende Konstellation. Kleines Firmennetzwerk mit dynamischen Internetzugang (also keiner festen IP) hinter einem Watchguard Router. Dieser stellt über dynDNS eine VPN Verbindung zur Verfügung, welche von einem Kollegen auswärts genutzt wird. Der Kollege sitzt bei sich zuhause und geht über seinen privaten Anschluss online und schaltet sich dann über den VPN Client in das Firmennetz. Irgend ein "Hardware-Fummler" war an seinem PC dran und nun läuft das VPN nicht mehr. Das "VPN Profil" wurde am Router erzeugt und nach Installation des VPN Clients am betroffenem PC eingefügt. Das habe ich komplett noch einmal neu gemacht, änderte aber nichts am Ergebnis. Ich habe das Fehlerprotokoll hier einmal reingehängt. Den DynDNS Namen habe ich geändert, der Rest ist original.

3-17: 12:59:36.671 My Connections\84.131.172.204-0.0.0.0 - Attempting to resolve Hostname (FirmenName.dyndns.org)
3-17: 12:59:36.765
3-17: 12:59:36.765 My Connections\84.131.172.204-0.0.0.0 - Initiating IKE Phase 1 (Hostname=FirmenName.dyndns.org) (IP ADDR=84.131.134.209)
3-17: 12:59:37.078 My Connections\84.131.172.204-0.0.0.0 - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 6x)
3-17: 12:59:37.359 My Connections\84.131.172.204-0.0.0.0 - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID 2x, NAT-D 2x)
3-17: 12:59:37.359 My Connections\84.131.172.204-0.0.0.0 - Peer is NAT-T draft-02 capable
3-17: 12:59:37.359 My Connections\84.131.172.204-0.0.0.0 - Peer supports Keepalive processing
3-17: 12:59:37.359 My Connections\84.131.172.204-0.0.0.0 - Keepalive processing enabled
3-17: 12:59:37.359 My Connections\84.131.172.204-0.0.0.0 - NAT is detected for Client
3-17: 12:59:37.359 My Connections\84.131.172.204-0.0.0.0 - Floating to IKE non-500 port
3-17: 12:59:37.421 My Connections\84.131.172.204-0.0.0.0 - SENDING>>>> ISAKMP OAK AG *(HASH, NAT-D 2x, NOTIFY:STATUS_REPLAY_STATUS, NOTIFY:STATUS_INITIAL_CONTACT)
3-17: 12:59:37.421 My Connections\84.131.172.204-0.0.0.0 - Established IKE SA
3-17: 12:59:37.421 MY COOKIE 53 42 e2 fb 42 38 af f6
3-17: 12:59:37.421 HIS COOKIE 87 ae 25 e0 49 45 76 3e
3-17: 12:59:37.468
3-17: 12:59:37.468 My Connections\84.131.172.204-0.0.0.0 - Initiating IKE Phase 2 with Client IDs (message id: BDB581C5)
3-17: 12:59:37.468 My Connections\84.131.172.204-0.0.0.0 - Initiator = IP ADDR=192.168.2.100, prot = 0 port = 0
3-17: 12:59:37.468 My Connections\84.131.172.204-0.0.0.0 - Responder = IP ADDR=192.168.0.254, prot = 0 port = 0
3-17: 12:59:37.468 My Connections\84.131.172.204-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
3-17: 12:59:37.734 My Connections\84.131.172.204-0.0.0.0 - RECEIVED<<< ISAKMP OAK TRANS *(HASH, ATTR)
3-17: 12:59:37.734 My Connections\84.131.172.204-0.0.0.0 - Received Private DNS Address = IP ADDR=217.237.149.142
3-17: 12:59:37.734 My Connections\84.131.172.204-0.0.0.0 - Received Private Alt DNS Address = IP ADDR=217.237.150.205
3-17: 12:59:37.734 My Connections\84.131.172.204-0.0.0.0 - Received Private IP Address = IP ADDR=192.168.0.240
3-17: 12:59:37.734 Virtual Interface configured to use Def GW
3-17: 12:59:38.281 Virtual Interface constructed for local interface 192.168.0.240
3-17: 12:59:38.343 Virtual Interface added: 192.168.0.240/255.255.255.0 on ISDN "SafeNet VA miniport".
3-17: 12:59:38.421 Route 84.131.134.209->192.168.2.1 added.
3-17: 12:59:38.421 My Connections\84.131.172.204-0.0.0.0 - Abandoning IPSec SA negotiation (message id: BDB581C5)
3-17: 12:59:38.421 My Connections\84.131.172.204-0.0.0.0 - SENDING>>>> ISAKMP OAK TRANS *(HASH, ATTR)
3-17: 12:59:38.421 My Connections\84.131.172.204-0.0.0.0 - RECEIVED<<< ISAKMP OAK INFO *(HASH, NOTIFY:STATUS_INITIAL_CONTACT)
3-17: 12:59:39.578
3-17: 12:59:39.578 My Connections\84.131.172.204-0.0.0.0 - Initiating IKE Phase 2 with Client IDs (message id: 2D30CE75)
3-17: 12:59:39.578 My Connections\84.131.172.204-0.0.0.0 - Initiator = IP ADDR=192.168.0.240, prot = 0 port = 0
3-17: 12:59:39.578 My Connections\84.131.172.204-0.0.0.0 - Responder = IP ADDR=192.168.0.254, prot = 0 port = 0
3-17: 12:59:39.578 My Connections\84.131.172.204-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, ID 2x)
3-17: 12:59:54.578 My Connections\84.131.172.204-0.0.0.0 - QM re-keying timed out. Retry count: 1
3-17: 12:59:54.578 My Connections\84.131.172.204-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(Retransmission)
3-17: 13:00:09.578 My Connections\84.131.172.204-0.0.0.0 - QM re-keying timed out. Retry count: 2
3-17: 13:00:09.578 My Connections\84.131.172.204-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(Retransmission)
3-17: 13:00:24.578 My Connections\84.131.172.204-0.0.0.0 - QM re-keying timed out. Retry count: 3
3-17: 13:00:24.578 My Connections\84.131.172.204-0.0.0.0 - SENDING>>>> ISAKMP OAK QM *(Retransmission) 3-17: 13:00:39.578 My Connections\84.131.172.204-0.0.0.0 - Exceeded 3 re-keying attempts (message id: 2D30CE75)
3-17: 13:00:39.578 My Connections\84.131.172.204-0.0.0.0 - Disconnecting IKE SA negotiation
3-17: 13:00:39.578 My Connections\84.131.172.204-0.0.0.0 - Deleting IKE SA (IP ADDR=84.131.134.209)
3-17: 13:00:39.578 MY COOKIE 53 42 e2 fb 42 38 af f6
3-17: 13:00:39.578 HIS COOKIE 87 ae 25 e0 49 45 76 3e
3-17: 13:00:39.609 My Connections\84.131.172.204-0.0.0.0 - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL)
3-17: 13:00:39.859 Route removed for 84.131.134.209.
3-17: 13:00:39.875 Interface lost: 192.168.0.240
3-17: 13:00:44.500 Filter table loaded.

Das Firmennetz hat die 192.168.0.0/24 - der Watchguard Router hat die 192.168.0.254
Das "Netz" des externen Kollegen hat die 192.168.2.0/24 - die lokale IP des PCs ist die 192.168.2.100
Also offensichtlich finden sich der Client und der Server, aber die Verbindung kommt letztlich nicht zustande. Ich habe mal den Bereich unterstichen, wo es wohl in die Hose geht (glaube ich).
Ich hoffe also, jemand kennt Watchguard und den dazugehörigen VPN Client und kann dann noch das Protokoll "lesen" UND mir dann noch den entscheidenden Tip geben

MfG Blase

[Joerg]

Ich komme zwar aus der Cisco Welt, aber der Client kriegt aktuell auf seine IKE MSG keine oder eine fehlerhafte Antwort.
Um dahingehend eine Verständnisbasis zu schaffen würde ich mit diesem Artikel hier beginnen (die IKE Processing Stellen sind wichtig):
http://technet.microsoft.com/de-de/l...47(en-us).aspx

[Blase]

Whaaa, ein englischer M$ TechNet Artikel *grusel* Der läßt sich auch nicht ins Deutsche übersetzen.

Also ich gehe jetzt erstmal in die Wanne, mache wieder nen Mensch aus mir (Stichwort "Bart") und dann schaue ich noch einmal...

MfG Blase

[Joerg]

NUR die englischen Artikel sind für mich überhaupt verständlich. Die originalen deutschen Artikel verstehe ich dagegen oftmals nicht.
Allein die Tatsache, dass bei Microsoft eine DMZ ein "Umkreisnetzwerk" ist spricht Bände.

[twoday]

[Off-Topic]

[...]Allein die Tatsache, dass bei Microsoft eine DMZ ein "Umkreisnetzwerk" ist spricht Bände.

Hehe, was hab ich böd geguckt, als in den MCSE-Unterlagen von einem "Schalter" gesprochen wurde. Konnte ja keiner ahnen, das hier ein Switch gemeint war... ;-)
[/Off-Topic]

[Joerg]

looool .. Das kannte ich noch nicht ...

[Blase]

Moin Joerg,

muss meiner Aussage noch etwas hinzufügen, was mir anfangs garnicht aufgefallen ist. Die Verbindung steht - zumindest solange, bis er seine drei erfolglosen Versuche durchlaufen hat - und bricht dann wieder ab.
Ich kann den Server im Netz pingen usw. aber sobald der dritte Versuch durch ist, bricht er die Verbindung von selbst wieder ab. Finde ich ja auch lustig, dort stimmt ja offensichtlich etwas mit der Config nicht, dennoch steht für ca. 20-30 Sekunden die Verbindung *grübel*.
Habe ich eigentlich schon einmal erwähnt, dass ich Watchguard sch... nicht so schön finde
"watchguard Edge X10e" schimpft sich das Ding, Kunde hat kein Handbuch mehr und Online habe ich mir nen Wolf gesucht. Aber die Konfig Router-seitig ist da auch echt bescheiden. Stelle beim Benutzer ein, dass er auch VPN-Benutzer ist, dann noch 1-2 Einstellungen benutzerseitig und das wars dann auch schon, was ich bezüglich VPN im Router einstellen kann - zumindest habe ich da nix weiter zu gefunden. Die restliche Konfiguration macht mann dann im VPN Client "MuvpnLite73.exe". Sieht nach einer älteren Version aus, auf Vista läuft die wohl garnicht und auch der Router hat nicht wikrlich ein aktuelles Firmwareupdate. Kann man sich aber nicht einfach so runter laden, muss man für registriert sein. Zugangsdaten müssen dann neu angelegt werden. Da lobe ich mir doch LANCOM, kann ich alles downloaden, ohne Registrierung und Co.
Naja, zur Zeit läuft dort erstmal der TeamViewer - sicher nicht die feine Art, aber zweckmäßig. Ich beiße mich durch den Watchgard Kram durch und hoffe, dass ich noch die Eingebung bekommen werde.

Danke Dir für Deine Hilfe!

MfG Blase