whsdinchen
Goto Top

Fehlermeldungen bei VPN Sonic Wall und Citrix

Hallo !!!

vorabgesagt bin ich eine absulute leihin auf diesem Gebiet.

Mein Problem ist nur ich arbeite in einem Büro in dem wir uns seit ca 1 Jahr von außerhalb auf den Firmenserver einwählen können. So kann ich dann immer schön von zu Hause arbeiten. Aus mir föllig unerklärlichen Gründen kann ich mich jedoch seit ca. zwei Wochen nicht mehr einloggen.

Ich versuche jetzt mal Euch ein Paar infos zu geben, wo bei ich nicht weiß ob Euch dass hilft. Am besten stellt ihr mir einfach ein Paar Fragen und ich versuche die Antworten raus zufinden. Ihr seit jetzt meine letzte Hoffnung da selbst unser Admin (einer externen Computerfirma, die eigentlich auch alles eingerichtet haben und es daher können sollte, meinte er weiß nicht weiter)

Also ich habe hier zu Hause auf meinem Rechner mit XP das Programm SonicWALL Global VPN Client installiert, damit stelle ich die Verbindung zur Firma her, dann starte ich das Programm Citrix Program Neighborhood Agent und bin dann eingewählt und kann arbeiten.

Vor ca zwei Wochen begann das Problem mit folgender Fehlermeldung von Citrix: Requested variable ServerURLModifiable contains the invalid bool value "". Damals habe ich auch schon gegoogelt und folgenden link gefunden. http://blog.the-exe.org/citrix-error-requested-variable-serverurlmodifi ... Das habe ich gemacht und es half !!!! Am nächsten Tag bekam ich die nächste Fehlermeldung, leider weiß ich Sie nicht mehr genau, dass keine Verbindung hergestellt werden kann, dafür könnte es drei Gründe geben ....

Diesmal konnte ich den Fehler nicht beheben, unser Administrator kam her und wusste sich auch keinen Rat. (Ach ja: Bisher konnte ich aber immer den Tunnel aufbauen) Nachdem wir stundenlang probiert haben , habe ich meinen ganzen Rechner formatiert und Windows XP neu installiert. Jetzt kommt das nächste Problem: Jetzt kann ich den Tunnel nicht mehr aufbauen.... Im Client log heißt es: Starting ISAKMP phase 1 negotiation - An error accured - the peer is not responding to phase 1 ISAKMP requests. Außer WinXP, citrix und Sonic Wall ist nichts installiert

Unser admin sagt es würde aber auf dem server kein signal ankommen.

Ich weiß noch folgende andere Informationen, wir haben zu hause einen router, der aber richtig eingestellt sein sollte, das die verbindung ja bereits lange zeit funktionierte, unter IP Adressen ist automatisch beziehen eingestellt wie vorher auch, eine firewaall ist nicht installiert, ich weiß nicht mehr ab der name meines PCs jetzt noch genauso ist wie vor der Neuinstallation....

Jetzt bräuchte ich dringend eure hilfe und zwar warum ich keine verbindung mehr aufbauen kann und als nächsten schritt warum diese Citrix fehlermeldung s.o immer und immer wieder kommt. Obwohl ich oben genannten link befolgt habe.

wie ihr sicher an meinem text erkennen könnt bin ich absolute leihin auf diesem gebiet, aber ich hoffe ihr wisst was ich meine und könnt mir helfen. sicherlich habe ich viele wichtige infos vergessen, also fragt mich ruhig was ihr noch wissen müsst.

Vielen Dank für die Mühen
Nadine

Content-Key: 117960

Url: https://administrator.de/contentid/117960

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: spacyfreak
spacyfreak 11.06.2009 um 06:27:46 Uhr
Goto Top
Ihr macht via Soniqwall einen VPN Tunnel, und in diesen VPN Tunnel wird Citrix ICA getunnelt.

Das VPN Protokoll IPSEC besteht grob gesagt aus zwei Phasen, in Phase1 werden die Verschlüsselungs- und Hashparameter ausgetauscht zwischen Client und Soniqwall VPN Server. Eventuell ist der VPN Client nicht richtig konfiguriert, es fehlt ein Zertifikat oder ein Gruppenpasswort, je nachdem wie der VPN Server konfiguriert ist.

Wenn das schon scheitert, und im Log des VPN Servers nichts zu sehen ist, blockiert wahrscheinlich eine Firewall die Verbindung zum Soniqwall VPN Server (UDP500, UDP4500, TCP443, je nachdem)
Entweder die XP Firewall auf deinem Client, oder deine Router Firewall.

Ich tippe auf ersteres.
Diese lässt sich deaktivieren mit

start...ausführen...cmd
Enter

netsh firewall set opmode disable

Enter
Mitglied: whsdinchen
whsdinchen 11.06.2009 um 08:27:46 Uhr
Goto Top
Hallo spacyfreak !

erst mal vielen Dank für die schnelle Antwort.

Wenn ich heute mittag zu Hause bin werde ich das gleich mal ausprobieren !

Mir ist jetzt eingefallen, dass ich als ich die VPN Sonic Wall vor ca 1 Jahr das
erstemal installiert habe, musste ich auch ein Passwort eingeben. Bisher hat er mich noch
nicht danach gefragt. Eingetragen habe ich bisher nur die IP Adresse vom Server in der Firma.
Kann ich irgendwo manuell den Passwort Aufruf starten ?

Kann das mit der Firewall denn auch sein, ob wohl keine sparate installiert ist und die von XP
ausgeschaltet ist ?

Gibt es vielleicht noch weitere Möglichkeiten ? vielleicht fahre ich sonst gleich mal nach Hause
und probiere die Tipps aus.

Also schon mal DANKE !!!
Mitglied: aqui
aqui 11.06.2009 um 10:04:32 Uhr
Goto Top
Hängt dein PC hinter einem DSL (NAT) Router ???

Wenn ja und du XP neu installiert hast hat der Rechner ggf. eine neue IP Adresse bekommen.
Damit funktionieren dann ggf. das Port Forwarding im Router nicht mehr für das VPN !
Sonicwall benutzt IPsec und wenn du einen DSL Router hast dann musst du zwingend auf dem Router ein Port Forwarding (Port Weiterleitung) einstellen von folgenden Ports:

UDP 500
UDP 4500
ESP Protokoll mit der Nummer 50

Ohne diese Port Weiterleitung im Router kein VPN !
Alle diese Ports müssen auf die lokale IP Adresse deines PCs zeigen. Deshalb ist es besser hier eine statische IP außerhalb des Router DHCP Pools zu verwenden, damit die Port Weiterleitung durch DHCP niemals ins Leere laufen kann.

Wie gesagt: Das gilt NUR wenn du einen Router hast !!!
Ist dein Rechner direkt per DSL Modem (wie gesagt Modem, kein Router) am Internet (hoffentlich nicht !!) dann ist dieser Punkt NICHT relevant !!

Falls du nicht weisst wo der Unterschied zw. Router und Modem ist gilt folgender Merksatz:

Provider Zugangsdaten im Rechner selber eingegeben = Modemnutzung
Provider Zugangsdaten im Modem/Router eingegeben = Routernutzung
Mitglied: whsdinchen
whsdinchen 11.06.2009 um 10:16:06 Uhr
Goto Top
Vielen Dank für Deine Hilfe (meine email hat sich dann wohl überschnitten)

Also: Ich habe einen Router ! sowiel weiß ich ..... könntest Du mir den Rest nochmal genauer erklären, was ich da am Router einstellen muss ? Ich kenn mich da nicht so aus.

Ich weiß nicht ob das was damit zu tun hat, ich habe in diesen TcP/IP Protokollen oder wie das noch heißt eingestellt IP automatisch vergeben.

Danke aber schonmal dass ihr mir helft !!
Nadine
Mitglied: aqui
aqui 11.06.2009 um 10:45:09 Uhr
Goto Top
OK.....nochmal für Laien ganz langsam...

Dein VPN funktioniert mit dem IPsec Protokoll, was dynamische Komponenten hat, die bei Verbindung von sich aus eine Session zurück auf den Client aufbauen.
Das verhindert allerdings dann deine NAT Firewall im Router die eingehende verbindungen blockt was ja auch gut ist.. und aus ists aber mit dem VPN. Soviel zur kurzen IPsec VPN Theorie für Laien...

Mit einer Port Weiterleitung im Router kannst du aber diese eingehenden Sessions zu deinem VPN Client auf dem PC weiterleiten statt sie zu blocken wie der name das schon sinnigerweise selber sagt ! Alles wird dann wieder gut mit dem VPN Client.
Alle Anzeichen sprechen dafür das das bei dir das problem ist, denn wenn der Admin keine eingehende VPN Session sieht, ist das vermutlich zu 98% das Grundproblem !!

Du gehst also nun mit deinem Web Browser IE oder Firefox auf die Setup Seite deines Routers und dort in den Bereich Firewall -Port Weiterleitung.

Hier trägst du dann die o.a. Protokolle ein und als lokale IP Adresse gibst du die IP Adresse deines PCs an.
Diese bekommst du raus wenn du in der Eingabeaufforderung einmal ipconfig eingibst !!

Das Problem was weiterhin besteht ist das du ja wie du selber schreibst deinen PC auf "IP automatisch vergeben. " gestellt hat.
Damit vergibt der Router automatisch IP Adressen per DHCP aus einem Pool.
Nun hast du aber gerade eine statische IP Port zu Adress Zuordnung oben konfiguriert die erwartet was sich die lokale Weiterleitungs IP nicht ändert.
Bei DHCP kann das aber passieren, DHCP ist dynamisch wie der Name schon sagt.
Ändert sich also einmal die IP Adresse deines PCs, dann rennt die Port Weiterleitungsregel ins Leere.
Es ist dann besser du gibst dem Rechner im lokalen Netz eine statische IP Adresse aus dem Routernetz die nicht im IP Adressvergabepool des Routers liegt...logisch !
Als Gateway und DNS wird dann die Router IP eingetragen !!

Im Grunde ist das banales Netzwerk Tagesgeschäft und ein ziemliches Armutszeugnis für euren IT Dienstleister das der da wissensmäßig am Ende ist... face-sad
Mitglied: spacyfreak
spacyfreak 11.06.2009 um 18:42:53 Uhr
Goto Top
Prinzipiell hat aqui rein technisch gesehen recht - bei Site-to-Site VPNs.
Kenne jedoch keinen vernünftigen Admin in diesem Teil der Galaxis der bei REmote Access VPN nicht NAT-T aktivieren würde. Damit wird ESP in UDP gekapselt, und das geht problemlos ohne irgendwelche Portforwarding-Abentueuer über jeden Home-Router den man kriegen kann.
Selbst ESP ohne NAT-T würde drüber gehen - in dem Fall lässt sich jedoch nur genau EINE VPN Verbindung über einen homerouter mit PAT (Port Address Translation) routen da ESP keine Ports hat die ein PAT Router verwalten könnte.

Eventuell blockiert jedoch deine Heim-Firewall den Zugriff, je nachdem ob das eine Statefull Inspection FW ist oder ob man explizit freischalten muss. Wenn Dein PC nämlich eine andere Ip bekommt vom Heimrouter, und diese ist zufällig nicht auf deiner Heim-Firewall für diesen Zugriff berechtigt, kanns daran scheitern

Meist ists jedoch die Client Firewall die mehr blockiert als sie soll...
Mitglied: whsdinchen
whsdinchen 11.06.2009 um 22:13:43 Uhr
Goto Top
Hi !
ich habe ein wenig schwierigkeiten Euch zu folgen, kann aber berichten dass ich das mit dem "netsh firewall set opmode disable" ausprobiert habe und es nicht half.
Ich bin aber einen Schritt weiter und weiß das es wahrscheinlich mit dem Router oder einer firewall darin zu tun haben muss. Ich habe mir eine UMTS Karte installiert und bekommen damit den Zugang zur Firma. Seit dem komme ich beim VPN sogar einen Schritt weiter bis aquiering IP (Vorher nur bis connecting ....) Im Client Log heißt es jetzt. Renewing IP adress for the virtuall interface (00-60-73-EC-0F-68) - dass failed to rewnew the ip Adress for vituall interface. dann diverse sachen mit Phase2, phase 1 scheint jetzt zu funktionieren.

Die Einstellungen am PC scheinen also richtig zu sein, was mich aber
sehr iritiert ist, dass ich ja am router gar nichts verändert habe. Ich habe auch versucht diese Tipps von Dir aqui umzusetzen aber leider annn ich im Router solche Dinge nicht finden, ich habe einen siemens gigaset SE515. und dann wundert es mich, dass es ja bis vor zwei Wochen funktionierte ohne dass ich diese Einstellungen machen musste. Außerdem habe ich nochmal beim admin nachgefragt und der sagt, die IP darf nicht fest sein, weil dann auch irgendwas anderes nicht geht ..... bin ich auch nicht schlau draus geworden.

Helfen Euch diese Infos ?

Ich finde es ja sehr merkwürdig, dass ich mit der UMTS Karte eine Verbindung bekomme und sonst nicht (egal ob Kabel oder WLan). und wie gesagt, dass einzige was verändert wurde war die Neuinstallation von XP

P.S. Ich kanns nicht oft genug sagen, danke dass ihr mir helft, ich wüsste sonst gar nicht mehr was ich machen sollte.


Oh noch ein Zusatz ich sehe grade noch in dem Client log stand noch was von NAT detected: Local host is behind a NAT device ...
Mitglied: whsdinchen
whsdinchen 11.06.2009 um 22:42:47 Uhr
Goto Top
Hallo leute !!

ich kanns gar nicht fassen .... ich sollte am besten ne flasche sekt auf machen !!! ich habs geschafft, ich bin connected !!!!! ich habe folgendes umgestellt:

unter properties, dann peers, dann auf die Verbindung und edit und dann unter dem punkt NAT Traversal
habe ich umgestellt auf disabled, die Interface selection steht auf Automatic

und ich glaubs echt nicht - es geht !!!

jetzt kommt aber die nächste fehlermeldung von citrix ! die muss ich mal eben abschreiben und dann gleich nochmal posten !

JIPIII !
Mitglied: whsdinchen
whsdinchen 11.06.2009 um 23:06:30 Uhr
Goto Top
es geht - - es geht - - es geht !!!!

es ist irgendwie komisch, wie gesagt VPN Tunnel funktioniert, dann ging grade citrix aber nicht mehr, erst kam die meldung: Requested variable ServerURLModifiable contains the invalid bool value "".
da konnte ich abe siehe link oben über regedit und dann löschen von HKEY_CURRENT_USER\Software\Citrix\PNAgent
lösen.

Dann habe ich eigentlich immer geöffnet: Citrix Programm Neihboorhood Agent, hier kommt die Fehlermeldung: ... konnte keine Verbindung aufnehmen, überprüfen Sie Ihre Netzwerkanbindung. Dies konnte ich eigentlich über rechte Maustaste in der Taskleiste und server ändern - aktualisieren beheben. Das geht jetzt nicht mehr. Dann kommt die Meldung Programm Neigtborhood Agent konnte keine Verbindung mit dem angegebenen Server aufnehmen. Mögliche Ursachen sind, der Server ist nicht verfügbar, es gibt einen Fehler in der Konfigurationsdatei oder die Angaben sind fehlerhaft.

Habe jetzt mal ausprobiert das Programm Citrix Programm Neighborhood zu starten, es öffnet sich ein mir bisher noch nie begegnetes Fenster, aber hier finde ich nun meinen Button "Terminal Server Desktop" und sage und schreiben ich bin im Firmennetzwerk !!!

Ich verstehe zwar nicht warum jetzt hier alles anders ist, aber wenns geht solls mir egal sein.

Vielleicht kann mir das ja nochmal jemand zur Info erklären. Ich hoffe natürlich dass jetzt alles so bleibt und ich auch in Zukunft arbeiten kann !

ALSO !!! NOCHMALS TAUSEND DANK ! Ist echt ein Tolles Forum und klasse Leute hier ! LG Nadine
Mitglied: aqui
aqui 12.06.2009 um 10:20:23 Uhr
Goto Top
Alles wird gut !!!

Besonders wenn du nun zum Schluss auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergisst !!!