8
Win 7 nicht identifiziertes Netzwerk über VPN
Hallo,
in einem Domänennetzwerk gehen Notebooks per UMTS (...) ins Internet und bauen anschließend ein VPN zur Zentrale auf. Das Netzwerk, das dadurch entsteht, ist unabänderlich öffentlich und nicht identifiziert. Wo kann ich noch "drehen"?
Diese Frage wurde oft gestellt, es gibt viele Antworten, allerdings ist meine Umgebung etwas anders und bisher haben weder Registry-Eingriffe noch Firewall-Änderungen geholfen, auch die Deinstallation des VPN-Clients nicht und nun habe ich Kopfschmerzen. Hier mal die Umgebung:
Windows 7 / 64bit (4 nagelneue Notebooks, Fremdsoftware entsorgt, nur das Installiert, was in der Firma gebraucht wird: Sophos Endpoint-Security, MS Office 2010, SAP-Client, PDF-Drucker, Chrome, Adobe Reader, VPN-Client und das wars dann auch schon)
Der VPN-Client ist der Forticlient von Fortinet, testhalber in zwei verschiedenen Versionen, beide 64 bit. Für den Internetzugang außer Haus ist ein Huawei-Stick installiert.
Das Notebook ist in der Domäne und alle Tests mache ich derzeit als Administrator. Und selbstverständlich habe ich für die Tests die lokale Netzwerkverbindung getrennt (Kabel gezogen, WLAN nicht existent)
Die Firewall ist eine Fortigate 200 mit aktuellem Softwarestand. Andere Notebooks, auch solche mit Win 7 / 64 bit, die vergleichbar konfiguriert sind, funktionieren auf dem gleichen Weg einwandfrei. Alle VPN-User, mit denen ich das teste, funktionieren auf zwei anderen Notebooks, was impliziert, dass VPN und Routing in Ordnung sind.
Es funktioniert soweit alles, ich komme ins Internet, das VPN wird aufgebaut - alles ist gut. Nur: die "LAN-Verbindung 2", was die virtuelle Netzwerkkarte des IPsec-Clients ist, stellt dann eine Verbingung her, die im Netzwerk- und freigabecenter als "Nicht identifiziertes Netzwerk" und "öffentliches Netzwerk" angegeben wird, beides nicht änderbar (kein Link vorhanden). In der Folge davon komme ich nicht in das Domänennetzwerk, nicht einmal ein Ping geht durch. Ein traceroute ergibt sofortigen Stillstand, d.h., in der ersten Zeile sieht der Rechner schon Sternchen. Das Internet allerdings wird erreicht und die Route ins Firmennetz wird korrekt eingetragen, so funktioniert es bei anderen Rechnern ebenfalls.
Was ich bisher gemacht habe:
Per Gruppenrichtlinie die Firewall komplett deaktiviert (irgendwo muss ja mal ein Ergebnis herkommen)
Per Gruppenrichtlinie angegeben, dass neue Netzwerke automatisch als private Netze eingestuft werden sollen (funktioniert auch, deswegen bleibt aber trotzdem der Standort unabänderbar und damit ist kein Ping möglich)
Manuell in der Registry die Werte für Standort und Profil geändert. Nach jedem Neustart habe ich wieder den alten Stand. Wenn ich die Änderungsrechte an den Registry-Schlüsseln beschneide, wird das VPN nicht mehr aufgebaut.
Ich bin so etwa 15-20 vielversprechenden Links / Tipps / Hilfen nachgegangen, von denen allerdings nur die wenigsten tatsächlich das Problem bei anderen gelöst haben, dort war aber auch die Umgebung anders, keine Domäne in den meisten Fällen, es ging um WLAN, nicht um VPN. Aber man versucht ja, was geht.
Hat hier vielleicht jemand einen Zaunpfahl für meinen Hinterkopf?
Windows 7 / 64bit (4 nagelneue Notebooks, Fremdsoftware entsorgt, nur das Installiert, was in der Firma gebraucht wird: Sophos Endpoint-Security, MS Office 2010, SAP-Client, PDF-Drucker, Chrome, Adobe Reader, VPN-Client und das wars dann auch schon)
Der VPN-Client ist der Forticlient von Fortinet, testhalber in zwei verschiedenen Versionen, beide 64 bit. Für den Internetzugang außer Haus ist ein Huawei-Stick installiert.
Das Notebook ist in der Domäne und alle Tests mache ich derzeit als Administrator. Und selbstverständlich habe ich für die Tests die lokale Netzwerkverbindung getrennt (Kabel gezogen, WLAN nicht existent)
Die Firewall ist eine Fortigate 200 mit aktuellem Softwarestand. Andere Notebooks, auch solche mit Win 7 / 64 bit, die vergleichbar konfiguriert sind, funktionieren auf dem gleichen Weg einwandfrei. Alle VPN-User, mit denen ich das teste, funktionieren auf zwei anderen Notebooks, was impliziert, dass VPN und Routing in Ordnung sind.
Es funktioniert soweit alles, ich komme ins Internet, das VPN wird aufgebaut - alles ist gut. Nur: die "LAN-Verbindung 2", was die virtuelle Netzwerkkarte des IPsec-Clients ist, stellt dann eine Verbingung her, die im Netzwerk- und freigabecenter als "Nicht identifiziertes Netzwerk" und "öffentliches Netzwerk" angegeben wird, beides nicht änderbar (kein Link vorhanden). In der Folge davon komme ich nicht in das Domänennetzwerk, nicht einmal ein Ping geht durch. Ein traceroute ergibt sofortigen Stillstand, d.h., in der ersten Zeile sieht der Rechner schon Sternchen. Das Internet allerdings wird erreicht und die Route ins Firmennetz wird korrekt eingetragen, so funktioniert es bei anderen Rechnern ebenfalls.
Was ich bisher gemacht habe:
Per Gruppenrichtlinie die Firewall komplett deaktiviert (irgendwo muss ja mal ein Ergebnis herkommen)
Per Gruppenrichtlinie angegeben, dass neue Netzwerke automatisch als private Netze eingestuft werden sollen (funktioniert auch, deswegen bleibt aber trotzdem der Standort unabänderbar und damit ist kein Ping möglich)
Manuell in der Registry die Werte für Standort und Profil geändert. Nach jedem Neustart habe ich wieder den alten Stand. Wenn ich die Änderungsrechte an den Registry-Schlüsseln beschneide, wird das VPN nicht mehr aufgebaut.
Ich bin so etwa 15-20 vielversprechenden Links / Tipps / Hilfen nachgegangen, von denen allerdings nur die wenigsten tatsächlich das Problem bei anderen gelöst haben, dort war aber auch die Umgebung anders, keine Domäne in den meisten Fällen, es ging um WLAN, nicht um VPN. Aber man versucht ja, was geht.
Hat hier vielleicht jemand einen Zaunpfahl für meinen Hinterkopf?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 177923
Url: https://administrator.de/contentid/177923
Printed on: April 25, 2024 at 23:04 o'clock
8 Comments
Latest comment
Moin Moin,
fangen wir doch mal beim Provider an....... welchen nutzt Ihr?
Dann suchen nach: Providerkürzel +vpn +problem
Grüße aus Rostock
Wolfgang
(Netwolf)
fangen wir doch mal beim Provider an....... welchen nutzt Ihr?
Dann suchen nach: Providerkürzel +vpn +problem
Grüße aus Rostock
Wolfgang
(Netwolf)
Das wäre zu einfach. Für sowas Banales schreibe ich nicht so eine Meldung 
Und wie Google geht, weiß ich auch 
VPN funktioniert. Auch bei Win 7 / 64 bit.
Was nicht funktioniert, ist, Daten durch das VPN zu schicken, nur bei Win 7 / 64 bit und was ich heute Nachmittag bestätigt bekommen habe: bei einem Notebook hat das bis vor ein paar Tagen noch funktioniert. In der Zwischenzeit könnte es MS-Updates gegeben haben, wichtige und Sicherheitsupdates lasse ich da automatisch durch.
Habe einen Test gemacht:
Gleicher UMTS-Stick, gleiche Karte (O2), gleicher Domänen-User auf zwei Notebooks, gleicher VPN-User, gleiche IP für VPN, gleiches Ziel, testhalber gleiche Gruppenrichtlinie, gleicher Virenscanner, auf beiden Notebooks VPN-Client mit Adminrechten gestartet, bei beiden Notebooks die Firewall komplett aus, bei dem mit XP / SP3 / 32 Bit funktioniert's, bei Win 7 / 64 Bit nicht.
In der Zwischenzeit habe ich festgestellt: die Installationsroutine des VPN-Clients ist zwar 64 Bit, der eigentliche Client ist aber 32 Bit, gleiche Version bei beiden also. Gerade eben getestet: Win 7 / 32 Bit funktioniert ebenfalls (mein privater Rechner, hier allerdings keine Domäne).
Die O2-Verbindung ist in allen Fällen einwandfrei. In allen Fällen stimmen auch Routen und Gateways.
Das Problem ist, dass die Netzwerkverbindung als "Nicht identifiziertes Netzwerk" angegeben und als "Öffentliches Netzwerk" klassifiziert wird. Laut Richtlinie und Ergebnissatz sowie über die grafische Anzeige ist ersichtlich, dass: Firewall aus ist, jedweder Datenverkehr zugelassen wird (ja, zum Testen auch UMTS direkt).
Ich habe folgende Idee: Win 7 in der Domäne kann die Netzwerkstandorte vorgeben, bei XP gibt es diese Funktion nicht und mein privates Notebook ohne Domäne lässt Änderungen immer zu. Wenn in der Domäne einmal ein "Nicht identifizierter Standort" erkannt wurde, steht der so drin und fertig, sogar nach De- und Neuinstallation des Clients mit zwischenzeitlicher Registry-Bereinigung. Wie zum Henker kriege ich die Kiste dazu, dass ich das ändern darf?
Und wie Google geht, weiß ich auch VPN funktioniert. Auch bei Win 7 / 64 bit.
Was nicht funktioniert, ist, Daten durch das VPN zu schicken, nur bei Win 7 / 64 bit und was ich heute Nachmittag bestätigt bekommen habe: bei einem Notebook hat das bis vor ein paar Tagen noch funktioniert. In der Zwischenzeit könnte es MS-Updates gegeben haben, wichtige und Sicherheitsupdates lasse ich da automatisch durch.
Habe einen Test gemacht:
Gleicher UMTS-Stick, gleiche Karte (O2), gleicher Domänen-User auf zwei Notebooks, gleicher VPN-User, gleiche IP für VPN, gleiches Ziel, testhalber gleiche Gruppenrichtlinie, gleicher Virenscanner, auf beiden Notebooks VPN-Client mit Adminrechten gestartet, bei beiden Notebooks die Firewall komplett aus, bei dem mit XP / SP3 / 32 Bit funktioniert's, bei Win 7 / 64 Bit nicht.
In der Zwischenzeit habe ich festgestellt: die Installationsroutine des VPN-Clients ist zwar 64 Bit, der eigentliche Client ist aber 32 Bit, gleiche Version bei beiden also. Gerade eben getestet: Win 7 / 32 Bit funktioniert ebenfalls (mein privater Rechner, hier allerdings keine Domäne).
Die O2-Verbindung ist in allen Fällen einwandfrei. In allen Fällen stimmen auch Routen und Gateways.
Das Problem ist, dass die Netzwerkverbindung als "Nicht identifiziertes Netzwerk" angegeben und als "Öffentliches Netzwerk" klassifiziert wird. Laut Richtlinie und Ergebnissatz sowie über die grafische Anzeige ist ersichtlich, dass: Firewall aus ist, jedweder Datenverkehr zugelassen wird (ja, zum Testen auch UMTS direkt).
Ich habe folgende Idee: Win 7 in der Domäne kann die Netzwerkstandorte vorgeben, bei XP gibt es diese Funktion nicht und mein privates Notebook ohne Domäne lässt Änderungen immer zu. Wenn in der Domäne einmal ein "Nicht identifizierter Standort" erkannt wurde, steht der so drin und fertig, sogar nach De- und Neuinstallation des Clients mit zwischenzeitlicher Registry-Bereinigung. Wie zum Henker kriege ich die Kiste dazu, dass ich das ändern darf?
ok, du hast das hier gelesen und probiert?
http://www.borncity.com/blog/2011/06/17/netzwerkstandort-erzwingen/
http://www.borncity.com/blog/2011/06/17/netzwerkstandort-erzwingen/
Naja, nicht genau diesen Artikel, aber einen inhaltsgleichen. Habe das Ganze allerdings über Gruppenrichtlinien vom Server aus gemacht, was aber ja die gleiche Funktion hat. Ergebnis: den Standort kann ich als "Privates Netzwerk" vorbelegen. Obwohl ich bei allen Profilen "User darf ändern" eingetragen habe und diese Einstellung auch nachvollziehbar übernommen wird, kann ich es nicht ändern. Es ist zwar dann ein privates Netzwerk, aber immer noch ein nicht identifiziertes Netz und wenn ich das dann ersatzweise mal benenne (das geht ja immerhin), habe ich nach dem nächsten VPN-Aufbau das gleiche Problem und es ist wieder nicht identifiziert. Wer klaut mir hier die Identität?
Änderbar ist nur der Name, nicht die Funktion und zu keiner Zeit gehen Pings durch das VPN. Also: es geht gar nichts durch.
Lange dauert es nicht mehr, dann installiere ich die Schüsseln komplett neu. Vier Stück, Lenovo, vorinstalliert, neu. Manuell von "Fremdsoftware" befreit. Grrr!
Sollte Dir aber noch mehr in die Finger fallen, bin ich für jeden Tip zu haben. Ich hoffe geradezu, dass ich irgendwas übersehen habe... ich mache den Job nicht erst seit Neuestem
Änderbar ist nur der Name, nicht die Funktion und zu keiner Zeit gehen Pings durch das VPN. Also: es geht gar nichts durch.
Lange dauert es nicht mehr, dann installiere ich die Schüsseln komplett neu. Vier Stück, Lenovo, vorinstalliert, neu. Manuell von "Fremdsoftware" befreit. Grrr!
Sollte Dir aber noch mehr in die Finger fallen, bin ich für jeden Tip zu haben. Ich hoffe geradezu, dass ich irgendwas übersehen habe... ich mache den Job nicht erst seit Neuestem
Ein kurzes Update zur Lage:
Es geht hier um mehrere Notebooks, ich beschreibe hier ein einziges und teste damit weiter.
Ein NB Win7/64 aus dem versiegelten Karton ausgepackt (also nagelneu, Lenovo, vorinstalliert), ohne Netzwerk gestartet, Basisangaben gemacht, Norton Internetsecurity deinstalliert (da kommt was anderes drauf), UMTS-Stick installiert, VPN-Software installiert (per USB-Stick), Windows-Updates ausgeschaltet.
Test: geht nicht, gleiches Problem, wie beschrieben.
Notebook mit nach Hause genommen, dort ins WLAN rein: geht nicht, aber das Routing war anders, ich bekam trotz korrekt eingetragener Routen und Metriken eine Meldung von irgendeinem Arcor-Router in der weiten Welt die Info: Host nicht erreichbar. Klappe zu, Feierabend.
Heute morgen der Test mit meinem eigenen Notebook (auch Win7, 32bit, keine Domäne, ein recht normaler Rechner mit vielen Installationen und Deinstallationen, hier und da ein Registry-Eingriff, diversen VPN-Clients, die da mal drauf waren - ein Gerät, das neu zu installieren ich einfach keine Lust habe. Geht ja alles, was ich machen will). Ergebins: Daten durchs VPN schicken geht! Der erste Win7-Rechner seit Tagen, wo es funktioniert.
Das neue Notebook über WLAN verbunden: Überraschung! Funktioniert! Warum? Keine Ahnung.
WLAN ausgeschaltet, mit UMTS verbunden: geht auch!?
Ich weiß nicht, warum es vorher nicht ging, jetzt kommen die ganzen Installationssachen, Sophos Virenscanner, Domäne, Updates usw, ich halte Euch auf dem Laufenden.
Danke erst einmal für's Mitleiden
Es geht hier um mehrere Notebooks, ich beschreibe hier ein einziges und teste damit weiter.
Ein NB Win7/64 aus dem versiegelten Karton ausgepackt (also nagelneu, Lenovo, vorinstalliert), ohne Netzwerk gestartet, Basisangaben gemacht, Norton Internetsecurity deinstalliert (da kommt was anderes drauf), UMTS-Stick installiert, VPN-Software installiert (per USB-Stick), Windows-Updates ausgeschaltet.
Test: geht nicht, gleiches Problem, wie beschrieben.
Notebook mit nach Hause genommen, dort ins WLAN rein: geht nicht, aber das Routing war anders, ich bekam trotz korrekt eingetragener Routen und Metriken eine Meldung von irgendeinem Arcor-Router in der weiten Welt die Info: Host nicht erreichbar. Klappe zu, Feierabend.
Heute morgen der Test mit meinem eigenen Notebook (auch Win7, 32bit, keine Domäne, ein recht normaler Rechner mit vielen Installationen und Deinstallationen, hier und da ein Registry-Eingriff, diversen VPN-Clients, die da mal drauf waren - ein Gerät, das neu zu installieren ich einfach keine Lust habe. Geht ja alles, was ich machen will). Ergebins: Daten durchs VPN schicken geht! Der erste Win7-Rechner seit Tagen, wo es funktioniert.
Das neue Notebook über WLAN verbunden: Überraschung! Funktioniert! Warum? Keine Ahnung.
WLAN ausgeschaltet, mit UMTS verbunden: geht auch!?
Ich weiß nicht, warum es vorher nicht ging, jetzt kommen die ganzen Installationssachen, Sophos Virenscanner, Domäne, Updates usw, ich halte Euch auf dem Laufenden.
Danke erst einmal für's Mitleiden
Moin Moin,
dann mal weiterhin viel Glück. Erklärbar dürfte das Ganze nicht sein.
Grüße aus Rostock
Wolfgang
(Netwolf)
dann mal weiterhin viel Glück. Erklärbar dürfte das Ganze nicht sein.
Grüße aus Rostock
Wolfgang
(Netwolf)
Jepp, erklärbar ist es nicht. Ich weiß, warum es läuft, aber nicht, warum es nicht lief. Inzwischen eine weitere Kuriosität mit einem der Notebooks, die bereits in der Domäne sind und an denen ich schon herumgedoktort habe: mit dem UMTS-Stick meiner Kollegin mit Vodafone Karte gehen keine Daten durch das VPN. Mit dem Stick eines Kollegen, ebenfalls Vodafone, aber schon deutlich älter, funktioniert es. Anschließend wieder O2 oder der Stick meiner Kollegin: nix. Äußerst unbefriedigend. Alle drei Sticks sind Huawei, alle vom Provider vergebenen IPs sind im 10er Netz, immer sind Routen und Metriken und das ganze Zeug ok und jetzt ist der Kaffee kalt. Ich geh dann mal für heute.
Mein aktuelles Testgerät vom letzten Post läuft noch immer, es ist in der Domäne, hat Virenscanner und einige Updates drauf. Habe leider nicht den ganzen Tag Zeit für sowas...
Die drei anderen setze ich gerade auf Werkszustand zurück.
Mein aktuelles Testgerät vom letzten Post läuft noch immer, es ist in der Domäne, hat Virenscanner und einige Updates drauf. Habe leider nicht den ganzen Tag Zeit für sowas...
Die drei anderen setze ich gerade auf Werkszustand zurück.
Ok, Alarm ist abgeblasen, es funktioniert. Bei allen fünf "wichtigen" Notebooks funktioniert wieder alles, wie es soll. Das Dumme daran: Ich habe keine Ahnung, was das eigentliche Problem war. Ich habe nicht einmal alle Rechner neu installiert wie geplant, drei davon laufen einfach so. Sowas in der Art von Probleme aussitzen, never touch a not running system, das geht schon von alleine oder so. Ist in sofern unbefriedigend, als ich in Zukunft gerne gewusst hätte, was zu tun ist, um so etwas zu beschleunigen oder gar nicht erst auftreten zu lassen, aber immerhin: meine Woche zwischen den Feiertagen ist gerettet
Ich hoffe, Ihr hattet auch so entspannte Weihnachtstage und wünsche allen ein denkwürdiges Silvester, rotzbesoffen in der Ecke zu hängen und alles getan zu haben, was ich auch tun würde, wünsch' Euch, dass es knallt und den letzten Absturz des Jahres, dass es sich lohnt, den Enkeln noch davon zu erzählen. Aber erst, wenn die 18 sind!
Und natürlich ein fehlerfreies 2012
Gruß
Y.
Edit: unfassbar, was hier ausge-Xt wird. Ich denke, der Spruch ist aber bekannt, oder?
Ich hoffe, Ihr hattet auch so entspannte Weihnachtstage und wünsche allen ein denkwürdiges Silvester, rotzbesoffen in der Ecke zu hängen und alles getan zu haben, was ich auch tun würde, wünsch' Euch, dass es knallt und den letzten Absturz des Jahres, dass es sich lohnt, den Enkeln noch davon zu erzählen. Aber erst, wenn die 18 sind!
Und natürlich ein fehlerfreies 2012
Gruß
Y.
Edit: unfassbar, was hier ausge-Xt wird. Ich denke, der Spruch ist aber bekannt, oder?
