viennacalling
Goto Top

Anschluss ist geoeffnet - Fehler nach VPN-Abbruch in Win7

Hallo allerseits,

vielleicht kennt jemand eine Lösung für folgendes Problem. Ich wähle mich per VPN in unser Firmennetz. Nach einer Weile bricht die VPN-Verbindung aus unbekannten Gründen ab, und ab dann geht gar kein Internetzugriff mehr. Jeder Versuch, diese oder eine andere VPN-Verbindung erneut aufzubauen führt zur Fehlermeldung "Anschluss ist geöffnet".

Der VPN-Verbindungsabbruch ist gar nicht das Problem, das passiert sehr selten und damit kann ich leben. Nervig ist allerdings, dass danach überhaupt kein Internet mehr geht und ich keine Ahnung habe, wie ich diesen Status wieder loswerde.

Was kann da machen? Gibt es da sowas ähnliches wie einen iisreset, der einfach die Netzverbindungen alle zurücksetzt und "bei null" beginnt?

Für alle Vorschläge dankbar,
viennacalling

Content-ID: 206307

Url: https://administrator.de/contentid/206307

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

aqui
aqui 10.05.2013 um 23:10:21 Uhr
Goto Top
Die Fehlerbeschreibung ist leider sehr oberflächlich und laienhaft. Eine wirkliche Hilfe ist damit fast unmöglich.
Minimal solltest du uns wenigstens schildern WELCHES VPN Protokoll du verwendest (Ipsec, PPTP, SSL, L2TP usw.) und ob du einen Win bordeigenen Client benutzt oder einen 3rd Party Client ?
Ohne diese Informationen bleibt uns wie immer hier nur die allseits bekannte Kristallkugel face-sad
viennacalling
viennacalling 11.05.2013 um 11:00:21 Uhr
Goto Top
Hallo aqui,

sorry! Also es ist eine PPTP Verbindung über den Win7-VPN-Client zu einem W2K3 Domain-Server. Die läuft an sich sehr stabil, aber selten bricht sie eben wie beschrieben ab, und hinterlässt mir dann einen PC ohne Internetverbindung, und ohne Möglichkeit, die VPN-Verbindung neu aufzubauen. Seit das gestern wieder mal passiert ist, hab ich jetzt auch ein kleines rotes X auf dem Netzwerksymbol im Systray - obwohl mein Rechner längst neu gestartet wurde und alle Verbindungen funktionieren...
aqui
aqui 11.05.2013 aktualisiert um 12:26:04 Uhr
Goto Top
Das ist vermutlich ein Client Problem oder auch Router Problem sofern du einen NAT Router vor dem Server betreibst. Hast du den Client im Setup dediziert auf PPTP gesetzt ? Der sollte NICHT auf "Auto" stehen.
Dieses Tutorial beschreibt die Details dazu:
VPNs einrichten mit PPTP
Dein Control Session auf TCP 1723 bricht ab, deshalb kommt die PPTP Verbindung nicht zustande !
  • Hast du vor dem Server noch einen NAT Router (Adress Translation) ?
  • Stimmen dort die Port Forwardings wie im Tutorial oben beschrieben ?
  • Kann es sein das mehrere PPTP Clients über den Port Forwarding Zugang (NAT Router vor Server) zugreifen ?
Bei letzterem können nicht viele Router mit multiplen GRE Sessions (Daten Tunnel) umgehen. Wenn das bei dir der Fall sein sollte hilft nur den Router auszutauschen.
Du kannst das ganz leicht testen. Wenn dieser Blocking Zustand anhält einfach mal den Router kaltstarten. Sollte es danach problemlos funktionieren hat dein Router ein GRE Sessionproblem !
Besser ist es immer ohne NAT Forwarding zu arbeiten also PPTP auf dem Router oder Firewall selber zu terminieren !
viennacalling
viennacalling 11.05.2013 um 12:59:40 Uhr
Goto Top
Hallo aqui,

ja vor dem Server läuft ein NAT-Router, mein Client geht ebenfalls per NAT ins Netz. PPTP ist explizit eingetragen. Andere Clients könnten theoretisch auch per VPN rein, ist aber sehr unwahrscheinlich, dass das der Grund war. Router-Austausch kommt deswegen aber nicht in Frage - da haben wir echt gerade andere Sorgen face-wink

Aber ich verstehe nicht ganz, was der Router vor dem Server damit zu tun hat? Alles, was ich eigentlich will, ist auf meinem Client nach so einem Abbruch wieder ins Internet zu können. Die VPN Verbindung selbst ist mir dann eigentlich egal (ich verwende sie hauptsächlich zum Monitoring des Servers bzw meiner DB). Gibt es da keinen Dienst ("NET STOP ...") oder irgendwas wie iisreset ("vpnreset" face-smile, das mir den Netzwerk-Status auf dem Client so zurücksetzt, dass es praktisch wieder wie vor der VPN-Verbindung funktioniert? Bis jetzt kann ich da nur mehr neu starten.
aqui
aqui 11.05.2013 aktualisiert um 13:19:58 Uhr
Goto Top
Nun dann holen wir mal aus und erklären dir die Grundlagen des Netzwerkens... face-sad
Der Router vor deinem VPN Server hat eine aktive NAT (Network Adress Translation) Firewall. Falls du nicht weisst was NAT ist siehe hier:
http://de.wikipedia.org/wiki/Network_Address_Translation
Es ist also vollkommen unmöglich von außen (Internet) den VPN Server hinterm NAT Router mit einem Client zu erreichen, denn das verhindert erfolgreich die NAT Firewall des Routers.
Ist ja auch sinnvoll und gewollt so bei allen DSL oder Internet Routern.
Folglich also muss in diesem Router vor dem Server zwingend ein Port Forwarding (Port Weiterleitung) der PPTP Protokolle auf die interne, lokale IP Adresse des Servers eingetragen sein, damit ein PPTP Client von außen den internen VPN Server erreichen kann !
Ohne diese Port Weiterleitung wäre das logischerweise technisch unmöglich !
Folglich steht also in dem Router eine konfigurierte Weiterleitung der beiden PPTP Ports:
  • TCP 1723 (Controll Port)
  • GRE (IP Protokoll 47 und Tunnel in dem die Produktivdaten verschlüsselt übertragen werden)
Diese Ports bzw. Protokolle müssen auf die interne lokale IP Adresse des Servers zeigen der als VPN Server arbeitet !
Soweit verstanden ?
Wenn dieser Router nun das GRE Protokoll, was keinerlei Ports intern hat wie TCP oder UDP Protokolle, nicht mit einem Session Handling behandeln kann brechen primäre GRE Sessions ab sofern weitere eingehen am Router.
Der Router blockt daraufhin mit einer gewissen Timeout Zeit alle weiteren eingehenden GRE Sessions.
Eigentlich kann man das ganz einfach verstehen wenn man sich einmal die grundlegenden Mechanismen eines VPN Zugriffs hinter einem NAT Router vor Augen führt !
Klar sollte sein das der Server hinter dem Router immer eine feste statische IP Adresse hat damit die Port Forwardings nicht ins Leere laufen !
Auch klar ist das dein Router eine feste öffentliche IP Adresse vom Provider haben muss, denn diese IP ist IMMER die Ziel IP Adresse des PPTP Clients. Klar, denn der Router leitet diese eingehende Session ja an den Server weiter.
Wenn du keine feste öffentliche Provider IP bekommst musst du zwingend mit DynDNS Diensten wie noip.com usw. auf dem Router arbeiten so das du zu wechselnden DSL IPs immer einen festen Hostnamen hast.
Das ist dir aber vermutlich auch selber klar...hoffentlich ?!
Was also genau verstehst du daran nicht ? Ist doch eigentlich alles ganz logisch.
Wie gesagt das betrachtet eine mögliche Fehlerquelle im Router. Es ist aber auch möglich das der Client eine Macke hat (interne Firewall). Beim Server eher unwahrscheinlich.
Hilfreich ist auch ein Sniffern des PPTP Sessionaufbaus mit dem Wireshark Sniffer. Der zeigt dir meist auch sofort wo es kneift.
viennacalling
viennacalling 11.05.2013 aktualisiert um 13:46:58 Uhr
Goto Top
Hallo aqui,

also ich kann mich echt nicht als Netzprofi bezeichnen, aber soweit ist mir das alles 100% klar. Ich hab den Server + Router + Firewall (naja, teilweise) sowie dasselbe auf Clientseite selbst eingerichtet, und wir fahren mehrere Dienste ohne Probleme. Die VPN-Verbindung von mir daheim (Client) zum Firmenlan ist hier gar nicht mein Problem. Sie funkt gut genug.

Das einzige Problem, dass ich lösen möchte, ist folgendes Szenario (vielleicht hab ich es noch nicht richtig ausgedrückt):

1. Client fährt hoch,
keine VPN-Verbindung aktiv,
Internet funktioniert tadellos (hinter NAT + DSL Modem)

2. Client baut VPN Verbindung zu Firmenlan auf
weiterhin alles ok,
ich kann sowohl auf das Firmenlan (192.168.0.*) zugreifen, als auch auf Heim-LAN (192.168.1.*), als auch ins Internet (geroutet über den Firmenserver, ist mir klar).

3. VPN-Verbindung bricht ab (Grund unbekannt + egal, passiert selten)
Jetzt ist das Problem: ich kann auch ohne VPN nicht mehr am Client ins Netz, und jeder Versuch, das VPN (oder ein anderes) wieder aufzubauen endet ihn der Meldung "Anschluss ist geöffnet". Hier interessiert mich die VPN-Verbindung, der Server und sein Router alles erst mal überhaupt nicht, ich will nur wieder ganz normal ins Internet. Das schaffe ich bisher nur durch PC-Neustart. Welcher "Anschluss" ist da überhaupt gemeint, ist das der TAP-Win32 Adapter?

Hier meine Frage: wie komme ich von Zustand 3 am schnellsten wieder zu Zustand 1? Ganz ohne VPN. Der NAT-Router beim Server ist jetzt völlig irrelevant, es könnte ja alles in der Firma explodiert sein - ich würde nur gern daheim wieder online gehen können face-wink

Hoffe, mein Szenario ist jetzt klarer.