VPN Forticlient trennt Verbindung

[Bannister0946]

Mahlzeit!

ich habe Verbindungsprobleme mit meiner VPN Verbindung.
Im Einsatz ist der Forti Client auf einem Windows 11 PC.
Bei meiner Frau (Windows 10, cisco anyconnect) besteht ein ähnliches Problem.

Das Problem ist, dass die VPN Verbindung zwischenzeitlich - bei mir heute schon 3x getrennt wird.
Kann mich danach direkt wieder problemos verbinden.

Was mir aber zu dem Zeitpunkt auffällft (im Log der Fritzbox):
Die VPN Trennung findet sehr häufig dann statt, wenn der Kanal neu gesetzt wird (Autokanal), oder wenn mein Notebook sich abmeldet und am Repeater wieder anmeldet.

Ich verstehe, das hier ganz kurz die Verbindung verloren geht, aber privat nutze ich ebenfalls VPN (Wireguard) und damit habe ich null Probleme.

Jemand eine Idee, wie ich den sensiblen FortiClient "optimieren" kann?

 

[Nilson]

Ich würde da doch eher versuchen die Ursache und nicht das Symptom zu beheben.
Also festen Kanal vergeben und verhindern, dass die Fritzbox die Geräte beliebig zwischen den APs hin und her schiebt

 

[Bannister0946]

festen Kanal habe ich mittlerweile gesetzt - sorry, hätte ich noch erwähnen sollen.
Aber das verschieben zwischen Repeater und Fritzbox ist doch gerade der Sinn von Mesh - da würde ich ungern verzichten wollen.

 

[BFF]

Dennoch wird das Gerät kurz getrennt und wieder verbunden. Das ist bei laufendem VPN halt nicht gerade optimal und wird jje nach Client unterschiedlich behandelt.

 

[Bannister0946]

meine Wireguard Verbindung bekommt es ja problemlos geregelt. Deswegen die Frage, ob man bei Forti VPN auch noch was "optimieren" kann?

Ergänzung (5. April 2023)

oder auch hier noch ein interessanter Log:

12:15:14
WLAN-Gerät angemeldet (5 GHz), 866 Mbit/s, Notebook, IP XXX, MAC XXX.

12:15:12
WLAN-Gerät hat sich abgemeldet (5 GHz), Notebook, IP XXX, MAC XXX.

Das Gerät war aber die ganze Zeit an und ich frage mich, warum die Ab- und direkt Anmeldung

 

[SpamBot]

meine Wireguard Verbindung bekommt es ja problemlos geregelt.

Ich vermute beim geschäftlichen FortiClient wird das bewusst so gehandhabt wegen der Sicherheit. Ist die Verbindung weg wird die VPN Verbindung gekappt.

 

[zeaK]

Der Forticlient ist ein SSL Vpn, da dauern reconnects länger und den auto-reconnect gibts nur in der Bezahlversion. Wireguard ist da deutlich flotter weil anderes Protokoll.
Außer die Bezahlversion zu kaufen wirst du da nichts machen können.
(Oder halt nen anderen SSL -Vpn-Client nehmen mit auto-reconnect)

 

[Raijin]

Ich verstehe, das hier ganz kurz die Verbindung verloren geht, aber privat nutze ich ebenfalls VPN (Wireguard) und damit habe ich null Probleme.

Jemand eine Idee, wie ich den sensiblen FortiClient "optimieren" kann?

Verschiedene VPN-Technologien mit zudem unbekannten Einstellungen kann man aber nicht vergleichen. Auch kann man nicht einfach so irgendwas "optimieren", weil beide Seiten, Server und Client, jeweils die Verbindung resetten können, wenn die Unterbrechung zu lange dauert.

Aber das verschieben zwischen Repeater und Fritzbox ist doch gerade der Sinn von Mesh - da würde ich ungern verzichten wollen.

Der Wechsel zwischen zwei Zugangspunkten (Repeater <> Fritzbox) nennt sich Roaming und das gibt es schon viiiieeel länger als das Marketing-Buzzword "Mesh".


Es ist nicht sinnvoll, am VPN rumzudoktern, weil das Problem scheinbar die WLAN-Verbindung ist. Wenn diese instabil ist - und ein ständiger Wechsel ist instabil - hat das natürlich Folgen, die je nach Anwendung unterschiedlich ausfallen können, seien es harte Disconnects, Reconnects, kurze Hänger oder auch "nichts", weil zB das Youtube-Video ausreichend gepuffert hat.

Du solltest nun schauen ob du das WLAN stabilisieren kannst. Den Autokanal hast du schon ausgeschaltet, nun muss man untersuchen warum der Client ständig zwischen Repeater und Fritzbox wechselt. Gegebenenfalls den Aufstellort des Repeaters anpassen. Im Idealfall würde man natürlich Geräte, die auf eine besonders stabile Verbindung angewiesen sind, mit einem LAN-Kabel versorgen, wenn das WLAN nicht ausreichend stabil ist.

 

[Mr.Blacksmith]

Also ich nutze hier auf dem Bauernhof mit seiner Architektur eine FB7590, dazu 2 AVM-Powerline-Adapter, einen DECT-Repeater und 2 WLAN 1750-Repeater von AVM...die Gerätschaften, unter anderem mein beruflich genutztes Notebook, welche beständig mit WLAN verbunden sind, brechen da nix bei ab. Genutzt wird Wireguard für die VPN-Verbindungen zwischen den Familienmitgliedern bzw. OpenVPN für das beruflich genutzte Zeuchs. Autokanal ist aktiviert in den Einstellungen der FB und ansonsten ist das MESH mehr als nur stabil. Zumindest hier. Da merk ich selbst bei nem Speedtest, den ich durchführe während ich hier umherwandere, keinerlei Abbrüche bzw. Hänger...ich würd also auch stark den Forticlient gegen was funktionierendes eintauschen...;-).

 

[h00bi]

Ich würde da doch eher versuchen die Ursache und nicht das Symptom zu beheben.

Das würde ich auch raten...
Leg ein LAN Kabel dahin. Es scheint immerhin um deinen Lebensunterhalt zu gehen.

Bei uns bekommen Anwender keinen Support auf firmenfremde WLAN-Anbindungen.
Bei Problemen per WLAN entweder Kabel nutzen oder in die Firma fahren.

 

[Quit6975]

Benutzt du Forticlient aus dem Windows Store wodurch du in den normalen Windows Einstellungen dann VPN herstellst kannst oder machst du das über diesen eigenen Client mit GUI?

 

[Bannister0946]

ich mach das über den Client mit GUI

 

[Bannister0946]

Update: Wir hatten eben beide wieder, zur selben Zeit einen Ausfall der VPN Verbindung, obwohl wir via WLAN an einem Tisch sitzen, 1m von der Fritzbox entfernt.

In den Logs steht für die Clients auch kein Eintrag drin.
Etwas wie: WLAN gewechselt, ab / angemeldet .... nix.

Bin überfordert, da ich mir das absolut nicht erklären kann.
Hat noch jemand Ideen?

 

[DerGast]

Was sagt ein dauerhafter Ping zur Fritzbox? Ist der auch unterbrochen wenn das WLAN weg ist?
Du sprichst hier über Mesh Steering. Im Grunde ist es das Roaming von AVM.
Du solltest die Kanäle auf automatisch stellen und die Fritzbox regeln lassen. Das ist ja der Sinn dahinter.
Stell Dir mal vor man müsste bei 20 APs die Kanäle manuell vergeben.. absoluter unsinn.
Allerdings müssen sich die WLAN Funkbereiche der APs untereinander überschneiden, da die Aushandlung sonst nicht stattfinden kann.
Und deine Netzwerkkarte muss Roaming unterstützen.

Was ich bei mir zu Hause habe:
Zwei WLAN APs nebenbeinander.
Einmal die Fritzbox (zwei Räume weiter ein AVM Repeater) und einmal ein Bintec.
Der Bintec (5GHz) ist direkt per VPN mit dem Firmennetzwerk verbunden. Das ist ziemlich nice
Aber ich hatte dann Probleme mit dem 5GHz Netz.
Je höher die Frequenz, desto empfindlicher wird es und desto kürzer reicht es.
Ich habe kurzerhand das 5GHz Netz in der Fritzbox deaktiviert. So flüssig wie danach konnte ich noch nie Teams nutzen..

 

[Bannister0946]

Hatte einen dauerhaften Ping in Richtung 8.8.8.8 durchgeführt und protokolliert.
Es war nie ein Timeout und auch kein Ping > 30 ms.
Ja, wenn ich WLAN aktiv trenne, dann geht auch die VPN verloren.
Das mit dem Autokanal hatte ich ja vorher => selbes Problem, deswegen mal auf festen Kanal umgestellt - ohne Erfolg.

Allerdings müssen sich die WLAN Funkbereiche der APs untereinander überschneiden, da die Aushandlung sonst nicht stattfinden kann => ist der Fall
Und deine Netzwerkkarte muss Roaming unterstützen. => ebenso

 

[DerGast]

Entschuldige... es sollte natürlich heißen "Ist der Ping auch unterbrochen wenn das VPN weg ist".
Aber hat sich ja erledigt durch deine Info, dass der Ping zu google stabil ist.
Wie siehts denn mit einem Ping zu deinem Unternehmen aus? Das wäre ja wichtiger
Der Forticlient kann SSL als auch IPSec.
Hier sprach man davon dass Du SSL nutzt. Stimmt das?
Deine Frau nutzt den CiscoConnect Client, der ist ein SSL VPN Client.
SSL VPN ist zickig. Da reicht eine hohe Auslastung der Firewall, jemand der einen Download anschmeißt, IPS.. gefühlt muss nur jemand husten. Gleiches gilt für die Fritzbox.
Wir haben die Probleme auch vermehrt wenn die Leitung dicht ist.
Hast Du dich mal mit anderen Kollegen unterhalten und gefragt wie deren verbindung zu diesen Zeiträumen ist?
Meine IPSec Verbindung ist stabil und schnell. Mein SSL-VPN hingegen... nervenaufreibend.
Und was sagt deine IT dazu? Die müssen den Reconnect in der Firewall sehen... die Forti ist da recht gut, finde ich.

 

[riversource]

Hatte einen dauerhaften Ping in Richtung 8.8.8.8 durchgeführt und protokolliert.
Es war nie ein Timeout und auch kein Ping > 30 ms.

Und in der Zeit wurde das VPN unterbrochen?

Gibt es vielleicht Internetverbindungsprobleme? VPN Probleme müssen ja nicht nur aufs WLAN zurückzuführen sein.

Meine IPSec Verbindung ist stabil und schnell. Mein SSL-VPN hingegen... nervenaufreibend.

Da hab ich genau gegenteilige Erfahrungen gemacht. Cisco VPN war zu meiner Zeit IPSec (ist das heute wirklich anders?), vielleicht noch mit einem UDP Tunnel und NAT-T. Das war häufig schmerzhaft, vor allem in anderen Firmennetzen, Hotspots usw.
SSL-VPN, wie z.B. OpenVPN, ist NAT-Aware und äußerst robust. Damit hatte ich noch nie Probleme. Von der Verbindungsstabilität her unerreicht, nicht mal Wireguard kommt da mit.

 

[Bannister0946]

Ich habe heute mal mit der IT telefoniert, diese haben mir nun eine FortiConfig zur Verfügung gestellt, mit einem Auto Reconnect. Löst zwar nicht das Quellproblem, aber solang das Teil sich dann in dem Fall auto. verbindet wäre ich glücklich

 

[marlix]

Magst du mir deine FortiClient Konfig für die VPN Verbindung zur FritzBox (ggf. als Bild und unbedingt mit zensierten Verbindungsdaten) mal zeigen?

 

[h00bi]

Ich glaube du verstehst da was falsch.
Der Forticlient verbindet sich nicht zu seiner fritzbox sondern zur Fortigate Firewall seines Arbeitgebers.