Der Pulse Secure Client funktioniert nicht hinter einem Speedport Hybrid Router

Stefan Jelner · ‎09.04.2018

Ich nutze, um gelegentlich Änderungen an Softwarequellcode in die Versionierung git zu pushen oder um Updates zu pullen, den Pulse Secure VPN Client, da der git-Server sich in einem Firmennetzwerk im Ausland befindet. Bisher war ich o2-Kunde mit einem normalen DSL-Paket und es lief alles problemlos. Seit Kurzem bin ich nun stolzer Nutzer der Hybrid-Technologie und heute musste ich feststellen, daß keine Daten mehr per Pulse Secure Client übermittelt werden.

Zum Problem:
- Konnektieren kann ich mit dem Pulse Secure Client problemlos.
- Ping auf Hostnamen (foo.internal.com) im VPN-Netz funktioniert einwandfrei und ich bekomme auch die korrekte IP aufgelöst
- Datentransfer im Browser (https://foo.internal.com) oder git im VPN-Netz funktionieren nicht und zeigen nach einiger Zeit einen Timeout an
- Normales Internet funktioniert einwandfrei und schnell
- Pulse Secure Client hat die Versionsnummer 5.1.2 (54585) und konnektiert per SSL/VPN
- Der Router ist ein Speedport Hybrid mit der Firmware 050124.03.07.001
- Ich nutze Windows 7 Ultimate 64bit SP1
- Ich habe WLAN TO GO abgeschaltet, da das angeblich Probleme mit dem Port 1701 verursacht
- Ich habe Portweiterleitungen für IPSec probiert ( Siehe: https://mrus.me/sunday-morning-hacking-enabling-ipsec-l2tp-forwarding-on-a-telekom-speedport-w-724v-... )
- Ich habe IPv6 abgeschaltet mit dem Patch von Microsoft
- Ich habe reines DSL versucht
- Ich habe mit allen nur erdenklichen MTU-Einstellungen experimentiert ( Per mtupath.exe aber auch mit ping -f -l ....)
- Auch alle Methoden in Kombination haben nicht geholfen

Wenn ich selbigen Computer per "Internet over USB" und 4G mit meinem Smartphone ans Internet anbinde läuft es einwandfrei.
Ich kann das Problem mit diversen Computern innerhalb meines Netzwerks reproduzieren. Es liegt also nicht an einem speziellen Computer.

Ich bin mit meinem Latein am Ende und auch Mr. Google hat heute nicht helfen können. Kann mir hier jemand Hilfestellung leisten? Ich wäre sehr dankbar, da ich heute schon einen ganzen Tag damit zugebracht habe und keinen Schritt weiter bin. Obwohl... Ich habe zumindest schon einmal herausgefunden, was NICHT hilft.

PS: Da ich meinen Lebensunterhalt mit Programmierung verdiene, schrecke ich auch vor der Kommandozeile nicht zurück.

Stefan Jelner · ‎16.04.2018

Hallo,

ich bin heute wieder einen Schritt weiter gekommen. Wenn ich in meinen Netzwerkadaptereinstellungen unter "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" als 1. DNS-Server die IP des DNS-Servers des VPNs eintrage und als zweite Adresse die IP des Speedport Hybrid, dann läuft alles auch ohne feste Zuweisungen in der hosts-Datei. Das ist für mich befriedigender als die gestrige Lösung.

Allerdings würde ich als Programmierer das Problem insgesamt verstehen wollen. Warum erreicht mein Computer über den Speedport Hybrid den DNS-Server nicht? Oder versucht der SPH selbst, die Adresse aufzulösen? nslookup und dig haben mir wenig Erkenntnisse gebracht.

Beispiel:

dig foo.internal.com

liefert falsche IP-Adressen, während

dig @172.1.1.1 foo.internal.com

die richtigen IP-Adressen liefert (die IP 172.1.1.1 ist nur ein Beispiel und steht für den DNS-Server innerhalb des VPN).

Kann ich das irgendwie per Konfiguration auf dem SPH beeinflussen?

Grüße,

Stefan

Lösung in ursprünglichem Beitrag anzeigen

Waage1969 · ‎11.04.2018

Hallo @Stefan Jelner

willkommen.

Tja, Du hast vieles geschrieben / probiert.

Leider habe ich dort keinen Zugang zum testen.

Daher fällt mir momentan nur mal eine: welche MTU Werte hast Du getestet ?
Benötigt der Zugang spezielle Ports / Freigaben ?

Ggf. wäre auch eine nachgelagerte Fritz!box hinter dem SPH mal als Test eine "Lösung".

Für dies schau auch mal bitte auf die Seiten von @aluny www.lubensky.de
Insbesondere auch hier mal https://www.lubensky.de/hybrid/vpn%20shrew%20soft.htm

Gruß

Waage1969

Stefan Jelner · ‎11.04.2018

Hallo @Waage1969,

Danke für Deine Antwort. Momentan beschäftigt sich der Helpdesk der ausländischen Firma mit dem Problem, da ein Kollege ebenfalls Hybrid nutzt und keine Datentransferprobleme hat. Der Helpdesk wird dann wohl per Teamviewer auf meiner Kiste eine Fehleranalyse machen. Bin gespannt, was sich dabei ergibt. Werde die Lösung hier definitiv auch posten.

Ich habe mir mit mtupath.exe eine optimale MTU von 1440 ausrechnen lassen. Mit

ping -f -l 1500 foo.internal.com

ping -f -l 1440 foo.internal.com
ping -f -l 1400 foo.internal.com
usw.

habe ich mich langsam rangetatstet, bis keinerlei Pakete mehr verloren gingen und habe den Wert per
netsh interface ipv4 set subinterface #Interface# mtu=#MTU-Wert# store=persistent
eingestellt.

Leider ohne Erfolg.

Bevor ich jetzt wild weiterfummel mit meinem gefährlichen Halbwissen, warte ich auf Helpdesk.

Die Idee mit der Fritzbox! fand ich sehr bestechend, da ich hier noch eine habe, die ich zwar als Repeater verwenden wollte, die ich aber auch testweise mal dafür einsetzen werde. Seien wir mal ehrlich: Ein Router, der nicht in der Lage ist, feste IPs an MACs zuzuordnen kann nur von Leuten gebaut worden sein, die sichs hinterm Mond bequem gemacht haben; vor allem bei dem stolzen Preis für das Gerät. Aber ich habe hier auf dem Land keine andere Wahl, als die bittere Pille zu schlucken. Mit reinem DSL hatte ich Werte um 5Mbit Download. Für Online-Konferenzen oder kurze VPN-Zugriffe ziemlich ungeeignet. Bleibt nur zu hoffen, daß irgendwann eine Firma, die brauchbare Geräte baut, ein Gerät auf den Markt wirft, das gemischtes Hybrid beherrscht.

Grüße aus Dortmund,

Stefan

Waage1969 · ‎11.04.2018

Hallo @Stefan Jelner

danke für die Zwischeninfo.

Ja der Router an sich ist für "Poweruser / Spezies" ein "no go".

Wir hoffen ja noch alle auf den Speedport Hybrid II der in 2018 frei gegeben werden soll.

Leider gibt es hierzu aber auch noch zu wenige offizielle / verwertbare Infos

Bin mal gespann was bei Dir das Problem löst.

Gruß

Waage1969

Marita S. · ‎13.04.2018

Guten Abend @Stefan Jelner,

vielen Dank, dass Sie sich hier bei uns melden.
Herzlich willkommen in der Telekom hilft Community.

@Waage1969 Danke für deine Unterstützung.

Sie haben wirklich schon einiges getestet! Sehr gut.

Auch wenn bisher noch nichts von Erfolg gekrönt war.

Haben Sie auch von mit dem "TCP-Receive Window" (Rwin) in der VPN-Anwendung gespielt?
Bitte den Wert nur mit Bedacht erhöhen.

Viele Grüße
Marita S.

Stefan Jelner · ‎15.04.2018

Hallo,

Danke für Eure Bemühungen. Ich habe es jetzt mit Wireshark und meiner USB-Verbindung weiter eingrenzen können. Es ist definitiv ein DNS-Problem. Ich habe mir über die USB-Verbindung die IP-Adressen geben lassen und einfach mit den Hostnamen fest in der hosts Datei unter C:\Windows\System32\drivers\etc\hosts verdrahtet. Wenn ich jetzt per DSL/LTE konnektiere und die Seiten aufrufe, klappt es einwandfrei.

Damit könnte ich theoretisch jetzt leben. Allerdings müsste ich zukünftig jeden neuen Hostnamen oder Änderungen immer manuell mitschleifen. Gibt es dazu vielleicht einen Tipp? Ich glaube bei der Verbindung per DSL/LTE in Wireshark gesehen zu haben, daß die DNS-Anfragen per IPv6 gemacht wurden, während die Anfragen per Internet over USB per IPv4 waren. Könnte das ein Problem sein? Gibt es eine Möglichkeit, DNS-Anfragen etwas genauer zu analysieren? Dann könnte ich nämlich die Anfragen per DSL/LTE und Internet over USB vergleichen bzw. hier veröffentlichen und wir könnten mal schauen, wo genau es klemmt.

Ich bin aber schon glücklich, daß es jetzt zumindest läuft und ich vernünftig arbeiten kann.

Schönen Sonntag noch,

Stefan

Stefan Jelner · ‎16.04.2018

Hallo,

ich bin heute wieder einen Schritt weiter gekommen. Wenn ich in meinen Netzwerkadaptereinstellungen unter "Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4)" als 1. DNS-Server die IP des DNS-Servers des VPNs eintrage und als zweite Adresse die IP des Speedport Hybrid, dann läuft alles auch ohne feste Zuweisungen in der hosts-Datei. Das ist für mich befriedigender als die gestrige Lösung.

Allerdings würde ich als Programmierer das Problem insgesamt verstehen wollen. Warum erreicht mein Computer über den Speedport Hybrid den DNS-Server nicht? Oder versucht der SPH selbst, die Adresse aufzulösen? nslookup und dig haben mir wenig Erkenntnisse gebracht.

Beispiel:

dig foo.internal.com

liefert falsche IP-Adressen, während

dig @172.1.1.1 foo.internal.com

die richtigen IP-Adressen liefert (die IP 172.1.1.1 ist nur ein Beispiel und steht für den DNS-Server innerhalb des VPN).

Kann ich das irgendwie per Konfiguration auf dem SPH beeinflussen?

Grüße,

Stefan

Stefan D. · ‎17.04.2018

@Stefan Jelner

Stefan Jelner schrieb: Kann ich das irgendwie per Konfiguration auf dem SPH beeinflussen?

Dazu hole ich doch mal @danXde und @Waage1969 mit dazu.

Greetz
Stefan D.

Waage1969 · ‎17.04.2018

Hallo @Stefan D.

danke für Deinen Ruf, aber ich hatte ja bereits hier geschrieben schau mal ein paar Beiträge weiter zurück

Aber vielleicht hat @Super-Andy noch eine prima dazu.

Gruß

Waage1969

danXde · ‎17.04.2018

@Stefan Jelner also auf dem SP-H kannst Du leider offiziell nicht wirklich viel und bei DNS noch viel weniger beeinflussen. Der SP-H fragt im normalfall nur öffentliche DNS-Server ab. Da sind dann interne URL's nicht wirklich erreichbar.

Wenn du dich mit User-Scripten im Browser auskennst, geht eventuell etwas mehr.

Grüße

danXde

Stefan Jelner · ‎17.04.2018

Hallo @danXde, @Waage1969, @Stefan D. und @Marita S.,

Danke für Eure tatkräftige Hilfe. Ich dachte es gäbe eine Art "Zero Config"-Lösung. Aber mit dem manuellen Eintrag des DNS-Servers ist mir schon super geholfen. Falls ich irgendwann mal mehr als 2 DNS-Server-Einträge bräuchte, könnte ich mir auch relativ schnell einen lokalen DNS installieren und konfigurieren. Ich werde jetzt wahrscheinlich erstmal den nächsten SPH abwarten, von dem immer mal wieder die Rede ist und ansonsten bei Langeweile noch eine Fritzbox oder sowas dazwischenschalten, um auch feste IP-Vergabe und andere Dinge zu steuern. Aber so läuft die Kiste erstmal und ich bin zufrieden. Danke nochmal. Habe den manuellen DNS-Eintrag jetzt oben als Lösung markiert.

Grüße aus Dortmund,

Stefan

Waage1969 · ‎17.04.2018

Hallo @Stefan Jelner

danke für die Rückmeldung.

Auch der ein oder andere hier wünscht sich den SPH mal in einer anderen Art.
Mal sehen was noch für den jetzigen SPH kommt und was dann ggf. noch in 2018 an SPH Nachfolger erscheinen wird

Gruß

Waage1969

Gelöschter Nutzer · ‎14.10.2019

@Stefan Jelner : Ich vermute mal das Du das schon selbst gefunden hast aber eventuell hilft es ja jemandem der den Thread findet.

Ich hab ähnliche Probleme ... mein Arbeitgeber setzt auch auf "Pulse Secure" ... .-(
Ich hab einen Speedport Pro mit hybrid und erstmal funktionierte gar nichts. Nur wenn ich auf DSL only zurückgefallen bin..
Ich hab verschieden experimentierte angestellt .... MTU 1385 sorgte dafür das eine Verbindung zustande kam die nicht sofort abbrach.

Aber der entscheidende Hinweiß kam von einem Netzwerker Kollegen.

Pulse Secure kann nicht nur IPSEC. Das ist, zumindest in meinem Fall der voreingestellte Standart. Wenn IPSEC nicht funktioniert fällt Pulse Secure zurück auf SSL!! Und das ist bei mir sowohl schnell als auch stabiel ohne die MTU ändern zu müssen.

Ich hab das Problem ja nur bei der Arbeit von zuhause und hab deshalb mein "Büronetz" mit einem OpenWRT router abgetrennt.

Dann hab ich UDP port 500 (isakmp) und port 4500 ( isakmp für NAT-Traversal mode ) auf DROP Gesetzt.

Unter firewall->custom rules
iptables -I FORWARD -p udp --dport 500 -j DROP
iptables -I FORWARD -p udp --dport 4500 -j DROP

Der SpeedPort Pro kann solche tricks nicht der ist nur für DAU user. Dafür aber genauso teuer wie ein Profi Gerät ...

Der Pulse Secure Client funktioniert nicht hinter einem Speedport Hybrid Router

Social Media