5
OpenVPN - kein Datenzugriff trotz bestehender Verbindung
Hallo ins Forum!
Ich habe bei einem Benutzer aus dem Home Office Probleme mit dem Zugriff auf unsere internen Daten. Der Aufbau der VPN-Verbindung selbst funktioniert problemlos. Trotz der bestehenden Verbindung ist ein Zugriff auf unsere internen File-Shares und auf Webseiten nicht möglich und laufen in einen Timeout. Namensauflösung und Ping funktionieren jedoch.
Andere externe User können problemlos zugreifen, eine Unterscheidung an der Firewall gibt es nicht. Sobald der User aus einem anderen Netz die Verbindung aufbaut (z.B. über einen Hotspot am Handy) ist der Zugriff möglich
Was wir versucht bzw. geprüft haben:
- Neuinstallation VPN-Client bzw. anderer VPN-Client -> kein Erfolg
- anderes Endgerät -> kein Erfolg
- Prüfung an der Firewall -> keine Pakete an der Firewall erkennbar (weder geblockt noch erlaubt)
- Deaktivierung von ipV6 an den Schnittstellen des Notebooks -> kein Erfolg
- Anpassung der MTU per netsh -> kein Erfolg
So langsam gehen mir die Ansatzpunkte aus. Welche Maßnahmen würdet ihr denn treffen, um das Problem weiter einzugrenzen?
Ich habe bei einem Benutzer aus dem Home Office Probleme mit dem Zugriff auf unsere internen Daten. Der Aufbau der VPN-Verbindung selbst funktioniert problemlos. Trotz der bestehenden Verbindung ist ein Zugriff auf unsere internen File-Shares und auf Webseiten nicht möglich und laufen in einen Timeout. Namensauflösung und Ping funktionieren jedoch.
Andere externe User können problemlos zugreifen, eine Unterscheidung an der Firewall gibt es nicht. Sobald der User aus einem anderen Netz die Verbindung aufbaut (z.B. über einen Hotspot am Handy) ist der Zugriff möglich
Was wir versucht bzw. geprüft haben:
- Neuinstallation VPN-Client bzw. anderer VPN-Client -> kein Erfolg
- anderes Endgerät -> kein Erfolg
- Prüfung an der Firewall -> keine Pakete an der Firewall erkennbar (weder geblockt noch erlaubt)
- Deaktivierung von ipV6 an den Schnittstellen des Notebooks -> kein Erfolg
- Anpassung der MTU per netsh -> kein Erfolg
So langsam gehen mir die Ansatzpunkte aus. Welche Maßnahmen würdet ihr denn treffen, um das Problem weiter einzugrenzen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92954493461
Url: https://administrator.de/contentid/92954493461
Printed on: June 20, 2024 at 12:06 o'clock
5 Comments
Latest comment
Moin,
Habt ihr in der Firma und der User zuhause möglicherweise den selben IP-Adressbereich und der Server, auf den der User zugreifen will, die selbe IP wie ein Gerät in seinem Netzwerk?
Wie siehts mit Ping aus, geht da was?
Ist das Gerät des Users im Heimnetz möglicherweise im "Gastbetrieb", so dass nur Http und Mail erlaubt sind?
Habt ihr in der Firma und der User zuhause möglicherweise den selben IP-Adressbereich und der Server, auf den der User zugreifen will, die selbe IP wie ein Gerät in seinem Netzwerk?
Wie siehts mit Ping aus, geht da was?
Ist das Gerät des Users im Heimnetz möglicherweise im "Gastbetrieb", so dass nur Http und Mail erlaubt sind?
1
Wie siehts mit Ping aus, geht da was?
Zu mindestens bei diesem speziellen User! Wenn der Ping scheitert, dann scheitert schon die darunterliegende IP Connectivity an sich!Achtung bei Windows und ICMP (Ping) das dies in der lokalen Firewall freigeschaltet ist!
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Ansonsten noch einmal das OpenVPN Tutorial genau durchgehen ob beim Client Setup, besonders dem Routing dort, etwas vergessen wurde!
Merkzettel: VPN Installation mit OpenVPN
Welche Maßnahmen würdet ihr denn treffen
- O.a. OVPN Tutorial lesen und Setup überprüfen. (Routing korrekt konfiguriert, welches Verfahren altes net30 oder subnet usw.)
- Ins OpenVPN Log des Clients sehen ob es dort Auffälligkeiten oder Fehler gibt beim Tunnelaufbau.
- Bei aktivem Tunnel die Routing Tabelle mit route print ansehen ob die entsprechenden Zielnetze in den Tunnel geroutet werden.
- Ping oder Traceroute (Winblows: tracert) vom betreffenden Client auf einen Zielhost. Möglichst einen ohne Firewall die ICMP Frames blockt wie Drucker etc.
Hallo,
Gruss,
Peter
Zitat von @makstsw:
So langsam gehen mir die Ansatzpunkte aus. Welche Maßnahmen würdet ihr denn treffen, um das Problem weiter einzugrenzen?
Der Kabelhai an beiden enden sagt dir genau wer was will und welche Antwort er bekommen sollte. Kabelhai Und eine Lernhilfe https://www.varonis.com/de/blog/verwendung-von-wiresharkSo langsam gehen mir die Ansatzpunkte aus. Welche Maßnahmen würdet ihr denn treffen, um das Problem weiter einzugrenzen?
Gruss,
Peter
1
- Anpassung der MTU per netsh -> kein Erfolg
Schonmal das versucht?
https://www.sonassi.com/help/troubleshooting/setting-correct-mtu-for-ope ...
Mit dem mssfix-Eintrag in der Client-Konfig.
MfG
1
Vielen Dank für eure zahlreichen Rückmeldungen!
Folgendes habe ich noch geprüft:
- Einstellungen an der Windows-Firewall sind richtig
- Der gleiche Adressbereich ist im Home Office nicht vorhanden
- Die Routen werden richtig gesetzt
- Ping und Namensauflösung funktionieren (siehe erster Post). Trace klappt ebenso.
Ich werde wohl wirklich mal Wireshark anwerfen müssen. Der Kollege ist allerdings nur zeitweise im Home Office. Daher kann es mit einer Rückmeldung etwas dauern.
Gruß mak
Folgendes habe ich noch geprüft:
- Einstellungen an der Windows-Firewall sind richtig
- Der gleiche Adressbereich ist im Home Office nicht vorhanden
- Die Routen werden richtig gesetzt
- Ping und Namensauflösung funktionieren (siehe erster Post). Trace klappt ebenso.
Ich werde wohl wirklich mal Wireshark anwerfen müssen. Der Kollege ist allerdings nur zeitweise im Home Office. Daher kann es mit einer Rückmeldung etwas dauern.
Gruß mak