LANCOM Support Knowledgebase Dokument-Nr. 1808.3011.1547.RHOO - V1.80

Troubleshooting: LANCOM Advanced VPN Client-Verbindung funktioniert nicht



Beschreibung:

Dieses Dokument gibt Möglichkeiten zur Fehlerbehebung, wenn trotz aufgebauter VPN-Verbindung mit dem LANCOM Advanced VPN Client keine Datenübertragung möglich ist.



Voraussetzungen:
  • Microsoft Windows ab Version 7



Fehlerbild:

Es ist nicht möglich über den VPN-Tunnel zu kommunizieren, obwohl der Tunnel aufgebaut wurde.

Wie es in der folgenden Abbildung zu sehen ist, handelt es sich um eine aktive VPN-Verbindung, bei der keine RX-Datenpakete von dem entfernten Netz empfangen werden.




Vorgehensweisen zur Fehlerbehebung:

Möglichkeit 1:

1.1 Kontrollieren Sie, ob auf dem Router zu dem die VPN-Verbindung aufgebaut wird, im Menü Konfiguation -> VPN -> Allgemein das NAT-Traversal aktiviert ist.





Möglichkeit 2:

Überprüfen Sie die Anordnung der Netzwerkkarten in Ihrem Windows-Betriebsystem.

Windows 7 & Windows 8:

2.1 Öffnen Sie in der Windows-Systemsteuerung das Netzwerk- & Freigabecenter.

2.2 Klicken Sie auf die Option Adaptereinstellungen ändern.



2.3 Öffnen Sie das Menü Erweitert -> Erweiterte Einstellungen.



2.4 Ordnen Sie die Netzwerkkarten folgendermaßen an (siehe Abbildung):
  • Erste Position: physikalische Netzwerkkarte
  • Mittlere Position: WLAN-Netzwerkkarte, Firewire, UMTS/LTE, etc.
  • letzte Position: virtuelle Netzwerkkarte - LANCOM Advanced VPN Client



2.5 Starten Sie das Betriebssystem neu, damit die Änderungen wirksam werden.


Möglichkleit 3:

Fügen Sie das entfernte lokale IP-Netzwerk der VPN-Konfiguration des LANCOM Advanced VPN Client hinzu.

3.1 Öffnen Sie im LANCOM Advanced VPN-Client das Menü Konfiguration -> Profile.



3.2 Wählen Sie das Profil aus, dessen Einstellungen Sie verändern möchten und klicken Sie auf die Schaltfläche Bearbeiten.



3.3 Wechseln Sie in das Menü Split Tunneling.

3.4 Tragen Sie hier das bzw. die lokalen IP-Netzwerke ein, die Sie über den VPN-Tunnel erreichen möchten.

Wird kein lokales IP-Netzwerk angegeben, so wird auch der Internet-Traffic über den VPN-Tunnel geleitet!





Möglichkeit 4:

Überprüfen Sie, ob Sie ein IPSec pass through benötigen, bzw. ob dieses bei Ihnen eingerichtet ist.

Standardmäßig wird für eine IPSec-Verbindung der Port 500 UDP, das IP-Protokoll ESP (50) oder Port 4500 UDP genutzt. Da der VPN-Tunnel in einzelnen Fällen über Router gelegt wird, welche das IPSec pass through nicht beherrschen, werden hier die IPSec-Pakete falsch oder gar nicht behandelt.

Dies führt dazu, dass der Tunnel aufgebaut werden kann, aber keine Kommunikation über den Tunnel möglich ist. In diesem Fall hilft die Einrichtung eines Port-Forwardings für den Port 500 und den Port 4500 mit dem Protokoll UDP auf dem Router der Clientseite aus, um dem Problem aus dem Weg zu gehen.

Die Einrichtung eines Port-Forwarding ist in diesem Knowledge Base Artikel bechrieben Database 'SP Knowledgebase', View '03. Edit Documents\All Documents', Document 'Port-Forwarding: Einrichten eines Web- und FTP-Servers hinter einer maskierten Verbindung des LANCOM Routers'.



Möglichkeit 5:

Sollte ein IPSec pass through nicht möglich sein, besteht die Möglichkeit, eine VPN-Verbindung mit der Funktion IPSec over HTTPS einzurichten. Hierzu muss lediglich der HTTPS-Port 443 freigeschaltet sein.

Bei IPSec over HTTPS wird zunächst eine Datenübertragung über Standard-IPSec versucht. Kommt diese Verbindung nicht zustande (z.B. weil der IKE Port 500 gesperrt ist), so wird automatisch ein Verbindungsaufbau versucht, bei dem das IPSec VPN mit einem zusätzlichen SSL-Header (Port 443, wie bei HTTPS) gekapselt wird.

Eine Anleitung zum Einrichten einer VPN-Verbindung mit IPSec over HTTPS finden Sie in diesem Knowledgebase-Dokument Database 'SP Knowledgebase', View '03. Edit Documents\All Documents', Document 'IPSec over HTTPS konfigurieren'.



Möglichkeit 6:

Wenn Sie einen PC oder ein Notebook von HP (Hewlett Packard) einsetzen, auf welchem die HP Velocity Software installiert ist, so hilft in der Regel eine Deinstallation von HP Velocity.



Möglichkeit 7:

Der VPN-Tunnel funktioniert nicht über eine UMTS- oder LTE-Verbindung. Wird der LANCOM Advanced VPN Client auf einer Station genutzt, welche die Internetverbindung über UMTS oder LTE herstellt, kann dies folgende Ursachen haben:
  • Der UMTS- oder LTE-Provider blockiert die Kommunikation für den Port 500 und 4500 oder der Provider blockiert das ESP-Protokoll. Setzen Sie sich in diesem Fall mit Ihrem Provider in Verbindung.
  • Es besteht ein Konflikt zwischen dem LANCOM Advanced VPN Client und der UMTS- bzw. LTE-Management-Software. In diesem Fall sollte die UMTS/LTE-Management-Software nicht mit dem Betriebssystem gestartet und die UMTS/LTE-Verbindung direkt über den LANCOM Advanced VPN Client aufgebaut werden.

Eine Beschreibung zur Einrichtung einer VPN-Client Verbindung über UMTS oder LTE finden Sie in folgendem Knowledgebase-Artikel Database 'SP Knowledgebase', View '03. Edit Documents\All Documents', Document 'Einrichtung einer VPN-Client Verbindung über UMTS oder LTE'.



Möglichkeit 8:

Wenn Ihre Arbeitsstation mehr als eine aktive Netzwerkkarte hat, überprüfen Sie bitte das Standardgateway. Mehr als ein Standardgateway auf einer Arbeitsstation kann dazu führen, dass die Pakete in die falsche Richtung oder gar nicht erst losgeschickt werden.

8.1 Sie können Ihre Netzwerkeinstellungen über die Windows-Eingabeaufforderung mit dem Befehl ipconfig auslesen. Öffnen Sie dazu unter Start den Punkt Ausführen... oder Suchen (bei Windows 10) und geben den Befehl cmd ein.

8.2 An der Eingabeaufforderung müssen Sie dann den Befehl ipconfig eingeben.

In diesem Beispiel besitzt die Arbeitsstation nur ein Standardgateway.



8.3 Ihre Netzwerkeinstellungen können Sie in den Eigenschaften Ihrer Netzwerkkarte anpassen.






Weitere mögliche Fehlerquellen:

In der Regel ist der LANCOM Advanced VPN Client nicht die einzige Security-Software, welche auf einem System installiert ist, um dieses vor unerwünschten Zugriffen zu schützen.
  • Meist wird zeitgleich ein Virenscanner, eine Firewall oder ein Spy-Doktor eingesetzt, um das System zu überwachen. Diese Programme greifen oft sehr tief in das System ein und können einen Softwarekonflikt hervorrufen. Dies kann sich beim LANCOM Advanced VPN Client so äußern, dass eine Kommunikation über einen aktiven Tunnel nicht möglich ist.
  • In diesem Fall reicht zur Behebung des Verbindungsproblems eine Deaktivierung der Programme nicht aus. Um herauszufinden, ob die verwendeten Programme die Kommunikation beeinträchtigen, müssen diese deinstalliert und das Betriebssystem neu gestartet werden. LANCOM Systems hat in der Vergangenheit mit folgenden Programmen negative Erfahrungen gemacht und konnte den Kunden durch die Deinstallation der Virenscanner- bzw. Firewall-Software helfen: