Solved
Der Pulse Secure Client funktioniert nicht hinter einem Speedport Hybrid Router
7 years ago
Ich nutze, um gelegentlich Änderungen an Softwarequellcode in die Versionierung git zu pushen oder um Updates zu pullen, den Pulse Secure VPN Client, da der git-Server sich in einem Firmennetzwerk im Ausland befindet. Bisher war ich o2-Kunde mit einem normalen DSL-Paket und es lief alles problemlos. Seit Kurzem bin ich nun stolzer Nutzer der Hybrid-Technologie und heute musste ich feststellen, daß keine Daten mehr per Pulse Secure Client übermittelt werden.
Zum Problem:
- Konnektieren kann ich mit dem Pulse Secure Client problemlos.
- Ping auf Hostnamen (foo.internal.com) im VPN -Netz funktioniert einwandfrei und ich bekomme auch die korrekte IP aufgelöst
- Datentransfer im Browser (https://foo.internal.com) oder git im VPN -Netz funktionieren nicht und zeigen nach einiger Zeit einen Timeout an
- Normales Internet funktioniert einwandfrei und schnell
- Pulse Secure Client hat die Versionsnummer 5.1.2 (54585) und konnektiert per SSL/ VPN
- Der Router ist ein Speedport Hybrid mit der Firmware 050124.03.07.001
- Ich nutze Windows 7 Ultimate 64bit SP1
- Ich habe WLAN TO GO abgeschaltet, da das angeblich Probleme mit dem Port 1701 verursacht
- Ich habe Portweiterleitungen für IPSec probiert ( Siehe: https://mrus.me/sunday-morning-hacking-enabling-ipsec-l2tp-forwarding-on-a-telekom-speedport-w-724v-4674831430f )
- Ich habe IPv6 abgeschaltet mit dem Patch von Microsoft
- Ich habe reines DSL versucht
- Ich habe mit allen nur erdenklichen MTU-Einstellungen experimentiert ( Per mtupath.exe aber auch mit ping -f -l ....)
- Auch alle Methoden in Kombination haben nicht geholfen
Wenn ich selbigen Computer per "Internet over USB" und 4G mit meinem Smartphone ans Internet anbinde läuft es einwandfrei.
Ich kann das Problem mit diversen Computern innerhalb meines Netzwerks reproduzieren. Es liegt also nicht an einem speziellen Computer.
Ich bin mit meinem Latein am Ende und auch Mr. Google hat heute nicht helfen können. Kann mir hier jemand Hilfestellung leisten? Ich wäre sehr dankbar, da ich heute schon einen ganzen Tag damit zugebracht habe und keinen Schritt weiter bin. Obwohl... Ich habe zumindest schon einmal herausgefunden, was NICHT hilft.
PS: Da ich meinen Lebensunterhalt mit Programmierung verdiene, schrecke ich auch vor der Kommandozeile nicht zurück.
18706
13
7 years ago
Hallo @Stefan Jelner
willkommen.
Tja, Du hast vieles geschrieben / probiert.
Leider habe ich dort keinen Zugang zum testen.
Daher fällt mir momentan nur mal eine: welche MTU Werte hast Du getestet ?
Benötigt der Zugang spezielle Ports / Freigaben ?
Ggf. wäre auch eine nachgelagerte Fritz!box hinter dem SPH mal als Test eine "Lösung".
Für dies schau auch mal bitte auf die Seiten von @aluny www.lubensky.de
Insbesondere auch hier mal https://www.lubensky.de/hybrid/vpn%20shrew%20soft.htm
Gruß
Waage1969
2
Answer
from
7 years ago
Hallo @Waage1969,
Danke für Deine Antwort. Momentan beschäftigt sich der Helpdesk der ausländischen Firma mit dem Problem, da ein Kollege ebenfalls Hybrid nutzt und keine Datentransferprobleme hat. Der Helpdesk wird dann wohl per Teamviewer auf meiner Kiste eine Fehleranalyse machen. Bin gespannt, was sich dabei ergibt. Werde die Lösung hier definitiv auch posten.
Ich habe mir mit mtupath.exe eine optimale MTU von 1440 ausrechnen lassen. Mit
ping -f -l 1500 foo.internal.com
ping -f -l 1440 foo.internal.com
ping -f -l 1400 foo.internal.com
usw.
habe ich mich langsam rangetatstet, bis keinerlei Pakete mehr verloren gingen und habe den Wert per
netsh interface ipv4 set subinterface #Interface# mtu=#MTU-Wert# store=persistent
eingestellt.
Leider ohne Erfolg.
Bevor ich jetzt wild weiterfummel mit meinem gefährlichen Halbwissen, warte ich auf Helpdesk.
Die Idee mit der Fritzbox! fand ich sehr bestechend, da ich hier noch eine habe, die ich zwar als Repeater verwenden wollte, die ich aber auch testweise mal dafür einsetzen werde. Seien wir mal ehrlich: Ein Router, der nicht in der Lage ist, feste IPs an MACs zuzuordnen kann nur von Leuten gebaut worden sein, die sichs hinterm Mond bequem gemacht haben; vor allem bei dem stolzen Preis für das Gerät. Aber ich habe hier auf dem Land keine andere Wahl, als die bittere Pille zu schlucken. Mit reinem DSL hatte ich Werte um 5Mbit Download. Für Online-Konferenzen oder kurze VPN -Zugriffe ziemlich ungeeignet. Bleibt nur zu hoffen, daß irgendwann eine Firma, die brauchbare Geräte baut, ein Gerät auf den Markt wirft, das gemischtes Hybrid beherrscht.
Grüße aus Dortmund,
Stefan
Answer
from
7 years ago
Hallo @Stefan Jelner
danke für die Zwischeninfo.
Ja der Router an sich ist für "Poweruser / Spezies" ein "no go".
Wir hoffen ja noch alle auf den Speedport Hybrid II der in 2018 frei gegeben werden soll.
Leider gibt es hierzu aber auch noch zu wenige offizielle / verwertbare Infos
Bin mal gespann was bei Dir das Problem löst.
Gruß
Waage1969
Unlogged in user
Answer
from
7 years ago
vielen Dank, dass Sie sich hier bei uns melden.
Herzlich willkommen in der Telekom hilft Community.
@Waage1969 Danke für deine Unterstützung.
Sie haben wirklich schon einiges getestet! Sehr gut.
Haben Sie auch von mit dem "TCP-Receive Window" (Rwin) in der VPN -Anwendung gespielt?
Bitte den Wert nur mit Bedacht erhöhen.
Viele Grüße
Marita S.
7
Answer
from
7 years ago
@Stefan Jelner also auf dem SP-H kannst Du leider offiziell nicht wirklich viel und bei DNS noch viel weniger beeinflussen. Der SP-H fragt im normalfall nur öffentliche DNS-Server ab. Da sind dann interne URL's nicht wirklich erreichbar.
Wenn du dich mit User-Scripten im Browser auskennst, geht eventuell etwas mehr.
Grüße
danXde
Answer
from
7 years ago
Hallo @danXde, @Waage1969, @Stefan D. und @Marita S.,
Danke für Eure tatkräftige Hilfe. Ich dachte es gäbe eine Art "Zero Config"-Lösung. Aber mit dem manuellen Eintrag des DNS-Servers ist mir schon super geholfen. Falls ich irgendwann mal mehr als 2 DNS-Server-Einträge bräuchte, könnte ich mir auch relativ schnell einen lokalen DNS installieren und konfigurieren. Ich werde jetzt wahrscheinlich erstmal den nächsten SPH abwarten, von dem immer mal wieder die Rede ist und ansonsten bei Langeweile noch eine Fritzbox oder sowas dazwischenschalten, um auch feste IP-Vergabe und andere Dinge zu steuern. Aber so läuft die Kiste erstmal und ich bin zufrieden. Danke nochmal. Habe den manuellen DNS-Eintrag jetzt oben als Lösung markiert.
Grüße aus Dortmund,
Stefan
Answer
from
7 years ago
Hallo @Stefan Jelner
danke für die Rückmeldung.
Auch der ein oder andere hier wünscht sich den SPH mal in einer anderen Art.
Mal sehen was noch für den jetzigen SPH kommt und was dann ggf. noch in 2018 an SPH Nachfolger erscheinen wird
Gruß
Waage1969
Unlogged in user
Answer
from
Accepted Solution
accepted by
7 years ago
Hallo,
ich bin heute wieder einen Schritt weiter gekommen. Wenn ich in meinen Netzwerkadaptereinstellungen unter "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" als 1. DNS-Server die IP des DNS-Servers des VPNs eintrage und als zweite Adresse die IP des Speedport Hybrid, dann läuft alles auch ohne feste Zuweisungen in der hosts-Datei. Das ist für mich befriedigender als die gestrige Lösung.
Allerdings würde ich als Programmierer das Problem insgesamt verstehen wollen. Warum erreicht mein Computer über den Speedport Hybrid den DNS-Server nicht? Oder versucht der SPH selbst, die Adresse aufzulösen? nslookup und dig haben mir wenig Erkenntnisse gebracht.
Beispiel:
dig foo.internal.com
liefert falsche IP-Adressen, während
dig @172.1.1.1 foo.internal.com
die richtigen IP-Adressen liefert (die IP 172.1.1.1 ist nur ein Beispiel und steht für den DNS-Server innerhalb des VPN ).
Kann ich das irgendwie per Konfiguration auf dem SPH beeinflussen?
Grüße,
Stefan
0
5 years ago
@Stefan Jelner : Ich vermute mal das Du das schon selbst gefunden hast aber eventuell hilft es ja jemandem der den Thread findet.
Ich hab ähnliche Probleme ... mein Arbeitgeber setzt auch auf "Pulse Secure" ... .-(
Ich hab einen Speedport Pro mit hybrid und erstmal funktionierte gar nichts. Nur wenn ich auf DSL only zurückgefallen bin..
Ich hab verschieden experimentierte angestellt .... MTU 1385 sorgte dafür das eine Verbindung zustande kam die nicht sofort abbrach.
Aber der entscheidende Hinweiß kam von einem Netzwerker Kollegen.
Pulse Secure kann nicht nur IPSEC. Das ist, zumindest in meinem Fall der voreingestellte Standart. Wenn IPSEC nicht funktioniert fällt Pulse Secure zurück auf SSL!! Und das ist bei mir sowohl schnell als auch stabiel ohne die MTU ändern zu müssen.
Ich hab das Problem ja nur bei der Arbeit von zuhause und hab deshalb mein "Büronetz" mit einem OpenWRT router abgetrennt.
Dann hab ich UDP port 500 (isakmp) und port 4500 ( isakmp für NAT-Traversal mode ) auf DROP Gesetzt.
Unter firewall->custom rules
iptables -I FORWARD -p udp --dport 500 -j DROP
iptables -I FORWARD -p udp --dport 4500 -j DROP
Der SpeedPort Pro kann solche tricks nicht der ist nur für DAU user. Dafür aber genauso teuer wie ein Profi Gerät ...
0
Unlogged in user
Ask
from