SSL-VPN 'intern' nicht erreichbar

Hallo!

Ich erinnere mich, dass wir ganz früher mal das Problem hatten, dass das VPN von intern nicht nutzbar war.

Irgendwann ging es und - insbesondere für Testszenarien - habe ich das Gast-LAN dann oft genutzt um auch die Remote-Einwahl zu testen.

Seit ein paar Monaten aber endet das (wieder) nur in einem Timeout.

Am VPN selber habe ich nichts geändert und es sollte Verbindungen von jeder Schnittstelle annehmen - also auch interne (V)LANs:

Die Firewall ist für das zum Test genutzte VLAN lediglich mit Rejects auf andere VLANs gesetzt, hat aber (Verbleibend Richtung Internet) eine any-any rule.

Ein PING auf die für das VPN genutzte externe IP gibt auch Antwort, das VPN aber bekommt keine Antwort.

Testweise habe ich die Reject-Regel deaktiviert: Brachte nichts.

Ich habe vor Monaten für das Gast-Netzwerk mal IPv6 aktiviert, aber die Einwahl löst (korrekt) auf die IPv4 auf und zeigt sie auch im Fenster an.

(Die externe Einwahl funktioniert problemlos!)

Sind wir die einzigen mit dem Problem? Woran könnte es liegen?

Gruß!



(Die externe Einwahl funktioniert problemlos!)
[edited by: cgi at 1:25 AM (GMT -7) on 31 Aug 2023]
Parents Reply Children
  • Eine sehr nützliche Antwort, die mein Problem behebt. Nicht.

    Meinen Sie nicht, dass ich selber auf den Gedanken kommen könnte (was im Falle eines PCs im Homeoffice im übrigen unpraktikabel ist)?

  • Warum ist das im Homeoffice nicht praktikabel?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Ich habe bewusst eine Problemstellung erläutert und eine präzise Frage gestellt um das Problem zu lösen, nicht um über alternativen zu diskutieren die aus hier irrelevanten Gründen nicht gehen oder uninteressant sind.

    Beim Homeoffice geht es um den Test vor der Herausgabe. Ist aber auch egal, das hilft mir nicht.

  • Da hat wohl einer den Sinn des Community Forums nicht verstanden.

    Schade.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Zusammengefasst:

    - Ich habe meine konkrete Problemstellung beschrieben

    - Dazu passend habe ich exakt gefragt, wie der Fehler zu beheben sein könnte

    Vergleich: Mein 4. Rad am Auto ist defekt und ich möchte wissen, wie ich das instandsetze. Ihre Antwort: Kauf dir einen Anhänger, der hält den Wagen hinten hoch. Wenn die Antwort nicht schmeckt, hat der Fragesteller den Sinn des Forums nicht verstanden.

    Ernsthaft?

    Aus $gründen ist ein Mobiler hotspot hier keine Option. Ist ja nicht so, als ob ich völlig unqualifiziert wäre, meinen Job zu machen und nicht selber auf die Idee kommen könnte. Man muss kein Genie sein um das als Option zu erwägen.

    Für so eine Lösung hätte ich aber auch bei computerbild.de o.ä. nachfragen können - hier hatte ich technisch fundiertere Hilfe erwartet, vielleicht sogar ein: "Das Problem hatte ich auch, die Ursache war..."

    Es wäre für alle hilfreich, wenn Leute vor der Antwort den Ursprungsbeitrag lesen und zwischen Hausmütterchen und "der könnte vielleicht wissen was er macht" unterscheiden würden. Die MS Community ist auch voll von Zeitdieben.

    Dennoch: Danke für den Versuch.

  • Warum soll es $ kosten, sein Handy als WLAN-Hotspot umzuschalten, damit eine "echte öffentliche IP" zu erhalten und dann darüber anstelle des Gast-WLANs (wurde vorher als Testszenario genutzt) das VPN zu testen?

    Jeder Admin hat ein Handy, dass man dazu perfekt nutzen kann.

    Niemand hat irgendeine Qualifikation bestritten, ich habe lediglich meine eigene Erfahrungen weitergegeben.
    Warum man dann so rumzickt, verstehe ich nicht.

    Ich weiß aus Erfahrung, dass man den Test von einem VPN mit einem internen Netzwerk NICHT machen SOLLTE, weil man dann nicht das Szenario testet, dass in der endgültigen Umgebung vorliegt. Zum Beispiel liegt im Homeoffice genau die Konstellation vor, dass eine externe IP über einen NAT-Router genutzt wird. Genau das kann man mit dem Smartphone prima simulieren.

    Dann ist es relativ egal, ob das vorher mal in einer anderen Konfiguration eurer Firewall funktioniert hat oder nicht.

    Ich teste das immer so, alles andere ist eine besodere Konstellation und eventuell erhält man damit ein unbrauchbares Testergebnis.

    Will sagen: es kann dann so auch im Homeoffice funktionieren, muss aber nicht, wenn der Test von intern positiv ausfiel.

    Die Frage, waum das im Homeoffice nicht praktikabel sein sollte, wurde erst gar nicht beantwortet oder vielleicht nicht verstanden?

    Der Test soll doch vorher in der Firma stattfinden, bevor das Ganze ausgrollt wird?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Ich schrieb $gründe, nicht $kosten.

    Warum man nicht einfach akzeptiert, dass jemand einen Fehler beseitigen will, verstehe ich nicht.

    Sei's drum:

    1. Ich habe kein Firmentelefon und werde den Teufel tun, mein privates Datenvolumen mit irgendwelchen VPN-Tests zu verbrauchen. Mein Vertrag ist klein, da ich kein großes Volumen brauche - im Zweifel habe ich immer irgendwo WLAN.

    2. Bin ich nicht der einzige, wir haben auch Mitarbeiter die das genutzt haben, weil ihr Notebook nicht im internen Netz hängt. Die müssen nun tatsächlich, eigentlich nutzlos, ihr Datenvolumen verbrennen.

    3. Hilft mir ein Telefon nichts, wenn ich z.B. PCs fürs Homeoffice testen will - ich kann schlecht ein Ethernetkabel in mein Smartphone stecken. Das geht allenfalls einmal...

    4. Ist unser Gebäude so Mobilfunkdurchlässig wie ältere ICEs - wenn Sonne, Mars und Jupiter eine Linie bilden, komme ich auf 2 - 3 Balken 4G, sonst gerne schon mal EDGE.

    Ich habe so oder so selten _das_ Enszenario, da die Geräte über andere Verträge/Anschlüsse laufen, die Verbindungsqualität unbekannt ist, das Hotel-WLAN blockiert, irgendwo schwerkrankes Powerline zwischen hängt etc. pp.

    Die bisherigen Tests über den "Gast-Netzwerk"-Weg haben nie für Probleme beim ausrollen gesorgt - die angetroffenen Probleme lagen idR. an der Infrastruktur vor Ort, da hätte mir auch kein Test über einen Hotspot geholfen.

    Gruß!

    (Ich bin "zickig", weil ich ein Problem beschrieben und eine konkrete Fragestellung hatte, auf die ich eine Antwort erhofft hatte und kein "aber anders geht das doch anders" wollte - auch ohne alles bis ins Detail erklären zu müssen)