17
Netzwerkzugriff NUR BEI NEUEN RECHNERN nach dem Herstellen der VPN-Verbindung blockiert
Hallo,
ich habe hier ein für mich nicht nachvollziehbares Problem mit zwei neuen Notebooks.
Wir haben unsere IT in ein Rechenzentrum ausgelagert. Jeder Rechner hat einen VPN-Client installiert (Softether VPN), verbindet sich damit mit dem Rechenzentrum und öffnet via RDP eine Session zum Terminalserver. Das funktioniert alles tadellos. Aus Sicherheitsgründen werden im VPN-Netzwerkadapter am Rechner die IP-Adresse, etc. manuell eingetragen.
Nun haben wir zwei neue Notebooks. 1x Fujitsu Lifebook (April 2023) und 1x HP Elitebook (Oktober 2023). Diese beiden neuen Geräte können keine RDP-Verbindung herstellen, da für die beiden Geräte nach dem Herstellen der VPN-Verbindung kein Server erreichbar ist. Das sieht man ganz einfach an einem Ping auf den DC oder den Terminalserver. Bei allen „alten“ Rechnern funktioniert der Ping auf den DC oder Terminalserver nach dem Herstellen der VPN-Verbindung einwandfrei.
Bei den beiden neuen Geräten funktioniert der Ping komischerweise gar nicht, oder manchmal nur kurz (2-3 Antworten) und dann kommt die Zeitüberschreitung. Ich habe das auch schon im Netz bei mir zu Hause ausprobiert. Dort ist es das gleiche Verhalten. Auch habe ich schon die Firewall deaktiviert, etc. Mein altes Notebook funktioniert bei mir zu Hause. Ich habe auch ein uraltes Notebook (7 Jahre) mit den Zugangsdaten der beiden Problemgeräte ausprobiert und da funktioniert auch alles.
Auch hatte ich schon an eine fehlerhafte Konfig in der Domäne gedacht. Dann hat der RZ-Betreiber schnell einen zusätzlichen Server installiert und diesen nicht mit der Domäne verbunden. Damit war es das gleiche Problem. Alte Geräte können den Testserver erreichen, die beiden neuen Notebooks nicht. Der RZ-Betreiber hat auch zum Test einen zweiten VPN-Server mit einem ganz anderen Netz aufgesetzt und es ist das gleiche Problem.
Ich bin nun schlichtweg ratlos. Gibt es irgendeine Technik in neuen Rechnern, was so ein Verhalten auslösen kann?
Für ein paar Tipps wäre ich dankbar.
Gruß, Peter
ich habe hier ein für mich nicht nachvollziehbares Problem mit zwei neuen Notebooks.
Wir haben unsere IT in ein Rechenzentrum ausgelagert. Jeder Rechner hat einen VPN-Client installiert (Softether VPN), verbindet sich damit mit dem Rechenzentrum und öffnet via RDP eine Session zum Terminalserver. Das funktioniert alles tadellos. Aus Sicherheitsgründen werden im VPN-Netzwerkadapter am Rechner die IP-Adresse, etc. manuell eingetragen.
Nun haben wir zwei neue Notebooks. 1x Fujitsu Lifebook (April 2023) und 1x HP Elitebook (Oktober 2023). Diese beiden neuen Geräte können keine RDP-Verbindung herstellen, da für die beiden Geräte nach dem Herstellen der VPN-Verbindung kein Server erreichbar ist. Das sieht man ganz einfach an einem Ping auf den DC oder den Terminalserver. Bei allen „alten“ Rechnern funktioniert der Ping auf den DC oder Terminalserver nach dem Herstellen der VPN-Verbindung einwandfrei.
Bei den beiden neuen Geräten funktioniert der Ping komischerweise gar nicht, oder manchmal nur kurz (2-3 Antworten) und dann kommt die Zeitüberschreitung. Ich habe das auch schon im Netz bei mir zu Hause ausprobiert. Dort ist es das gleiche Verhalten. Auch habe ich schon die Firewall deaktiviert, etc. Mein altes Notebook funktioniert bei mir zu Hause. Ich habe auch ein uraltes Notebook (7 Jahre) mit den Zugangsdaten der beiden Problemgeräte ausprobiert und da funktioniert auch alles.
Auch hatte ich schon an eine fehlerhafte Konfig in der Domäne gedacht. Dann hat der RZ-Betreiber schnell einen zusätzlichen Server installiert und diesen nicht mit der Domäne verbunden. Damit war es das gleiche Problem. Alte Geräte können den Testserver erreichen, die beiden neuen Notebooks nicht. Der RZ-Betreiber hat auch zum Test einen zweiten VPN-Server mit einem ganz anderen Netz aufgesetzt und es ist das gleiche Problem.
Ich bin nun schlichtweg ratlos. Gibt es irgendeine Technik in neuen Rechnern, was so ein Verhalten auslösen kann?
Für ein paar Tipps wäre ich dankbar.
Gruß, Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5780672087
Url: https://administrator.de/contentid/5780672087
Printed on: April 27, 2024 at 08:04 o'clock
17 Comments
Latest comment
Wenn du mit Winblows Clients pingst hast du auf dem Radar das dort ICMP (Ping) in der Regel immer deaktiviert ist in der lokalen Firewall:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Nebenbei:
Warum man statt der onboard VPN Clients überflüssigerweise noch einen extra VPN Client installieren muss erschliesst sich auch nicht wirklich.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server Mikrotik
L2TP VPN Server auf Cisco Router
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Usw. usw.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Nebenbei:
Warum man statt der onboard VPN Clients überflüssigerweise noch einen extra VPN Client installieren muss erschliesst sich auch nicht wirklich.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server Mikrotik
L2TP VPN Server auf Cisco Router
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Usw. usw.
1
Hi, danke für Deine Antwort, aber die Firewall-Regel war schon richtig eingestellt. Ich hatte die Firewall auch schon komplett deaktiviert. Komisch ist, dass gerade wieder 8 Pings auf den DC im Rechenzentrum wieder mal funktioniert haben und dann kam wieder die Zeitüberschreitung. Wenn die Firewall schuld ware, so mein Verständnis, dann dürfte der Ping gar nicht funktionieren.
Das Problem ist tatsächlich nur bei den beiden neuen Notebooks. Es ist mir ein Rätsel.
Gruß, Peter
Das Problem ist tatsächlich nur bei den beiden neuen Notebooks. Es ist mir ein Rätsel.
Gruß, Peter
Hi,
"Aus Sicherheitsgründen werden im VPN-Netzwerkadapter am Rechner die IP-Adresse, etc. manuell eingetragen." Was genau für einen Sicherheitsgrund soll das haben? Hast du es schon per DHCP statt manueller Konfiguration probiert?
Hast du ins VPN Log geschaut, ob dort Meldungen sind? Klingt ja fast so, als würde die Verbindung nach kurzer Zeit wieder geschlossen werden.
Gruß,
Thomas
"Aus Sicherheitsgründen werden im VPN-Netzwerkadapter am Rechner die IP-Adresse, etc. manuell eingetragen." Was genau für einen Sicherheitsgrund soll das haben? Hast du es schon per DHCP statt manueller Konfiguration probiert?
Hast du ins VPN Log geschaut, ob dort Meldungen sind? Klingt ja fast so, als würde die Verbindung nach kurzer Zeit wieder geschlossen werden.
Gruß,
Thomas
Hallo Peter,
Auf den Ping würde ich auch nicht (allein) setzen.
Was meinst Du hier:
How to correctly ask a question
Ins Blaue tippe ich eher, dass Ihr das VPN nicht korrekt eingerichtet habt. Testen kannst Du das nach (vermeintlicher) Herstellung der VPN-Verbindung z.B. mit telnet oder nmap. Oder (wenn vorhanden) eine Webserver-Verbindung auf das Intranet im RZ.
Vielleicht wurstelt auch irgendein vorinstallierter Virenscanner oder eine gewollte "Endpoint-Protection" (aka cashcow) dazwischen und verhindert einen sauberen Connect. Zu allererst Solltest Du aber sicher stellen, dass die VPN-Verbindung steht.
Viele Grüße, commodity
Gibt es irgendeine Technik in neuen Rechnern, was so ein Verhalten auslösen kann?
Nein.Auf den Ping würde ich auch nicht (allein) setzen.
Was meinst Du hier:
mit den Zugangsdaten der beiden Problemgeräte ausprobiert und da funktioniert auch alles.
Welche Zugangsdaten? VPN oder AD? Und was ist "funktioniert alles"?How to correctly ask a question
Ins Blaue tippe ich eher, dass Ihr das VPN nicht korrekt eingerichtet habt. Testen kannst Du das nach (vermeintlicher) Herstellung der VPN-Verbindung z.B. mit telnet oder nmap. Oder (wenn vorhanden) eine Webserver-Verbindung auf das Intranet im RZ.
Vielleicht wurstelt auch irgendein vorinstallierter Virenscanner oder eine gewollte "Endpoint-Protection" (aka cashcow) dazwischen und verhindert einen sauberen Connect. Zu allererst Solltest Du aber sicher stellen, dass die VPN-Verbindung steht.
Viele Grüße, commodity
1
Laut RZ-Betreiber finden die es besser, wenn man den DHCP nicht nutzt. Aber das ist nicht das Problem, da ja die "alten" Rechner alle funktionieren. Ich habe auch schon andere Zugangsdaten benutzt, welche auf den anderen Rechnern funktionieren.
VPN-Log? Wo? Im Rechenzentrum kann das nur der Betreiber einsehen. Der sagt, dass die Verbindung passt.
Habe es gerade wieder probiert. VPN-Verbindung hergestellt, 3 Pings haben funktioniert und dann war wieder Ende.
Ich probiere mal die Verbiindung direkt über Windows herzustellen.
VPN-Log? Wo? Im Rechenzentrum kann das nur der Betreiber einsehen. Der sagt, dass die Verbindung passt.
Habe es gerade wieder probiert. VPN-Verbindung hergestellt, 3 Pings haben funktioniert und dann war wieder Ende.
Ich probiere mal die Verbiindung direkt über Windows herzustellen.
Hallo,
- die Clients sind in keiner Domäne (nicht nötig, da ja über einen Terminalserver im RZ gearbeitet wird)
- funktioniert alles: Ping funktioniert immer (egal auf welchen Server im RZ), RDP-Verbindung funktioniert -> alles so wie es sein soll
- Zugangsdaten: Damit sind die VPN-Zugangsdaten gemeint. Egal, welche ich verwende, das Problem bleibt bei den beiden Rechnern. Ich habe z.B. schon exakt die gleichen Einstellungen verwendet, die auf einem anderen Rechner funktionieren. Die VPN-Verbindung wird korrekt aufgebaut. Das bestätigt zumidest der RZ-Betreiber.
- Virenscanner ist (aktuell) nicht installiert
- Wenn der Ping nicht funktioniert, dann findet auch der RDP nicht den Server.
Gruß, Peter
- die Clients sind in keiner Domäne (nicht nötig, da ja über einen Terminalserver im RZ gearbeitet wird)
- funktioniert alles: Ping funktioniert immer (egal auf welchen Server im RZ), RDP-Verbindung funktioniert -> alles so wie es sein soll
- Zugangsdaten: Damit sind die VPN-Zugangsdaten gemeint. Egal, welche ich verwende, das Problem bleibt bei den beiden Rechnern. Ich habe z.B. schon exakt die gleichen Einstellungen verwendet, die auf einem anderen Rechner funktionieren. Die VPN-Verbindung wird korrekt aufgebaut. Das bestätigt zumidest der RZ-Betreiber.
- Virenscanner ist (aktuell) nicht installiert
- Wenn der Ping nicht funktioniert, dann findet auch der RDP nicht den Server.
Gruß, Peter
VPN-Log? Wo? Im Rechenzentrum kann das nur der Betreiber einsehen.
Du kennst nicht einmal deine eigenen VPN Verbindungen bzw. Infrastruktur bzw. kannst die troubleshooten?? Nicht dein Ernst oder??
Ok, wir halten fest:
Ping funktioniert mit altem Rechner bei Verbindung mit "allen" VPN-Zugangsdaten.
Ping funktioniert nicht oder nur kurzzeitig mit neuem Rechner mit "allen" VPN-Zugangsdaten. Obgleich die VPN-Verbindung lt. RZ korrekt aufgebaut wird.
"Korrekt aufgebaut" sagt ja nicht viel. Zumal bei SoftEther, wo es ja eine Vielzahl von Möglichkeiten gibt. Offenbar kommt die Verbindung (Aufbau) ja auch zustande (deshalb wenige Pings möglich), sie bleibt aber nicht persistent.
Ich gehe bei dem Bild weiter davon aus, dass das VPN fehlerhaft eingerichtet ist oder (eher unwahrscheinlich) der Client eine Fehlfunktion/Inkompatibilität hat.
Hast Du auf den neuen Geräten eine andere Client-Version als auf den alten? Dann installiere doch testweise mal eine alte Version (aber wirklich nur zum Test).
Auch kannst Du, von einem alten Client die SoftEther Installation vollständig runter nehmen, komplett neu machen und dann schauen, ob es sauber connectet. Wenn nicht, ist Deine Einrichtung das Problem. Die Geräte sind es sicher nicht. Aber Achtung: Wenn Du das dann nicht wieder hinbekommst, hat auch dieser Client keine Konnektivität mehr.
Bist Du derjenige, der das für die anderen Rechner gemacht hat? Nein? Dann wende Dich dorthin. Wenn das nicht möglich ist, wende Dich an einen Dienstleister.
Und natürlich muss es Dir möglich sein, Deine VPN-Verbindung zu debuggen. Dazu wende Dich ggf. ans Rechenzentrum.
BTW: Ich verstehe ja, dass man bei der Unzahl miserabler und zudem oft teurer Dienstleister überlegt, seine Technik auszulagern. Du machst hier die Erfahrung, dass das natürlich eine Fehlentscheidung ist. Man braucht trotzdem jemanden, der das System überblickt und mit dem Rechenzentrum hast Du einen zusätzlichen Komplexitätslayer eingebaut. Und jetzt hängst Du zwischen Baum und Borke.
Berichte gern, wie es weiter geht.
Viele Grüße, commodity
Ping funktioniert mit altem Rechner bei Verbindung mit "allen" VPN-Zugangsdaten.
Ping funktioniert nicht oder nur kurzzeitig mit neuem Rechner mit "allen" VPN-Zugangsdaten. Obgleich die VPN-Verbindung lt. RZ korrekt aufgebaut wird.
"Korrekt aufgebaut" sagt ja nicht viel. Zumal bei SoftEther, wo es ja eine Vielzahl von Möglichkeiten gibt. Offenbar kommt die Verbindung (Aufbau) ja auch zustande (deshalb wenige Pings möglich), sie bleibt aber nicht persistent.
Ich gehe bei dem Bild weiter davon aus, dass das VPN fehlerhaft eingerichtet ist oder (eher unwahrscheinlich) der Client eine Fehlfunktion/Inkompatibilität hat.
Hast Du auf den neuen Geräten eine andere Client-Version als auf den alten? Dann installiere doch testweise mal eine alte Version (aber wirklich nur zum Test).
Auch kannst Du, von einem alten Client die SoftEther Installation vollständig runter nehmen, komplett neu machen und dann schauen, ob es sauber connectet. Wenn nicht, ist Deine Einrichtung das Problem. Die Geräte sind es sicher nicht. Aber Achtung: Wenn Du das dann nicht wieder hinbekommst, hat auch dieser Client keine Konnektivität mehr.
Bist Du derjenige, der das für die anderen Rechner gemacht hat? Nein? Dann wende Dich dorthin. Wenn das nicht möglich ist, wende Dich an einen Dienstleister.
Und natürlich muss es Dir möglich sein, Deine VPN-Verbindung zu debuggen. Dazu wende Dich ggf. ans Rechenzentrum.
BTW: Ich verstehe ja, dass man bei der Unzahl miserabler und zudem oft teurer Dienstleister überlegt, seine Technik auszulagern. Du machst hier die Erfahrung, dass das natürlich eine Fehlentscheidung ist. Man braucht trotzdem jemanden, der das System überblickt und mit dem Rechenzentrum hast Du einen zusätzlichen Komplexitätslayer eingebaut. Und jetzt hängst Du zwischen Baum und Borke.
Berichte gern, wie es weiter geht.
Viele Grüße, commodity
1
Hallo,
das Problem wurde identifiziert und es gibt einen "Workaround". Da ja manchmal einige Pings funktioniert haben und die VPN-Verbindung nach gemeinsamen Tests mit dem RZ-Betreiber vorhanden war und nicht getrennt wurde, dachte ich nun an ein Routingproblem, da auch im neu aufgesetzten VPN-Hub das Problem nicht gelöst war. Ich habe dann in den Netzwerkeinstellungen des VPN LAN-Adapters die Schnittstellenmetrik zum Test manuell auf 1 gesetzt und schon funktioniert alles. Es dauert zwar ca. 20 Sek. nach dem Aufbau der VPN-Verbindung bis alles korrekt funktioniert (z.B. alle Pings durchgehen), aber das ist akzeptabel.
Warum die "neuen" Rechner mit der Standardeinstellung (autom. Metrik) Probleme haben und die "alten" Rechner nicht, ist mir aber immer noch nicht klar. Die VPN-Verbindung ist auch definitiv korrekt konfiguriert.
P.S. Der RZ-Betreiber ist mehr als Hilfsbereit und Unterstützt wo es geht. Und alles ohne Berechnung.
Gruß, Peter
das Problem wurde identifiziert und es gibt einen "Workaround". Da ja manchmal einige Pings funktioniert haben und die VPN-Verbindung nach gemeinsamen Tests mit dem RZ-Betreiber vorhanden war und nicht getrennt wurde, dachte ich nun an ein Routingproblem, da auch im neu aufgesetzten VPN-Hub das Problem nicht gelöst war. Ich habe dann in den Netzwerkeinstellungen des VPN LAN-Adapters die Schnittstellenmetrik zum Test manuell auf 1 gesetzt und schon funktioniert alles. Es dauert zwar ca. 20 Sek. nach dem Aufbau der VPN-Verbindung bis alles korrekt funktioniert (z.B. alle Pings durchgehen), aber das ist akzeptabel.
Warum die "neuen" Rechner mit der Standardeinstellung (autom. Metrik) Probleme haben und die "alten" Rechner nicht, ist mir aber immer noch nicht klar. Die VPN-Verbindung ist auch definitiv korrekt konfiguriert.
P.S. Der RZ-Betreiber ist mehr als Hilfsbereit und Unterstützt wo es geht. Und alles ohne Berechnung.
Gruß, Peter
Danke für's Feedback.
Das ist IMO ein recht klarer Beleg dafür, dass Du das VPN fehlerhaft konfiguriert hast, denn dass ein Rechner bei einem konkreten VPN-Ziel die Wahl zwischen mehreren Routen hat (wofür Du dann die Metrik brauchst), kann kaum richtig sein.
20 Sekunden zum "Zurechtruckeln" der Netzwerkverbindung sind ein mehr als deutliches Zeichen.
Aber wenn "erstmal funktioniert" reicht, dann bitte
How can I mark a post as solved?
Das ist IMO ein recht klarer Beleg dafür, dass Du das VPN fehlerhaft konfiguriert hast, denn dass ein Rechner bei einem konkreten VPN-Ziel die Wahl zwischen mehreren Routen hat (wofür Du dann die Metrik brauchst), kann kaum richtig sein.
20 Sekunden zum "Zurechtruckeln" der Netzwerkverbindung sind ein mehr als deutliches Zeichen.
Aber wenn "erstmal funktioniert" reicht, dann bitte
How can I mark a post as solved?
1
Hi, ich habe das VPN nicht konfiguriert. Das kommt vom RZ-Betreiber. Der hat schon 2x einen neuen VPN-Hub zum Test aufgesetzt, etc.
Wieso funktionieren 20 Rechner problemlos, und 2 "neue" Rechner nicht? Ich verstehe es nicht. Ich probiere nun mal eine VPN-Vervbindung nur über Windows (also ohne zus. Software) herzustellen.
Gruß, Peter
Wieso funktionieren 20 Rechner problemlos, und 2 "neue" Rechner nicht? Ich verstehe es nicht. Ich probiere nun mal eine VPN-Vervbindung nur über Windows (also ohne zus. Software) herzustellen.
Gruß, Peter
Wieso funktionieren 20 Rechner problemlos, und 2 "neue" Rechner nicht?
Weil Du sehr wahrscheinlich dort das VPN falsch konfiguriert hast...Viele Grüße, commodity
Wie soll ich das prüfen? Ich habe das VPN nicht konfiguriert und ich kann es auch nicht. Das VPN kommt vom RZ-Betreiber und der sagt, dass er bei allen seinen VPN-Hubs mit hunderten Rechnern, so ein Problem noch nie hatte. Er hat den VNP-Hub auch neu erstellt , einen VPN-Test-Hub angelegt, ... Da kann ich 100x sagen, dass ich glaube, dass das VPN nicht richtig konfiguriert ist. Wie kann ich es beweisen?
Komisch ist das aber schon, dass das Problem nur mit quasi "nagelneuen" Rechnern auftritt. Ich kann jeden uralten Rechner nehmen oder einen der ein Jahr alt ist, und alles funktioniert wie gewünscht.
Gruß, Peter
Komisch ist das aber schon, dass das Problem nur mit quasi "nagelneuen" Rechnern auftritt. Ich kann jeden uralten Rechner nehmen oder einen der ein Jahr alt ist, und alles funktioniert wie gewünscht.
Gruß, Peter
Du nutzt blind ein VPN und Einstellungen die du nicht einmal kennst oder genau dokumentiert bekommst?? Nicht dein Ernst oder??
Wie stellst du denn deinen Datenschutz sicher wenn du da schon vollkommen die Kontrolle über die Netzhoheit verloren hast. Ohne Worte...
Wie stellst du denn deinen Datenschutz sicher wenn du da schon vollkommen die Kontrolle über die Netzhoheit verloren hast. Ohne Worte...
Ich kenne die Einstellungen für die VPN-Software. Aber was ist das schon: Hostname, Port-Nummer, Hubname und alle Login-Daten. Der RZ-Betreiber erfüllt außerdem alle Datenschutzrichtlinien. Ich kann doch nicht den VPN-Hub sebst konfigurieren. Da habe ich überhaut keinen Zugriff. Das ist Aufgabe des Providers. Ich schau mich aber mal im Kundenbackend des Providers um. Dort sollten alle Dokumentationen hinterlegt sein.
Hallo,
ich habe nun die VPN-Verbindung über Windows direkt eingerichtet und damit gibt es überhaupt kein Problem beim Routing, etc. Dann verursacht offensichtlich die VPN-Software irgendein Problem bei den "neuen" Rechnern". Das verstehe ich zwar auch nicht, aber da soll sich der RZ-Betreiber mal mit dem Softwarehersteller abstimmen.
ich habe nun die VPN-Verbindung über Windows direkt eingerichtet und damit gibt es überhaupt kein Problem beim Routing, etc. Dann verursacht offensichtlich die VPN-Software irgendein Problem bei den "neuen" Rechnern". Das verstehe ich zwar auch nicht, aber da soll sich der RZ-Betreiber mal mit dem Softwarehersteller abstimmen.
wie ich oben bereits schrieb:
Nun kann der Thread wohl zugemacht werden.
Die Geräte sind es sicher nicht.
Und an dieser Stelle war Deine AusgangsfrageGibt es irgendeine Technik in neuen Rechnern, was so ein Verhalten auslösen kann?
beantwortet.Nun kann der Thread wohl zugemacht werden.
1