bemano 10 Geschrieben 14. September 2010 Melden Teilen Geschrieben 14. September 2010 Hallo zusammen, ich habe hier aktuell ein Problem, bei dem ich leider nicht wirklich weiter komme. Daher die Hoffnung, dass ihr mir helfen könnt. Zwei Rechner befinden sich im selben "Netzwerk" (zuhause) und gehen über einen Speedport W701V ins Internet. Beide Rechner haben ein eigenes VPN-Profil über den Shrew-VPN-Client hinterlegt, worüber die Verbindung zum Firmennetzwerk (LANcom Router; Profileinstellungen der Clients hier natürlich bekannt) aufgebaut werden soll. Jeder Rechner für sich kann die Verbindung zum Firmennetz aufbauen und problemlos arbeiten. Anfang der Woche hatten wir nun jedoch das erste Mal den Fall, dass beide Rechner gleichzeitig die VPN-Verbindung aufgebaut haben. Hier scheint es nun so zu sein, dass immer nur ein Rechner gleichzeitig erfolgreich auf das Firmennetz zugreifen kann. Bedeutet also: Hinter dem Speedport sollen zwei verschiedene Rechner gleichzeitig eine VPN-Verbindung zum gleichen Ziel aufbauen. Nun die Frage an euch: Kann das sein, dass der Router damit ein erheblichen Problem hat? Weiß jemand, ob vielleicht nur eine Einstellung das Problem birgt? Muss ich irgendwelche Ports noch freischalten (obwohl es einzeln ja geht...)? Ich bin leider ein wenig ratlos, da ich mich auch nicht unbedingt super mit VPN auskenne. Dazu kommt noch, dass ich aktuell nicht auf den Speedport schauen kann, da das Passwort nicht mehr bekannt ist... In dem Thread http://www.mcseboard.de/windows-forum-lan-wan-32/speedport-700v-lancom-vpn-136208.html hat IThome zu dem damaligen Thema bereits nachgefragt, ob genau die Konstellation (zwei Rechner zum selben Ziel) gegeben ist. Daher habe ich ein wenig bedenken, dass das überhaupt nicht funktionieren kann. Ich bedanke mich schon mal für eure Antworten. Gruß, bemano Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. September 2010 Melden Teilen Geschrieben 15. September 2010 Ich denke auch, dass der Router ein Problem mit dem gleichzeitigen Aufbau von 2 Verbindungen zum selben Ziel hat. Normalerweise konfiguriert man in solch einem Szenario ein Branch-Office VPN (also Netz zu Netz). Da eine einzelne Verbindung funktioniert, ist die Konfiguration korrekt. Sehr wahrscheinlich lässt der Router schon mehr als 2 VPN-Verbindungen nach aussen zu, nur eben nicht zum selben Ziel. Ich denke nicht, dass Du diesen Zustand durch Einstellungen des Routers verändern kannst ... Zitieren Link zu diesem Kommentar
bemano 10 Geschrieben 15. September 2010 Autor Melden Teilen Geschrieben 15. September 2010 Hmm, mit so einer Antwort habe ich leider gerechnet. Aber trotzdem schon mal danke dafür. Leider verstehe ich nicht ganz, warum es genau dann ein Problem geben soll, wenn beide auf das gleiche Ziel zugreifen möchten. Wo liegt denn da genau der Hund begraben? Eigentlich haben beide Rechner doch eindeutige IPs, die dem Ziel (durch die Konfiguration) bekannt ist. Bedeutet doch, dass auch am Speedport ankommende Pakete korrekt zugewiesen werden können müssten. Und rausgehende Pakete (vom Client aus gesehen) enthalten doch auch die Quelladresse, so dass diese eindeutig sind. Oder hat das was mit NAT zutun? Gruß, bemano Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 15. September 2010 Melden Teilen Geschrieben 15. September 2010 Nun die Frage an euch: Kann das sein, dass der Router damit ein erheblichen Problem hat? Die Router unterstützen generell nur eine Client VPN-Verbindung. Es wurde zwar auch in früheren Zeiten immer mit VPN-passthrough geworben, aber verschwiegen, dass eben nur eine Verbindung möglich ist. SMC hatte (ich glaube so 2005/2006) einen DSL-Router mit 5 gleichzeitigen Client-VPN-Verbindungen auf dem Markt, aber unter fadenscheinigen Gründen wurde dieser nach kurzer Zeit schon nicht mehr verkauft (wir haben aber in der Firma noch 2 und die laufen gut :) ). Wie Kollege IThome schon sagte, musst du für solche ein Szenario eine site-to-site Verbindung herstellen. Zitieren Link zu diesem Kommentar
bemano 10 Geschrieben 16. September 2010 Autor Melden Teilen Geschrieben 16. September 2010 VPN-passthrough ist doch nur relevant für mich, wenn dieser Router am VPN-Ziel steht, oder? Das würde dann auch bedeuten, dass man von diesen beiden Clients aus nicht zeitgleich zwei unterschiedliche Ziele ansprechen könnte. Ich habe jetzt den genauen Artikel nicht mehr parat, aber ich meine dass ich hier bereits bei wem gelesen habe, dass es zu zwei unterschiedlichen Zielen geht. Site-To-Site-Verbindung ist glaube ich nicht ganz so einfach, denke ich mir zumindest. Da benötige ich auf Seiten der beiden Clients mit Sicherheit doch noch andere Hardware/Software... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 16. September 2010 Melden Teilen Geschrieben 16. September 2010 Das Routergerät muss den ordnungsgemässen Umgang mit den VPN-Protokollen beherrschen. Im Falle von PPTP also nicht nur mit TCP 1723, sondern auch mit GRE (IP-Protokoll 47) oder im Falle von IPSec hinter NAT-Geräten, dass die Initialverbindung über UDP 500 hergestellt wird und dann auf UDP 4500 umschwenkt (ein NAT wurde erkannt). Grundsätzlich scheint Dein Gerät das zu beherrschen, wenigstens für einen Client, möglicherweise auch mit 2 Clients zu verschiedenen Endpunkten. Aber eben nicht mit 2 Clients zum selben Endpunkt ... Ein Site-to-Site kann man relativ einfach und kostengünstig mit Draytek-Routern z.B. realisieren ... Zitieren Link zu diesem Kommentar
bemano 10 Geschrieben 17. September 2010 Autor Melden Teilen Geschrieben 17. September 2010 Ich danke Euch beiden für die Aufklärung (und allen, die sich ein paar Gedanken über das Thema gemacht haben). Gruß, bemano Zitieren Link zu diesem Kommentar
mahe181 0 Geschrieben 3. Oktober 2014 Melden Teilen Geschrieben 3. Oktober 2014 Hallo, ich habe gerade das Thema gelesen, weil ich das gleiche Problem hatte. Zwei GLEICHZEITIGE Client VPN-Verbindungen mit Shrew Soft VPN Client hinter einem DSL-Router zu dem selben Ziel (LANCOM Router). Die Lösung war NAT Traversal und IKE Fragmentation. Beides in den Einstellungen des Shrew Soft VPN Clients wie folgt eingestellt: Unter dem Reiter Client -> Firewall Options -> NAT Traversal auf force-rfc und IKE Fragmentation auf force gesetzt Danach ist es problemlos möglich zwei VPN Verbindungen hinter einem NAT-Router gleichzeitig zum selben Ziel aufzubauen. Das Problem war wohl NAT. Mit der Einstellung NAT Traversal finden die Pakete vom Client auch durch den Router Ihr Ziel und auch zurück. Ich hoffe, ich konnte etwas Licht ins Dunkel bringen und dem ein oder anderen helfen, der auf das gleiche Problem gestoßen ist. Gruß Markus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.