2 VPN Clients auf 2 verschiedenen Rechnern aus gleichem Netz zu verschiedenen Zielen nicht parallel möglich

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

2 VPN Clients auf 2 verschiedenen Rechnern aus gleichem Netz zu verschiedenen Zielen nicht parallel möglich

Beitrag von b.junghans »

Ein Kollege berichtete mir heute folgendes Problem:
Er arbeitet seit letzter Woche aus dem Homeoffice, wählt sich dazu mit dem Lancom VPN Client bei unserem Router ein.
Seit heute arbeitet seine Frau auch im Homeoffice. Auch sie hat den Lancom VPN Client auf Ihrem Rechner und verbindet sich damit zu dem Router Ihrer Firma.
Beide alleine können sich einzlen ohne Probleme verbinden, nur eben nicht beide gleichzeitig.

Jemand ne Ieee?
Danke!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: 2 VPN Clients auf 2 verschiedenen Rechnern aus gleichem Netz zu verschiedenen Zielen nicht parallel möglich

Beitrag von backslash »

Hi b.junghans,
Beide alleine können sich einzlen ohne Probleme verbinden, nur eben nicht beide gleichzeitig.
das ist abek kein Problem des VPN-Clients... Das klingt vielmehr so, als ob in den VPN-Gateways beider beiden Firmen NAT-T nicht aktiv ist. Das führt zu genau dem von dir beschriebenen Fehlerbild, wenn der Router bei dir zuhause IPSec nur einmal durchlassen kann (was leider bei den meisten Homeuser-Routern der Fall ist - so weit ich weiss, selbst bei der Fritzbox)

Aktiviere in beiden Firmen Gateways NAT-T - bzw. lasse es von dern dortigen Admins aktivierten...

Gruß
Backslash
b.junghans
Beiträge: 59
Registriert: 08 Okt 2013, 15:25

Re: 2 VPN Clients auf 2 verschiedenen Rechnern aus gleichem Netz zu verschiedenen Zielen nicht parallel möglich

Beitrag von b.junghans »

Muss es zwingend auf beiden aktiviert sein?
Auf unserem ist es nämlich aktiviert auf den anderen habe ich kein Zugriff. Werde ich aber mal weitergeben.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: 2 VPN Clients auf 2 verschiedenen Rechnern aus gleichem Netz zu verschiedenen Zielen nicht parallel möglich

Beitrag von backslash »

Hi b.junghans,
Muss es zwingend auf beiden aktiviert sein?
das kommt auf den Heimrouter an... Der Punkt ist das erste Paket einer jeden Session an UDP-Port 500... Wenn der Heimrouter die IPSec-Weiterleitung einzig daran festmacht, müssen beide Server NAT-T aktiv haben, denn eine aktive Verbindung ohne NAT-T würde dann auch die Verbindung mit NAT-T beeinflussen. (die Antwort auf das erste Paket würde falsch zugestellt oder das erste Paket würde gar nicht esrt an den Server weitergeleitet)

Das kannst du aber Testen, indem du einmal zuerst zu dem Server aufbaust, der garantiert NAT-T an hat und danach zum anderen - das sollte funktionieren. Ggf. auch erst mit einer gewissen Pause dazwischen, bis der Heimrouter die erste VPN-Session aus einer internen Tabelle geworfen hat (eine Minute sollet reichen).

Wenn es andersherum hingegen nicht gar funktioniert (also auch nicht mit Pasue), dann müssen tatsächlich beide Server NAT-T an haben - letztendlich sollte das aber heutzutage eigentlich Standard sein...

Vielleicht kannst du deinem Heimrouter auch die NAT-Unterstützung für IPSec ganz abgewöhnen... denn wenn der gar nicht erst versucht eine Sonderbehandlung zu machen, kann er auch nichts stören. Dann müssen aber definitiv alle VPN-Server NAT-T aktiv haben.

Gruß
Backslash
GrandDixence
Beiträge: 1055
Registriert: 19 Aug 2014, 22:41

Re: 2 VPN Clients auf 2 verschiedenen Rechnern aus gleichem Netz zu verschiedenen Zielen nicht parallel möglich

Beitrag von GrandDixence »

Am "IPsec-aware NAT"-Heimrouter die Funktion "IPSec Passthrough" abschalten und das Problem ist wahrscheinlich gelöst. Ob NAT-Traversal für den VPN-Tunnel eingesetzt wird, ist auf der entsprechenden VPN-Statusseite im Webinterface des LANCOM-Routers ersichtlich (LCOS-Menübaum/Status/VPN oder ähnlich).

Zum Thema "IPSec Passthrough", "IPsec-aware NAT" und NAT-Traversal siehe bitte meine Beiträge unter:
fragen-zum-thema-vpn-f14/lancom-hinter- ... tml#p97903

fragen-zum-thema-vpn-f14/ipsec-over-htt ... tml#p87370
Antworten