redjack1000
Fleet Admiral
- Registriert
- März 2022
- Beiträge
- 10.038
Gibt es eine Fehlermeldung?
CU
redjack
CU
redjack
Probleme mit Global Protect VPN
- Ersteller 123Olli456
- Erstellt am
- Registriert
- Mai 2022
- Beiträge
- 11
Leider nein.
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 17.936
Ist DualStack denn jetzt geschaltet? Ich bezweifle zwar, dass das die Lösung war - es sei denn du hast dich bei deinen Aussagen zum VPN-Tunnel getäuscht - aber wenn's so ist, dann ist's so123Olli456 schrieb:
Gerade das sollte die IT dir beantworten können.123Olli456 schrieb:
Normalerweise geht man wie folgt vor:
- Prüfen ob man den Server mit dem Netzlaufwerke erreichen kann --> ping ip.des.servers oder ping name.des.servers
- net use x: \\IPoderNAMEdesSERVERS\Freigabe /user:deinbenutzername deinpasswort /persistent:xxx
xxx = yes oder no (bestimmt ob Laufwerk bei Neustart automatisch wiederhergestellt wird oder nicht)
Wenn das fehlschlägt, kommt eine Fehlermeldung nebst Fehlercode. Das wäre eine wichtige Information, weil es Dutzende Ursachen für einen Fehlschlag geben kann.........
redjack1000
Fleet Admiral
- Registriert
- März 2022
- Beiträge
- 10.038
Dann wird eine Ferndiagnose schwierig.
Fehlgeschlagene Netzlaufwerkverbindungen bringen zu 100% eine Fehlermeldung
Cu
redjack
Fehlgeschlagene Netzlaufwerkverbindungen bringen zu 100% eine Fehlermeldung
Cu
redjack
@Raijin:
Deine Erklärung stimme ich im Prinzip zu 100% zu. Die meisten VPN Clients sind heutzutage auch in der Lage mit NAT (ink. CGNAT, mehrfach NAT, usw.) umzugehen. Das vor vor 20 Jahren, als ich die ersten IPSec VPNs konfiguriert habe, noch sehr anders.
Ich möchte aber der Vollständigkeit halber gerne erwähnen das es bei IPSec auch heute noch passieren kann, das der IKE Handshake klappt, aber die IPsec Payload trotzdem nicht durchkommt. Das ist ein Problem, das alle Protokolle mit "Out-Of-Band" Signaling haben, wo also Steuerkanal und Datenkanal getrennt sind, das betrifft bekanntermaßen auch VoIP Telefonie mit SIP.
@123Olli456 : Bei Dir liegt dieses Problem aber scheinbar nicht vor, denn Du kannst ja laut Deiner letzten Beiträge Rechner im Firmennetz per IP Adresse erreichen.
Heutzutage ist liegen die Probleme beim VPN Aufbau aber tatsächlich meist an lokalen Routing Problemen des Clients (d.h. die Pakete werden nicht in das virtuelle Tunnel Interface geleitet) oder an DNS Problemen.
Solange aber die DNS Auflösung nicht geht, sind alle anderen Probleme eher eine Folge davon. Hier kannst Du Eurer IT wirklich aufs Dach steigen. Denn wenn Du ein ping zu einer internen IP durch den Tunnel geht, dann steht der Tunnel erst mal, und die IT kann sich nicht mehr auf "liegt am Provider" zurückziehen.
Deine Erklärung stimme ich im Prinzip zu 100% zu. Die meisten VPN Clients sind heutzutage auch in der Lage mit NAT (ink. CGNAT, mehrfach NAT, usw.) umzugehen. Das vor vor 20 Jahren, als ich die ersten IPSec VPNs konfiguriert habe, noch sehr anders.
Ich möchte aber der Vollständigkeit halber gerne erwähnen das es bei IPSec auch heute noch passieren kann, das der IKE Handshake klappt, aber die IPsec Payload trotzdem nicht durchkommt. Das ist ein Problem, das alle Protokolle mit "Out-Of-Band" Signaling haben, wo also Steuerkanal und Datenkanal getrennt sind, das betrifft bekanntermaßen auch VoIP Telefonie mit SIP.
@123Olli456 : Bei Dir liegt dieses Problem aber scheinbar nicht vor, denn Du kannst ja laut Deiner letzten Beiträge Rechner im Firmennetz per IP Adresse erreichen.
Heutzutage ist liegen die Probleme beim VPN Aufbau aber tatsächlich meist an lokalen Routing Problemen des Clients (d.h. die Pakete werden nicht in das virtuelle Tunnel Interface geleitet) oder an DNS Problemen.
Hier haben ja andere schon richtige und hilfreiche Tipps gegeben. Ein häufiges Problem bei Netzwerklaufwerken ist die Authentifizierung, sprich das Du Dich nicht als gültiger Benutzer ausweisen kannst. Aber da kann Dir wirklich nur Eure IT helfen.123Olli456 schrieb:
Solange aber die DNS Auflösung nicht geht, sind alle anderen Probleme eher eine Folge davon. Hier kannst Du Eurer IT wirklich aufs Dach steigen. Denn wenn Du ein ping zu einer internen IP durch den Tunnel geht, dann steht der Tunnel erst mal, und die IT kann sich nicht mehr auf "liegt am Provider" zurückziehen.
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 17.936
Was mir dazu noch einfällt: Was heißt für dich nun konkret "per IP Adresse draufkommen"? Kannst du abgesehen von der Problematik mit den Netzlaufwerken andere Dienste aus dem Firmennetzwerk nutzen? Damit meine ich beispielsweise einen Terminal-Server, auf den du dich mittels RDP, Citrix, o.ä. einloggst, oder auch VNC oder dies oder das.123Olli456 schrieb:
Die Sache ist nämlich die: Nach wie vor steht zumindest der leise Verdacht im Raume, dass es einen Subnetzkonflikt zwischen deinem privaten und dem Firmennetzwerk gibt. Wenn du jetzt beispielsweise nur einen Ping auf die IP eines vermeintlichen Geräts im Firmennetzwerk machst, kann es sein, dass du tatsächlich nur ein Gerät in deinem Heimnetzwerk anpingst, sei es der smarte TV, das WLAN-Radio, dein Tablet oder was weiß ich. Versuchst du nun, anhand dieser IP-Adresse ein Netzlaufwerk anzubinden, schlägt dies natürlich fehl, weil das Tablet kein Netzlaufwerk bietet.
Dein Internetrouter hat zB die IP-Adresse 192.168.0.1.
Alle anderen Geräte in deinem Netzwerk haben ebenfalls eine IP nach dem Schema 192.168.0.x, so auch dein Tablet mit der 192.168.0.123.
Deine Firma hat ebenfalls IP-Adressen nach dem Schema 192.168.0.x, so auch der FileServer der Firma mit der 192.168.0.123 - man beachte die Übereinstimmung mit dem Tablet.
Wenn du jetzt zB nur "ping 192.168.0.123" machst und eine Antwort erhälst, gehst du womöglich fälschlicherweise davon aus, dass das der FileServer in der Firma ist, tatsächlich ist es aber dein Tablet, das antwortet. Dementsprechend würde "net use x: \\192.168.0.123" ebenfalls beim Tablet landen und das weiß natürlich von nix -> Netzlaufwerk schlägt fehl.
Alle anderen Geräte in deinem Netzwerk haben ebenfalls eine IP nach dem Schema 192.168.0.x, so auch dein Tablet mit der 192.168.0.123.
Deine Firma hat ebenfalls IP-Adressen nach dem Schema 192.168.0.x, so auch der FileServer der Firma mit der 192.168.0.123 - man beachte die Übereinstimmung mit dem Tablet.
Wenn du jetzt zB nur "ping 192.168.0.123" machst und eine Antwort erhälst, gehst du womöglich fälschlicherweise davon aus, dass das der FileServer in der Firma ist, tatsächlich ist es aber dein Tablet, das antwortet. Dementsprechend würde "net use x: \\192.168.0.123" ebenfalls beim Tablet landen und das weiß natürlich von nix -> Netzlaufwerk schlägt fehl.
Deswegen solltest du dich vergewissern, dass du tatsächlich mit dem Firmennetzwerk verbunden bist und einen Test durchführen, der eindeutig auf ein Firmengerät hinweist. Ein Ping ist "neutral", aber zB eine RDP-Sitzung mit einem Terminalserver zeigt ohne wenn und aber, dass du mit der Firma verbunden bist. Es wäre auch denkbar, auf einem Drucker in der Firma eine Testseite zu drucken oder dergleichen.
