Zugriff auf Server über VPN nicht möglich.

[illogic]

Hallo,

wir haben seit kurzem ein Problem mit einem unserer Home Office Rechner.
Nach einer neuinstallation kann dieser nicht mehr über den aufgebauten VPN Tunnel aus dem Heimnetzwerk heraus auf den Server bzw. das Firmennetzwerk zugreifen. Was einige Tage zuvor noch einwandfrei funktioniert hat.

Der Router ist eine Fritzbox und der Tunnel wird per ShrewSoft VPN aufgebaut.

Der Tunnel lässt sich aufbauen aber auf das Firmennetzwerk kann nicht zugegriffen werden.

Es wurde nach der neuinstallation die gleiche VPN Config verwendet die zuvor auch für diesen Rechner verwendet wurde.

Weder die Fritzbox noch der Server oder andere Rechner im Firmennetzwerk lassen sich anpingen.

Der PC-Name ist der gleiche wie zuvor. Das Benutzerkonto ist das gleiche.
Wird der Rechner lokal ins Firmennetz eingebunden, kann er ganz normal auf alles zugreifen.
Nur aus Heimnetzen nicht. Getestet mit 2 unterschiedlichen Netzwerken.
Momentan steht der Rechner zu testzwecken bei mir zuhause und auch da ist kein Zugriff möglich.

Ich sehe vor lauter Bäumen den Wald nicht mehr weil ich einfach nicht nachvollziehen kann, was sich geändert haben soll, das der Rechner jetzt keine Antwort mehr vom Firmennetz bekommt.

Ich habe mal fix eine Grafik erstellt die das Netzwerk etwas beschreiben soll.
Hoffe es hilft und jemand hat eventuell lösungsansätze auf die ich selbst noch nicht gekommen bin.

http://imgbox.com/5qTxOggY


Gruß

Manuel

 

[mapel]

Nach der Beschreibung kann es ja eigentlich nur an dem Rechner selber liegen bzw. der Neuinstallation.

Schon mal nach den Treibern des Netzwerkadapters geschaut? Vielleicht mal einen USB-Wlan-Adapter oder ähnliches testen...

Habt ihr die anderen üblichen Spielchen schon durch? Also den Shrewsoft Client mal de- und installiert, Netzwerkadapter neuinstallieren etc pp?

 

[eaglemax1]

es ist durchaus möglich, dass eine Verbindung besteht, aber lokal nicht genügend Rechte vorhanden waren um Routen zu schreiben.
Kann man leicht testen, entweder den Shrewclient als Administrator ausführen oder im cmd-Fenster: route print
eintippen. Es sollten dann 3 Routen hinzugefügt worden sein, auffallen sollte dir zumindest eine zum Zielnetz über die VPN-Schnittstelle oder Transfernetz.

Ansonsten könnten es vielleicht noch Firewall oder Sicherheitssoftware-Probleme sein.

 

[illogic]

Vielen Dank für die schnellen Antworten.
Leider hat es noch nicht zum Erfolg geführt.

Also den Shrewsoft Client de- und installiert habe ich. Keine Veränderung.

Netzwerkadapter neu installiert ebenfalls. Keine Veränderung.

Den VPN Client als Admin ausführen bringt auch keine Veränderung.

Der route print Befehl per cmd spuckt folgendes aus.
Damit kann ich persönlich nicht ganz so viel anfangen.
Eventuell sagt es ja euch etwas.



Sicherheitssoftware ist derzeit keine installiert und die Windows Firewall ist ebenfalls derzeit deaktiviert.

Wahrscheinlich ist es wieder irgend etwas völlig banales wo kein Mensch drauf kommt wenn er nicht tagtäglich damit zu tun hat.

Ich finde es nur äußerst seltsam, das es nach einer frischen Installation des Betriebssystems zu solchen Problemen kommt. Was anderes habe ich ja auch nicht gemacht als die Rechner angeschafft wurden.
Rechner zusammengebaut, OS aufgespielt, Updates installiert, VPN installiert und man konnte direkt loslegen. Ohne Probleme.
Jetzt wurde quasi das gleiche wie bei der Erstinbetriebnahme nochmal gemacht und es funktioniert nicht mehr.

 

[error]

Moin,

was sagt denn Shrew?
Ist die Verbindung aufgebaut (=established).
Kannst du deine entfernte Fritzbox anpingen?

Wenn du einen Windows 10 Rechner hast, vergiss nicht, die entfernten Netzwerke in der Firewall freizugeben.

Und wie ist deine Shrew-Config? Alles über VPN tunneln oder nur spezifischen Netzwerkverkehr?

EDIT:
Deine Routingtabelle sagt aus, dass es das Firmennetz a la 192.168.3.0 /24 kennt.
\Edit

gruß

 

[illogic]

Jap die Verbindung per VPN steht.
Nein, das entfernte Netzwerk lässt sich nicht anpingen.

"
config loaded for site 'vpnuser_THG-HO.vpn'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled

"

Wie oben geschrieben ist die Windows 10 Firewall derzeit deaktiviert. Um auszuschließen das die Firewall der Übeltäter ist.

Es wird nur Netzwerkverkehr getunnelt.

 

[error]

Ich behaupte mal, dass der Tunnel nicht wirklich existiert.
Er wird zwar im Log als verbunden angezeigt, aber auf der zweite Seite vom Shrew muss auch "established" stehen.



Sonst geht kein Datenverkehr drüber.

 

[snaxilian]

Benutzt ihr ein AD bei euch? Wurde der PC nach der Neuinstallation auch wieder in die Domäne aufgenommen? Falls ja, wurde das Computerobjekt auch in die entsprechenden OUs verschoben? Was sagt das Log des VPN-Servers zu dem PC wenn er sich einwählt?

 

[error]

Benutzt ihr ein AD bei euch? Wurde der PC nach der Neuinstallation auch wieder in die Domäne aufgenommen? Falls ja, wurde das Computerobjekt auch in die entsprechenden OUs verschoben? Was sagt das Log des VPN-Servers zu dem PC wenn er sich einwählt?

Wenn er eine Fritzbox als VPN nutz, dann denke ich das eher nicht...

 

[illogic]

Ok ich denke das Problem lichtet sich langsam.
Der Tunnel steht tatsächlich nicht.
Auf der zweiten Seite steht "Established - 0"...
Darauf habe ich nie geachtet. Ich bin davon ausgegangen "Tunnel enabled" damit wäre die Verbindung bereits hergestellt.
Jetzt habe ich für morgen zumindest einen Anhaltspunkt wo ich ansetzen kann um der Sache weiter auf den Grund zu gehen.
Danke an alle schon mal bis hierhin.
Ich melde mich nochmal zurück ob ich es hinbekommen habe.

Schönen Abend noch.

 

[error]

Falls du deine Config prüfen willst:
Gib den Preshared-Key erneut händisch in Shrew ein.
Aber ich denke nicht, dass es an der Config liegt. Sonst würdest du keine Verbindung zustande bekommen. Und nachdem Sie nur exportiert und importiert ist....

Windows 10 und Shrew sind da etwas wählerisch.
Einfach ein paar Mal denistallieren und neu starten.
Installieren und testen.

Anders hat es bei mir und Windows 10 auch nicht geklappt.
Und bitte auf keinen fall den Kompatibilitäsmodus nutzen!

Ansonsten könnt Ihr euch mal über ein OpenVPN-Server Gedanken machen....

gruß

 

[mapel]

Hat sich wirklich sonst nichts geändert außer der Neuinstallation?

Getestet mit 2 unterschiedlichen Netzwerken.

Wie ist gemeint?

Ich fragen, weil ich einen sehr ähnlichen Fall habe/hatte, wo der Rechner keine VPN-Verbindung über Kabelinternet mit aktiviertem IPv6 aufbauen konnte. Mobiler Hotspot ging aber.

 

[Raijin]

In dem beschriebenen Szenario ist das zwar kein Problem, dennoch sollte man folgendes im Hinterkopf behalten:

Arbeitet man mit VPNs, sollte man tunlichst die Standard-Subnetze meiden wie die Pest. 192.168.1.0/24 ist bei einem Großteil der Router dieser Erde voreingestellt. 192.168.2.0/24 ebenfalls (zB Speedports, easyboxxen). 192.168.3.0/24 geht gerade so noch, ist aber auch gefährlich nahe am stark frequentierten Bereich. Es empfiehlt sich, bei der Arbeit mit VPNs die Subnetze entsprechend "ungewöhnlich" zu wählen, um IP-Konflikte mit dem lokalen Netzwerk des HomeOffice oder gar Roadwarriors (Stichwort: Hotel) weitestgehend zu vermeiden. Folgende Bereiche sind für private Netzwerke reserviert. Ein "ungewöhnliches" Subnetz wäre irgendwo mittendrin, zB 192.168.143.0/24 oder auch 172.23.46.0/24.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Hintergrund ist, dass das HomeOffice-VPN bei Firma A (192.168.2.0/24) nicht mehr funktioniert sobald der Mitarbeiter daheim einen Speedport auf Standardeinstellung hat. Dann wird nämlich jeder Ping, der vermeintlich ins FirmaA-Netzwerk gehen sollte, ins lokale Netzwerk gehen und nicht über das VPN.

Das nur zur Info falls künftig zB auch Reisende ins VPN sollen und im Hotel plötzlich Verbindungsprobleme haben..


Zu Shrewsoft bzw. IPsec im Speziellen kann ich dir leider nicht weiterhelfen, weil ich selbst ausschließlich OpenVPN einsetze. Das Routing als solches sieht ok aus, aber wenn der Tunnel nicht aufgebaut ist, hilft das Routing natürlich auch nicht weiter

 

[illogic]

Vielen Dank für die vielen Antworten.

Ich könnte echt verrückt werden, leider funktioniert überhaupt nichts, egal was ich versuche.

Ich habe jetzt den Benutzer in der Fritzbox nochmal gelöscht, die Config nochmal komplett neu erstellt und wieder eingefügt.
Hab die Config für den Rechner nochmal neu importiert und es funktioniert immernoch nicht.
ShrewSoft x mal neu installiert, mit Adminrechten, Kompatibilitätsmodus usw...
Unter Connect steht tunnel enabled, unter network bekomme ich bei established nichts als eine 0 angezeigt.

Das ist so frustierend weil ich meinen laptop hier stehen habe der ohne Probleme mit dem Firmennetzwerk verbunden ist.

Ich werde wohl den Rechner nochmal neu installieren, wobei ich kaum glaube das es damit behoben ist.

Ich weiss nur leider absolut nicht mehr weiter. 6 VPN Verbindungen und alle bis auf diese eine funktionieren ohne Probleme.

 

[error]

Was sagt er denn sonst noch aus, wenn die Verbindung länger aktiv ist?
Zählt er dann bei "Failed" hoch?
Oder passiert sonst etwas?

Du kannst auch mal den "VPN Trace Utility" starten, wärhend du die verbindung aufbaust. Dort wird alles mitgeloggt.
Ggf. sind dort Fehler erkennbar.

gruß

 

[illogic]

Also ich habe den Shrewsoft VPN jetzt nochmal neu installiert und bekomme nun unter Network bei Established eine 1 angezeigt. Ansonsten zählt nichts hoch.

Wenn ich jedoch versuche das Firmennetzwerk anzupingen bekomme ich immernoch keine Antwort...
Alle Pakete gehen verloren.

Wenn ich mit dem Laptop die Firmen-Fritzbox aufrufe bekomme ich den Problemrechner dort auch mit einer bestehenden Verbindung mit der korrekten IP Angezeigt.
Der Problemrechner selbst kann aber die Fritzbox nicht aufrufen obwohl er eine Verbindung zu ihr hat.

Wird immer interessanter ...

 

[error]

Firewall?
Das hört sich danach an als ob die Firewall die Pakete dropt.

 

[illogic]

Leider nein. Ist keine extra Firewall installiert, und die Windows eigene Firewall habe ich derzeit deaktiviert.

 

[error]

Das kann nicht sein.
Wenn die Verbindung auf "established" steht, dann gibt es auch Routen in das entfernte Netz.

Und der Zugriff sollte auch klappen.

Ergänzung (16. Mai 2017)

Also,
Zusammenfassung:

Die Verbindung wird als "established" angezeigt.
Der Client bekommt seine IP-Adresse zugewiesen incl. der Routen
Es kann weder ein Ping noch ein tracert gestartet werden
Firewall ist komplett aus

Anbei meine Config, mit der ich mich verbinde:
https://www.computerbase.de/forum/t...it-fritzbox-fernzugang.1527287/#post-18072393

Ansonsten bin ich ratlos...

 

[illogic]

Kennt sich denn jemand mit OpenVPN aus? Ich möchte versuchen zumindest für den einen Rechner der einfach nicht mehr mit Shrew funktionieren will einen Tunnel über OpenVPN einzurichten.

Unser Server läuft mit Windows Server 2012R2.
Ich habe heute Abend mal fix die aktuelle OpenVPN Software darauf installiert und versucht über die Anleitungen auf der Homepage die nötigen konfigurationen vorzunehmen.

Dazu habe ich mich an diese Anleitung gehalten http://wiki.openvpn.eu/index.php/Erster_Tunnel
und mit dem VPN Rollout Tool versucht die Zertificate etc. zu erstellen.
Wenn ich jedoch die Config bzw. OpenVPN starten möchte bekomme ich allerhand Fehler in der cmd angezeigt.
Diese lauten allesamt in etwa so:
"options error unrecognized option or missing or extra parameters"
darauf folgen verschiede Nummern bei denen ich bereits herausgefunden habe das es sich um die Zeilennummern in der Config handelt.
Alle Fehler haben mit den .cert und key files zu tun, als wären diese fehlerhaft.

Muss man beim erstellen der Zertifikate für das Windows Server OS etwas anders vorgehen? Wegen administrativer Rechte eventuell?
hat da jemand Erfahrung wie man in diesem Fall am besten vorgeht?


Gruß

Manuel