Hallo Forum,
ich hab den AVC installiert und sitze mit dem Noteboock hinter einer FBF zur Einwahl in ein LC_1722. Alles klappt wunderbar bis auf https Verbindungen mit dem IE ins Internet, wenn die VPN Einwahl steht.
Der AVC ist so eingestelt das nur bestimmte private Netze darüber ereichbar sind (10.10.10.0, 10.10.20.0...). Als DNS wird für die VPN Verbindung eine IP eines w2k Servers hinter dem LC_1722 zugewiesen.
Wenn nun der AVC eine Verbindung zum LC_1722 hat und ich lokal vom Notebook aus in einem frischen IE Browserfenster eine https Verbindung - z.Bsp. zur Bank - aufbaue dauert das ewig, 45 sec. sind bequem möglich. Wenn die Verbindung einmal etabliert ist geht alles normal zügig, auch sofort andere https Seiten im Internet im gleichen Browserfenster. Mit jedem neuen IE Fenster tritt das Problem von Neuem genau so auf (IE6 und IE7). Ist die VPN Verbindung generell aus funktioniert alles normal, nehme ich den Firefox gibts auch mit VPN Verbindung kein Problem.
Kann jemand sagen was das ist? Diese https Anfragen sind ja auch über VPN überhaupt nicht zu erreichen, was macht der Browser?
Nach meiner Beobachtung tritt das nur auf, wenn der VPN Tunnel steht und https erstmalig mit jedem frischen IE Fenster benutzt wird.
Gruß
Michael
https Verbindung bei VPN mit Internet Explorer schleppend
Moderator: Lancom-Systems Moderatoren
Hallo,
du machst also Split-Tunneling. Benutzt du in den Zielnetzen eine Deny-ALL-Regel? Hast du im Profil des VPN-Clients einen DNS-Server manuell eingegeben?
Normalerweise solltest du ueber den ISP-Zugang ins Netz kommen und nicht ueber die VPN-Verbindung.
Also bei einer http(s)-Anfrage sollte deine FBF als Gateway und DNS fungieren und nicht der DNS des VPN-Tunnels. Warum das bei den Browsern ein Unterschied darstellet ist mir ein Raetsel.
Also zusammengefasst sollten alle nicht VPN-Netze ueber den Internetprovider gehen (Standardgateway FBF) und ausschließlich deine VPN-Netze durch den Tunnel und die DNS Anfragen an diese Netze (Split-DNS).
du machst also Split-Tunneling. Benutzt du in den Zielnetzen eine Deny-ALL-Regel? Hast du im Profil des VPN-Clients einen DNS-Server manuell eingegeben?
Normalerweise solltest du ueber den ISP-Zugang ins Netz kommen und nicht ueber die VPN-Verbindung.
Also bei einer http(s)-Anfrage sollte deine FBF als Gateway und DNS fungieren und nicht der DNS des VPN-Tunnels. Warum das bei den Browsern ein Unterschied darstellet ist mir ein Raetsel.
Also zusammengefasst sollten alle nicht VPN-Netze ueber den Internetprovider gehen (Standardgateway FBF) und ausschließlich deine VPN-Netze durch den Tunnel und die DNS Anfragen an diese Netze (Split-DNS).
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hallo Michael,
Gruß
Mario
und kann der W2k die Adresse auflösen? Bitte mal mit nslookup von Deinem PC bei bestehender VPN-Verbindung prüfen.Der AVC ist so eingestelt das nur bestimmte private Netze darüber ereichbar sind (10.10.10.0, 10.10.20.0...). Als DNS wird für die VPN Verbindung eine IP eines w2k Servers hinter dem LC_1722 zugewiesen.
Sind irgendwelche Einstellung im IE für das LAN gesetzt (IE-Optionen -> Verbindungen -> LAN)? Dort alles entfernen.Wenn die Verbindung einmal etabliert ist geht alles normal zügig, auch sofort andere https Seiten im Internet im gleichen Browserfenster. Mit jedem neuen IE Fenster tritt das Problem von Neuem genau so auf (IE6 und IE7). Ist die VPN Verbindung generell aus funktioniert alles normal, nehme ich den Firefox gibts auch mit VPN Verbindung kein Problem.
Gruß
Mario
Ja vielleicht ist ein Proxy-Server im IE eingetragen aber nicht im Firefox!.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hallo ittk,
im Zielnetz ist derzeit kein Deny-All an. Der DNS im AVC ist manuell zugewiesen, der LC_1722 ist also nicht der DNS - aber die Route soll ja überhaupt nicht verwendet werden.
Wer oder was entscheidet wann welche Route zu nehmen ist? In "Erweitert" der Netzwerkverbindung steht als erstes LAN 2, die VPN Verbindung, dannach Wlan usw. Der Firefox muss aber auch diese Einstellungen benutzen.
Gruß
Michael
im Zielnetz ist derzeit kein Deny-All an. Der DNS im AVC ist manuell zugewiesen, der LC_1722 ist also nicht der DNS - aber die Route soll ja überhaupt nicht verwendet werden.
Wer oder was entscheidet wann welche Route zu nehmen ist? In "Erweitert" der Netzwerkverbindung steht als erstes LAN 2, die VPN Verbindung, dannach Wlan usw. Der Firefox muss aber auch diese Einstellungen benutzen.
Gruß
Michael
Hallo Michael,
Gruß
Mario
dann solltest Du dafür sorgen, dass der W2k in der Firma den Namen auflösen kann. Falls Du jedoch auf eine Auflösung vom Notebook für interne DNS-Namen der Firma verzichten kannst, nimmst Du einfach den DNS-Eintrag im AVC raus.bei nslookup meldet die FBF nicht gefunden, wenn VPN aus ist geht das aber.
Die Netze sind für das korrekte Routing - mit DNS haben die nichts zu tun. Für einen Client gibt es jedoch nur einen primären DNS-Server, den er zuerst befragt. Und das ist bei Deiner Konfiguration der W2k in der Firma. Erst nach einem Timeout werden weitere eingetragene DNS-Server kontaktiert.. Der DNS im Büro soll doch aber die Adresse nicht auflösen oder wieso schränkt man dann die VPN Netze am AVC ein?
Gruß
Mario
Hallo Michael,
Gruß
Mario
es wäre nützlich, wenn Du mitteilst, welche Änderungen Du vorgenommen hast. Sorry - aber für Ratespielchen hab ich keine Lust.das bringt keine Änderung.
Der FF macht nichts anderes als der IE, falls keine Proxys eingetragen sind. Hast Du in der Firma zufällig einen ISA, von dem der IE seine Konfiguration abrufen will?Das würde aber auch heissen das der Firefox beim https Verbindungsaufbau irgendwie was anders macht als der IE. Wieso kann ich eigentlich eine beliebige Internetsete mit http ansurfen und nur bei https stockt das?
Gruß
Mario