5
Bei aktivem VPN-Tunnel hinter FritzBox 7141 kein Zugriff auf Internet und Netzwerkdrucker...
...aber in Hotels oder bei Kunden mit DSL-Zugang funktioniert das, ohne das am Laptop irgendwelche Einstellungen geändert werden.
Hallo zusammen,
folgendes Problem quält mich schon länger:
Auf meinem Laptop (Lenovo T60, WinXP Pro SP2) ist für die Verbindung zum Firmennetz der SecuRemote Client von CheckPoint (VPN-1 SecureClient NGX R60 HFA1, V.019) installiert. Wenn ich nun von zu Hause aus hinter einer Fritz!Box 7141 den VPN-Tunnel öffne, ist von diesem Moment an kein Internetzugang am Tunnel vorbei und auch kein Zugang auf meinen Netzwerkdrucker (Brother MFC 5460CN) sowie auf mein NAS mehr möglich. Internet kann ich durch Aktivieren des Firmen-Proxy im IE wieder bekommen, dann allerdings über den VPN und die Firmenserver, was nicht sein muss. Das es definitiv auch anders geht -und zwar OHNE IRGENDETWAS AN DEN EINSTELLUNGEN DES LAPTOP ZU ÄNDERN!!- zeigt, dass ich in Hotels oder auch bei Kunden, die einen DSL-Zugang zur Verfügung stellen, problemlos bei aktivem VPN im Internet surfen kann (und zwar OHNE Proxy!). Der Internetaccess wird in dem Fall am VPN vorbei geroutet, dass zeigt auch das Aktivitätssymbol im Tray bzw., dass der Proxy deaktiviert ist. Normalerweise würde ich sagen, dass der Unterschied am PC liegen muss. Aber ich bin definitv sicher, dass hier keinerlei Änderungen vorgenommen werden. In der Regel verbinde ich mich entweder über LAN oder WLAN mit den jeweiligen Routern, es wird DHCP verwendet und auf dem PC wird das selbe Profil verwendet, ohne das irgendwelche Netzwerkeinstellungen verändert werden. Dennoch verhält sich die Angelegenheit hinter der Fritz"Box wie oben beschrieben, und zwar bei mir UND meinen Eltern (ebenfalls Fritz!Box 7141). AVM kann nicht helfen, die kennen noch nicht mal CheckPoint. Unseren Firmen-IT-Jungs fällt auch nichts mehr dazu ein, aber mich nervt es extrem, dass ich für jeden Ausdruck erstmal den VPN unterbrechen muss und mein Surfverhalten muss in der Firma auch keiner mitkriegen.
Ich hoffe sehr, ich kann ihr ein paar Tipps bekommen, an welcher Schraube ich noch drehen könnte. Firmware-Aktualisierungen am Router haben hier im Übrigen bisher nicht geholfen, die neueste habe ich gerade installiert.
Vielen Dank bereits im Voraus!
Gruß
Sventtke
folgendes Problem quält mich schon länger:
Auf meinem Laptop (Lenovo T60, WinXP Pro SP2) ist für die Verbindung zum Firmennetz der SecuRemote Client von CheckPoint (VPN-1 SecureClient NGX R60 HFA1, V.019) installiert. Wenn ich nun von zu Hause aus hinter einer Fritz!Box 7141 den VPN-Tunnel öffne, ist von diesem Moment an kein Internetzugang am Tunnel vorbei und auch kein Zugang auf meinen Netzwerkdrucker (Brother MFC 5460CN) sowie auf mein NAS mehr möglich. Internet kann ich durch Aktivieren des Firmen-Proxy im IE wieder bekommen, dann allerdings über den VPN und die Firmenserver, was nicht sein muss. Das es definitiv auch anders geht -und zwar OHNE IRGENDETWAS AN DEN EINSTELLUNGEN DES LAPTOP ZU ÄNDERN!!- zeigt, dass ich in Hotels oder auch bei Kunden, die einen DSL-Zugang zur Verfügung stellen, problemlos bei aktivem VPN im Internet surfen kann (und zwar OHNE Proxy!). Der Internetaccess wird in dem Fall am VPN vorbei geroutet, dass zeigt auch das Aktivitätssymbol im Tray bzw., dass der Proxy deaktiviert ist. Normalerweise würde ich sagen, dass der Unterschied am PC liegen muss. Aber ich bin definitv sicher, dass hier keinerlei Änderungen vorgenommen werden. In der Regel verbinde ich mich entweder über LAN oder WLAN mit den jeweiligen Routern, es wird DHCP verwendet und auf dem PC wird das selbe Profil verwendet, ohne das irgendwelche Netzwerkeinstellungen verändert werden. Dennoch verhält sich die Angelegenheit hinter der Fritz"Box wie oben beschrieben, und zwar bei mir UND meinen Eltern (ebenfalls Fritz!Box 7141). AVM kann nicht helfen, die kennen noch nicht mal CheckPoint. Unseren Firmen-IT-Jungs fällt auch nichts mehr dazu ein, aber mich nervt es extrem, dass ich für jeden Ausdruck erstmal den VPN unterbrechen muss und mein Surfverhalten muss in der Firma auch keiner mitkriegen.
Ich hoffe sehr, ich kann ihr ein paar Tipps bekommen, an welcher Schraube ich noch drehen könnte. Firmware-Aktualisierungen am Router haben hier im Übrigen bisher nicht geholfen, die neueste habe ich gerade installiert.
Vielen Dank bereits im Voraus!
Gruß
Sventtke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103369
Url: https://administrator.de/contentid/103369
Printed on: April 26, 2024 at 15:04 o'clock
5 Comments
Latest comment
Das lässt eigentlich nur den Schluss zu das dein IP Netzwerk gleich zu dem IP Netz des VPNs ist was niemals sein darf...klar !
Sonst gäbe es für dieses Verhalten keinerlei Erklärung, denn es sollte vollkommen egal sein vom VPN Handling ob du über eine FB oder was auch immer gehst.
Siehst du ja auch an der Tatsache das es in Hotels, Kunden etc. sauber funktioniert.
Vermutlich nutzt der Checkpoint Client IPsec mit NAT-T und wenn du der FB die entsprechenden Ports forwardest (UDP 500 und UDP 4500 und ESP Protokoll) ist der Router in diesem Szeanrio vollkommen egal....
Sonst gäbe es für dieses Verhalten keinerlei Erklärung, denn es sollte vollkommen egal sein vom VPN Handling ob du über eine FB oder was auch immer gehst.
Siehst du ja auch an der Tatsache das es in Hotels, Kunden etc. sauber funktioniert.
Vermutlich nutzt der Checkpoint Client IPsec mit NAT-T und wenn du der FB die entsprechenden Ports forwardest (UDP 500 und UDP 4500 und ESP Protokoll) ist der Router in diesem Szeanrio vollkommen egal....
Hallo,
das ist zum Teil richtig. Ich verwende die IP-Struktur 10.50.100.xxx (altes Relikt aus der Firma, könnte ich aber durchaus ändern), wenn ich VPN verbunden habe, wird mir von der Firma die IP 10.119.0.xxx zugeteilt. Ich habe gerade im Client rumprobiert und den sog. Office-Mode abgewählt (...Office Mode enables a VPN-1 Pro Gateway to assign a remote client an IP address. The assignment takes place once the user connects and authenticates. The assignment lease is renewed as long as the user is connected. Copyright © Check Point Software) und siehe da, Internetzugriff ohne Proxy war möglich!! Allerdings kann ich mich dann nicht mehr mit dem Firmennetz verbinden. NAT-T ist aktiviert, ändert aber nichts, wenn deaktiviert. Ich werde das mit einer anderen IP-Struktur nachher gleich probieren. Könntest du mir das noch etwas näher erklären? Warum darf das IP-Netz nicht gleich sein? Was ist FB?
Vielen Dank aber schon mal für deinen Beitrag, er scheint mich auf den richtigen Weg zu führen!
das ist zum Teil richtig. Ich verwende die IP-Struktur 10.50.100.xxx (altes Relikt aus der Firma, könnte ich aber durchaus ändern), wenn ich VPN verbunden habe, wird mir von der Firma die IP 10.119.0.xxx zugeteilt. Ich habe gerade im Client rumprobiert und den sog. Office-Mode abgewählt (...Office Mode enables a VPN-1 Pro Gateway to assign a remote client an IP address. The assignment takes place once the user connects and authenticates. The assignment lease is renewed as long as the user is connected. Copyright © Check Point Software) und siehe da, Internetzugriff ohne Proxy war möglich!! Allerdings kann ich mich dann nicht mehr mit dem Firmennetz verbinden. NAT-T ist aktiviert, ändert aber nichts, wenn deaktiviert. Ich werde das mit einer anderen IP-Struktur nachher gleich probieren. Könntest du mir das noch etwas näher erklären? Warum darf das IP-Netz nicht gleich sein? Was ist FB?
Vielen Dank aber schon mal für deinen Beitrag, er scheint mich auf den richtigen Weg zu führen!
10.50.100.xxx sagt erstmal gar nichts !!
Viel wichtiger ist deine Subnetzmaske !!!
Wenn du 255.0.0.0 benutzt geht es de facto nicht, denn dann rennst du in das Netzwerk Problem.
Wenn du aber 255.255.255.0 benutzt bist du auf der sicheren Seite !!
Das muss aber beidseitig so sein.
Wenn du 255.255.255.0 hast die Company aber 255.0.0.0 hast du wieder ein Problem !!
Setz dein lokales Netz einfach auf 172.5.100.0 mit einer Class B oder Class C Maske und dann bist du alle Sorgen los !!!
Viel wichtiger ist deine Subnetzmaske !!!
Wenn du 255.0.0.0 benutzt geht es de facto nicht, denn dann rennst du in das Netzwerk Problem.
Wenn du aber 255.255.255.0 benutzt bist du auf der sicheren Seite !!
Das muss aber beidseitig so sein.
Wenn du 255.255.255.0 hast die Company aber 255.0.0.0 hast du wieder ein Problem !!
Setz dein lokales Netz einfach auf 172.5.100.0 mit einer Class B oder Class C Maske und dann bist du alle Sorgen los !!!
Oh man! Nur eine einzige Ziffer!
Ich habe gerade einfach mal die 10.50.100.xxx gegen 11.50.100.xxx getauscht und es funktioniert (Subnet war und blieb 255.255.255.0)! Ich danke dir für die Hinweise!
Wenn du Lust und Zeit hast, würde ich mich trotzdem über ein paar Details mehr freuen, um das Ganze auch zu verstehen.
(das FB wahrsch. Fritz!Box heist, hab ich inzwischen schon selbst rausgefunden
Also, nochmals Danke!!
Ich habe gerade einfach mal die 10.50.100.xxx gegen 11.50.100.xxx getauscht und es funktioniert (Subnet war und blieb 255.255.255.0)! Ich danke dir für die Hinweise!
Wenn du Lust und Zeit hast, würde ich mich trotzdem über ein paar Details mehr freuen, um das Ganze auch zu verstehen.
(das FB wahrsch. Fritz!Box heist, hab ich inzwischen schon selbst rausgefunden
Also, nochmals Danke!!
ich meine mich daran erinnern zu können, dass es im SecuRemote Client eine Option gibt "route all traffic through Gateway".
Wenn sobald Du angemeldet bist, keine Verbindung mehr am Tunnel vorbei möglich ist, kann auch diese Option daran schuld sein - einfach mal deaktivieren. Sollte sofort funktionieren, zumal die Änderungen an Deinen IP-Adressen nichts bringen wird, weil
1.) 11.50.x.x. ist keine IP-Adresse, welche für die Verwendung in privaten Netzen zulässig ist. hier bitte innerhalb von 10.0.0.0 und 10.255.255.255 bewegen
2.) die Subnetzmaske 255.255.255.0 sowieso Dein Heimnetzvon deinem Firmennetz trennt
Die 10.119.0.xxx die Du im VPN zugewiesen bekommst, ist die sog. OfficeMode-Adresse der Checkpoint
Wenn sobald Du angemeldet bist, keine Verbindung mehr am Tunnel vorbei möglich ist, kann auch diese Option daran schuld sein - einfach mal deaktivieren. Sollte sofort funktionieren, zumal die Änderungen an Deinen IP-Adressen nichts bringen wird, weil
1.) 11.50.x.x. ist keine IP-Adresse, welche für die Verwendung in privaten Netzen zulässig ist. hier bitte innerhalb von 10.0.0.0 und 10.255.255.255 bewegen
2.) die Subnetzmaske 255.255.255.0 sowieso Dein Heimnetzvon deinem Firmennetz trennt
Die 10.119.0.xxx die Du im VPN zugewiesen bekommst, ist die sog. OfficeMode-Adresse der Checkpoint