itgustel
Goto Top

Windows VPN - erste Verbindung schlägt immer fehl

Hallo Kollegen,

folgendes, ich nutze ein SSTP-VPN um von zuhause (Win7) in die Firma zu kommen.
Dabei habe ich das Problem, dass immer der erste Ping fehlschlägt bzw. bei einer VNC-Verbindung diese immer erst nach dem zweiten Aufbau steht.

Ich konnte das Problem dahingehend eingrenzen, dass wir in der Firma 10.X.X.X-er Netze verwenden, ich zuhause ein 10.10.X.X-er Netz.
Wenn ich nun von zuhause (10.10.10.1/16) einen Server in der Firma anpingen will (z. B. 10.10.4.41/24), funktioniert das erst nach dem zweiten Ping...

Ich denke es hängt damit zusammen, dass es zwei 10er-Netze sind und Windows wohl erst versucht das im lokalen LAN aufzulösen. Ich habe testweise mal mit meinem Handy einen mobilen Hotspot aufgezogen und meinen Privat-Rechner darüber mit der Firma verbunden (hier bekam der Rechner vom Handy ein 192.168.er Netz). Damit hat es auch Windows auf den ersten Ping geschafft richtig zu routen.

Interessanterweise haben meine Android-Geräte (z. B. 10.10.10.11/16) damit gar kein Problem, hier klappt es immer sofort mit dem ersten Ping.

Nun gut, kennt jemand ein Mittelchen dagegen? Es ist nicht wirklich ein sooo großes Problem, nur störend, dass alles immer erst auf den zweiten Anlauf klappt. Die Firmennetze will ich deswegen keinsfalls umstellen. Mein Privtnetz eigentlich auch nicht, weil es eine Menge Arbeit an selbst erstellten Scripten nach sich ziehen würde... Wie gesagt, kann ich Windows dazu bringen sich hier wie Android zu verhalten (gibt es keinen genialen Registry-Hack oder sowas)? :D

Danke und Grüße
ITgustel

Content-ID: 432663

Url: https://administrator.de/forum/windows-vpn-erste-verbindung-schlaegt-immer-fehl-432663.html

Ausgedruckt am: 22.12.2024 um 04:12 Uhr

emeriks
emeriks 25.03.2019 aktualisiert um 17:19:28 Uhr
Goto Top
Hi,
Zitat von @ITgustel:
Wenn ich nun von zuhause (10.10.10.1/16) einen Server in der Firma anpingen will (z. B. 10.10.4.41/24), funktioniert das erst nach dem zweiten Ping...
Wobei da die Frage wäre, wer da antwortet.

zuhause (10.10.10.1/16)
Brauchst Du zuhause denn tatsächlich ein 65.000-Adressen-Netz? Wahrscheinlich reicht es schon, wenn Du eine 24'-Maske nimmst.

E.
ITgustel
ITgustel 25.03.2019 um 17:34:32 Uhr
Goto Top
Der erste Ping geht vermutlicherweise in LAN, die weiteren Pings kommen vom angepingten Server korrekt über das VPN:

Ping wird ausgeführt für 10.10.4.41 mit 32 Bytes Daten:
Antwort von 10.10.10.3: Zielhost nicht erreichbar.
Antwort von 10.10.4.41: Bytes=32 Zeit=43ms TTL=127
Antwort von 10.10.4.41: Bytes=32 Zeit=43ms TTL=127
Antwort von 10.10.4.41: Bytes=32 Zeit=43ms TTL=127

Eigentlich nicht, habe es nur so aufgeteilt, 10.10.10.X = PCs / 10.10.20.X = Netztechnik / 10.10.30.X = Server usw...
certifiedit.net
certifiedit.net 25.03.2019 um 17:47:59 Uhr
Goto Top
Wahrscheinlich reicht sogar ein /28 oder /29....
aqui
aqui 25.03.2019 aktualisiert um 19:08:26 Uhr
Goto Top
Wenn ich nun von zuhause (10.10.10.1/16) einen Server in der Firma anpingen will (z. B. 10.10.4.41/24), funktioniert das erst nach dem zweiten Ping...
Überlappende Subnetzmasken ! Das kann so niemals gehen denn damit gibt es doppelte IP Netze auf beiden Seiten und die Wegefindung ist nicht mehr eindeutig.
Das ist ein gravierender IP Adress Design Fehler im VPN Umfeld. Siehe auch:
VPNs einrichten mit PPTP
Der Einwand "Wobei da die Frage wäre, wer da antwortet." ist richtig und beschreibt das Dilemma treffend.
Besser du änderst dein privates Netz in eine 172.16-32er Adresse um dem Problem komplett aus dem Wege zu gehen. Eine /16er Maske zu verwenden ist so oder so ziemlicher Unsinn in einem Heimnetz. (Und generell gesehen auch !)

Alternative du änderst dein 10er Netz zuhause in eins mit einem /26er oder /27er Prefix in ein Subnetz was es definitiv NICHT auf der anderen Seite (Firma) gibt !! Das würde mit einem Restrisiko auch klappen. Aber sobalt es irgendwo im Firmennetz einer Summary Route gibt die dein Subnetz inkludiert bist du wieder raus.
Es bleibt also dabei das wenn du ganz auf Nummer sicher gehen willst KEIN 10er Netz verwendest und lokale ein 172.16-32er verwendest. Dann bist du safe und es kann keinerlei Überlappungen mehr geben !
"IP Netze müssen eindeutig sein !" Das lernt der Netzwerker eigentlich in der ersten Klasse IP Grundkurs. face-wink
emeriks
emeriks 25.03.2019 um 19:45:40 Uhr
Goto Top
Zitat von @ITgustel:
Antwort von 10.10.4.41: Bytes=32 Zeit=43ms TTL=127
Und danach schaust Du in den ARP-Cache und hast die MAC-Adresse des Antwortenden bzw. des Routers, wenn dazwischen.
aqui
aqui 26.03.2019 um 10:24:34 Uhr
Goto Top
Fakt ist das das IP Adressdesign falsch ist und es deshalb so nie klappen kann ! Siehst du ja auch selber an den Subnetzen und muss man hier nicht noch weiter drehen und wenden, dann damit kann man es logischerweise nicht lösen !
Deepsys
Deepsys 26.03.2019 um 15:31:49 Uhr
Goto Top
Hi,

ich weiß nicht was die anderen Kollegen hier alles so schreiben (und habe keine Lust das alles zu lesen), aber das ist doch kein ungewöhnliches Verhalten.
Der erste ping weckt doch erst den VPN-Tunnel, und wenn der sich nicht so schnelle verbindet, dann ist der erste verloren.
Eigentlich recht normal.
Hast du denn damit ein echtes Problem?

Normalerweise baut man den Tunnel auf und startet dann die Anwendung und pingt nicht rum face-wink

Da es ja dann funktioniert, wird das Routing wohl stimmen.

VG,
Deepsys