VPN via Shrew Soft VPN zu Fritzbox

[t-Baerbel]

Hi,

ich verzweifel grad.
Ich hab einen gemieteten Server bei Hetzner (Server 2008 R2 Enterprise) und einen Win7 Rechner in einer Filiale stehen.

Da über eine Software die auf dem Server läuft (auf dem Client als RemoteApp) Druckaufträge etc. gesendet werden wurde eine VPN via Shrew Soft zu lokalen Fritzbox hergestellt.

Diese läuft soweit auch.

Nur kommt alle paar Tage die Meldung, dass die Drucker grad verwendet werden.

Lokal am Win7 Rechner funktionieren sie aber einwandfrei.

Ich starte dann den Rechner neu, in der Aufgabenplanung starte ich die VPNs neu und dann geht es wieder für 1 Tag ca.

Das ist kein Dauerzustand. Es arbeiten 10 Filialen auf diesem Server.

Hat jemand eine Idee, wieso die VPNs so instabil laufen?

Vielen Dank für eure Hilfe :-)

 

[eigs]

Habt ihr bei euren Internetanschluss eine Zwangstrennung? Eventuell liegt es daran.

 

[Raijin]

Polarlichter. Eindeutig. Eventuell wird auch das VPN-Kabel zu heiß.


Spaß beiseite: Bei den spärlichen Informationen kann man leider nicht mehr sagen. Bist du mal auf die Idee gekommen, dir das VPN-Log anzuschauen? Was für Drucker sind das? Wie sind sie angeschlossen? Kannst du sie pingen?

 

[t-Baerbel]

Also zur Erklärung wegen der spärlichen Infos. Eigentlich hat dieses Thema ein Kollege supportet. Der ist nun nicht mehr da und nun muss ich schauen dass ich es zum laufen bekomme Ich bin in der Programmierung und kenn mich damit leider einfach zu schlecht aus. Deshalb suche ich Hilfe hier :-)

Ich weiß leider nicht wie der Kollege die VPNs eingerichtet hat.
Wo ich die VPN-Dateien finde weiß ich nicht, wie ich mir in dieser komischen Software den Log angucken kann, weiß ich nicht etc.
Ich hab einfach keine Ahnung von diesem Programm und wurde auch durch googlen nicht schlauer.

Vielleicht sollte ich es mit einem anderen Programm ausprobieren

Es sind Orient BTP 800 Bondrucker und Zebra LP 2824 Etikettendrucker um die es geht.
Diese sind nicht anpingbar, wenn die VPN hängt.

Der Druckauftrag kommt allerdings vom Client zum Server und hängt sich dort dann auf.

Gibt es eine Alternative zu Shrew Soft VPN die einfach nutzbar ist? :-)

Ergänzung (11. August 2015)

Nein eine Zwangstrennung gibt es nicht. Es kommt auch unregelmäßig vor. Mal täglich , mal mehrmals täglich, mal 1 Woche gar nicht.

 

[Raijin]

Die Drucker sind nicht pingbar, aber der Druckauftrag geht noch durch? Klingt nach einer Einbahnstraße ^^

Ich kenne Shrew Soft leider nicht, daher kann ich dir da im Speziellen nicht helfen. Eventuell muss man das Log sogar erst aktivieren. Irgendwo wird dann entweder eine log.txt abgelegt oder aber sie ist in der Software abrufbar. Im Log müsste man dann sehen können ob bzw. warum der VPN-Tunnel geschlossen wurde. Vielleicht ist das timeout zu straff eingestellt bzw. keep alive zu lang.

google spuckte mir bei Shre Soft VPN logging sowas aus: Klick!. Geht sicherlich auch über die Software (empfohlen), weil von der GUI evtl. noch weitere Settings geändert werden.

Ergänzung (11. August 2015)

Alternativen gibt es zu Hauf. Watchguard, Fortinet oder auch ein eigenständiges OpenVPN. Wenn du dich aber generell nicht mit VPNs / Netzwerk auskennst, ist das hinfällig.

 

[t-Baerbel]

Hmm.. kannst du mir eine Alternative zu Shrew Soft empfehlen?

Ich hab das Log gefunden. Sagt mir aber auch nichts ^^

Jetzt grad funktioniert es aber auch wieder. Ich check den nochmals, wenn es wieder spinnt.

Ergänzung (11. August 2015)

Na klingt ja alles sehr vielversprechend.
Oh weia!

 

[Raijin]

Bevor ich dir ein anderes VPN empfehle würde ich dir eher die Lektüre eines entsprechenden Buches empfehlen. Früher oder später (offenbar eher früher als später) musst du dich so oder so etwas mit Netzwerken und VPN auseinandersetzen, wenn das jetzt in deine Verantwortung fällt. Wenn ich das richtig gesehen habe, verwendet Shew VPN IPsec. Das tun andere auch. Das heißt, dass das Kernproblem unter Umständen bestehen bleibt, wenn man der Ursache nicht vorher auf den Grund geht. Ich bin mit IPsec nur am Rande vertraut, weil ich sowohl beruflich als auch privat OpenVPN einsetze.

Unsere Firmenzentrale arbeitet bei Standortverbindungen und Roadwarriors mit Watchguard. Die Verbindungen zum Kunden sind neuerdings über Cisco-Equipment realisiert. Unsere IT in der Zentrale überlegt gerade die Watchguards ebenfalls auf Cisco umzustellen. Einzelheiten über Pro/Contra kenne ich aber nicht.


Wende dich im Zweifelsfalle an den Support von Shrew Soft. Die werden dir sagen können wie/wo/was du loggen kannst/sollst und evtl. auch eine Hilfestellung geben woran es nu explizit hapert. Wie weit sie das kostenfrei machen muss man sehen..

 

[t-Baerbel]

Ja du hast sicher recht, dass belesen was tolles wäre
Ich hab nur eigentlich keine Zeit mich um dieses Thema zu kümmern :-p

Naja aber ich werde wohl nicht drumrum kommen

Vielleicht schmeiß ich die VPNs nochmal raus und mach sie neu.

Strikt nach Anleitung :-D

Das 10 VPNs gleichzeitig laufen sollte ja kein Problem sein, oder?

 

[Raijin]

Nö, 10 VPNs sollten kein großes Problem darstellen. Ich hab hier auf meinem Standard-Laptop im Büro immer 3 VPNs laufen. (2x OpenVPN und 1x IPsec via Watchguard).

*edit: 10 separate VPNs oder 1 VPN mit 10 Clients? Letzteres ist vermutlich einfacher zu handhaben, wenn man sich nicht auskennt..

 

[t-Baerbel]

Nein 10 seperate VPNs laufen auf dem Server. Mit jeweils mehreren (3-8) Clients.

Ich danke dir jedenfalls schon mal für deine Hilfe! :-)

 

[Raijin]

Na das klingt ja abenteuerlich. 10 Filialen, 10 VPNs. Ich ging jetzt davon aus, dass der Server genau eine VPN-Verbindung in die Filiale hat. Gibt es etwa mehrere VPN-Clients innerhalb der Filiale?

Normalerweise würde ich sowas so realisieren, dass sich je Filiale ein Gerät (zB der Router oder ein dediziertes VPN-Gateway) zum Server verbindet. Die Clients innerhalb eines Filialnetzes greifen dann über dieses Gateway auf den Server zu und wissen selbst gar nichts vom VPN.

 

[t-Baerbel]

Oh mist. Ja entschuldige mich.

Die 10 VPNs gehen in unterschiedliche Filialen. Aber natürlich nicht zu den einzelnen Clients sondern jeweils zu den Fritzboxen.

 

[Raijin]

Ok, aber sind das wirklich 10 separate VPNs? Warum nicht alle in einem? 10 VPNs am Server hieße ja auch 10 virtuelle Netzwerkkarten und 10 verschiedene Subnetze.


Standardmässig sieht sowas eigentlich so aus:

            / Filiale1
VPN-Server  - Filiale2
            \ Filiale3

Der Server hat genau ein VPN und mehrere Clients verbinden sich damit (und sind alle untereinander in einem VPN-Subnetz)

Bisher klingt euer Setup aber eher danach:

VPN-Server1 -- Filiale1
VPN-Server2 -- Filiale2
VPN-Server3 -- Filiale3

In dem Falle hat der Server 3 VPNs gleichzeitig laufen, mit 3 VPN-Adaptern und 3 VPN-Subnetzen.



In den Fritzboxxen müsste man im Log aber eigentlich auch sehen können warum der VPN-Tunnel abgebrochen ist.

 

[t-Baerbel]

So sieht die Aufgabenplanung aus.
Sind nicht alle drauf, ist ir grad aufgefallen.

und ja ihr eigenes Netz.

Wo ich das aus diesem Progrmm aufrufen kann, weiß ich nicht >.<

Ergänzung (11. August 2015)

In den Fritzboxen sieht man nicht viel: Ich glaube das steht was von Verbindung konnte nicht aufgebaut werden. Schau später nochmal nach und sag bescheid.

Ergänzung (11. August 2015)

11.08.15 15:10:14 VPN-Verbindung zu VPN wurde getrennt. Ursache: 1 Lifetime expired
11.08.15 16:10:33 VPN-Verbindung zu VPN wurde erfolgreich hergestellt.

So siehts da aus.

Ergänzung (11. August 2015)

Steigen die VPNs in einer Filiale aus, funktioniert es in keiner mehr.

 

[eigs]

So sieht die Aufgabenplanung aus.

Das Problem scheint möglicherweise schon daran zu liegen, dass der VPN Client die Möglichkeit der automatischen Verbindungswiederherstellung nicht beherrscht. Sonst wäre die Aufgabenplanung gar nicht nötig wenn ich das richtig verstehe.

Sind nicht alle drauf, ist ir grad aufgefallen.

Vielleicht liegt es daran. Solltest du mal probieren die fehlenden Aufgaben zu erstellen.

Steigen die VPNs in einer Filiale aus, funktioniert es in keiner mehr.

Daher wenn von 10 VPN Verbindungen eine Probleme verursacht geht gar nichts mehr. Das Konzept ist doch zum scheitern verurteilt.

 

[t-Baerbel]

Ja das Konzept ist zum scheitern verurteilt! :-)

Naja ich komm so nicht weiter. Ich werd mir was neues einfallen lassen müssen.
und bis dahin heißt es.. neustarten, neustarten, neustarten :-)

Danke dir für deine Hilfe!

 

[Raijin]

Ich würde ganz einfach ein gemeinsames VPN aufsetzen und alle Filialen als Clients darauf verbinden lassen. Der Vorteil liegt auf der Hand: Die Clients sind allesamt 100% identisch konfiguriert. Dieselbe Serveradresse, derselbe Port, alles identisch. Wenn irgendwann Filiale 11 dazukommt, musst du am Server nix machen außer ein neues Zertifikat zu erstellen. Aktuell müsstest du ja ein 11. VPN einrichten, mit eigenem VPN-Adapter, eigener Konfiguration, etc..


Was die Fehlermeldung in der Fritzbox angeht: Sieht nach einem Timeout aus. Je nach dem wie das Anwendungsprofil aussieht, hilft es vielleicht - quick and dirty - einen Dauerping durch den Tunnel zu jagen. Zum Test einfach mal mit "ping server.ip -t" und falls das hilft den Ping als Task auf einem Computer zB alle 10 Minuten einmal laufen lassen (sonst müllt man sich das logging zu). Evtl. gibt es auch innerhalb der VPN-Konfiguration eine Funktion, die da heißt "keepalive". Da wird explizit die Verbindung offen gehalten, indem in definierten Intervallen quasi leere Datenpakete geschickt werden damit die Verbindung nicht vom Betriebssystem als inaktiv aussortiert wird.