Gelöst
Der Pulse Secure Client funktioniert nicht hinter einem Speedport Hybrid Router
vor 7 Jahren
Ich nutze, um gelegentlich Änderungen an Softwarequellcode in die Versionierung git zu pushen oder um Updates zu pullen, den Pulse Secure VPN Client, da der git-Server sich in einem Firmennetzwerk im Ausland befindet. Bisher war ich o2-Kunde mit einem normalen DSL-Paket und es lief alles problemlos. Seit Kurzem bin ich nun stolzer Nutzer der Hybrid-Technologie und heute musste ich feststellen, daß keine Daten mehr per Pulse Secure Client übermittelt werden.
Zum Problem:
- Konnektieren kann ich mit dem Pulse Secure Client problemlos.
- Ping auf Hostnamen (foo.internal.com) im VPN -Netz funktioniert einwandfrei und ich bekomme auch die korrekte IP aufgelöst
- Datentransfer im Browser (https://foo.internal.com) oder git im VPN -Netz funktionieren nicht und zeigen nach einiger Zeit einen Timeout an
- Normales Internet funktioniert einwandfrei und schnell
- Pulse Secure Client hat die Versionsnummer 5.1.2 (54585) und konnektiert per SSL/ VPN
- Der Router ist ein Speedport Hybrid mit der Firmware 050124.03.07.001
- Ich nutze Windows 7 Ultimate 64bit SP1
- Ich habe WLAN TO GO abgeschaltet, da das angeblich Probleme mit dem Port 1701 verursacht
- Ich habe Portweiterleitungen für IPSec probiert ( Siehe: https://mrus.me/sunday-morning-hacking-enabling-ipsec-l2tp-forwarding-on-a-telekom-speedport-w-724v-4674831430f )
- Ich habe IPv6 abgeschaltet mit dem Patch von Microsoft
- Ich habe reines DSL versucht
- Ich habe mit allen nur erdenklichen MTU-Einstellungen experimentiert ( Per mtupath.exe aber auch mit ping -f -l ....)
- Auch alle Methoden in Kombination haben nicht geholfen
Wenn ich selbigen Computer per "Internet over USB" und 4G mit meinem Smartphone ans Internet anbinde läuft es einwandfrei.
Ich kann das Problem mit diversen Computern innerhalb meines Netzwerks reproduzieren. Es liegt also nicht an einem speziellen Computer.
Ich bin mit meinem Latein am Ende und auch Mr. Google hat heute nicht helfen können. Kann mir hier jemand Hilfestellung leisten? Ich wäre sehr dankbar, da ich heute schon einen ganzen Tag damit zugebracht habe und keinen Schritt weiter bin. Obwohl... Ich habe zumindest schon einmal herausgefunden, was NICHT hilft.
PS: Da ich meinen Lebensunterhalt mit Programmierung verdiene, schrecke ich auch vor der Kommandozeile nicht zurück.
18718
13
vor 7 Jahren
Hallo @Stefan Jelner
willkommen.
Tja, Du hast vieles geschrieben / probiert.
Leider habe ich dort keinen Zugang zum testen.
Daher fällt mir momentan nur mal eine: welche MTU Werte hast Du getestet ?
Benötigt der Zugang spezielle Ports / Freigaben ?
Ggf. wäre auch eine nachgelagerte Fritz!box hinter dem SPH mal als Test eine "Lösung".
Für dies schau auch mal bitte auf die Seiten von @aluny www.lubensky.de
Insbesondere auch hier mal https://www.lubensky.de/hybrid/vpn%20shrew%20soft.htm
Gruß
Waage1969
2
Antwort
von
vor 7 Jahren
Hallo @Waage1969,
Danke für Deine Antwort. Momentan beschäftigt sich der Helpdesk der ausländischen Firma mit dem Problem, da ein Kollege ebenfalls Hybrid nutzt und keine Datentransferprobleme hat. Der Helpdesk wird dann wohl per Teamviewer auf meiner Kiste eine Fehleranalyse machen. Bin gespannt, was sich dabei ergibt. Werde die Lösung hier definitiv auch posten.
Ich habe mir mit mtupath.exe eine optimale MTU von 1440 ausrechnen lassen. Mit
ping -f -l 1500 foo.internal.com
ping -f -l 1440 foo.internal.com
ping -f -l 1400 foo.internal.com
usw.
habe ich mich langsam rangetatstet, bis keinerlei Pakete mehr verloren gingen und habe den Wert per
netsh interface ipv4 set subinterface #Interface# mtu=#MTU-Wert# store=persistent
eingestellt.
Leider ohne Erfolg.
Bevor ich jetzt wild weiterfummel mit meinem gefährlichen Halbwissen, warte ich auf Helpdesk.
Die Idee mit der Fritzbox! fand ich sehr bestechend, da ich hier noch eine habe, die ich zwar als Repeater verwenden wollte, die ich aber auch testweise mal dafür einsetzen werde. Seien wir mal ehrlich: Ein Router, der nicht in der Lage ist, feste IPs an MACs zuzuordnen kann nur von Leuten gebaut worden sein, die sichs hinterm Mond bequem gemacht haben; vor allem bei dem stolzen Preis für das Gerät. Aber ich habe hier auf dem Land keine andere Wahl, als die bittere Pille zu schlucken. Mit reinem DSL hatte ich Werte um 5Mbit Download. Für Online-Konferenzen oder kurze VPN -Zugriffe ziemlich ungeeignet. Bleibt nur zu hoffen, daß irgendwann eine Firma, die brauchbare Geräte baut, ein Gerät auf den Markt wirft, das gemischtes Hybrid beherrscht.
Grüße aus Dortmund,
Stefan
Antwort
von
vor 7 Jahren
Hallo @Stefan Jelner
danke für die Zwischeninfo.
Ja der Router an sich ist für "Poweruser / Spezies" ein "no go".
Wir hoffen ja noch alle auf den Speedport Hybrid II der in 2018 frei gegeben werden soll.
Leider gibt es hierzu aber auch noch zu wenige offizielle / verwertbare Infos
Bin mal gespann was bei Dir das Problem löst.
Gruß
Waage1969
Uneingeloggter Nutzer
Antwort
von
vor 7 Jahren
vielen Dank, dass Sie sich hier bei uns melden.
Herzlich willkommen in der Telekom hilft Community.
@Waage1969 Danke für deine Unterstützung.
Sie haben wirklich schon einiges getestet! Sehr gut.
Haben Sie auch von mit dem "TCP-Receive Window" (Rwin) in der VPN -Anwendung gespielt?
Bitte den Wert nur mit Bedacht erhöhen.
Viele Grüße
Marita S.
7
Antwort
von
vor 7 Jahren
Hallo,
ich bin heute wieder einen Schritt weiter gekommen. Wenn ich in meinen Netzwerkadaptereinstellungen unter "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" als 1. DNS-Server die IP des DNS-Servers des VPNs eintrage und als zweite Adresse die IP des Speedport Hybrid, dann läuft alles auch ohne feste Zuweisungen in der hosts-Datei. Das ist für mich befriedigender als die gestrige Lösung.
Allerdings würde ich als Programmierer das Problem insgesamt verstehen wollen. Warum erreicht mein Computer über den Speedport Hybrid den DNS-Server nicht? Oder versucht der SPH selbst, die Adresse aufzulösen? nslookup und dig haben mir wenig Erkenntnisse gebracht.
Beispiel:
dig foo.internal.com
liefert falsche IP-Adressen, während
dig @172.1.1.1 foo.internal.com
die richtigen IP-Adressen liefert (die IP 172.1.1.1 ist nur ein Beispiel und steht für den DNS-Server innerhalb des VPN ).
Kann ich das irgendwie per Konfiguration auf dem SPH beeinflussen?
Grüße,
Stefan
Antwort
von
vor 7 Jahren
Kann ich das irgendwie per Konfiguration auf dem SPH beeinflussen?
Dazu hole ich doch mal @danXde und @Waage1969 mit dazu.
Greetz
Stefan D.
Antwort
von
vor 7 Jahren
Hallo @Stefan D.
danke für Deinen Ruf, aber ich hatte ja bereits hier geschrieben
schau mal ein paar Beiträge weiter zurück 
Aber vielleicht hat @Super-Andy noch eine prima
dazu.
Gruß
Waage1969
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 7 Jahren
Hallo,
ich bin heute wieder einen Schritt weiter gekommen. Wenn ich in meinen Netzwerkadaptereinstellungen unter "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" als 1. DNS-Server die IP des DNS-Servers des VPNs eintrage und als zweite Adresse die IP des Speedport Hybrid, dann läuft alles auch ohne feste Zuweisungen in der hosts-Datei. Das ist für mich befriedigender als die gestrige Lösung.
Allerdings würde ich als Programmierer das Problem insgesamt verstehen wollen. Warum erreicht mein Computer über den Speedport Hybrid den DNS-Server nicht? Oder versucht der SPH selbst, die Adresse aufzulösen? nslookup und dig haben mir wenig Erkenntnisse gebracht.
Beispiel:
dig foo.internal.com
liefert falsche IP-Adressen, während
dig @172.1.1.1 foo.internal.com
die richtigen IP-Adressen liefert (die IP 172.1.1.1 ist nur ein Beispiel und steht für den DNS-Server innerhalb des VPN ).
Kann ich das irgendwie per Konfiguration auf dem SPH beeinflussen?
Grüße,
Stefan
0
vor 6 Jahren
@Stefan Jelner : Ich vermute mal das Du das schon selbst gefunden hast aber eventuell hilft es ja jemandem der den Thread findet.
Ich hab ähnliche Probleme ... mein Arbeitgeber setzt auch auf "Pulse Secure" ... .-(
Ich hab einen Speedport Pro mit hybrid und erstmal funktionierte gar nichts. Nur wenn ich auf DSL only zurückgefallen bin..
Ich hab verschieden experimentierte angestellt .... MTU 1385 sorgte dafür das eine Verbindung zustande kam die nicht sofort abbrach.
Aber der entscheidende Hinweiß kam von einem Netzwerker Kollegen.
Pulse Secure kann nicht nur IPSEC. Das ist, zumindest in meinem Fall der voreingestellte Standart. Wenn IPSEC nicht funktioniert fällt Pulse Secure zurück auf SSL!! Und das ist bei mir sowohl schnell als auch stabiel ohne die MTU ändern zu müssen.
Ich hab das Problem ja nur bei der Arbeit von zuhause und hab deshalb mein "Büronetz" mit einem OpenWRT router abgetrennt.
Dann hab ich UDP port 500 (isakmp) und port 4500 ( isakmp für NAT-Traversal mode ) auf DROP Gesetzt.
Unter firewall->custom rules
iptables -I FORWARD -p udp --dport 500 -j DROP
iptables -I FORWARD -p udp --dport 4500 -j DROP
Der SpeedPort Pro kann solche tricks nicht der ist nur für DAU user. Dafür aber genauso teuer wie ein Profi Gerät ...
0
Uneingeloggter Nutzer
Frage
von