Es gibt eine Reihe von Ursachen für ein derartiges Problem. Diese FAQ wird Ihnen dabei helfen herauszufinden, was in Ihrem konkreten Fall die Fehlerursache ist. In dieser Antwort wird der Begriff Zielgerät stellvertretend für das Gerät verwendet, zu dem Sie sich über das VPN verbinden möchten. Das Zielgerät kann in Ihrem konkreten Fall alles sein, von einem normalen Rechner, über einen Server, bis hin zu einem Netzwerkdrucker.

1. Versuchen Sie sich zum Zielgerät mittels Hostnamen zu verbinden?

Wenn Sie einen Hostnamen verwenden, versuchen Sie es stattdessen bitte einmal mit der IP Adresse des Zielgerätes. Wenn es damit funktioniert, liegt ein Problem mit Ihren DNS Einstellungen vor. Stellen Sie bitte sicher, dass DNS für die VPN Verbindung eingeschaltet und korrekt konfiguriert ist. Bitte beachten Sie, dass Sie grundsätzlich nie Bonjour oder NETBIOS Hostnamen über VPN verwenden können.

2. Ist die IP Adresse, zu der Sie sich verbinden, auch wirklich Teil des Remote-Netzwerks?

Wenn Ihr Remote-Netzwerk beispielsweise 192.168.13.0/24 ist, sollten Sie sich zu allen IPs verbinden können, die mit 192.168.13.x anfangen. Verbindungen zu 192.168.14.x sind damit hingegen über das VPN nicht möglich, da diese Adresse außerhalb des Adressbereichs liegt, der über das VPN gesendet wird.

3. Ist die lokale Adresse in VPN Tracker Teil des Remote-Netzwerks?

Mit den meisten VPN Gateways können Sie nur lokale Adressen (Grundeinstellungen > Lokale Adresse) verwenden, die nicht Teil eines Remote-Netzwerks sind. Bitte verwenden Sie daher eine lokale Adresse, die ausserhalb aller Remote-Netzwerke liegt. Wenn Ihr Remote-Netzwerk beispielsweise 192.168.13.0/24 ist, verwenden Sie bitte keine Addresse, die mit 192.168.13. beginnt. Wenn Sie eine automatische Konfiguration verwenden (z.B. Mode Config, EasyVPN oder DHCP über VPN), können Sie in manchen Fällen auch IPs zuweisen, die Teil des Remote-Netzwerks sind. Details dazu finden Sie in der Konfigurationsanleitung für Ihr VPN Gateway.

4. Nutzen vielleicht mehrere VPN Nutzer die gleiche lokale Adresse?

Falls es mehrere VPN Nutzer gibt, stellen Sie bitte des weiteren sicher, dass keine zwei VPN Nutzer die gleiche lokale Adresse (Grundeinstellungen > Lokale Adresse) verwenden, denn ansonsten kann einer von beiden seinen Tunnel nicht verwenden, sobald beide zeitgleich verbunden sind. Falls dieses Feld bei Ihnen leer gelassen wurde, verwendet VPN Tracker einfach die IP Adresse Ihres primären Netzwerkinterfaces, was bei mehreren Nutzern natürlich auch bei zwei Nutzern die gleiche Adresse sein könnte, daher ist es nicht empfehlenswert bei mehreren VPN Nutzern dieses Feld leer zu lassen.

5. Können Sie die LAN Adresse des VPN Gateways selber pingen?

Sie finden ein Ping-Werkzeug direkt in VPN Tracker im Menü unter Werkzeuge > Host pingen. Die LAN Adresse des VPN Gateways ist insofern interessant, da Datenverkehr zu dieser Adresse im Remote-Netzwerk nicht gerouted werden muss. Ist also diese Adresse erreichbar, aber keine andere Adresse, dann liegt ein Routing Problem auf der Gatewayseite vor.

6. Wenn Sie keinen Computer im Remote-Netzwerk pingen können, lassen Sie bitte den Test der VPN-Verfügbarkeit erneut laufen.

Sie finden den Test im Menü unter Werkzeuge > Test der VPN-Verfügbarkeit. Verbinden Sie anschließend das VPN erneut. Die Ergebnisse dieses Tests hängen von den Fähigkeiten Ihres lokalen Internet Routers/Modem bzw. ihrer Internetverbindung ab und haben Einfluss darauf, wie der VPN Tunnel aufgebaut. Dieser Test läuft automatisch für jede neue Internetverbindung, die VPN Tracker erkennt, aber auch wenn die Verbindung bereits bekannt ist, kann sich das Verhalten der Verbindung aus diversen Gründen geändert haben und daher kann es helfen den Test einfach erneut durchzuführen.

7. Ist Ihr VPN Gateway das Standardgateway (der Router) des Remote-Netzwerks?

Falls nicht, benötigen Sie im Normalfall ein geeignetes Routing-Setup, um sicherzustellen, dass Antworten des Zielrechners das VPN Gateway überhaupt erreichen, denn wann immer Rechner einer externen Adresse antworten möchten, senden sie die Antwort an ihren Standardgateway und wenn das nicht der VPN Gateway ist, dann wird dieser nicht wissen, was er mit dieser Antwort anfangen soll. In diesem Fall ist es wichtig, dass der Standardgateway die Antworten an den VPN Gateway weiterleitet.

8. Haben Sie ggf. Software installiert, die VPN Datenverkehr blockiert?

Hierzu möchten wir Sie bitte auf folgenden FAQ Eintrag verweisen.

9. Haben Sie weitere VPN Software installiert?

Hierzu möchten wir Sie bitte auf folgenden FAQ Eintrag verweisen.

Den Pre-Shared Key für eine neue VPN-Verbindung einrichten

Ich habe meinen Pre-Shared-Key verloren - wie bekomme ich ihn wieder?

1. Prüfen Sie, ob Sie die Verbindung in Ihrem Personal Safe gespeichert haben. Falls ja, können Sie sich eventuell die Verbindung nochmals neu herunterladen.
2. Sehen Sie im Schlüsselbund nach (Programme > Dienstprogramme > Schlüsselbundverwaltung). Hier wird der Pre-Shared Key normalerweise gespeichert. Wenn Sie in der Schlüsselbundverwaltung im Suchfeld rechts oben "Shared Secret" oder "geteiltes Geheimnis" eingeben, sollten alle gespeicherten PSKs aufgelistet werden.
3. Haben Sie evtl. ein Time Machine Backup? Hieraus könnten Sie sich eine alte Verbindung inklusive dem Pre-Shared Key wiederherstellen.
4. Direkt auf der Firewall nachsehen oder den zuständigen VPN Administrator fragen. Wo dies in Ihrer Firewall zu finden ist, sehen Sie in der jeweiligen Produkte-Konfigurationsanleitung.

Nach dem Upgrade auf macOS 15 (Sequoia) stellen Sie möglicherweise fest, dass Ihr Mac ständig seine MAC-Adresse ändert, was Ihre Fähigkeit beeinträchtigen kann, sich mit Ihrem VPN zu verbinden. Dieses Verhalten ist auf die neuen Datenschutzfunktionen von macOS 15 zurückzuführen, die zufällige MAC-Adressen für Netzwerkverbindungen zuweisen können. Sie können jedoch Ihre Netzwerkeinstellungen so konfigurieren, dass immer eine feste MAC-Adresse verwendet wird, um Probleme mit der VPN-Konnektivität zu beheben, z. B. wenn DHCP-Reservierungen aufgrund von MAC-Adressänderungen fehlschlagen.

So richten Sie eine feste MAC-Adresse in macOS 15 (Sequoia) ein:

1. Öffnen Sie die Systemeinstellungen:
   • Klicken Sie oben links auf das Apple-Logo auf Ihrem Bildschirm.
   • Wählen Sie Systemeinstellungen aus dem Dropdown-Menü.
2. Gehen Sie zu den Wi-Fi-Einstellungen:
   • Klicken Sie in der linken Seitenleiste auf WLAN.
   • Wählen Sie das Wi-Fi-Netzwerk aus, mit dem Sie normalerweise eine Verbindung für den VPN-Zugriff herstellen und klicken auf "Details..."
3. Konfigurieren Sie die MAC-Adresse:
   • Suchen Sie nach der Option mit der Bezeichnung Private WLAN-Adresse.
   • Setzen Sie hier den Schalter auf "Statisch", um eine feste MAC-Adresse für Ihr Gerät anstelle einer zufälligen zu verwenden.
     Hinweis: In manchen Fällen ist die Einstellung Statisch nicht ausreichend, und es kann weiterhin zu Problemen kommen. In diesem Fall, bitte den den Schalter auf "Aus" setzen.
     
   • Ihr Netzwerk wird jetzt immer mit derselben MAC-Adresse verbunden, was zur Stabilität der VPN-Verbindung beiträgt.
4. Stellen Sie die VPN Tracker-Verbindung wieder her:
   • Sobald Sie eine feste MAC-Adresse festgelegt haben, stellen Sie sicher, dass die DHCP-Reservierung oder Konfiguration Ihres VPNs mit dieser MAC-Adresse übereinstimmt.

Dieser Vorgang stellt die Fähigkeit von VPN Tracker wieder her, eine zuverlässige Verbindung mit einer konsistenten MAC-Adresse herzustellen, wodurch Probleme behoben werden, die durch die standardmäßige Randomisierung der MAC-Adresse in macOS 15 Sequoia verursacht werden.

• Als erstes müssen Sie VPN Tracker herunterladen. Sie können dies über diesen Link tun.
• Starten Sie die VPN Tracker App und klicken "Anmelden" im linken oberen Bereich des Programm-Fensters.
• Geben Sie hier Ihre equinux ID und Ihr Passwort ein. Tipp:Nicht sicher? Ihr Benutzerkonto haben Sie bereits beim Kauf von VPN Tracker 365 in unserem Online Store erstellt.

World Connect User?

Laden Sie den VPN Tracker World Connect über diesen Link. VPN Tracker World Connect muss mit dem App Store installiert werden. Sobald Sie die App auf Ihrem Gerät installiert haben, melden Sie sich mit Ihrer equinux ID an.

VPN Tracker benötigt unterschiedliche Passwörter für unterschiedliche Zwecke: Ihr Administratorpasswort zur Installation, Passwörter um Ihr VPN zu verbinden oder um auf Ihren Schlüsselbund zugreifen zu können usw.

In diesem Guide finden Sie eine Übersicht aller von VPN Tracker verwendeten Passwortabfragen, deren Zweck und welches Passwort jeweils eingegeben werden muss.

Administrator-Passwortabfragen

VPN Tracker wird ab und zu nach Ihrem Administrator-Passwort fragen - zum Beispiel während der Installation auf macOS, um die für VPN Tracker nötige Systemerweiterungen freizugeben.

Account + Lizenzierung

Für das Einloggen in VPN Tracker auf dem Mac oder unter iOS, sowie, um im Browser auf my.vpntracker.com einloggen zu können, müssen Sie Ihre equinux ID und Ihr Passwort eingeben. Dieses Passwort gibt Ihnen Zugriff auf Ihren VPN Tracker Account, wo Daten zu Ihrem Plan, Ihrem Team sowie zu Verbindungen und Geräten gespeichert werden.

Pre-Shared-Key

Viele VPN-Verbindungen werden mittels eines Pre-Shared Key (PSK) oder Shared Secret gesichert, der während der Konfiguration auf dem Gateway gesetzt wird. Um sich danach in VPN Tracker mit Ihrem VPN zu verbinden, müssen Sie Ihren PSK eingeben.

Falls Sie keinen Zugriff auf Ihr VPN-Gateway haben, sollten Sie bei dieser Passwort-Abfrage am besten Kontakt zu Ihrem Admin aufnehmen. Tipp: Admins können TeamCloud nutzen, um vorkonfigurierte VPN-Verbindungen mit Teammitglieder zu teilen, um Verwirrung für Enduser zu vermeiden.

Erweiterte Authentifizierung (XAUTH)

Die meisten VPNs haben eine Liste erlaubter VPN-Nutzer:innen - z. B. Mitarbeiter:innen. Alle Nutzer:innen verfügen über einen eigenen Benutzernamen und ein eigenes Passwort, die Sie eingeben müssen, um sich in VPN Tracker mit dem VPN verbinden zu können. Dies sind in vielen Fällen die gleichen Anmeldedaten, die für den Login im Büro verwendet werden. Falls Sie unsicher sind, kann Ihr Admin weiterhelfen.

• Private IP Adressen, und
• Öffentliche IP Adressen

• 192.168.0.x und
• 192.168.1.x

1. Den lokalen Netzwerkbereich auf einen anderen Range ändern (bevorzugt)

   
   Mögliche Ranges sind:
   
   • 10.250.250.x
   • 172.30.30.x
   • 192.168.250.x
   
   Vorteil: Sobald diese Änderung an Ihrem Heimnetzwerk durchgeführt wurde, werden Sie in diesem Netz keine Probleme mehr haben.
   Nachteil: Sie müssen die Einstellungen an Ihrem privaten Router ändern, hierfür benötigen Sie Zugriff zu dem Router und dies ist zeitaufwändig.
   Was müssen Sie tun:
   
   • Auf dem lokalen Router anmelden
   • Den Bereich mit den "DHCP" Einstellungen finden.
   • Router IP Adresse ändern (zum Beispiel auf eine der oben genannten Adressbereiche wie 172.30.30.1)
   • DHCP Server Einstellungen auf den gleichen Range wie Ihren Router ändern (wenn Ihr Router die IP 172.30.30.1 hat, wäre ein möglicher Bereich 172.30.30.10 bis 172.30.30.253)
   
   Nachdem diese Änderungen durchgeführt wurde, wird es keine weiteren Konflikte zwischen Ihrem Heimnetz und dem Firmennetz geben.

2. Force Traffic over VPN

   
   Es gibt Situationen in denen die erste Option nicht möglich ist (zum Beispiel wenn Sie sich in einem Café oder Hotel befinden). In diesem Fall gibt es die Option den Traffic über Ihr VPN zu erzwingen. Dies bedeutet Ihr Firmennetz gewinnt immer.
   Vorteil: Diese Einstellung ist global, d.h. egal welches Netzwerk Sie verwenden, Sie können sich immer verbinden.
   Nachteil: Sobald Sie mit dem VPN verbunden sind, können Sie nicht mehr mit Ihren lokalen Geräten spreche, wie zum Beispiel Ihrem Router, lokale Server oder lokale Netzwerkdrucker.
   Was müssen Sie tun:
   
   • VPN Verbindung konfigurieren
   • Oben im Fenster das Tab "Erweitert" auswählen
   • Im Bereich "Traffic Control" das Häkchen setzen bei "Lokalen Netzwerkverkehr über das VPN senden, wenn sich Remote-Netzwerke mit lokalen Netzwerken überschneiden"
   
   

VPN Tracker kostenlos laden

VPN Tracker erstellt automatisch Backups aller VPN Verbindungen, die auf Ihrem Mac gesichert werden. Wenn Sie eine Verbindung versehentlich gelöscht oder verändert haben, können Sie es aus einem Backup wiederherstellen.

Schritt 1: Personal Safe Sync deaktivieren

Zunächst sollte Personal Safe für die Verbindungen deaktiviert werden, die Sie wiederherstellen möchte. Dadurch wird verhindert, dass der kaputte Zustand per Sync wieder eingespielt wird.

• Wählen Sie VPN Tracker 365 > Einstellungen > Personal Safe aus der Menüleiste
• Entfernen Sie das Häkchen bei den Verbindungen, die Sie aus dem Backup einspielen möchten
• Beenden Sie VPN Tracker 365

Schritt 2: Backup einspielen

• Öffnen Sie den Finder und wählen Sie "Gehe zu > Gehe zum Ordner …"
• Geben Sie folgenden Pfad ein und bestätigen Sie ihn

/Library/Application Support/VPN Tracker 365

• Nennen Sie den "etc" Ordner in "etc-backup" um, damit Sie zur Sicherheit eine Kopie haben
• Wechseln Sie in den "Backup" Ordner

Dort sehen Sie mehrere Ordner, die nach dem Schema "etc-Datum" benannt sind.

• Wählen Sie den Ordner dessen Stand Sie wiederherstellen möchten und bewegen Sie es aus dem "backup" Verzeichnis in den übergeordneten "VPN Tracker 365" Ordner
• Dieser Ordner muss jetzt in "etc" umbenannt werden – löschen Sie also die Datumsangabe aus dem Ordnernamen
• Öffnen Sie anschliessend VPN Tracker 365 wieder

Jetzt sind Ihre Verbindungen wiederhergestellt.

Schritt 3: Personal Safe wieder einschalten

• Wählen Sie VPN Tracker 365 > Einstellungen > Personal Safe aus der Menüleiste
• Setzen Sie die Häkchen wieder bei Ihren Verbindungen

VPN Tracker kostenlos laden

‣Öffnen Sie die Systemeinstellungen

‣Gehen Sie zu den Sicherheitseinstellungen

‣Klicken Sie "Erlauben"

IPsec VPNs verwenden ein anderes Protokoll (ESP) für die Datenübertragung als für den Verbindungsaufbau (IKE). Da das ESP Protokoll keine Netzwerkports kennt, kann es sein das NAT (Network Address Translation) Router damit nicht korrekt umgehen können. Nur NAT Router, die "IPSec Passthrough" beherrschen (manchmal auch "VPN Passthrough" oder "ESP Passthrough" genannt) und bei denen diese Option auch aktiviert ist, können ESP Packet korrekt verarbeiten.

Um dieses Problem zu umgehen existieren zwei alternative Tunnelmechanismen:

• NAT-Traversal (alte, RFC Draft Version)
• NAT-Traversal (neue, RFC Standard Version)

Welche dieser Methoden möglich ist, hängt von zwei Bedingungen ab:

1. Welche dieser Methoden es ermöglicht überhaupt Daten über den lokalen Router hinaus in's Internet zu senden.
2. Welche dieser Methoden der VPN Gateway auf der anderen Seite unterstützt.

Um die erste Bedingung zu testen baut VPN Tracker automatisch drei VPN Verbindungen zu einem VPN Gateway in der Client, sobald er einen Router erkennt, der bisher noch nicht getestet wurde. Eine Verbindung nutzt dabei nur normales ESP, die anderen beiden je einen der oben erwähnten Tunnelmechanismen. Der Grund warum der Test mit einem unserer VPN Gateways erfolgen muss ist einfach der, dass ein Gateway benötigt wird, der alle drei Methoden beherrscht, dessen korrekte Konfiguration VPN Tracker bekannt ist und der einen einfache Weg bietet, mit dem man prüfen kann, ob Datenverkehr dort am Ziel auch wirklich angekommen ist.

Die zweite Bedingungen wird nicht vorab geprüft, sondern diese Information erhält VPN Tracker automatisch beim Verbindungsaufbau mit einer Gegenstellen. VPN Tracker vergleicht dann die unterstützten Methoden mit den Testergebnissen. Sofern es eine Übereinstimmung gibt, also eine Method, die sowohl im Test funktioniert als auch von der Gegenstelle unterstützt wird, so wird diese verwendet. Falls es keine Übereinstimmung gibt, bricht VPN Tracker den Verbindungsaufbau sofort ab und zeigt eine entsprechende Fehlermeldung mit Erklärung im Log.

Falls Sie der Meinung sind, die Testergebnisse können so nicht stimmen bzw. sind vielleicht veraltet, können Sie diesen Test jederzeit erneut durchführen lassen:

‣ Stellen Sie NAT-Traversal (Reiter Erweitert) auf Automatisch
‣ Gehen Sie im Menü zu "Werkzeuge" > "Test der VPN-Verfügbarkeit"
‣ Klicken Sie "Erneut Testen"
‣ Warten Sie bis der Test fertig ist und verbinden Sie dann Ihr VPN

Der Testdialog erlaubt es auch VPN Tracker mitzuteilen, dass die aktuell Netzwerkumgebung nicht getestet werden soll bzw. bereits vorhandene Testresultate einfach zu ignorieren sind. Das ist selten notwendig und grundsätzlich nicht empfehlenswert, aber es gibt Situationen, wo ein Test nicht möglich ist, da z.B. unser VPN Gateway nicht erreichbar ist (ggf. wird dieser von einer Firewall blockiert) und somit die Testresultate nicht wirklich die Fähigkeiten des lokalen Routers widerspiegeln.

Ein solches Setup wird in VPN Tracker als “Host zu allen Netzwerken” bezeichnet. Jeglicher nicht-lokaler Netzwerkverkehr geht durch das VPN. Damit dieses Setup funktioniert, muss es in VPN Tracker und auf dem VPN Gateway korrekt konfiguriert sein.

1. Die Netzwerktopologie in VPN Tracker muss auf “Host zu allen Netzwerken” stehen.
2. Das VPN Gateway muss eingehende VPN-Verbindungen mit einem 0.0.0.0/0 (= alle Netzwerke) Endpunkt akzeptieren.

Damit sollten Sie bereits eine VPN-Verbindung aufbauen können. Allerdings wird der Zugriff auf das Internet höchstwahrscheinlich noch nicht funktionieren. Damit der Zugriff auf das Internet funktioniert, müssen noch folgende weitere Einstellungen vorgenommen werden:

1. Das VPN Gateway muss Netzwerkverkehr aus dem VPN, der nicht für seine lokalen Netze bestimmt ist, in das Internet weiterleiten.
2. Dieser Netzwerkverkehr muss Network Address Translation (NAT) unterzogen werden, damit Antworten das VPN Gateway erreichen können.
3. In vielen Fällen ist außerdem ein geeignetes Remote DNS Setup nötig.

Bitte beachten Sie, dass nicht jedes VPN Gateway auch für “Host zu allen Netzwerken” konfiguriert werden kann. Viele für kleine Büros oder Heimnutzer ausgelegte VPN Gateways (z.B. von NETGEAR oder Linksys) können nicht für “Host zu allen Netzwerken” konfiguriert werden.

1. VPN Verbindung in VPN Tracker starten
2. Im Finder Menü: Gehe zu > Mit Server verbinden auswählen
3. In der Adresszeile den Namen oder die IP Adresse des Servers eingeben
4. Auf Verbinden drücken

VPN Shortcut erstellen:

• Laden Sie VPN Tracker für Mac oder iPhone herunter
• Kopieren Sie Ihre VPN Verbindungsdaten von der AnyConnect App
• Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich zu verbinden

• Besuchen Sie zunächst unseren Online Store www.equinux.com/store
• Klicken Sie nun das Produkt an, welches Sie kaufen möchten.
• Auf der nächsten Seite können Sie die Lizenz oder den Plan auswählen, den Sie kaufen möchten.
• Melden Sie sich mit ihrer bestehenden equinux ID an oder erstellen Sie einen neuen Account.
• Wählen Sie zum Schluss noch die gewünschte Zahlungsmethode aus und bestätigen die AGBs.
  

Der Einkauf in unserem Online-Shop ist vollkommen sicher. Alle Informationen und Daten (natürlich auch Ihre Kreditkarten-Informationen) werden stark verschlüsselt und mittels einer sicheren HTTPS-Verbindung übertragen.

Nachdem Ihre Software einmal vollständig konfiguriert wurde, müssen die Einstellungen kein zweites Mal eingegeben werden.

Wenn Sie eine Lizenz kaufen (egal auf welchem Weg), erfolgt lediglich die Aktivierung der Software, so dass jegliche Limitierungen aufgehoben werden. Ihre Einstellungen und Dateien werden natürlich beibehalten.

Normalerweise können Sie keine Netzwerke über VPN erreichen, deren Adressen sich mit dem lokalen Netzwerk überschneiden.

Netzwerkkonflikte mit Traffic Control beheben

Mit VPN Tracker können Sie mit Traffic Control Netzwerkverkehr an nicht kritische lokale Adressen über das VPN senden (Erweitert > Traffic Control > Lokalen Netzwerkverkehr über das VPN senden wenn sich Remote-Netzwerke mit lokalen Netzwerken überschneiden).

Bitte beachten Sie, dass Sie damit niemals die folgenden Adressen über VPN erreichen können: Die von Ihrem lokalen Router verwendete Adresse, die DHCP Server Adresse, die DNS Server Adresse(n). Wenn Sie diese IPs über VPN erreichen wollen, müssen Sie den Netzwerkkonflikt manuell lösen anstatt Traffic Control zuv erwenden. Das gleiche gilt für alle IPs die Sie lokal und über das VPN erreichen können müssen.

Netzwerkkonflikte von Hand beheben

Grundsätzlich gibt es zwei Wege, einen Netzwerkkonflikt zu beheben:

1. Ändern des lokalen Netwerks auf andere Adressen: In den meisten Fällen bedeutet dies eine Änderung der LAN-Einstellungen auf dem lokalen Router (inkl. DHCP-Einstellungen, falls DHCP verwendet wird). Ausserdem müssen die IP Adressen der Geräte im LAN geändert werden (bzw. bei DHCP ein Update der DHCP Adressen ausgelöst werden).
2. Ändern des Remote-Netzwerks auf andere Adressen: In den meisten Fällen bedeutet dies eine Änderung des LAN auf dem VPN Gateway (inkl. DHCP-Einstellungen, falls DHCP verwendet wird). Ausserdem müssen die IP Adressen der Geräte im LAN des VPN Gateway geändert werden (bzw. bei DHCP ein Update der DHCP Adressen ausgelöst werden). Wenn das LAN in den VPN-Einstellungen (z.B. Policies, Firewall-Regeln) verwendet wurde, muss es dort ebenfalls geändert werden. Zuletzt ändern Sie bitte das Remote-Netzwerk in VPN Tracker entsprechend.

Wenn Sie sich dazu entschließen, das Remote-Netzwerk zu ändern, macht es Sinn, für das neue Netzwerk eines der seltener verwendeten privaten Subnetze zu verwenden. Nach unseren Erfahrungen sind dies die folgenden Netze:

• Subnetze von 172.16.0.0/12
• Subnetze von 192.168.0.0/16, aber nicht 192.168.0.0/24, 192.168.1.0/24 und 192.168.168.0/24

Sollten Sie keines dieser Netze verwenden können, können Sie selbstverständlich auch ein Subnetz von 10.0.0.0/8 verwenden, jedoch ohne 10.0.0.0/24, 10.0.1.0/24, 10.1.0.0/24, 10.1.1.0/24. Allerdings benutzen manche WLAN- und Mobilfunk-Anbieter das komplette 10.0.0.0/8 Netzwerk, daher sind die o.g. Netzwerke Subnetzen von 10.0.0.0/8 vorzuziehen.

Wenn Sie ein VPN Gateway mit tiefgreifenderen Einstellungsmöglichkeiten (z.B. eine SonicWALL) einsetzen, können Sie möglicherweise ein alternatives Remote-Netzwerk aufsetzen, das mittels Network Address Translation (NAT) 1:1 auf das eigentliche Remote-Netzwerk abgebildet wird. VPN-Nutzer können sich dann stattdessen zu diesem alternatven Remote-Netzwerk verbinden, wenn das normale Remote-Netzwerk Konflikte verursacht. Für SonicWALL-Geräte finden Sie hier eine Beschreibung eines solchen Setups.

Falls der Konflikt von virtuellen Netzwerkadaptern (z.B. Parallels, VMware), verursacht wird, finden Sie hier weitere Informationen.

Vor einigen Jahren hat ein Team von Sicherheitsexperten ein Papier veröffentlicht, in dem sie ein Angriffsszenario beschreiben, das es ermöglicht eine IKEv1 Aggressive Mode Verbindung mit Pre-Shared Key zu brechen, und das sich so wie dort beschrieben aber nicht gleichermaßen auf eine IKEv1 Main Mode Verbindung mit Pre-Shared Key anwenden lässt, was zu der fehlerhaften Annahme führte, dass Aggressive Mode grundsätzlich viel unsicher ist als Main Mode. Wirft man aber einen neutralen Blick auf die Fakten, entspricht dieses Behauptung so nicht den Tatsachen. Was den meisten Leuten nicht bekannt ist, ist die Tatsache, dass es ein Teil dieses Angriffs war, den Pre-Shared Key (PSK) mit Hilfe eines "Brute Force" Angriffs zu erraten und so ein Angriff kann nur dann erfolgreich sein, wenn der PSK zu unsicher gewählt wurde. Auch ein PSK ist nur ein Passwort und wie immer bei Passwörtern gilt auch hier: schlechte Passwörter führen zu geringer Sicherheit. Solange der PSK mindestens 14 Zeichen lang ist (desto mehr, desto besser), aus Kleinbuchstaben, Großbuchstaben und Ziffern besteht und komplett zufällig erzeugt wurde (so dass man ihn nicht ohne weiteres erraten kann), und so lange in Phase 1 mindestens SHA1 als Hash ausgewählt wurde (oder besser, wir empfehlen SHA-256 falls möglich), gibt es überhaupt keinen Grund anzunehmen, dass eine Aggressive Mode PSK Verbindung grundsätzlich weniger sicher ist als eine Main Mode PSK Verbindung. Wer ganz auf Nummer sicher gehen möchte, der wählt einfach eine Zertifikat-basierte Authentifizierung aus, sofern möglich, denn damit ist dieser Angriff überhaupt erst gar nicht durchführbar.

Technische Hintergrund:

Der Pre-Shared Key (PSK) ist kein Passwort, dass der Verschlüsselung von Daten dient, er dient ausschließlich der Authentifizierung, in etwa so wie wenn ein Nutzer sich mit einem Passwort an einer Webseite anmeldet. Während der Phase 1 müssen sich beide Seiten gegenseitig beweisen, dass sie den PSK kennen. Natürlich kann das nicht dadurch passieren, das eine Seite ihn der anderen Seite sendet, weil auch wenn die andere Seite ihn bisher nicht kannte, spätestens jetzt kennt sie ihn. Stattdessen müssen beide Seiten eine Zahl berechnen (einen sog. Hashwert), wofür zum einen Daten hergenommen werden, die beide Seiten bereits ausgetauscht haben (und die bei jedem Verbindungsaufbau anders sind, um sicherzustellen, dass der Hashwert auch jedes mal ein anderer ist) und zum anderen eben der PSK. Nur dieser Hashwert wird zur anderen Seite gesendet, die dann genau die gleichen Berechnungen durchführen muss. Kommt sie dabei zum gleichen Ergebnis, dann muss die andere Seite auch den gleichen PSK verwendet haben, ergo kennt sie ihn. Das gleiche Spiel wiederholt sich dann noch einmal in die andere Richtung, wobei die Berechnung hier leicht abweicht, damit auch die beiden Hashwerte garantiert immer unterschiedlich sind, denn den gleiche Wert zurück zu senden würde natürlich nichts beweisen.

Der Unterschied zwischen Main Mode und Aggressive Mode ist schlichtweg der, dass im Main Mode der Hashwert verschlüsselt übertragen wird, da das Schlüsselaustauschverfahren (DH Exchange), dass zu einem sicheren Session Schlüssel auf beiden Seiten führt, zu diesem Zeitpunkt bereits komplett durchlaufen wurde und sobald beide Seiten eine Session Schlüssel haben alle Pakete nur noch verschlüsselt übertragen werden. Mit Aggressive Mode wird der Hashwert unverschlüsselt übertragen, da zu diesem Zeitpunkt der Schlüsselaustausch noch nicht abgeschlossen ist. Dadurch dass ein Angreifer also eine Aggressive Mode Verbindung belauscht, kann er sowohl an den Hashwert, als auch an alle für die Berechnung dieses Wertes notwendigen Daten gelangen, mit Ausnahme des eigentlichen PSKs. Damit alleine hat der Angreifer aber die Verbindung noch nicht gebrochen, er hat lediglich genug Informationen, um sich damit auf die Suche nach den PSK zu machen, z.B. durch einen sog. "Brute Force Angriff" (einfach alle möglichen Kombinationen ausprobieren) oder einen Wörterbuchangriff (häufig gewählte Passwörter durchprobieren, die man durch Datenlecks andere Onlinedienste ergattern konnte). Nur wenn der PSK zu schwach ist um diesen Angriffen standzuhalten kann man so die Verbindung letztlich brechen. Daher ist ein guter, ausreichen sicherer PSK essentiell für die Sicherheit einer PSK VPN Verbindung.

Allerdings ist der gleiche Angriff auch auf eine Main Mode Verbindung möglich, er erfordert nur etwas mehr Aufwand. Im Falle von Main Mode ist es nicht genug nur den Datenverkehr mitlesen zu können, stattdessen ist ein sogenannter Man-in-the-Middle (MitM) Angriff notwendig, d.h. ein Angreifer muss den Datenverkehr abfangen und auch manipulieren können. Über einen MitM Angriff kann ein Angreifer die Verschlüsselung aushebeln, was zwar nicht genügt um Zugriff auf das VPN zu bekommen, denn dafür ist nach wie vor der PSK notwendig, denn ohne den lässt sich Phase 1 nicht erfolgreich abschließen, aber auch dann hätte ein Angreifer den Hashwert und alle für die Berechnung notwendigen Daten und könnte genauso versuchen den PSK zu erraten. Und wenn ein Angreifer schon dazu in der Lage ist, jeglichen Datenverkehr mitzulesen (was ja Grundvoraussetzung für jegliches Angriffsszenario ist), dann ist es sehr wahrscheinlich, dass er auch einen MitM Angriff durchführen kann und spätestens dann bietet Main Mode keinen zusätzlichen Schutz mehr.

Ein PSK aus 11 zufälligen alphanumerischen Zeichen hat eine Entropy von ca. 64 Bits, das sind 2^64 mögliche Werte. Moderne High End Grafikkarten (Stand 2016) können in der Größenordnung von 1 Mrd. SHA-265 Hashwerte die Sekunde berechnen. Im Schnitt muss man 50% aller Möglichkeiten probieren um einen Treffer zu landen und das würde 292 Jahre dauern. Wenn natürlich ein Angreifer 100 solche Grafikkarten zur Verfügung hat, dann würde der Angriff "nur noch" um die 3 Jahre dauern. Aber schon bei 14 Zeichen liegt die Entropy bei 80 Bits und hier brauch eine Grafikkarte alleine 19.154.798 Jahre. Nicht einmal 10.000 Grafikkarten würden hier die Zeit ausreichend verkürzen. Und man darf nie die Kosten eines solchen Angriffs außer Acht lassen. Weniger die Anschaffungskosten der Grafikkarten, es geht eher um ihren Stromverbrauch, wenn alle diese Grafikkarten 24 Stunden am Tag mit maximaler Leistung arbeiten und das über Jahre, Jahrzehnte oder sogar Jahrhunderte. Da kommen schnell Mrd Euro an Stromkosten auf einem zu und das nur um am Ende eine einzige PSK Verbindung auf dieser Welt zu brechen. Dazu kommt noch, dass jedes mal wenn sich der PSK ändert, der Angreifer wieder ganz von vorne anfangen muss. Wird also der PSK nur einmal pro Jahr gewechselt, hätte ein Angreifer max. 1 Jahr Zeit diesen zu finden; das wäre schon recht ambitioniert, selbst bei einem schwachen PSK.