VPN unter Win7

[Exec 10]

Hallo werte Helfershelfer!

 

Wir haben nun vor einigen Monaten mit dem Umstieg auf Win7 begonnen. Die VPN Verbindungen funktionieren nicht mehr, unter Win Xp ohne Probleme. Ich habe schon etliche Foren durchsucht und auch viele Lösungsansätze gefunden die aber nicht geholfen haben.

 

Die Standardanweisung lautet die komplette Installation mit Adminrechten + Vista Kompatibilität auszuführen. Habe ich getan und er läd auch die Verbindung durch, gibt mir eine IP Adresse und führt das Script für die Netzlaufwerke aus.

Seltsam ist, nach dem Starten des Scripts braucht er sehr lange bis er die einzelnen Netzlaufwerke verbindet, es kommt immmer der Timeout und danach wird trotzdem verbunden.

Optisch passt alles nur ist kein Laufwerk zu sehen, den Server selbst erreiche ich auch nicht durch Ping etc.

 

Ich habe es unter Win7 32bit Enterprise Editon und Win7 64bit Prof ausprobiert mit den gleichen Resultaten. Ich habe schon mehrere OpenVPN Versionen ausprobiert, leider auch ohne Erfolg.

 

Am Script kann es nicht liegen da es unter WinXP ohne Probleme funktioniert...

 

Ich hoffe ihr könnt mir weiterhelfen, besten Dank im Voraus:)

 

lg, Mark

[jarazul 10]

Guten Tag,

 

leider hast du keine Angabe dazu gemacht, welches Tool, Script o.ä derzeit im Einsatz ist. Ein kommerzieller VPN Client?

 

Schildere doch bitte dein genaues "Setup" also welche Komponenten auf Client und auf der Gegenseite benutzt werden.

 

Gruß aus Hamburg

[Exec 10]

Ich verwendet (wie oben beschrieben) den kostenlosen OpenVPN client + GUI.

 

Wir arbeiten mit Zertifikaten + Keyfiles welche vom OpenVPN Server ausgestellt werden. Diese werden auch akzeptiert ohne Probleme. Ich bin mir zu 90% sicher das es an einer falschen Konfiguration des Win7 clients liegen muss.

 

 

ich schicke euch mal den Logeintrag des letzten Durchgangs:

 

OpenVPN 2.1_rc19 i686-pc-mingw32 [sSL] [LZO2] [PKCS11] built on Jul 16 2009

NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

LZO compression initialized

Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]

Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]

Local Options hash (VER=V4): '41690919'

Expected Remote Options hash (VER=V4): '530fdded'

Socket Buffers: R=[8192->8192] S=[64512->64512]

UDPv4 link local: [undef]

UDPv4 link remote: 78.142.149.228:1194

TLS: Initial packet from 78.142.149.228:1194, sid=cd73a478 d4320aa3

Thu Jun 16 13:27:17 2011 VERIFY OK: depth=1, /C=AT/ST=Vienna/L=Vienna/O=MODUL_University_Vienna/OU=Information_Systems_Service_Center/CN=charon.modul.ac.at/emailAddress=root@modul.ac.at

VERIFY OK: nsCertType=SERVER

VERIFY OK: depth=0, /C=AT/ST=Vienna/O=MODUL_University_Vienna/OU=Information_Systems_Service_Center/CN=charon.modul.ac.at/emailAddress=root@modul.ac.at

WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1442'

WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1500', remote='tun-mtu 1400'

Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key

Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key

Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Thu Jun 16 13:27:17 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Thu Jun 16 13:27:17 2011 [charon.modul.ac.at] Peer Connection Initiated with 78.142.149.228:1194

Thu Jun 16 13:27:18 2011 SENT CONTROL [charon.modul.ac.at]: 'PUSH_REQUEST' (status=1)

Thu Jun 16 13:27:18 2011 PUSH: Received control message: 'PUSH_REPLY,route-delay 2 600,route 10.10.0.0 255.255.255.0,route 10.8.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.8.0.26 10.8.0.25'

Thu Jun 16 13:27:18 2011 OPTIONS IMPORT: timers and/or timeouts modified

Thu Jun 16 13:27:18 2011 OPTIONS IMPORT: --ifconfig/up options modified

Thu Jun 16 13:27:18 2011 OPTIONS IMPORT: route options modified

Thu Jun 16 13:27:18 2011 OPTIONS IMPORT: route-related options modified

Thu Jun 16 13:27:18 2011 ROUTE default_gateway=192.168.168.1

Thu Jun 16 13:27:18 2011 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{F90279F7-FDD9-45B8-B301-B00A991750F5}.tap

Thu Jun 16 13:27:18 2011 TAP-Win32 Driver Version 9.6 

Thu Jun 16 13:27:18 2011 TAP-Win32 MTU=1500

Thu Jun 16 13:27:18 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.26/255.255.255.252 on interface {F90279F7-FDD9-45B8-B301-B00A991750F5} [DHCP-serv: 10.8.0.25, lease-time: 31536000]

Thu Jun 16 13:27:18 2011 Successful ARP Flush on interface [62] {F90279F7-FDD9-45B8-B301-B00A991750F5}

Thu Jun 16 13:27:20 2011 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up

Thu Jun 16 13:27:20 2011 C:\WINDOWS\system32\route.exe ADD 10.10.0.0 MASK 255.255.255.0 10.8.0.25

Thu Jun 16 13:27:20 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4

Thu Jun 16 13:27:20 2011 Route addition via IPAPI succeeded [adaptive]

Thu Jun 16 13:27:20 2011 C:\WINDOWS\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.25

Thu Jun 16 13:27:21 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4

Thu Jun 16 13:27:21 2011 Route addition via IPAPI succeeded [adaptive]

Thu Jun 16 13:27:21 2011 Initialization Sequence Completed

 

btw: Firewall + Antivirenscanner sind ausgeschaltet

 

Grüße

[Exec 10]

Nicht verwirren lassen, ich habe einige Uhrzeite + Daten aus dem Log gelöscht damit es unter 4000 Zeichen sind ;)

[jarazul 10]

Oh sorry, den Hinweis auf OpenVPN habe ich nicht wahrgenommen.

 

Wenn du vom VPN-Gateway die IP Informationen bekommen hast und diese korrekt sind, schaue doch nach ob die Firewall-Profile aktiv sind und wenn ja, welche / Konfiguration.

 

Liegt das Problem vielleicht am Skript? Hast du versucht bei einem permanent verbundenen PC das Skript auszuführen und die Laufwerke zu mappen?

 

Gruß aus Hamburg

[Exec 10]

Die Firewall habe ich zum Test komplett rausgenommen, aber für mich sieht es auch aus als wüwrde es da irgendwo hängen. Andere Clients haben auch keine Probleme sich zu verbinden.

Das Script habe ich gerade auf einem anderen PC der direkt zum Server verbunden ist ausgeführt und die Laufwerke werden alle gemapped.

 

Noch weitere Ideen?

 

Grüße

[jarazul 10]

Was heißt denn "rausgenommen"? Die drei Profile auf "off" geschaltet? Wenn du sagst andere Clients, auch Windows 7?

 

cheers, Daniel

[Exec 10]

Rausgenommen heißt in diesem Fall ausgeschaltet. Was genau meinst du mit "drei Profile".

Die anderen Clients haben alle das OS Win XP. Deshalb gehe ich auch davon aus das es ein Win7 Problem ist, also nicht Serverseitig, Firewall, Antivirenprogramm etc. Die Frage ist nur welche Einstellungen unter Win7 dazu führen das es nicht klappt.

 

Grüße!

[s_sonnen 20]

Hi Exec.

 

Auch wenn Du die firewall und das Antivirenprogramm gestoppt hast, guck' doch mal in die logs der beiden, vielleicht kannst Du da ja noch was feststellen. Irgendein Portzugriff der geblockt wird, oder so. Zur Not kannst Du ja für den Test die beiden wieder aktivieren.

 

ciao und ein angenehmes Wochenende

M.

[jarazul 10]

Mit "die drei Profile" meine ich, die drei Firewall Profile die Windows 7 neu mitgebracht hat! Windows unterscheidet zwischen, Public, Private und Domain Profiles der Windows Firewall. Google doch mal oder nutze das Technet!

 

cheers, -daniel

[Exec 10]

Danke erstmal für eure Tipps!

Ich habe das alles mal gecheckt aber es sah alles gut aus. Nun habe ich mal einen anderen Rechner zum testen genommen und habe dort als lokaler Administrator Open VPN gestartet und schon funktionierte es. Das ist sehr seltsam da ich zuvor ebenfalls als Admin das Programm ausgeführt habe allerdings nicht den inbuilt Admin sondern einen User mit Adminrechten. Und jetzt kommts noch besser, wenn ich mich als User mit Adminrechten anmelde und dann sage "Ausführen unter anderen User" und es mit dem lokalen Admin versuche geht es auch nicht. Es funktioniert nur wenn ich mich wirklich als lokaler Admin anmelde und es dann starte. So richtig verstehen tue ich das nicht, ich werde es an anderen Workstations testen und die Ergebnisse posten.

 

Grüße, Mark

[s_sonnen 20]

Hi Mark.

 

Scheint also eindeutig ein Berechtigungsproblem zu sein. Irgendwo muß es da dann doch noch einen, oder mehrere, Unterschiede geben.

Hast Du nur lokale user oder gibt's da auch noch 'ne Domäne?

 

ciao und 'nen angenehmen Nachmittag

M.

[Exec 10]

Hi sonnen,

 

ja stimme dir zu, ich habe ja die route.exe in Verdacht, werde mir die mal genauer anschauen. Es ist eine Domäne vorhanden allerdings möchte ich die VPN Verbindung bei einem Laptop einrichten welcher außerhalb der Domäne im WLAN Netz arbeitet. Dort sind nur lokale User mit Adminrechten vorhanden, erschwerend kommt hinzu das dieser Laptop von einer externen Firma stammt und ich schauen muss was die so alles eingestellt haben. Ich werde den Laptop in den nächsten Tagen in die Hände kriegen und schauen ob sich das dort mit den Adminrechten bestätigen lässt und schaue dann weiter.

 

Stressfreien Arbeitstag wünsche ich noch;)

Mark

[Exec 10]

Da bin ich wieder,

 

tut mir Leid das ich mich erst so spät melde. Habe aber dafür die Lösung bzw. die Fehlerquelle finden können.

Es ist wie zuvor vermutet die route.exe welche lokale Adminrechte benötigt, ein User mit Adminrechten reicht nicht aus wie es scheint. Konfiguriert man diese Datei sodass der normale User sie mit vollen Rechten starten kann gibt es keine Probleme mehr. Bei mir kommt noch hinzu das das Script für die Netzlaufwerke zwar ausgeführt wird, die Laufwerke aber nicht sichtbar sind. Ein weiteres Ausführen macht sie dann Sichtbar. ist zwar etwas umständlich, lässt sich aber auch automatisieren bei Bedarf. Ich hoffe ich konnte anderen, die das gleiche Problem haben/hatten, damit weiterhelfen.

 

Grüße und danke für die Hilfe!

Mark