6
VPN über Client-Software geht nur im Heimnetzwerk aber im Büro leider nicht
Hallo zusammen,
hoffentlich könnt ihr mir weiterhelfen!
Ich nutze daheim einen Draytek2760 Router (192.168.1.0 / 255.255.255.0) und in meinem Büro einen Draytek2860 Router (192168.0.0 / 255.255.255.0).
Beide Router habe ich über eine LAN-LAN Verbindung mittels VPN verbunden.
Ich selber bin im Bereich der Gebäudeautomation tätig und muss deswegen zu dem Ein oder Anderen Kunden eine temporäre VPN-Verbindung in dessen
Netzwerk aufbauen. In der Regel nutzen die Kunden eine Fritzbox (192.168.178.0 / 255.255.255.0) bzw. ich empfehle den Kauf einer Fritzbox.
Also richte ich mir auf der Fritzbox des Kunden einen VPN-User an und verbinde mich von meinem Laptop über den VPN-Client (Fritz Fernzugang), welchen
AVM selbst zur Verfügung stellt, beim Kunden ein. Das verrückte dabei ist, wenn ich den VPN-Client von daheim aus Nutze, dann gibt es keine Probleme.
Ich kann im Netzwerk des Kunden alles machen.
Möchte ich jedoch vom Büro aus die VPN-Verbindung aufbauen, so klappt dies nicht! Wenn ich mein Laptop dann mittels Hotspot meines Smartphone verbinde,
dann klappt die VPN-Verbindung wieder ohne Probleme.
Also müsste nach meiner Ansicht am Draytek2860 (Büro) etwas nicht stimmen. Deswegen habe ich die Draytek Hotline angerufen aber die haben keine Lösung
für mein Problem.
Die Hotline hatte mir zwei Tipps gegeben:
1. Ich solle mit dem VPN-Client am Smartphone eine VPN-Verbindung zum Kunden aufbauen, während es per WLAN mit meinem Draytek2860 verbunden ist.
Siehe da auch diese VPN-Verbindung klappt ohne Probleme.
2. Ich solle mein Laptop im Büro per LAN-Kabel am Netzwerk anschließen und schauen ob dann die VPN-Verbindung klappt aber das funktioniert genauso wenig
wie wenn der Laptop mit WLAN verbunden ist.
Also würde man jetzt denken ok, es muss am Laptop liegen. Blöd ist nur, dass ich mir erst vor einer Woche eine neues gekauft habe und genau wie bei meinem
Alten, es daheim ohne Probleme geht aber im Büro eben nicht geht.
Habt ihr noch eine Idee?
Gruß Bastian
hoffentlich könnt ihr mir weiterhelfen!
Ich nutze daheim einen Draytek2760 Router (192.168.1.0 / 255.255.255.0) und in meinem Büro einen Draytek2860 Router (192168.0.0 / 255.255.255.0).
Beide Router habe ich über eine LAN-LAN Verbindung mittels VPN verbunden.
Ich selber bin im Bereich der Gebäudeautomation tätig und muss deswegen zu dem Ein oder Anderen Kunden eine temporäre VPN-Verbindung in dessen
Netzwerk aufbauen. In der Regel nutzen die Kunden eine Fritzbox (192.168.178.0 / 255.255.255.0) bzw. ich empfehle den Kauf einer Fritzbox.
Also richte ich mir auf der Fritzbox des Kunden einen VPN-User an und verbinde mich von meinem Laptop über den VPN-Client (Fritz Fernzugang), welchen
AVM selbst zur Verfügung stellt, beim Kunden ein. Das verrückte dabei ist, wenn ich den VPN-Client von daheim aus Nutze, dann gibt es keine Probleme.
Ich kann im Netzwerk des Kunden alles machen.
Möchte ich jedoch vom Büro aus die VPN-Verbindung aufbauen, so klappt dies nicht! Wenn ich mein Laptop dann mittels Hotspot meines Smartphone verbinde,
dann klappt die VPN-Verbindung wieder ohne Probleme.
Also müsste nach meiner Ansicht am Draytek2860 (Büro) etwas nicht stimmen. Deswegen habe ich die Draytek Hotline angerufen aber die haben keine Lösung
für mein Problem.
Die Hotline hatte mir zwei Tipps gegeben:
1. Ich solle mit dem VPN-Client am Smartphone eine VPN-Verbindung zum Kunden aufbauen, während es per WLAN mit meinem Draytek2860 verbunden ist.
Siehe da auch diese VPN-Verbindung klappt ohne Probleme.
2. Ich solle mein Laptop im Büro per LAN-Kabel am Netzwerk anschließen und schauen ob dann die VPN-Verbindung klappt aber das funktioniert genauso wenig
wie wenn der Laptop mit WLAN verbunden ist.
Also würde man jetzt denken ok, es muss am Laptop liegen. Blöd ist nur, dass ich mir erst vor einer Woche eine neues gekauft habe und genau wie bei meinem
Alten, es daheim ohne Probleme geht aber im Büro eben nicht geht.
Habt ihr noch eine Idee?
Gruß Bastian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 334039
Url: https://administrator.de/contentid/334039
Printed on: April 23, 2024 at 16:04 o'clock
6 Comments
Latest comment
hoffentlich könnt ihr mir weiterhelfen!
Wir geben wie immer unser bestes...!Vorab erstmal die wichtigste Frage die du leider nicht beantwortet hast
:WAS für ein VPN Protokoll nutzt du um die LAN zu LAN Verbindung Heim - Office zw. den beiden Drayteks zu etablieren ??
Als Fakt deiner Tests kann man ja festhalten das es vermutlich nicht an den beiden Routern liegt sondern am Client auf deinem Laptop.
Das kann man daran festmachen das es ja zuhause generell funktioniert und im Büro ja auch mit dem Smartphone. Der böse Buhmann ist also nur der Laptop.
Leider lässt du uns auch hier wieder raten WELCHEN VPN Client du auf dem Smartphone nutzt.
AVM supportet generell nur native IPsec auf seinen FritzBoxen. Sprich, die Smartphone VPN Verbindung kann also nur über native IPsec laufen und die schafft erfolgreich die Verbindung auch im Office.
Knackpunkt hier ist die parallel laufende LAN to LAN VPN Verbindung auf deinen Drayteks. Sofern die auch IPsec nutzen zum Koppeln der Standorte hast du hier generell ein Problem, denn auf den Routern kommt es zu einem Protokollkonflikt wenn du ebenfalls einen internen IPsec Client nutzt, denn der Router kann nicht mehr unterscheiden ob er die eingehenden Pakete für sich interpretieren soll oder per Port Forwarding an den hinter der Router NAT Firewall sitzenden Client im lokalen Netz forwarden soll. Meist ist immer ersteres der Fall.
Da ist es also zu erwarten das es zu Problemen kommt.
Jetzt kann man aber nur raten das du ggf. die LAN zu LAN Kopplung zw. Office und zuhause per OpenVPN oder einem anderen VPN Protokoll realisiert hast so das es hier dann nicht zu einem Konflikt kommt..??!
Generell lässt sich aber sagen das der Laptop IPsec Client ein Problem hat, denn wenn es der Router selber wäre müsste es das Problem ja auch mit dem Smartphone Client geben, was es augenscheinlich ja aber nicht gibt.
Jetzt kann man mit den wenigen Infos aber nur freien Fall raten was das Problem ist.
Erste Vermutung: Im AVM Setup kein NAT Traversal aktiviert.
Aber bevor wir hier fröhlich weiterraten müsstest du ein paar mehr Details des betroffenen Routers und Clients posten.
Ggf. macht es mal mit einem anderen VPN Client zu testen auf dem laptop ob dort die problematik auch auftritt.
Sinnig wäre hier den weit verbreiteten kostenlosen Shrew Client zu verwenden:
https://www.shrew.net/download
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
Das ist jetzt ohne detailiertere Info mal eine Schrotschuss zur Lösung.
Sehr hilfreich wäre ein VPN Log Output des Routers auf den du dich vom Büro aus einwählst. Ebenso solltest du es mal mit dem Shrew Client testen das Log dieses Clients.
In den Log Messages steht zu 99% der Grund des Fehlschlages was einem das Raten und Vermuten erspart.
Weitere Grundlagen zum Thema IPsec hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Hallo aqui,
vielen dank für die zahlreichen Hinweise und Fragen!
Die Draytek Router im Büro (2860) baut (Dial Out) die Verbindung zum Draytek Router 2760 (daheim) auf (Dial In).
Das ganze läuft per "L2TP with IPSec Policy".
Das Smartphone welches ich im Büro erfolgreich zur VPN-Verbindung zum Kundennetz (Fritzbox) genutzt habe,
ist das iPhone mit seinem nativen VPN-Client. Hierzu muss laut AVM-Anleitung am iPhone IPSec gewählt werden.
Auf dem alten Laptop (Win7) habe ich als VPN-Client noch die Software von AVM (FritzFernzugang) verwendet.
Mit dem neuen Laptop (WIn10) wird die Software (FritzFernzugang) nicht mehr unterstützt und AVM empfiehlt die
Nutzung des ShrewSoft VPN-Client. Wie du es schreibst kann die FritzBox ja nur IPSec.
Bei der ShrewSoft nutzt ich die kostenlose Basic-Version. Muss mal schauen ob die Überhaupt eine LOG-Funktion hat.
Ich hoffe deine Fragen beantwortet zu haben und vielleicht bestätigt dies ja deine Theorie, dass meine L2TP with IPSec Verbindung
zwischen Büro und daheim das eigentliche Problem ist.
Gruß
Bastian.
vielen dank für die zahlreichen Hinweise und Fragen!
Die Draytek Router im Büro (2860) baut (Dial Out) die Verbindung zum Draytek Router 2760 (daheim) auf (Dial In).
Das ganze läuft per "L2TP with IPSec Policy".
Das Smartphone welches ich im Büro erfolgreich zur VPN-Verbindung zum Kundennetz (Fritzbox) genutzt habe,
ist das iPhone mit seinem nativen VPN-Client. Hierzu muss laut AVM-Anleitung am iPhone IPSec gewählt werden.
Auf dem alten Laptop (Win7) habe ich als VPN-Client noch die Software von AVM (FritzFernzugang) verwendet.
Mit dem neuen Laptop (WIn10) wird die Software (FritzFernzugang) nicht mehr unterstützt und AVM empfiehlt die
Nutzung des ShrewSoft VPN-Client. Wie du es schreibst kann die FritzBox ja nur IPSec.
Bei der ShrewSoft nutzt ich die kostenlose Basic-Version. Muss mal schauen ob die Überhaupt eine LOG-Funktion hat.
Ich hoffe deine Fragen beantwortet zu haben und vielleicht bestätigt dies ja deine Theorie, dass meine L2TP with IPSec Verbindung
zwischen Büro und daheim das eigentliche Problem ist.
Gruß
Bastian.
Muss mal schauen ob die Überhaupt eine LOG-Funktion hat.
Hat sie ! Siehe IPsec Tutorials oben.L2TP nutzt zwar IPsec als Transport und es wäre denkbar das es zu einer Wechselwirkung mit dem Site to Site VPN kommt. Ganz glücklich ist dieses Setup nicht aber die Tatsache das der iPhone IPsec Client mit beiden Lokationen fehlerlos arbeiten kann zeigt eigentlich, das es dann nicht am Router selber liegen kann.
Protokolltechnisch machen der iPhone VPN Client und der Shrew Client exakt das gleiche, deshalb ja auch die Annahme das es mit dem Shrew eigentlich sauber klappen sollte.
Hast du hier NAT Traversal und den Agressive Mode aktiviert ?
Wir brauchen also dringenst die Logs sowohl im Client als auch im Router um hier weiterzukommen.
Was auch nochmal interessant wäre wenn du die Rollen des Site to Site VPNs einmal tauschst. Also das du den Heim Router einmal die Verbindung zum Büro Router aufbauen lässt. Sprich also die Dial in und out Rollen einmal vertauschst.
Was hier interessant wäre ob der Fehler dann ggf. mitwandert.
Sollte das der Fall sein dann wäre das ein Indiz dafür das die Routerkonfig die Ursache ist.
Der iPhone VPN Client relativiert das aber immer, denn der arbeitet ja von beiden Lokationen.
Vermutlich ist es nur ein Setup Fehler im Shrew Client.
Mit den Log Dateien wüssten wir sofort welcher
Guten Morgen aqui,
bin heute mal wieder im Büro und habe kurz mal den Test gemacht!
Habe die Dial Out Funktion meines 2860 deaktiviert und dann die VPN
Verbindung per ShrewSoft auf eine FritzBox eines Kunden aufgebaut.
Die Verbindung wird offensichtlich aufgebaut aber ich kann das Netz
des Kunden nicht erreichen. Werde mich die Tage mit den Log Dateien
beschäftigen.
Gruß Basti
bin heute mal wieder im Büro und habe kurz mal den Test gemacht!
Habe die Dial Out Funktion meines 2860 deaktiviert und dann die VPN
Verbindung per ShrewSoft auf eine FritzBox eines Kunden aufgebaut.
Die Verbindung wird offensichtlich aufgebaut aber ich kann das Netz
des Kunden nicht erreichen. Werde mich die Tage mit den Log Dateien
beschäftigen.
Gruß Basti
"Offensichtlich" ist immer schlecht in der IT, denn es klingt geraten... Immer ins Log sehen, da steht ganz genau ob oder ob nicht !
Außerdem musst du die lokalen Firewalls der Kundenrechner entsprechend anpassen sofern vorhanden, da du Absender IPs aus einem fremden Netz hast ! Bedenke das....
Ping usw. ist in der lokalen Winblows Firewall immer geblockt im Default.
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Immer ins Log sehen, da steht ganz genau ob oder ob nicht !aber ich kann das Netz des Kunden nicht erreichen.
Was sagt denn ein route print am Client bei aktivem VPN ?? Hast du eine Route ins Kundennetz via VPN Tunnel ?Außerdem musst du die lokalen Firewalls der Kundenrechner entsprechend anpassen sofern vorhanden, da du Absender IPs aus einem fremden Netz hast ! Bedenke das....
Ping usw. ist in der lokalen Winblows Firewall immer geblockt im Default.
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Ich kann dir darauf in der kürze der Zeit nicht wirklich antworten.
Ich kann nur soviel sagen, dass die VPN-Verbindnung zur Fritzbox
von jeder IP aus akzeptiert wird.
Die VPN-Verbidnung zur Fritzbox ist so aufgebaut dass nur
Anfragen ins Netzt 192.168.178.0 / 255.255.255.0 zur Fritzbox
geroutet werden. Der normale Traffic läuft lokal
Ich kann nur soviel sagen, dass die VPN-Verbindnung zur Fritzbox
von jeder IP aus akzeptiert wird.
Die VPN-Verbidnung zur Fritzbox ist so aufgebaut dass nur
Anfragen ins Netzt 192.168.178.0 / 255.255.255.0 zur Fritzbox
geroutet werden. Der normale Traffic läuft lokal
