hardstyles
17.03.2020
view8947
view23
0
Goto Top

Von win 10 VPN über Fritzbox ins Firmennetz geht nicht

FrageNetzwerkeRouter, Routing
Hallo zusammen,
wir haben ein sehr komisches Problem zurzeit.

Also ich habe hier zu hause ein Standard Router von der Telekom Speedport V724 ... ich kann eine Verbindung mit bord eigenen mitteln von Windows 10 zu unserem Firmen VPN aufbauen.
Mein Kollege benutzt sein Sophos Firewall und bei ihm funktioniert auch alles.

Jetzt kommen wir zum Problem, ein anderer Kollege hat eine Fritz-box 7590 und er kann zwar die Verbindung aufbauen und ist auch verbunden.
aber dann bekommt er keine antworten mehr. Tracert zeigt Fritzbox als Gateway ping geht nicht keine antwort.

Wenn er jedoch eine Verbindung über sein Handy Hotspot macht geht alles. Er kann sich mit dem Server Verbinden und so weiter.
Tracert funktioniert wird auch der Richtige Gateway angezeigt
Ping geht durch

Gibt es bei Fritzbox irgendeine Spezielle Einstellung ?

Firmenhardware Fortigate FWF61E
VPN Protokoll L2TP IPSEC
über Fritzbox im VPN wird der Fritzbox Standardgateway zugewiesen und nicht der VPN Gateway

Jemand eine Idee

Ich hab eben 2 Stunden in einer Remote Session mit Fortinet gehabt, aber sie können sich das auch nicht erklären. Wie immer ist es kein Fortigate Problem.
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 558743

Url: https://administrator.de/contentid/558743

Ausgedruckt am: 26.11.2024 um 00:11 Uhr

23 Kommentare
Neuester Kommentar
Goto Top
brammer
brammer 17.03.2020 um 13:55:10 Uhr
Goto Top
Hallo,

wenn er das Gateway, also die Fritzbox nicht erreichen kann, bitte prüfen welche IP Adresse er den bekommt.

Evtl. hat er als IP eine 169.254.x,x das würde heißen er ist nith mit der FB verbunden.
Kommt er den überhaupt ins Internet? Google oder ähnliches ist erreichbar?

brammer
Hardstyles
Hardstyles 17.03.2020 um 14:00:34 Uhr
Goto Top
Wenn er im VPN ist kommt er auch ins Internet.
er bekommt auch eine Ip zugewiesen in der Fortigate und ich sehe ihn auch aber dann ist auch schluss
brammer
brammer 17.03.2020 um 14:02:54 Uhr
Goto Top
Hallo,

okay, falsch gelesen...
Was passiert bei einem Tracert auf eine IP im Ziel Netz auf die er kommen sollte? bis wohin geht der?
Was macht die lokale Firewall auf dem Client?

brammer
aqui
aqui 17.03.2020 aktualisiert um 14:06:21 Uhr
Goto Top
Gibt es bei Fritzbox irgendeine Spezielle Einstellung ?
Nein, denn die FB hat ja mit dem VPN nichts zu tun sofern der Kollege im internen Netz mit dem VPN Client arbeitet. VPN Pakete sind für die FB nichts anderes als Pakete die ins Internet gehen genau so wenn der Kollege mit dem Browser shoppen geht bei Amazon oder Emails abruft.
Wie gesagt das gilt nur wenn der Kollege selber keine aktiven VPNs mit seiner FB selber realisiert !! Z.B. das seine Oma Grete sich per VPN auf seiner FB einlogt um die Boilder der Enkel zu sehen auf dem Familien NAS.
Hilfreich wäre das Log des Win 10 VPN Clients und, wenn der Client aktiv ist, mal ein route print output.
Wichtig auch die Info ob der Client wenigstens das Interface der Firewall pingen kann.
Vermutlich ist das VPN nicht wirklich aktiv.
Was auch sein kann das der Installateur der Firewall eine dümmliche interne VPN IP Adressierung gewählt hat so das es zu einer Überschneidung des Kollegennetzes mit dem Firmen VPN kommt. Siehe dazu auch hier.
Wenn das der Fall ist kommt das VPN natürlich auch nicht hoch !
Dazu wäre dann hier auch mal das Setup der VPN Firewall sehr hilfreich und dort dann auch das Log von dem betroffenen Kollegen wenn der sich einwählt.
Für eine zielführende Hilfe wären alle diese Infos sehr wichtig.
Hardstyles
Hardstyles 17.03.2020 um 14:09:08 Uhr
Goto Top
tracert 123.13.13.13

Routenverfolgung zu 123.13.13.13 über maximal 30 Hops

1 * * * Zeitüberschreitung der Anforderung.
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 ^C

So sieht das dann aus mit beisipel IP
Hardstyles
Hardstyles 17.03.2020 um 14:19:53 Uhr
Goto Top
Ja leider habe ich damals die Konfiguration so übernommen vom letzten Admin, und ich sie leider Weiter pflegen muss.face-sad
192.168.178 FB IP halt im internen netzt
ich habe schon seinen IP bereich zu hause geändert aber das funktioniert trotzdem nicht bei ihm.
Hardstyles
Hardstyles 17.03.2020 um 14:29:57 Uhr
Goto Top
route print output
Schnittstellenliste
22...54 e1 ad d2 38 06 ......Intel(R) Ethernet Connection (4) I219-V
39...........................Con-Office
27...2a c6 3f 4f 3e 59 ......Microsoft Wi-Fi Direct Virtual Adapter
30...28 c6 3f 4f 3e 5a ......Microsoft Wi-Fi Direct Virtual Adapter #2
26...00 ff cd 7f 38 5e ......TAP-Windows Adapter V9
21...28 c6 3f 4f 3e 59 ......Intel(R) Dual Band Wireless-AC 8265
18...28 c6 3f 4f 3e 5d ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
14...8c 9d 89 5b 52 5d ......Sierra Wireless EM7455 Qualcomm Snapdragon X7 LTE-A

IPv4-Routentabelle
Aktive Routen:
Keine
Ständige Routen:
Keine

IPv6-Routentabelle
Aktive Routen:
Keine
Ständige Routen:
Keine
brammer
brammer 17.03.2020 um 14:31:38 Uhr
Goto Top
Hallo,

wenn der Tracert schon an der ersten Stelle in ein Timeout läuft spricht das dafür das im lokalen Netzwerk die Route nicht bekannt ist.
Entweder existiert der VPN Tunnnel doch nicht oder die Route fehlt / bzw. überschneidet sich .

ein Route print (wie von @aqui bereits angefordert) würde es zeigen.
Und bitte nicht mit dummy adressen.. .bei Privaten IP adressen macht das eh keinen Sinn.

brammer
brammer
brammer 17.03.2020 um 14:32:17 Uhr
Goto Top
Hallo,

bitte mal das ipconfig!

brammer
Hardstyles
Hardstyles 17.03.2020 aktualisiert um 14:37:00 Uhr
Goto Top
C:\Users\>ipconfig

Windows-IP-Konfiguration


Ethernet-Adapter Ethernet:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

PPP-Adapter Contiba-Office:

Verbindungsspezifisches DNS-Suffix:
IPv4-Adresse . . . . . . . . . . : 192.168.178.5
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :

Drahtlos-LAN-Adapter LAN-Verbindung* 1:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Drahtlos-LAN-Adapter LAN-Verbindung* 2:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Ethernet-Adapter Ethernet 3:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Drahtlos-LAN-Adapter WLAN:

Verbindungsspezifisches DNS-Suffix: fritz.box
Verbindungslokale IPv6-Adresse . : fe80::bcc2:1ad5:1904:f4d%21
IPv4-Adresse . . . . . . . . . . : 192.12.12.21
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.12.12.1

Ethernet-Adapter Bluetooth-Netzwerkverbindung:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

Mobiler Breitbandadapter Mobilfunk:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:

C:\Users\>
Hardstyles
Hardstyles 17.03.2020 um 14:40:14 Uhr
Goto Top
route print -4
Schnittstellenliste
22...54 e1 ad d2 38 06 ......Intel(R) Ethernet Connection (4) I219-V
39...........................Contiba-Office
27...2a c6 3f 4f 3e 59 ......Microsoft Wi-Fi Direct Virtual Adapter
30...28 c6 3f 4f 3e 5a ......Microsoft Wi-Fi Direct Virtual Adapter #2
26...00 ff cd 7f 38 5e ......TAP-Windows Adapter V9
21...28 c6 3f 4f 3e 59 ......Intel(R) Dual Band Wireless-AC 8265
18...28 c6 3f 4f 3e 5d ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
14...8c 9d 89 5b 52 5d ......Sierra Wireless EM7455 Qualcomm Snapdragon X7 LTE-A

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.12.12.1 192.12.12.21 35
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
178.19.209.42 255.255.255.255 192.12.12.1 192.12.12.21 36
192.12.12.0 255.255.255.0 Auf Verbindung 192.12.12.21 291
192.12.12.21 255.255.255.255 Auf Verbindung 192.12.12.21 291
192.12.12.255 255.255.255.255 Auf Verbindung 192.12.12.21 291
192.168.178.0 255.255.255.0 192.168.178.2 192.168.178.5 26
192.168.178.5 255.255.255.255 Auf Verbindung 192.168.178.5 281
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 192.12.12.21 291
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.178.5 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 192.12.12.21 291
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.178.5 281
Ständige Routen:
Keine
Hardstyles
Hardstyles 17.03.2020 um 14:43:07 Uhr
Goto Top
so sieht es bei mir aus im VPN
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.107 4250
0.0.0.0 0.0.0.0 Auf Verbindung 192.168.178.9 26
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 4556
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 4556
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 4556
172.17.37.48 255.255.255.240 Auf Verbindung 172.17.37.49 9481
172.17.37.49 255.255.255.255 Auf Verbindung 172.17.37.49 9481
172.17.37.63 255.255.255.255 Auf Verbindung 172.17.37.49 9481
178.19.209.42 255.255.255.255 192.168.2.1 192.168.2.107 4251
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.107 4506
192.168.2.107 255.255.255.255 Auf Verbindung 192.168.2.107 4506
192.168.2.255 255.255.255.255 Auf Verbindung 192.168.2.107 4506
192.168.178.9 255.255.255.255 Auf Verbindung 192.168.178.9 281
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 4556
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.2.107 4506
224.0.0.0 240.0.0.0 Auf Verbindung 172.17.37.49 9481
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.178.9 26
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 4556
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.2.107 4506
255.255.255.255 255.255.255.255 Auf Verbindung 172.17.37.49 9481
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.178.9 281
Ständige Routen:
Keine
brammer
brammer 17.03.2020 um 14:47:50 Uhr
Goto Top
Hallo,

192.12.12.21 ??
ernsthaft?

Gemäß Routing Tabelle sollte alles beim Gateway 192.12.12.1 ankommen..
Deinem Tracert zu Folge kommt es aber da nicht an

brammer
Hardstyles
Hardstyles 17.03.2020 um 14:55:03 Uhr
Goto Top
sieht so aus bei ihm.

C:\Users\Rian>tracert 1.1.1.1

Routenverfolgung zu one.one.one.one [1.1.1.1]
über maximal 30 Hops:

1 5 ms 2 ms 3 ms fritz.box [192.12.12.1]
2 57 ms 11 ms 9 ms ^C
C:\Users\Rian>

C:\Users\Rian>tracert 192.168.178.10

Routenverfolgung zu 192.168.178.10 über maximal 30 Hops

1 * * * Zeitüberschreitung der Anforderung.
chgorges
chgorges 17.03.2020 um 22:23:48 Uhr
Goto Top
Zitat von @Hardstyles:
1 5 ms 2 ms 3 ms fritz.box [192.12.12.1]

Ok, heute scheint schon Freitag zu sein xD
Im Ernst, das Subnetz hat daheim nichts verloren, bitte ändern, bevor Aqui das sieht.
BernhardMeierrose
BernhardMeierrose 19.03.2020 um 09:01:58 Uhr
Goto Top
Moin,

das Default-Gateway liegt bei dem Kollegen offenbar nur auf der Fritzbox, die kennt den Weg in die Firma natürlich nicht.
In deinem eigenen ipconfig siehst Du ja auch, dass dort ein zweiter Default-Gateway-Eintrag ist.

Option a)
Sorg dafür, dass der VPN-Client das Default-Gateway korrekt setzt

Option b)
Erstell Routing-Einträge, die zum Firmen-LAN passen.

Sei Dir der Unterschiede zwischen den beiden Optionen bewusst bevor Du etwas umsetzt...

Und für künftige Fragen: Nimm Dir bitte etwas Zeit, deinen ganzen Infos zu strukturieren - sonst blickt da kein Mensch durch...

Gruß
Bernhard
aqui
aqui 19.03.2020 um 09:11:31 Uhr
Goto Top
die kennt den Weg in die Firma natürlich nicht.
Du machst hier vermutlich einen fatalen Denkfehler, denn der TO nutzt kein FritzBox VPN sondern lediglich den Windows 10 VPN Client via FritzBox ins Internet.
Der Win 10 VPN Client muss also nur den Weg in die Firma (sprich die VPN Gateway Adresse) kennen und nicht die FB.
Die FB muss schlicht und einfach nur ins Internet also simpler Standard.
Sein Win 10 Rechner bekommt ja IP, Gateway und DNS von der FB da kann also per se nichts schiefgehen. Überprüfung mit ipconfig -all kann aber sicher nicht schaden.
Option a. und b. sind dann damit natürlich obsolet !!
BernhardMeierrose
BernhardMeierrose 19.03.2020 um 09:20:28 Uhr
Goto Top
Schon klar, dass das ein Win10-VPN-Client ist.
Aber der fehlerhafte Client hat nur eine Default-Route, die auf die Fritzbox zeigt ( und da sind wir uns einig, die macht nur Internet-Access).
Der fehlerhafte Client muss also beigebracht bekommen, wie er zu seinem Firmen-LAN kommt ( das 192.168.178er Netz soweit ich das enträtseln konnte)

Daher bin ich weiter der Meinung, dass die beiden Optionen je nach Wunsch-Setup zum Ziel führen können.
aqui
aqui 19.03.2020 um 09:27:54 Uhr
Goto Top
Aber der fehlerhafte Client hat nur eine Default-Route, die auf die Fritzbox zeigt
Ist ja aber normal, das das Gateway immer auf die IP des Heimrouters zeigt, weil sie diese IPs ja auch vom Heimrouter per DHCP bekommt. Millionenfacher Standard... face-wink
Der fehlerhafte Client muss also beigebracht bekommen, wie er zu seinem Firmen-LAN kommt
Nein !
Jedenfalls nicht manuell ! Das weisst du aber auch selber.
Beim Tunnelaufbau etabliert der VPN Client immer eine virtuelle Netzwerk Schnittstelle mit der internen VPN IP Adresse. Damit "kennt" er dann seinen Weg ins Firmennetz, denn er bekommt über dieses virtuelle Interface auch immer einen oder mehrere Routing Einträge injiziert.
Damit "weiss" so ein Rechner ganz genau über welches Interface er wohin muss und das alles vollkommen automatisch !
Manuelle Routen oder irgendwelche manuellen Konfig wären hier also Unsinn !
Das ist simples Standard Verhalten eines jeglichen VPN Clients.
Kannst du übrigens auch ganz einfach mal selber checken wenn man bei aktivem VPN Client einmal route print in der Eingabeaufforderung eingibt (Winblows) und sich mal selber die Routing Tabelle ansieht ! face-wink
BernhardMeierrose
BernhardMeierrose 19.03.2020 um 09:47:24 Uhr
Goto Top
Beim Tunnelaufbau etabliert der VPN Client immer eine virtuelle Netzwerk Schnittstelle mit der internen VPN IP Adresse. Damit "kennt" er dann seinen Weg ins Firmennetz, denn er bekommt über dieses virtuelle Interface auch immer einen oder mehrere Routing Einträge injiziert.

Genau, entweder wird der gesamte Traffic zum VPN-Server geroutet, dann kenne ich das so, dass ein zweiter DG-Eintrag gesetzt wird mit einer niedrigeren Metrik.
Oder beim Split-Tunnel werden nur einzelne Routen zum Ziel-Netz gesetzt und das DG bleibt auf dem lokalen Router.
Das setzt man natürlich nicht von Hand, das übernimmt in der Regel der VPN-Client.

Aber genau das scheint hier nicht zu funktionieren. Und man sieht auch an den route-prints, dass die beiden Systeme verschieden konfiguriert sind. Der funktionierende Client hat ein zweites Default-Gateway auf den VPN-Server, der fehlerhafte hat das nicht.

Vielleicht nutzt der eine Client den FortiClient und der zweite versucht es mit dem Windows-Client ? Kann man nur raten face-smile
aqui
aqui 19.03.2020 aktualisiert um 10:00:56 Uhr
Goto Top
Genau, entweder wird der gesamte Traffic zum VPN-Server geroutet
Jein, das hängt wie immer einzig davon ab WIE der VPN Server konfiguriert ist. Sprich ob er ein Gateway Redirect macht (Default Gateway auf den Tunnel) oder nur die entsprechenden Zielrouten implementiert, sprich Split Tunneling.
Split Tunneling ist mehr oder minder die Regel, denn eine Firma will ja normal nicht den gesamten Traffic eines Clients routen. Es sei denn man macht dieses aus Sicherheitsgründen um den Traffic Security Technisch zu überwachen. Mit privaten oder halb privaten Endgeräten ist das dann aber immer so eine Sache. Weniger technisch sondern eher politisch.
Das hast du also genau richtig gesehen....
Aber genau das scheint hier nicht zu funktionieren.
Wäre möglich ist dann aber klar dann eine Fehlkonfiguration des Clients. Server kann es ja nicht sein, denn dann könnte die Mehrheit der Kollegen ja nicht übers VPN arbeiten.
Aber auch da hast du Recht, das können wir ohne konkrete Angaben des TOs zu dem Thema auch nur frei raten...
Hardstyles
Hardstyles 20.03.2020 um 09:48:28 Uhr
Goto Top
Ich habe das Problem erstmal umgangen, weil die 4 Personen nicht arbeiten konnten.
Forticlient Installation und dann via SSLVPN anmelden.

Hier ist der Fehler super beschrieben.
https://www.msxfaq.de/windows/directaccess/win10_vpn.htm
aber da es nicht funktioniert hat bei der Version 1909 hab ich erstmal die Forticlient Variante gewählt.

Gruß
Andre
BernhardMeierrose
BernhardMeierrose 20.03.2020 um 11:30:16 Uhr
Goto Top
Es ist kein Workaround, wenn man die vom Hersteller empfohlene Methode nimmt face-smile

Gruß
Bernhard
FrageNetzwerkeRouter, Routing
Mehr von HardstylesHardstylesNetzwerk plan so Ok ?Hardstyles - 8 KommentareHardstylesEreignis-ID 20226 RasClient Ursachencode 829 VPN Verbindung wird abgebrochenHardstylesHardstylesWindows Anmeldung Server 2016 Defekt ?Hardstyles - 5 KommentareHardstylesWin 16 Server anmelden neues Konto PW FalschHardstyles - 10 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare