30
Problem mit mehreren gleichzeitigen VPNs zum gleichen Netz
Hallo zusammen,
habe ein kleines Problem mit VPN-Verbindungen.
Zuerst mal, grundsätzlich funktioniert die L2TP/IPsec-VPN.
Es kommt ab und zu vor, dass ich von einem Netz aus mit mehreren Windows-Notebooks jeweils eine L2TP/IPsec-VPN zum gleichen Zielnetz aufbauen will.
Das klappt dann nur mit dem ersten, die weiteren Notebooks können keine Verbindung aufbauen.
Was kann ich machen, dass es mit mehreren Notebooks die VPN aufbauen kann?
Schon mal besten Dank.
habe ein kleines Problem mit VPN-Verbindungen.
Zuerst mal, grundsätzlich funktioniert die L2TP/IPsec-VPN.
Es kommt ab und zu vor, dass ich von einem Netz aus mit mehreren Windows-Notebooks jeweils eine L2TP/IPsec-VPN zum gleichen Zielnetz aufbauen will.
Das klappt dann nur mit dem ersten, die weiteren Notebooks können keine Verbindung aufbauen.
Was kann ich machen, dass es mit mehreren Notebooks die VPN aufbauen kann?
Schon mal besten Dank.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 527892
Url: https://administrator.de/contentid/527892
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
30 Kommentare
Neuester Kommentar
Welche Firewall? Wie sieht der Aufbau aus? Glaskugel....
Pfsense, opnsense, sophos, Cisco, fritzbox oder was weiß der Geier ?
Pfsense, opnsense, sophos, Cisco, fritzbox oder was weiß der Geier ?
Was kann ich machen, dass es mit mehreren Notebooks die VPN aufbauen kann?
Das liegt dann zu 99% an der Router Hardware. Billige Router mit sog. "VPN Passthrough" Option können meist nur eine einzige Session des ESP Protokolls im Cache halten. ESP ist ein eigenständiges IP Protokoll mit der Nummer 50:https://de.wikipedia.org/wiki/IPsec#Encapsulating_Security_Payload_(ESP)
Diese Billigrouter merken sich dann nur die erste ESP Verbindung die über sie aufgebaut wird aber keine weiteren. Nach dem Pronzip first come, first serve. Alle weiteren Verbindungen werden dann blockiert bis der ESP Cache Timer abläuft. Dann gilt wieder first come, first serve.
Mit Konfiguration usw. kannst du da nichts machen. Das einzige was da hillft ist die Router Hardware zu tauschen gegen ein besseres System was multiple ESP Sessions erlaubt. Entsprechende HW wurde oben schon genannt.
Wenn du mehrere Client Sessions immer zur gleichen Lokation aufbaust dann wäre doch ein Site to Site VPN viel sinnvoller, also die Kopplung 2er Netze. Das würde dann das sinnfreie Aufbauen vieler paralleler Client Sessions überflüssig machen und ist viel effizienter.
Da hängt ne Fritzbox 7490.
Site to Site hab ich nicht, da es nicht oft ist und dann auch nur für kurze Zeit notwendig.
Ich glaub ja eher, dass es an Windows liegt.
Wenn ich mit mehreren iPhones im gleichen Netz mehrere VPNs aufbaue, mit der gleichen Gegenstelle, klappt es.
Es kann aber nur ein Notebook aufbauen.
Site to Site hab ich nicht, da es nicht oft ist und dann auch nur für kurze Zeit notwendig.
Ich glaub ja eher, dass es an Windows liegt.
Wenn ich mit mehreren iPhones im gleichen Netz mehrere VPNs aufbaue, mit der gleichen Gegenstelle, klappt es.
Es kann aber nur ein Notebook aufbauen.
Hallo,
Schon eine gewagte These ein Windows OS mit einem IOS gleich zu setzen. Selbst Apple macht es nicht ein IOS mit seinen Desktops zu vergleichen. Und dann wollen wir mal sehen was passiert wenn alle SmartPhones da per ein WLAN jedes ein VPN Tunnel zum gleichen Ziel aufbauen will....
Gruß,
Peter
Schon eine gewagte These ein Windows OS mit einem IOS gleich zu setzen. Selbst Apple macht es nicht ein IOS mit seinen Desktops zu vergleichen. Und dann wollen wir mal sehen was passiert wenn alle SmartPhones da per ein WLAN jedes ein VPN Tunnel zum gleichen Ziel aufbauen will....
Gruß,
Peter
Wollte damit ja nur sagen, dass es am VPN-Client liegen könnte, also am Windows-eigenen.
Hi meinsm,
Du solltest bedenken das die Fritte bei mehreren gleichzeitigen VPN 's auch ein wenig rechnen muss, um die Verschlüsselung eines Virtuellen Tunnels zu gewährleisten.
Irgendwann hat dann so eine kleine CPU Ihre Grenzen erreicht und mag nicht mehr.
Ich will die 7490 nicht schlecht reden, aber Du hast es bei der Fritte mit einem Consumer Produkt zu tun.
Wenn Du hier sicher mehrere VPN 's verwenden willst, solltest Du schon "schwerere Geschütze auffahren".
LG orcape
Du solltest bedenken das die Fritte bei mehreren gleichzeitigen VPN 's auch ein wenig rechnen muss, um die Verschlüsselung eines Virtuellen Tunnels zu gewährleisten.
Irgendwann hat dann so eine kleine CPU Ihre Grenzen erreicht und mag nicht mehr.
Ich will die 7490 nicht schlecht reden, aber Du hast es bei der Fritte mit einem Consumer Produkt zu tun.
Wenn Du hier sicher mehrere VPN 's verwenden willst, solltest Du schon "schwerere Geschütze auffahren".
LG orcape
Ist aber auch hinreichend bekannt das die Fritte im VPN kaum mehr als um die 3 Mbit/s Durchsatz schafft. Eben weil sie einen schwachbrüstigen SoC hat.
Sie muss auch nicht mehr können, denn sie ist wie Kollege @orcape zu Recht sagt ein billiges Massen Consumer Produkt und auch entsprechend genau dafür entwickelt. Und man sollte nicht vergessen das 90% aller dieser User keinerlei VPN nutzen geschweige denn überhaupt wissen was das ist...!
Man kommt ja (normal) auch nicht auf die Idee mit einem Dacia Logan an einem Formel 1 Rennen teilzunehmen !
Sie muss auch nicht mehr können, denn sie ist wie Kollege @orcape zu Recht sagt ein billiges Massen Consumer Produkt und auch entsprechend genau dafür entwickelt. Und man sollte nicht vergessen das 90% aller dieser User keinerlei VPN nutzen geschweige denn überhaupt wissen was das ist...!
Man kommt ja (normal) auch nicht auf die Idee mit einem Dacia Logan an einem Formel 1 Rennen teilzunehmen !
Mahlzeit,
die VPN-Verbindungen werden wohl nicht mit der Fritzbox aufgebaut, denn diese kann kein L2TP-VPN.
Daher gehe ich davon aus, dass die Fritte VPN-Passthrough macht und dahinter ein VPN-Server ist.
Welcher, müsste uns der TO schon noch sagen.
Die Limitierung der Fritte beim Entschlüsseln des VPN fällt damit erst mal weg. Was der VPN-Server dahinter schafft, können wir nicht beurteilen, da wir ihn nicht kennen.
Ich vermute eher ein Konfigurationsproblem beim VPN-Server. Wenn der VPN-Server vernünftige Logs schreibt, könnte man ja da was sehen oder eventuell kann man von diesem einen Paketmitschnitt machen, wenn die Verbindungen bestehen und diese auswerten.
die VPN-Verbindungen werden wohl nicht mit der Fritzbox aufgebaut, denn diese kann kein L2TP-VPN.
Daher gehe ich davon aus, dass die Fritte VPN-Passthrough macht und dahinter ein VPN-Server ist.
Welcher, müsste uns der TO schon noch sagen.
Die Limitierung der Fritte beim Entschlüsseln des VPN fällt damit erst mal weg. Was der VPN-Server dahinter schafft, können wir nicht beurteilen, da wir ihn nicht kennen.
Ich vermute eher ein Konfigurationsproblem beim VPN-Server. Wenn der VPN-Server vernünftige Logs schreibt, könnte man ja da was sehen oder eventuell kann man von diesem einen Paketmitschnitt machen, wenn die Verbindungen bestehen und diese auswerten.
Daher gehe ich davon aus, dass die Fritte VPN-Passthrough macht und dahinter ein VPN-Server ist.
Vermutlich, denn das ist die einzig mögliche technische Option bei L2TP.Die VPN Server Logs würden in der Tat sehr helfen um einen Lösung zu finden.
Warum werden denn die VPN-Verbindungen nicht über das IPSec der Fritte aufgebaut? Die kann mehrere Sessions und findet sogar auf dem Hin- und Rückweg recht zuverlässig ihre Ziele. 
Durchsatz sollte bei 9-10 Mbit/s liegen. https://www.nicht-trivial.de/index.php/2018/10/21/vpn-durchsatz-bei-avms ...
Ist auch ungefähr meine Erfahrung bei AES-128
VG
Buc
Durchsatz sollte bei 9-10 Mbit/s liegen. https://www.nicht-trivial.de/index.php/2018/10/21/vpn-durchsatz-bei-avms ...
Ist auch ungefähr meine Erfahrung bei AES-128
VG
Buc
10 MBit/s Schafft die Fritte nicht. Hab mich lang genug damit rumgeärgert bis ich auf OVPN umgestiegen bin.
O.k. 8. Schaffe hier 1 MByte/s mit ner ollen 7270v2
Hallo zusammen,
vielleicht hab ich zu wenig erklärt.
Also das VPN-Ziel ist eine Linux-Firewall hinter einem Cisco-Router.
Diese Firewall kann viele VPN-Verbindungen gleichzeitig bedienen.
Jetzt kommt es aber ab und zu vor, dass ein paar Personen von einem externen Netzwerk, WLAN in einer Außenstelle praktisch, eine VPN-Verbindung mit Notebook und Handy zum gleichen Ziel aufbauen wollen.
Die Handys (5 an der Zahl) können parallel eine VPN-Verbindung aufbauen, bei den Notebooks eben nur das erste und das zweite Notebook nicht mehr. Erst wenn das erste Notebook die VPN trennt, kann ein anderes Notebook die VPN aufbauen.
Bei den Handys ists egal, die können sich immer verbinden, auch wenn sie mit dem gleichen WLAN verbunden sind wie die Notebooks.
Somit ist meine Vermutung, dass es weder am Ziel liegt noch an der Fritzbox, sondern an den Clients, sprich an den Windows-Notebooks.
vielleicht hab ich zu wenig erklärt.
Also das VPN-Ziel ist eine Linux-Firewall hinter einem Cisco-Router.
Diese Firewall kann viele VPN-Verbindungen gleichzeitig bedienen.
Jetzt kommt es aber ab und zu vor, dass ein paar Personen von einem externen Netzwerk, WLAN in einer Außenstelle praktisch, eine VPN-Verbindung mit Notebook und Handy zum gleichen Ziel aufbauen wollen.
Die Handys (5 an der Zahl) können parallel eine VPN-Verbindung aufbauen, bei den Notebooks eben nur das erste und das zweite Notebook nicht mehr. Erst wenn das erste Notebook die VPN trennt, kann ein anderes Notebook die VPN aufbauen.
Bei den Handys ists egal, die können sich immer verbinden, auch wenn sie mit dem gleichen WLAN verbunden sind wie die Notebooks.
Somit ist meine Vermutung, dass es weder am Ziel liegt noch an der Fritzbox, sondern an den Clients, sprich an den Windows-Notebooks.
Hallo,
Gruß,
Peter
Zitat von @meinsm:
Die Handys (5 an der Zahl) können parallel eine VPN-Verbindung aufbauen, bei den Notebooks eben nur das erste und das zweite Notebook nicht mehr. Erst wenn das erste Notebook die VPN trennt, kann ein anderes Notebook die VPN aufbauen.
Bei den Handys ists egal, die können immer, auch wenn sie mit dem gleichen WLAN verbunden sind wie die Notebooks.
Die Handy's gehen alle per 3g/LTE/UMTS zum gleichen ziel und nicht per WLAN? Jedes Handy ist in sein eigenes Netz und weiss ja gar nicht das das nachbargerät zum gleichen Ziel will. Du vergleichst sachen die nicht zu vergleichen sind.Die Handys (5 an der Zahl) können parallel eine VPN-Verbindung aufbauen, bei den Notebooks eben nur das erste und das zweite Notebook nicht mehr. Erst wenn das erste Notebook die VPN trennt, kann ein anderes Notebook die VPN aufbauen.
Bei den Handys ists egal, die können immer, auch wenn sie mit dem gleichen WLAN verbunden sind wie die Notebooks.
Gruß,
Peter
Die sind im gleichen WLAN.
Hallo,
Und nutzen deine Handys das WLAN auch oder gehen die per 3G/UMTS/LTE ins internet und bauen sich ihren eigenen VPN Tunnel?
Gruß,
Peter
Und nutzen deine Handys das WLAN auch oder gehen die per 3G/UMTS/LTE ins internet und bauen sich ihren eigenen VPN Tunnel?
Gruß,
Peter
Die nutzen das WLAN.
Hab auch extra mal mobile Daten deaktiviert, und da konnten die auch alle.
Hab auch extra mal mobile Daten deaktiviert, und da konnten die auch alle.
Hallo,
Gruß,
Peter
Zitat von @meinsm:
Die nutzen das WLAN.
Hab auch extra mal mobile Daten deaktiviert, und da konnten die auch alle.
SIM Karte mal entfernt? Oder per Wirshark zugeschaut?Die nutzen das WLAN.
Hab auch extra mal mobile Daten deaktiviert, und da konnten die auch alle.
Gruß,
Peter
Du wirst das Logfile deiner Linux-Firewall konsultieren müssen um zu sehen, warum die Verbindung nicht zustande kommt.
Evtl. loggt Windows ja auch irgendwas? (Nutze ich nicht)
So ist das doch nur "rate mal mit Rosenthal"
Buc
Evtl. loggt Windows ja auch irgendwas? (Nutze ich nicht)
So ist das doch nur "rate mal mit Rosenthal"
Buc
Hallo,
So wie mein Handy nutzt hier in DE Telekom und in den USA Telekom. Warum geht dort etwas und hier nicht? Vergleich von Spinat und etwas was Kühe verlieren und Asiaten niemals Essen tun.
Gruß,
Peter
So wie mein Handy nutzt hier in DE Telekom und in den USA Telekom. Warum geht dort etwas und hier nicht? Vergleich von Spinat und etwas was Kühe verlieren und Asiaten niemals Essen tun.
Gruß,
Peter
Habs jetzt probiert mit 3x Handys ohne SIM-Karte und gleiches WLAN.
Mit Handys kann ich vom gleichen WLAN zum gleichen Ziel ne VPN aufbauen, aber nur mit einem Notebook.
Somit geht da definitv nix übers Handynetz und wenn es mit mehreren Handys geht, müsste es ja auch mit mehreren Notebooks gehen.
Da es aber nur mit einem Notebook geht, ist ja an sich die Komponente die streikt eher das Notebook als die Firewall oder die Fritzbox.
Oder sehe ich das falsch?
Mit Handys kann ich vom gleichen WLAN zum gleichen Ziel ne VPN aufbauen, aber nur mit einem Notebook.
Somit geht da definitv nix übers Handynetz und wenn es mit mehreren Handys geht, müsste es ja auch mit mehreren Notebooks gehen.
Da es aber nur mit einem Notebook geht, ist ja an sich die Komponente die streikt eher das Notebook als die Firewall oder die Fritzbox.
Oder sehe ich das falsch?
Warum geht dort etwas und hier nicht?
Z.B. wenn du dort eine öffentliche IP beim Provider Mobilfunk bekommst, hier aber eine RFC1918 IP und CGN beim Mobilfunk Netz, dann ists aus mit IPsec. CGN würde dann die Connection killen ohne NAT Traversal.Möglich auch das der eine Provider filtert. IPsec ist oft nur bei Business Accounts und wird in billigen Consumer Surf Accounts gefiltert.
Ja, ok.
ABER es geht ja alles über das gleiche WLAN, sowohl Handy (ohne Karte also ohne Mobilfunk) und Notebook.
Wenn ich Handy bzw. Notebook über UMTS lasse, können alle Geräte gleichzeitig.
Nur über WLAN ists so, dass nur ein Notebook geht.
ABER es geht ja alles über das gleiche WLAN, sowohl Handy (ohne Karte also ohne Mobilfunk) und Notebook.
Wenn ich Handy bzw. Notebook über UMTS lasse, können alle Geräte gleichzeitig.
Nur über WLAN ists so, dass nur ein Notebook geht.
Im WLAN wird im Gegensatz zum WAN Port ja auch kein NAT (IP Adress Translation) gemacht. Das ist simples Layer 2 Bridging ins lokale LAN.
Ein himmelweiter Unterschied also zur Funktionalität und Situation am WAN Port über den du vom Internet reinkommst !
Ein himmelweiter Unterschied also zur Funktionalität und Situation am WAN Port über den du vom Internet reinkommst !
Ja.
Aber ich komm nicht mit.
Beide Gerätegruppen (Handys und Notebook) sind im selben WLAN.
Mit den Handys kann ich mit allen gleichzeitig eine VPN zum gleichen Ziel aufbauen.
Aber nur mit einem Notebook.
Also wenn ein NB eine VPN aufgebaut hat, kann ich zwar mit allen Handys eine VPN aufbauen, aber mit keinem weiteren Notebook.
Da ja alles identisch ist, also WLAN des Ursprungsnetzes und auch der Adressbereich, Zielnetz etc, nur der Client bzw. VPN-Client liegt es doch nahe, dass es am VPN-Client liegt, oder?
Oder liege ich da so falsch?
Aber ich komm nicht mit.
Beide Gerätegruppen (Handys und Notebook) sind im selben WLAN.
Mit den Handys kann ich mit allen gleichzeitig eine VPN zum gleichen Ziel aufbauen.
Aber nur mit einem Notebook.
Also wenn ein NB eine VPN aufgebaut hat, kann ich zwar mit allen Handys eine VPN aufbauen, aber mit keinem weiteren Notebook.
Da ja alles identisch ist, also WLAN des Ursprungsnetzes und auch der Adressbereich, Zielnetz etc, nur der Client bzw. VPN-Client liegt es doch nahe, dass es am VPN-Client liegt, oder?
Oder liege ich da so falsch?
Hallo,
Schmeiss mal dein Wireshark an...
Welcher Fehlermeldungen gibt es auf deine Notenbücher? Keine? Schau im Kabelhai nach...
Gruß,
Peter
Schmeiss mal dein Wireshark an...
Welcher Fehlermeldungen gibt es auf deine Notenbücher? Keine? Schau im Kabelhai nach...
Gruß,
Peter
Bitte: WELCHE Firewall???
Wie lautet dort der Fehler?
Findet der 2. Verbindungsversuch dort überhaupt statt?
Warum bricht er ab?
Auch Wndows kennt seit einiger Zeit Errorcodes...
Welcher Fehler wird ausgegeben?
Hier ein Tutorial zum Troubleshooting:
https://www.thewindowsclub.com/vpn-error-codes-troubleshooting
Du wirst irgendwas liefern müssen, wenn wir dir helfen sollen. Nur lamentieren, dass es "theoretisch" ja gehen sollte (da stimme ich dir zu) ist nicht zielführend.
Weiterhin frohes Raten allerseits! (Gibts eigentlich was zu gewinnen?)
Buc
Wie lautet dort der Fehler?
Findet der 2. Verbindungsversuch dort überhaupt statt?
Warum bricht er ab?
Auch Wndows kennt seit einiger Zeit Errorcodes...
Welcher Fehler wird ausgegeben?
Hier ein Tutorial zum Troubleshooting:
https://www.thewindowsclub.com/vpn-error-codes-troubleshooting
Du wirst irgendwas liefern müssen, wenn wir dir helfen sollen. Nur lamentieren, dass es "theoretisch" ja gehen sollte (da stimme ich dir zu) ist nicht zielführend.
Weiterhin frohes Raten allerseits! (Gibts eigentlich was zu gewinnen?)
Buc
1Weiterhin frohes Raten allerseits! (Gibts eigentlich was zu gewinnen?)
Ein Silvester-Karpfen wäre nicht schlecht, schliesslich ist die Weihnachtsgans schon angebraten. Schönes Weihnachtsfest und ein paar ruhige Tage.
LG orcape
Hallo,
Aber es ist nicht zu erkennen wo vorne und hinten ist
Gruß,
Peter
Aber es ist nicht zu erkennen wo vorne und hinten ist
Gruß,
Peter
Ich werd das nie raffen...
Kompetente Helfer, Nachfragen, Hinweise etc. Und dann immer wieder nur stoisch die Ausgangsfrage wiederholen...
Und dann Funkstille.
Stille Nacht, heilige Nacht... Ach ne, ist ja schon die "Wow, wir freuen uns auf das tolle neue Jahr, in dem wir alles besser machen" Nacht.
Noch Interesse, lieber TO?
Buc
Kompetente Helfer, Nachfragen, Hinweise etc. Und dann immer wieder nur stoisch die Ausgangsfrage wiederholen...
Und dann Funkstille.
Stille Nacht, heilige Nacht... Ach ne, ist ja schon die "Wow, wir freuen uns auf das tolle neue Jahr, in dem wir alles besser machen" Nacht.
Noch Interesse, lieber TO?
Buc
