Es gibt eine Reihe von Ursachen für ein derartiges Problem. Diese FAQ wird Ihnen dabei helfen herauszufinden, was in Ihrem konkreten Fall die Fehlerursache ist. In dieser Antwort wird der Begriff Zielgerät stellvertretend für das Gerät verwendet, zu dem Sie sich über das VPN verbinden möchten. Das Zielgerät kann in Ihrem konkreten Fall alles sein, von einem normalen Rechner, über einen Server, bis hin zu einem Netzwerkdrucker.

1. Versuchen Sie sich zum Zielgerät mittels Hostnamen zu verbinden?

Wenn Sie einen Hostnamen verwenden, versuchen Sie es stattdessen bitte einmal mit der IP Adresse des Zielgerätes. Wenn es damit funktioniert, liegt ein Problem mit Ihren DNS Einstellungen vor. Stellen Sie bitte sicher, dass DNS für die VPN Verbindung eingeschaltet und korrekt konfiguriert ist. Bitte beachten Sie, dass Sie grundsätzlich nie Bonjour oder NETBIOS Hostnamen über VPN verwenden können.

2. Ist die IP Adresse, zu der Sie sich verbinden, auch wirklich Teil des Remote-Netzwerks?

Wenn Ihr Remote-Netzwerk beispielsweise 192.168.13.0/24 ist, sollten Sie sich zu allen IPs verbinden können, die mit 192.168.13.x anfangen. Verbindungen zu 192.168.14.x sind damit hingegen über das VPN nicht möglich, da diese Adresse außerhalb des Adressbereichs liegt, der über das VPN gesendet wird.

3. Ist die lokale Adresse in VPN Tracker Teil des Remote-Netzwerks?

Mit den meisten VPN Gateways können Sie nur lokale Adressen (Grundeinstellungen > Lokale Adresse) verwenden, die nicht Teil eines Remote-Netzwerks sind. Bitte verwenden Sie daher eine lokale Adresse, die ausserhalb aller Remote-Netzwerke liegt. Wenn Ihr Remote-Netzwerk beispielsweise 192.168.13.0/24 ist, verwenden Sie bitte keine Addresse, die mit 192.168.13. beginnt. Wenn Sie eine automatische Konfiguration verwenden (z.B. Mode Config, EasyVPN oder DHCP über VPN), können Sie in manchen Fällen auch IPs zuweisen, die Teil des Remote-Netzwerks sind. Details dazu finden Sie in der Konfigurationsanleitung für Ihr VPN Gateway.

4. Nutzen vielleicht mehrere VPN Nutzer die gleiche lokale Adresse?

Falls es mehrere VPN Nutzer gibt, stellen Sie bitte des weiteren sicher, dass keine zwei VPN Nutzer die gleiche lokale Adresse (Grundeinstellungen > Lokale Adresse) verwenden, denn ansonsten kann einer von beiden seinen Tunnel nicht verwenden, sobald beide zeitgleich verbunden sind. Falls dieses Feld bei Ihnen leer gelassen wurde, verwendet VPN Tracker einfach die IP Adresse Ihres primären Netzwerkinterfaces, was bei mehreren Nutzern natürlich auch bei zwei Nutzern die gleiche Adresse sein könnte, daher ist es nicht empfehlenswert bei mehreren VPN Nutzern dieses Feld leer zu lassen.

5. Können Sie die LAN Adresse des VPN Gateways selber pingen?

Sie finden ein Ping-Werkzeug direkt in VPN Tracker im Menü unter Werkzeuge > Host pingen. Die LAN Adresse des VPN Gateways ist insofern interessant, da Datenverkehr zu dieser Adresse im Remote-Netzwerk nicht gerouted werden muss. Ist also diese Adresse erreichbar, aber keine andere Adresse, dann liegt ein Routing Problem auf der Gatewayseite vor.

6. Wenn Sie keinen Computer im Remote-Netzwerk pingen können, lassen Sie bitte den Test der VPN-Verfügbarkeit erneut laufen.

Sie finden den Test im Menü unter Werkzeuge > Test der VPN-Verfügbarkeit. Verbinden Sie anschließend das VPN erneut. Die Ergebnisse dieses Tests hängen von den Fähigkeiten Ihres lokalen Internet Routers/Modem bzw. ihrer Internetverbindung ab und haben Einfluss darauf, wie der VPN Tunnel aufgebaut. Dieser Test läuft automatisch für jede neue Internetverbindung, die VPN Tracker erkennt, aber auch wenn die Verbindung bereits bekannt ist, kann sich das Verhalten der Verbindung aus diversen Gründen geändert haben und daher kann es helfen den Test einfach erneut durchzuführen.

7. Ist Ihr VPN Gateway das Standardgateway (der Router) des Remote-Netzwerks?

Falls nicht, benötigen Sie im Normalfall ein geeignetes Routing-Setup, um sicherzustellen, dass Antworten des Zielrechners das VPN Gateway überhaupt erreichen, denn wann immer Rechner einer externen Adresse antworten möchten, senden sie die Antwort an ihren Standardgateway und wenn das nicht der VPN Gateway ist, dann wird dieser nicht wissen, was er mit dieser Antwort anfangen soll. In diesem Fall ist es wichtig, dass der Standardgateway die Antworten an den VPN Gateway weiterleitet.

8. Haben Sie ggf. Software installiert, die VPN Datenverkehr blockiert?

Hierzu möchten wir Sie bitte auf folgenden FAQ Eintrag verweisen.

9. Haben Sie weitere VPN Software installiert?

Hierzu möchten wir Sie bitte auf folgenden FAQ Eintrag verweisen.

Den Pre-Shared Key für eine neue VPN-Verbindung einrichten

Ich habe meinen Pre-Shared-Key verloren - wie bekomme ich ihn wieder?

1. Prüfen Sie, ob Sie die Verbindung in Ihrem Personal Safe gespeichert haben. Falls ja, können Sie sich eventuell die Verbindung nochmals neu herunterladen.
2. Sehen Sie im Schlüsselbund nach (Programme > Dienstprogramme > Schlüsselbundverwaltung). Hier wird der Pre-Shared Key normalerweise gespeichert. Wenn Sie in der Schlüsselbundverwaltung im Suchfeld rechts oben "Shared Secret" oder "geteiltes Geheimnis" eingeben, sollten alle gespeicherten PSKs aufgelistet werden.
3. Haben Sie evtl. ein Time Machine Backup? Hieraus könnten Sie sich eine alte Verbindung inklusive dem Pre-Shared Key wiederherstellen.
4. Direkt auf der Firewall nachsehen oder den zuständigen VPN Administrator fragen. Wo dies in Ihrer Firewall zu finden ist, sehen Sie in der jeweiligen Produkte-Konfigurationsanleitung.

• Private IP Adressen, und
• Öffentliche IP Adressen

• 192.168.0.x und
• 192.168.1.x

1. Den lokalen Netzwerkbereich auf einen anderen Range ändern (bevorzugt)

   
   Mögliche Ranges sind:
   
   • 10.250.250.x
   • 172.30.30.x
   • 192.168.250.x
   
   Vorteil: Sobald diese Änderung an Ihrem Heimnetzwerk durchgeführt wurde, werden Sie in diesem Netz keine Probleme mehr haben.
   Nachteil: Sie müssen die Einstellungen an Ihrem privaten Router ändern, hierfür benötigen Sie Zugriff zu dem Router und dies ist zeitaufwändig.
   Was müssen Sie tun:
   
   • Auf dem lokalen Router anmelden
   • Den Bereich mit den "DHCP" Einstellungen finden.
   • Router IP Adresse ändern (zum Beispiel auf eine der oben genannten Adressbereiche wie 172.30.30.1)
   • DHCP Server Einstellungen auf den gleichen Range wie Ihren Router ändern (wenn Ihr Router die IP 172.30.30.1 hat, wäre ein möglicher Bereich 172.30.30.10 bis 172.30.30.253){S_1187}
   
   Nachdem diese Änderungen durchgeführt wurde, wird es keine weiteren Konflikte zwischen Ihrem Heimnetz und dem Firmennetz geben. {S_1186}

2. Force Traffic over VPN

   
   Es gibt Situationen in denen die erste Option nicht möglich ist (zum Beispiel wenn Sie sich in einem Café oder Hotel befinden). In diesem Fall gibt es die Option den Traffic über Ihr VPN zu erzwingen. Dies bedeutet Ihr Firmennetz gewinnt immer.
   Vorteil: Diese Einstellung ist global, d.h. egal welches Netzwerk Sie verwenden, Sie können sich immer verbinden.
   Nachteil: Sobald Sie mit dem VPN verbunden sind, können Sie nicht mehr mit Ihren lokalen Geräten spreche, wie zum Beispiel Ihrem Router, lokale Server oder lokale Netzwerkdrucker.
   Was müssen Sie tun:
   
   • VPN Verbindung konfigurieren
   • Oben im Fenster das Tab "Erweitert" auswählen
   • Im Bereich "Traffic Control" das Häkchen setzen bei "Lokalen Netzwerkverkehr über das VPN senden, wenn sich Remote-Netzwerke mit lokalen Netzwerken überschneiden"{S_1188}
   
   

VPN Tracker kostenlos laden

VPN Tracker erstellt automatisch Backups aller VPN Verbindungen, die auf Ihrem Mac gesichert werden. Wenn Sie eine Verbindung versehentlich gelöscht oder verändert haben, können Sie es aus einem Backup wiederherstellen.

Schritt 1: Personal Safe Sync deaktivieren

Zunächst sollte Personal Safe für die Verbindungen deaktiviert werden, die Sie wiederherstellen möchte. Dadurch wird verhindert, dass der kaputte Zustand per Sync wieder eingespielt wird.

• Wählen Sie VPN Tracker 365 > Einstellungen > Personal Safe aus der Menüleiste
• Entfernen Sie das Häkchen bei den Verbindungen, die Sie aus dem Backup einspielen möchten
• Beenden Sie VPN Tracker 365

Schritt 2: Backup einspielen

• Öffnen Sie den Finder und wählen Sie "Gehe zu > Gehe zum Ordner …"
• Geben Sie folgenden Pfad ein und bestätigen Sie ihn

/Library/Application Support/VPN Tracker 365

• Nennen Sie den "etc" Ordner in "etc-backup" um, damit Sie zur Sicherheit eine Kopie haben
• Wechseln Sie in den "Backup" Ordner

Dort sehen Sie mehrere Ordner, die nach dem Schema "etc-Datum" benannt sind.

• Wählen Sie den Ordner dessen Stand Sie wiederherstellen möchten und bewegen Sie es aus dem "backup" Verzeichnis in den übergeordneten "VPN Tracker 365" Ordner
• Dieser Ordner muss jetzt in "etc" umbenannt werden – löschen Sie also die Datumsangabe aus dem Ordnernamen
• Öffnen Sie anschliessend VPN Tracker 365 wieder

Jetzt sind Ihre Verbindungen wiederhergestellt.

Schritt 3: Personal Safe wieder einschalten

• Wählen Sie VPN Tracker 365 > Einstellungen > Personal Safe aus der Menüleiste
• Setzen Sie die Häkchen wieder bei Ihren Verbindungen

VPN Tracker kostenlos laden

Ein solches Setup wird in VPN Tracker als “Host zu allen Netzwerken” bezeichnet. Jeglicher nicht-lokaler Netzwerkverkehr geht durch das VPN. Damit dieses Setup funktioniert, muss es in VPN Tracker und auf dem VPN Gateway korrekt konfiguriert sein.

1. Die Netzwerktopologie in VPN Tracker muss auf “Host zu allen Netzwerken” stehen.
2. Das VPN Gateway muss eingehende VPN-Verbindungen mit einem 0.0.0.0/0 (= alle Netzwerke) Endpunkt akzeptieren.

Damit sollten Sie bereits eine VPN-Verbindung aufbauen können. Allerdings wird der Zugriff auf das Internet höchstwahrscheinlich noch nicht funktionieren. Damit der Zugriff auf das Internet funktioniert, müssen noch folgende weitere Einstellungen vorgenommen werden:

1. Das VPN Gateway muss Netzwerkverkehr aus dem VPN, der nicht für seine lokalen Netze bestimmt ist, in das Internet weiterleiten.
2. Dieser Netzwerkverkehr muss Network Address Translation (NAT) unterzogen werden, damit Antworten das VPN Gateway erreichen können.
3. In vielen Fällen ist außerdem ein geeignetes Remote DNS Setup nötig.

Bitte beachten Sie, dass nicht jedes VPN Gateway auch für “Host zu allen Netzwerken” konfiguriert werden kann. Viele für kleine Büros oder Heimnutzer ausgelegte VPN Gateways (z.B. von NETGEAR oder Linksys) können nicht für “Host zu allen Netzwerken” konfiguriert werden.

1. Wenn Sie auf einem Mac noch Verbindungen haben, die im Personal Safe gesichert sind, deaktivieren Sie sie zuerst den Personal Safe in den Einstellungen und sichern Sie Ihre Verbindungen lokal am Mac.
2. Löschen Sie unter my.vpntracker Ihre Personal Safe Schlüssel.
3. Melden Sie von Ihrem VPN Tracker Konto innerhalb der VPN Tracker App auf Ihrem Mac ab und öffnen Sie Schlüsselbundverwaltung. Dort bitte den Eintrag "Connection Safe Master Key." löschen.
4. Starten Sie die VPN Tracker App erneut, melden Sie sich an und fügen Sie eine neue Verbindung zum Personal Safe hinzu. Sie werden jetzt aufgefordert Ihren Safe neu einzurichten.
5. Bitte denken Sie daran Ihren Wiederherstellungsschlüssel zu notieren und an einem sicheren Ort zu verwahren. Diesen Schlüssel benötigen Sie, um Ihren Personal Safe zu entsperren, falls Sie Ihr Passwort vergessen haben.

Bei Problemen mit dem Schlüsselbund am Mac kann es vorkommen, dass VPN Tracker Anmeldedaten nicht sicher speichern kann.

So kann das Problem gelöst werden:

• Beenden Sie VPN Tracker
• Öffnen Sie die Schlüsselbundverwaltung (unter Programme > Dienstprogramme)
• Wählen Sie den Schlüsselbund “Anmeldung”
• Wählen Sie Ablage > Schlüsselbund “Anmeldung” sperren
• Anschliessend entsperren Sie den Schlüsselbund wieder unter Ablage > Schlüsselbund “Anmeldung” entsperren

In neueren macOS Versionen ist müssen Sie diese Schritte über das Terminal durchführen. Geben Sie dazu folgende Befehle ein:

security lock-keychain ~/Library/Keychains/login.keychain

security lock-keychain ~/Library/Keychains/login.keychain

Starten Sie anschließend VPN Tracker und versuchen Sie bitte die Anmeldung erneut.

Falls es weiterhin zu Problemen kommen sollte:

Beenden Sie VPN Tracker

• Öffnen Sie die Schlüsselbundverwaltung (unter Programme > Dienstprogramme)
• Geben Sie im Suchfeld “VPN Tracker User Auth” ein
• Löschen Sie den Eintrag “VPN Tracker User Auth Token”

Starten Sie anschließend VPN Tracker und versuchen Sie bitte die Anmeldung erneut.

Wenn keines der oberen Optionen geholfen hat, haben Sie die Möglichkeit Ihren Schlüsselbund zurückzusetzen. Beachten Sie, dass hierbei alle Schlüsselbundeinträge entfernt werden und Sie ggf. Passwörter neu eingeben müssen:

• Öffnen Sie die Schlüsselbundverwaltung
• Wählen Sie Schlüsselbund > Einstellungen
• Wählen Sie die Option "Standardschlüsselbunde zurücksetzen …"

Bei weiteren Problemen, nehmen Sie bitte mit unserem Support Team Kontakt auf und schicken Sie uns die Log Dateien, die Sie in folgendem Ordner finden:
/Library/Application Support/VPN Tracker 365/var/log.

• Laden Sie VPN Tracker für Mac oder iPhone herunter
• Kopieren Sie Ihre VPN Verbindungsdaten von der AnyConnect App
• Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich zu verbinden

1. VPN Verbindung in VPN Tracker starten
2. Im Finder Menü: Gehe zu > Mit Server verbinden auswählen
3. In der Adresszeile den Namen oder die IP Adresse des Servers eingeben
4. Auf Verbinden drücken

VPN Shortcut erstellen:

Um eine VPN-Verbindung zu einem bestimmten Ort (z.B Ihrem Büro) aufzubauen, benötigen Sie eine VPN-fähiges Gerät (“VPN Gateway”) an diesem Ort. Dieses Gerät ist in der Regel eine Firewall mit VPN-Funktionalität (in unserer Kompatibilitätsliste finden Sie eine Reihe von Beispielen).

Das VPN Gateway muss mit dem Internet verbunden sein (z.B. per DSL-Modem) sollte am besten eine statische öffentliche IP-Adresse haben oder einen Dienst wie DynDNS.org nutzen können, um dynamische IP-Adressen automatisch auf Hostnamen abzubilden. Die Konfiguration ist am einfachsten wenn das VPN Gateway auch der Router (Standard-Gateway) seines Netzes ist, andernfalls müssen Sie in den meisten Fällen durch geeignete Routen sicherstellen, dass Daten korrekt über das VPN geroutet werden.

Details zur Konfiguration finden Sie in den Konfigurationsanleitungen für kompatible Geräte.

Sowohl bei SMB (Windows File Sharing) als auch bei AFP (Apple File Sharing) ist die Verringerung der Latenz der Schlüssel zu guter Performance. Dies setzt natürlich zunächst voraus, dass Ihre Internetanbindungen auf beiden Seiten des VPN über ausreichende Bandbreite verfügen. Mit einem Dateitransfer über HTTP oder FTP können Sie dies leicht überprüfen.

Sie nutzen SSL VPN? Wechseln Sie auf IPSec

Im Vergleich zu einem SSL-VPN bietet IPsec viel schnellere Verbindungsgeschwindigkeiten, weil es sich auf der Netzwerk-Schicht des OSIs befindet – was bedeutet, dass es der physischen Schicht viel näher ist, wo sich die Verbindung und Ihr Gateway miteinander treffen. So bekommen Sie eine schnellere VPN-Leistung.

Mehr erfahren Sie in diesem Blogbeitrag.

Finder-Einstellungen

Wenn Sie den Finder verwenden und das Problem hauptsächlich in Verzögerungen beim Zugriff auf Ordner besteht (das Kopieren von Dateien aber akzeptabel schnell ist), schalten Sie Symbolvorschau und Vorschau einblenden in den Ansicht-Optionen des Finders (Cmd-J) aus.

Latenz verringern

Wenn die Performance sowohl beim Auflisten von Ordnern als auch beim Übertragen von Dateien nicht zufriedenstellend ist, sollte Ihr Ziel sein, die Latenz zu verringern. Einige Möglichkeiten, die Latenz zu verringern sind:

• Vermeiden Sie Internetanbindungen mit hoher Latenz (z.B. Satellit, einige Arten von Funk/Mobilfunk-Providern, Leitungsbündelung, ...).
• Wenn Sie DSL verwenden, fragen Sie bei Ihrem Interntprovider nach “Fast Path” (Interleaving ausgeschaltet). Diese Einstellung wird normalerweise an Onlinespieler vermarktet, aber ist auch sehr hilfreich für AFP oder SMB Dateiserver-Verbindungen oder Verbindungen zu Datenbanken (z.B. FileMaker).
• Stellen Sie sicher, dass der VPN-Verkehr ggf. priorisiert wird, damit andere Nutzer der Internetverbindung den VPN-Verkehr nicht verlangsamen können.

Um die Latenz zwischen den beiden Endpunkten des VPN zu messen, verwenden Sie Ping auf einem Host auf der anderen Seite der Verbindung, oder pingen Sie das VPN Gateway vom Client aus an. Ein Ping-Tool finden Sie direkt in VPN Tracker (Menü “Werkzeuge”), Sie können aber natürlich auch Ping im Terminal verwenden.

Um die Latenz der einzelnen Internetanbindungen zu messen ist es hilfreich, zunächst den lokalen Router zu pingen (um sicherzustellen, dass im lokalen Netz keine unnötige Latenz verursacht wird), und anschließend den ersten Router beim Internetprovider (um festzustellen, ob z.B. Fast Path oder ein anderer Internet Provider in Erwägung gezogen werden sollten).

Wenn Sie die Latenz nicht weiter verringern können:

Wenn Sie die Latenz nicht weiter verringern können (oder die Latenz zwischen den beiden Endpunkten allein schon aufgrund Ihrer physischen Entfernung sehr hoch ist), versuchen Sie es mit einem Dateiübertragungsprotokoll, das von hoher Latenz weniger stark beeinflusst wird, z.B. WebDAV oder FTP. In manchen Fällen können Sie auch mit rein administrativen Maßnahmen (z.B. weniger Dateien/Ordner pro Ebene, Kompression, ...) schon erhebliche Verbesserungen erreichen.

Geräte mit aktueller Firmware (Fireware XTM)

WatchGuard Firebox X Edge e-Series Geräte mit Fireware XTM (Fireware 11) werden in aktuellen VPN Tracker Versionen voll unterstützt. Weitere Infos finden Sie in der Konfigurationsanleitung.

Geräte mit älterer Firmware

Geräte mit einer älteren Firmwareversion können möglicherweise mit folgenden Einstellungen erfolgreich konfiguriert werden:

Nun müssen sie nur noch die Einstellungen entsprechend der folgenden Tabelle auf VPN Tracker übertragen:

Die folgenden Einstellungen müssen immer in VPN Tracker vorgenommen werden, unabhängig von der Firebox Konfiguration:

• Local Identifier Type: Email (auch wenn der Identifier z.B. ein Name und keine Emailadresse ist)
• Exchange Mode: Aggressive
• Phase 1 Diffie-Hellman Group: Group 2 (1024 bit)
• Perfect Forward Secrecy (PFS): aus

Zuletzt stellen sie bitte sicher, dass unter "Host to Network" ausgewählt ist und das richtige Remote Network eingetragen ist (z.B. 192.168.1.0/255.255.255.0).

Das hängt von den Einstellungen ab. Das übliche Setup für eine VPN-Verbindung ist “Host zu Netzwerk”, in diesem Fall wird nur Netzwerkverkehr zu den angegebenen Remote-Netzwerken durch den VPN-Tunnel geleitet.

Bei einem Setup mit der Netzwerktopologie “Host zu allen Netzwerken” wird jeglicher Netzwerkverkehr – mit ausnahme von Netzwerkverkehr zum lokalen Netz – durch das VPN geleitet. Für eine solche Verbindung wird ein geeignetes Setup auf dem VPN Gateway benötigt.

‣Öffnen Sie die Systemeinstellungen

‣Gehen Sie zu den Sicherheitseinstellungen

‣Klicken Sie "Erlauben"

{S_686}