Warum funktioniert meine VPN-Verbindung nach außen nur über WLAN, nicht über LAN?
Folgendes Szenario: Ich möchte mich über VPN mit einem entfernten Netzwerk Verbinden. Zuhause habe ich eine FritzBox 7560 (da kommt DSL rein), an dieser hängt per Netzwerkkabel ein zweiter Router (TP-Link TL-WR1034ND) als Repeater, an diesem hänge ich per Lan. Möchte ich mich jetzt per NetExtender verbinden, kommt immer eine Fehlermeldung (Initializing connection parameters ... failed). Rausgefunden habe ich folgendes:
- Verbindung funktioniert an Computer, der per WLAN an der Fritzbox angeschlossen ist (auf 2 ausprobiert)
- Verbindung funktioniert am Handy, das entweder per WLAN an der Fritzbox hängt oder im mobilen Netz, nicht jedoch wenn es per WLAN mit dem 2. Router verbunden ist
- Verbindung funktioniert nicht, wenn ein Computer per LAN an einem der beiden Router hängt
Ich hatte erst NAT Traversal im Verdacht, dieses ist jedoch in der VPN-Konfiguration aktiviert.
Woran kann es liegen, dass die Verbindung per WLAN über die Fritzbox funktioniert, sons jedoch nicht? Habe schon unendlich viele Foren durchforstet, jedoch noch keine Probleme wie meines gefunden.
Ich hoffe Ihr könnt mir helfen. Vielen Dank im Voraus.
2 Antworten
Das wird häufig bei solchen Fragen vergessen.
Zu wenig Details... Nenne mal mehr Details...
Mit "Handy" oder "PC" kann ich nicht wirklich viel anfangen.
Welche Betriebssyteme nutzt du auf den Geräten ?
Ist es ein eigener VPN-Server ? Was für ein Anbieter, wenn du das sagen möchtest und es nicht dein eigener ist.
Und grundsätzlich was ganz Banales (gilt für "PC" :-P): Hast du deine WLAN-Verbindung aktiviert, während du es mit LAN probieren willst ? :-D
Du solltest WLAN trennen, wenn du mit deinem LAN dich zum VPN verbinden willst.
Welchen VPN-Client nutzt du ? Nutzt du den vom Betriebssystem oder Drittanbieter-Software zur Herstellung zu dem VPN-Server.
Welches Protokoll nutzt du (IKEv2, L2TP, PPTP, SSTP, OpenVPN und IPsec) ?
Der in Windows integrierte VPN-Client z.B., unterstützt nämlich nur die
VPN-Protokolle SSTP, PPTP, IKE, IKEv2, IPsec und L2TP /I Psec. Das ist
das, was ich zumindest für Windows 7 sagen kann.
Das Protokoll ist nämlich wichtig in Bezug auf Schnelligkeit,
Sicherheit, Stabilität oder eben einer Mischung aus allem und erfordert auch unterschiedliche Einstellungen für das jeweilige Protokoll.
Und wie sieht es aus mit der Addressenvergabe in deinem Netzwerk ? Automatisch (DHCP), manuell (statisch) oder "Mischbetrieb" ?
Und letzlich ist auch logisch, dass du auch noch bestimmte Firewall-Einstellungen (Die im Router und auch die des Systems) vornehmen musst (Ebenfalls abhängig vom Protokoll).
Guck mal, ob in der Windows Firewall "Routing und RAS" und "SSTP (Secure Socket Tunneling Protocol)" aktiviert ist.
Ich habe noch so viele Ideen :-D. Aber ich warte erstmal auf deine Antwort.
Kannst du am Client verbose- oder debug-Logging einschalten? Ansonsten wie @TheImpression schon angedeutet hat: Sind noch irgendwo statische IP Adressen auf der LAN Schnittstelle vergeben? Kannst du den oeffentlichen Tunnel Endpunkt ueberhaupt erreichen, wenn du nicht per WLAN online bist (mal nen klassisches Telnet abwerfen)?
Tja, uns fehlen nach wie vor noch Infos, wenn dir jemand helfen soll :-D.
Also Routing und RAS standen in der Liste, waren aber nicht aktiviert. SSTP steht nur bei eingehend, habe alles aktiviert.
Die Adressvergabe läuft standardmäßig über DHCP, einige Geräte haben jedoch eine statische IP (unter anderem ein PC der sich mit dem VPN-Netzwerk verbinden soll, diese habe ich jedoch wieder entfernt und über DHCP automatisch wieder eine zuweisen lassen habe).
Die Logdatei ist hier: http://pastebin.com/zP1bcY8W
Gut ist schonmal, dass du (wirklich?) alles (wieder) auf DHCP eingestellt hast, denn "Mischbetrieb" kann erst recht Probleme machen. Zu mal du nämlich auch bedenken solltest, dass dein WLAN natürlich eine andere IP bekommt als dein LAN.
Und ja, ich muss das nochmal Fragen :-D: Du deaktivierst aber schon das WLAN, wenn du es mit LAN probierst, oder :-D ?
Und dann frage ich mich, ob du auch diese Möglichkeit hättest: Kennst du dich mit Virtualisierung aus ? Wenn ja, hast du die Möglichkeit, Windows 7(!) in einer virtuellen Maschine zu installieren ? Probiere es mal bewusst mit einem anderen System, z.B. mit Windows 7 und / oder Windows 8.
In der Logdatei habe ich nichts Ungewöhnliches entdecken können. Am Anfang hast du einmal das Passwort falsch eingegeben.
Oh man, manchmal muss man tatsächliche ausführliche Analysen machen, um Probleme in diesem Bereich zu lösen. Die Firewall-Regeln hast du nun auch aktiviert. Das scheint also auch alles richtig zu sein. Daran hätte es theoretisch auch liegen können. Und ja, SSTP ist immer nur eingehend, eine ausgehende Regel ist da überflüssig. Bei Routing und RAS reicht eigentlich auch nur ausgehend, wobei Windows automatisch beides erlaubt.
WLAN und LAN haben dabei auch nur bedingt was miteinander zu tun, weil es ja nach wie vor bei dir mit WLAN klappt, mit LAN aber nicht.
Ich gehe davon aus, dass du als VPN-Client den Windows integrierten Client nimmst (Frage ist noch unbeantwortet oder ich habe irgendwas überlesen / vergessen :-D), wenn ja, ist das letzte erstmal, was mir im Moment noch einfällt, dass du das Protokoll in Windows direkt auf "IKEv2" einstellst. Standardmäßig müsste bei dir "Automatisch" eingesellt sein, wobei Windows 10 bei "Automatisch" zwar auch höchstwahrscheinlich "IKEv2" nimmt, aber theoretisch auch eine andere Auswahl vornehmen kann. Das kann ich nämlich aus meiner Erfahrung sagen. Mal hat es mit "Automatisch" eine ganze Zeit lang funktioniert, dann wieder nicht, dann wieder schon und als ich direkt auf "IKEv2" eingestellt habe, lief alles dauerhaft ohne Probleme. "IKEv2" ist nebenbei auch das beste Protokoll von allen.
Das Umstellen auf "IKEv2" kannst du natürlich von allem als erstes probieren. Danach würde ich tatsächlich einfach mal eine virtuelle Maschine installieren. Dann hat man ein sauberes Testsystem für Problemanalysen und kann sicher gehen, dass es nicht an irgendwelchen falschen Einstellungen liegt (Das kann an allem möglichen liegen! An Software und Diensten die nebenbei laufen usw.). Nimm am besten VMware. VMware nutzt standardmäßig deine LAN-Verbindnung bzw. "simuliert" deine Verbindung als LAN, selbst wenn du gerade über WLAN vom physischen Computer verbunden bist. Klappt das nicht, stellst du die Verbindung in VMware auf direkte pysische Verbindung zu deinem Netzwerk (Bridged). Dann würde deine virtuelle Maschine erstmal eine eigene IP-Addresse bekommen.
Vielen Dank für die vielen Antworten! Hoffe ich bin nicht zu schwierig ...
Ja klar nutze entweder WLAN oder LAN, werde auf jeden Fall mal ein anderes Betriebssystem verwenden (wobei ja bei Android exakt der gleiche Effekt auftritt). Und nein ich verwende NetExtender, da das Firmennetzwerk mit einer Sonicwall geschützt ist. Ich habe es jedoch auch schon mit der Windows-Internen Methode und mit der NetExtender Mobile App aus dem Store probiert, was auch nicht funktioniert.
Um mich nochmal zu melden: Habe jetzt eure Tipps ausprobiert, der gleiche Effekt tritt bei Windows 7 auf. Was ich interessant fand: Unter https://sslvpn.demo.sonicwall.com/cgi-bin/welcome findet man eine Demo der SonicWall, und mit diesen Logindaten kann ich mich von überall in meinem Netzwerk verbinden. Es muss also am Firmennetzwerk liegen.
Leider habe ich auf diese Konfiguration nicht allzu großen Einfluss, NAT-Traversal ist laut der IT angeschaltet, wüsstet ihr sonst noch irgendwelce Einstellungen die den Effekt hervorrufen?
Danke für deine umfangreiche Antwort!
Die Details habe ich vernachlässigt, da ich meiner Meinung nach das Problem auf den Router eingeschränkt habe. Es handelt sich um ein Firmennetzwerk, eine SonicWall, und ich verbinde mich per NetExtender. Dies klappt über WLAN an der Fritzbox an einem Windows 10 PC, einem Windows 10 Laptop und einem Android 7 Smartphone. Ebenfalls habe ich meinen PC, der per LAN am Access Point hängt, zu Testzwecken mit einem WLAN-Stick mit der Fritzbox verbunden, und auch dann funktioniert die Verbindung tadellos.
Ich habe keinerlei Einstellungen verändert, weder auf einem der Geräte, noch im Router, und per direkter Verbindung funktioniert es ja auch. Ich weiß nicht welches Protokoll verwendet wird, die Fritzbox unterstützt jedoch die genannten standardmäßig, und auch im TP-Link Router sind PPTP, L2TP und IPsec aktiviert.
Ich habe auch keine Portweiterleitung eingerichtet, da (wenn alles funktioniert) 2 Rechner eine VPN-Verbindung herstellen sollen.
Ich hoffe du hast einen Tipp für mich, denn ich kann mir das beim besten Willen nicht erklären, da vor allem die Verbindung auch nicht funktioniert, wenn ich per LAN mit der Fritzbox verbunden bin, eben nur über WLAN ...