Probleme mit Global Protect VPN

123Olli456

Cadet 1st Year
Registriert
Mai 2022
Beiträge
11
Hallo zusammen,

ich habe ein Rieeeeesen Problem. Für euch Profis, bestimmt recht einfach. Ich habe in meinem Job jetzt die Qual, im Homeoffice zu arbeiten. Zu Hause habe ich einen normalen Vodafone Router. Normale Sachen funktionieren einwandfrei.

Jetzt kommt es zum Problem: Die Firma nutzt Global Protect VPN. Mit dem VPN bin ich verbunden, aber trotzdem komme ich nicht auf die Laufwerke drauf oder ähnliches.

Mache ich einen Hotspot vom Handy auf, funktioniert alles einwandfrei (halt nur langsamer).

Kann mir jemand einen Tip geben?
 
Zuletzt bearbeitet:
Ist dafür nicht deine Firma zuständig das alles läuft?
 
@Fujiyama : prinzipiell gebe ich dir Recht. Die sagen mir: VPN ist verbunden... jetzt ist der fehler auf deiner Seite. Nur bin ich ganz ehrlich, verstehe ich von der Technik dort sehr wenig... und will auch nichts falsch machen.
 
Mit der dürftigen Informationslage wird es schwierig. Gibt es Logmeldungen des VPN Clients? Vergleiche mal den Verbindungsaufbau via Vodafone und via Handy. Gibt es Unterschiede?

Welche IPs bekommst du an deinem Anschluss zu Hause? Hast du ein sauberes IPv6 Setup? Hintergrund: es gibt VPNs, die funktionieren nicht, wenn zwei Clients von der gleichen Adresse eine Verbindung aufbauen. Vodafone nutzt häufig CGNAT, wenn also ein Kollege von dir auch Vodafone Kunde ist, dann kann es durchaus sein, dass sich die beiden Verbindungen gegenseitig stören. Per IPv6 löst sich das Problem, denn dort hat jeder eine eigene IP.

Nicht zuletzt: Welche IPs kommen bei dir zu Hause und im Firmennetz zum Einsatz? Wenn ihr das gleiche private Subnetz nutzt, dann ist kein Routing möglich.
 
  • Gefällt mir
Reaktionen: Raijin
Firmenrechner? Dann wieder Problem der Firmen IT, da ja das VPN zustande kommt, wohl auch keins mit deinem Internet ...
 
@riversource : das sind alles Römische Dörfer für mich. Ich kann über www.wasistmeineip.de wird mir eine IPv4 und eine IPv6 angezeigt. Ich vermute das es was mit Settings zu tuen hat. Aber was genau? Da brauche ich halt irgendwie Hilfe...

@derchris : Wenn der PC beim Kollegen zu Hause im WLAN ist, geht er direkt durch per VPN.
 
Da eine VPN-Verbindung für den PC selbst nichts anderes ist als eine herkömmliche, aber eben virtuelle Netzwerkkarte, an den das "VPN-Kabel" zur Firma angeschlossen wird, spielt der Router nach erfolgtem Verbindungsaufbau mit dem VPN-Server im Grunde keine Rolle mehr. Es ist davon auszugehen, dass die VPN-Verbindung eben nicht vollständig aufgebaut ist. Das müsste jedoch in den Logs der VPN-Software ersichtlich sein.

Die einzige andere Möglichkeit, die mir in den Sinn käme, hat @riversource schon erwähnt: Überlappende Subnetze. Wenn du zu Hause zB IP-Adressen nach dem Schema 192.168.1.x hast und die Firma ebenfalls, weiß der PC nicht ob zB 192.168.1.23 nun lokal bei dir im HomeOffice steht (zB dein eigener Drucker) oder ob beispielsweise der FileServer des Unternehmens im Firmennetzwerk gemeint ist. Ungefähr so als wenn es in deinem Wohnort zwei "Bahnhofsstraße" gibt und du nicht weißt welche es denn nun sein soll.


Die richtigen Ansprechpartner dafür sind und bleiben aber die IT-Menschen in deiner Firma. Zwar ziehen sie sich gerne auf das Argument zurück, dass das Problem im Netzwerk des Mitarbeiters liegt, aber wenn der Mitarbeiter nun mal nichts von der Materie versteht, kann man auch nicht von ihm erwarten, dass er das Problem löst. Es kann auch wirklich nicht im Sinne der Firma sein, dass am Ende womöglich ein völlig unbekannter Benutzer aus einem öffentlichen Forum dran rumfummelt und sich schlimmstenfalls sogar das Benutzer-Zertifikats des Mitarbeiters kopiert, um so Zugang zum Firmennetzwerk zu erlangen. Das kannst du dem IT-Admin deiner Firma gerne so sagen. Wenn er das abnickt, dann soll er das doch bitte schriftlich tun, mit Kopie an den Chef. Dann kannst du auch irgendeinen x-beliebigen Informatiker oder einen Tischler (wer weiß schon wer hinter einem Nickname steckt?) aus einem Forum um Hilfe bitten. Wenn dann plötzlich in der Firma Unregelmäßigkeiten im Netzwerk bemerkt werden, kannst du alle Schuld von dir weisen, weil die IT hat ja gesagt, dass du dich selbst kümmern sollst, ohne Rücksicht auf Verluste.
 
  • Gefällt mir
Reaktionen: Darklanmaster, Anoubis, Lawnmower und 5 andere
@Raijin : ich habe die LOGS gefunden (Riesiger zip Ordner). Nur sind auch das Römische Dörfer für mich.
 
Schick die Logs an deine IT, die sollen sich das anschauen und dir rückmeldung geben.
 
  • Gefällt mir
Reaktionen: Lawnmower, Der Lord und Raijin
Wenn überhaupt sind das böhmische Dörfer ;)

Die Auswertung der Logs sollte ebenfalls die IT vornehmen, da dort im Zweifelsfalle kompromittierende Informationen enthalten sind.
 
  • Gefällt mir
Reaktionen: derchris, piepenkorn und Lawnmower
Raijin schrieb:
Die richtigen Ansprechpartner dafür sind und bleiben aber die IT-Menschen in deiner Firma. Zwar ziehen sie sich gerne auf das Argument zurück, dass das Problem im Netzwerk des Mitarbeiters liegt, aber wenn der Mitarbeiter nun mal nichts von der Materie versteht, kann man auch nicht von ihm erwarten, dass er das Problem löst.
Das ist bei uns im Unternehmen auch nicht wirklich anders. Wir versuchen zwar den Mitarbeitern zu einem gewissen Grad zu helfen, und es gibt auch FAQs für gängige Provider (wie z.B. Vodafone Kabel Anschlüsse), aber tiefere Analysen sind nicht zu leisten und scheitern dann auch an der Vielzahl der Möglichkeiten zusammen mit eingeschränkten Analysemöglichkeiten.

Im Zweifelsfall empfehlen wir dem Mitarbeiter das Firmenhandy als Hotspot zu benutzen und geben ihm dann entsprechendes Datenvolumen
 
  • Gefällt mir
Reaktionen: Lawnmower
Wir haben bei Vodafone oft Probleme mit der MTU, allerdings bisher nur bei SSL VPN. Das ist aber alles etwas für die interne.

Kann ja nicht angehen, dass das dann dein Problem sein soll.
 
Kann ich verstehen @TomH22, aber auch das ist ja eine konkrete Lösung von der IT, die kein erweitertes Sicherheitsrisiko beinhaltet. Wobei auch nicht unbedingt jeder Mitarbeiter über ein Firmenhandy verfügt.. Wenn nu aber der Mitarbeiter aus lauter Verzweiflung einfach selbst eine Lösung sucht und gar in öffentlichen Foren Firmenfremde um Hilfe bittet, ist das sicherlich auch nicht im Sinne der IT. Das Beispiel mit dem kopierten VPN-Zertifikat ist ja nicht so weit hergeholt, sondern ein realistischer Angriffsvektor. Daher ja auch die Regeln in größeren Firmen zu unbeaufsichtigten und ungesperrten Geräten.
 
Ist das jez ein Firmen-Gerät was Du da hast oder dein Privates auf das Du selber ein VPN Client draufgehauen hast?
Macht zwar keinen Sinn weils über Hotspot geht, aber da die IT sagt Du seist verbunden, funktioniert womöglich die DNS Auflösung für interne Geräte einfach nicht - hierzu mal mit Ping auf eine IP einer eurer Server probieren (nicht auf den Hostnamen).
 
Zuletzt bearbeitet:
@Lawnmower : es ist ein Firmengerät. GlobalProtect wurde installiert. Und dann sollte "alles" funktionieren.

@TomH22 : das Firmenhandy hat sage und schreibe 2gb datenvolumen. Das reicht von 12 bis Mittag gefühlt...
 
Dann ist es das Problem deiner Firmen IT und Du solltest auch nicht am System was verändern da dies sonst Ärger geben könnte.
Einer von denen soll sich per Teamviewer oder sonstwie auf dein Laptop verbinden und gucken wo es hängt, sollte zusammen mit den Logs im Endpoint (die vom Client sind meistens wenig aussagekräftig) dann eigentlich möglich sein rauszfinden wo es klemmt.
Sollte es Schluss von Tag wirklich Vodafone oder deren Router sein (aus was für Gründen auch immer), wirst Du eben so nicht arbeiten können.
 
Wie gesagt, mit den Analysemöglichkeiten und deiner eher eingeschränkten Fachkenntnis (nicht despektierlich gemeint) werden wir hier nicht vorankommen. Du kannst nicht einfach so alle Logs posten, und selber analysieren kannst du sie auch nicht. Das wäre aber nötig, um uns die Informationen zu geben, die wir brauchen, um dir zu helfen.

Da bleibt nur, die Leute zu fragen, die sich mit sowas auskennen, also deine IT.
 
Ich denke noch immer das es wie von @riversource in Post #4 beschrieben am gleichen Subnetz liegt. Das Problem wäre leicht zu lösen und hat mit der Firmen-IT wenig zu tun.
 
wenn es eine Fritzbox ist:

Unter: Heimnetz -> Netwerk -> unten auf IPv4 Einstellungen

dort steht wohl aktuell 192.168.178.1

das auf zum Beispiel 192.168.33.1 ändern
 
Ich wage zu bezweifeln, dass in einem Unternehmen mit einer eigenen IT-Abteilung ein /24 Netz zum Einsatz kommt. Deshalb sind alle Empfehlungen für die Umstellung des Netzbereiches sehr riskant. Da sollte man zunächst sicher abklären, was auf Firmenseite benutzt wird.
 
Zurück
Oben