VPN Problembehandlung: Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
K (Textersetzung - „imt@uni-paderborn.de“ durch „zim@uni-paderborn.de“)
 
(Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt)
Zeile 11: Zeile 11:
 
<bootstrap_alert color="info">Please find the English version of this article on the page [[VPN_Problembehandlung/en]]!</bootstrap_alert>
 
<bootstrap_alert color="info">Please find the English version of this article on the page [[VPN_Problembehandlung/en]]!</bootstrap_alert>
  
Auf dieser Seite finden Sie Lösungen zu häufigen Problemen, die im Umgang mit VPN auftreten. Sollten Ihnen die Lösungen nicht weiterhelfen, können Sie eine E-Mail an [mailto:imt@uni-paderborn.de imt@uni-paderborn.de] schicken.
+
Auf dieser Seite finden Sie Lösungen zu häufigen Problemen, die im Umgang mit VPN auftreten. Sollten Ihnen die Lösungen nicht weiterhelfen, können Sie eine E-Mail an [mailto:zim@uni-paderborn.de zim@uni-paderborn.de] schicken.
  
 
== Verbindung zum Heimnetzwerk nur mit Tunnelblick möglich ==
 
== Verbindung zum Heimnetzwerk nur mit Tunnelblick möglich ==
Zeile 81: Zeile 81:
 
Eine Deinstallation des TAP-Win32-Treibers sowie eine komplette Neuerstellung und Installation des Adapters kann das Problem lösen.
 
Eine Deinstallation des TAP-Win32-Treibers sowie eine komplette Neuerstellung und Installation des Adapters kann das Problem lösen.
  
 +
=== Gruppen-VPN Ports sind geblockt - '''TLS Handshake failed''' nach einem Timeout (60 sec) ===
 +
Gruppen-VPN-Verbindungen werden über bestimmte UDP Ports hergestellt. Im Normalfall sind diese Portfreigaben problemlos, da sie sich nicht mit anderen Protokollen überschneiden. Sollte jedoch Ihr Internetzugang restriktiver Natur sein und nur betsimmte Ports freigeben, kann es hier zu einem Verbindungsproblem kommen. Das betrifft manche universitäre Einrichtungen oder Firmennetzwerke. Heimnetzwerke haben dies in der Regel nicht.
 +
 +
'''Lösung:'''
 +
* wechseln Ihren Standort  bzw. das Netz
 +
* Geben Sie den benötigten Port frei bzw. sprechen Sie mit der IT-Abteilung ob dies möglich ist
 +
*: Den verwendeten Port für Ihr Gruppennetzwerk finden Sie innerhalb der Konfig-Datei.
 +
* Sollte es sich um das '''hpc-pc2''' Netz handeln, kontaktieren Sie das PC2 für einen alternativen SSH-Zugang
  
 
== Verbindung steht, dann tritt Problem auf ==
 
== Verbindung steht, dann tritt Problem auf ==

Aktuelle Version vom 12. Juni 2024, 13:20 Uhr

Allgemeine Informationen
Information
Informationen
BetriebssystemAlle
ServiceNetzwerk
Interessant fürAngestellte, Studierende und Gäste
HilfeWiki des ZIM der Uni Paderborn

no displaytitle found: VPN Problembehandlung

Auf dieser Seite finden Sie Lösungen zu häufigen Problemen, die im Umgang mit VPN auftreten. Sollten Ihnen die Lösungen nicht weiterhelfen, können Sie eine E-Mail an zim@uni-paderborn.de schicken.

Verbindung zum Heimnetzwerk nur mit Tunnelblick möglich[Bearbeiten | Quelltext bearbeiten]

In Einzelfällen werden, nach beenden von Tunnelblick, die jeweiligen DNS-Serveradressen nicht zurückgesetzt. Durch dieses Verhalten kann, außerhalb des Universitätsnetzwerkes, nur durch verbinden mit Tunnelblick eine Netzwerkverbindung aufgebaut werden.

Die Fehlerhaften DNS-Servereinträge können in den Netzwerkeinstellungen unter „Weitere Optionen“ -> „DNS“ gelöscht werden. Zusätzlich sollten bei Tunnelblick unter „Konfigurationen“ -> „Einstellungen“ bei den Punkten „Bei (un)erwarteter Trennung“ die Option „Primäres Interface zurücksetzen“ gewählt werden.

VPN Verbindung wird nicht hergestellt[Bearbeiten | Quelltext bearbeiten]

MacOS (Tunnelblick): Verbindungsprobleme (Unitymedia / IPv6-Router)[Bearbeiten | Quelltext bearbeiten]

Screenshot VPN-Probleme 01.png


Wenn Tunnelblick genutzt wird, kann bei modernen Anbietern die schon IPv6 für Ihre Router nutzen zu Problemen kommen. Hier hilft ein einfaches Aktivieren von IPv6 in Tunnelblick. Das ist dort nämlich standardmäßig deaktiviert.



MacOS (Tunnelblick): Es erscheint die Fehlermeldung TLS Error: TLS object -> incoming plaintext read error[Bearbeiten | Quelltext bearbeiten]

Diese Fehlermeldung könnte durch ein nicht erkanntes Sonderzeichen im Zertifikatspasswort ausgelöst werden. Der VPN Client kann in diesem Fall die empfangenen Datenpakete nicht entschlüsseln. Erstellen Sie ein Netzwerkzertifikat ohne Sonderzeichen im Passwort, löschen Sie die alte VPN Konfiguration und richten sie den VPN Client wieder mit dem neuen Zertifikat ein.

Die VPN-Verbindung bricht mit der Meldung „Cannot load certificate …“ ab[Bearbeiten | Quelltext bearbeiten]

Das Zugangszertifikat wurde nicht gefunden.

Unter Windows 10 kann die Ursache sein, dass neben dem Benutzerzertifikat auch das CA-Zertifikat (nur für Android) installiert wurde.

Stellen Sie sicher, dass das Zertifikat gemäß der Anleitung installiert wurde, löschen Sie ggf. das CA-Zertifikat und versuchen Sie erneut, sich zu verbinden.

Diese Lösung nur in Notfällen verwenden: Sollte dies nicht zum Erfolg führen, speichern Sie das Zertifikat unter C:\Programme\OpenVPN\config\Network_Certificate.p12 und editieren Sie die Datei C:\Programme\OpenVPN\config\OpenVPN-UPB-NG_Uni-VPN (standard)_win.ovpn wie folgt:

Alt:

#### Betriebssystemanpassungen für Windows ####################

# Interner Zertifikatsspeicher (Eduroam)
cryptoapicert SUBJ:@uni-paderborn.de

################################################################################

Neu:

#### Betriebssystemanpassungen für Windows ####################

# Interner Zertifikatsspeicher (Eduroam)
# cryptoapicert SUBJ:@uni-paderborn.de
pkcs12 Network_Certificate.p12

################################################################################

WICHTIG: Bei dieser Lösung wird der Benutzer bei jedem VPN-Start nach dem Passwort des .p12-Zertifikates gefragt (dieses Passwort wurde bei der Erstellung des Zertifikates in der Benutzerverwaltung vergeben).


Die VPN-Verbindung bricht mit der Meldung „TCP/UDP: Closing socket“ ab[Bearbeiten | Quelltext bearbeiten]

Dieses Verhalten tritt auf, wenn das installierte Zertifikat abgelaufen ist. Kontrollieren Sie, ob Ihr Zertifikat in der Benutzerverwaltung angezeigt wird, und erstellen Sie gegebenenfalls ein neues Zertifikat.

Ich befinde mich hinter einer Firewall, die VPN-Verbindungen blockiert[Bearbeiten | Quelltext bearbeiten]

Die Config "Uni-VPN-TCP (nur bei Problemen)" herunterladen und verwenden.

Es erscheint die Fehlermeldung, das Programm habe Probleme mit dem Zertifikat[Bearbeiten | Quelltext bearbeiten]

Wenn das Netzwerkzertifikat installiert ist und funktioniert (getestet mit eduroam) und auch das Programm OpenVPN funktionieren müsste (weil es deinstalliert und neu installiert wurde), aber trotzdem immer wieder die Fehlermeldung erscheint, das Programm habe Probleme mit dem Zertifikat, kann es sich um ein Problem mit dem virtuellen Netzwerkadapter (TAP-Win32 Adapter V9) handeln.

Eine Deinstallation des TAP-Win32-Treibers sowie eine komplette Neuerstellung und Installation des Adapters kann das Problem lösen.

Gruppen-VPN Ports sind geblockt - TLS Handshake failed nach einem Timeout (60 sec)[Bearbeiten | Quelltext bearbeiten]

Gruppen-VPN-Verbindungen werden über bestimmte UDP Ports hergestellt. Im Normalfall sind diese Portfreigaben problemlos, da sie sich nicht mit anderen Protokollen überschneiden. Sollte jedoch Ihr Internetzugang restriktiver Natur sein und nur betsimmte Ports freigeben, kann es hier zu einem Verbindungsproblem kommen. Das betrifft manche universitäre Einrichtungen oder Firmennetzwerke. Heimnetzwerke haben dies in der Regel nicht.

Lösung:

  • wechseln Ihren Standort bzw. das Netz
  • Geben Sie den benötigten Port frei bzw. sprechen Sie mit der IT-Abteilung ob dies möglich ist
    Den verwendeten Port für Ihr Gruppennetzwerk finden Sie innerhalb der Konfig-Datei.
  • Sollte es sich um das hpc-pc2 Netz handeln, kontaktieren Sie das PC2 für einen alternativen SSH-Zugang

Verbindung steht, dann tritt Problem auf[Bearbeiten | Quelltext bearbeiten]

MacOS (Tunnelblick): Verbindungsprobleme (Unitymedia / IPv6-Router)[Bearbeiten | Quelltext bearbeiten]

Sie haben einen DSL-Anbieter der bereits IPv6 betreibt und die Einstellung auch bereits in Tunnelblick aktiviert. Nun verbindet sich Tunnelbklick mit der Universität, aber nach der Verbindung können Sie nicht mehr im Internet surfen.

Hier handelt es sich zumeist um ein Modem<->Router-Problem. Einige DSL-Anbieter (wie zB Unitymedia) liefern häufig, nur ein Modem mit dem DSL-Anschluss. Dieses Modem verwendet dann schon das moderne IPv6. Viele Kunden schließen dann an das Modem einen zusätzlichen Router an, um zB WLAN in der Wohnung zu genießen. Diese sind meist nur nach IPv4 konfiguriert.

Lösung: Konfigurieren Sie auch den Router nach IPv6.

Die Verbindung ist aufgebaut, aber Webseiten können nicht aufgerufen werden[Bearbeiten | Quelltext bearbeiten]

Die folgenden Schritte sind mit der Verwendung unserer neuen Config (ab Februar 2019) nicht mehr nötig!

Viele Internetprovider (z.B. Unitymedia) stellen momentan die IP Adressen auf den neuen Standard IPv6 (bisher IPv4) um. Wird mit einem IPv6-Anschluss eine IPv4 VPN-Verbindung aufgebaut, kann die Standard-Paketgröße von OpenVPN zu Problemen beim IPv6-/IPv4-Gateway des Internetproviders führen. (vgl. Quelle 1, Quelle 2)

Einfache Lösung: Die Konfigurationsdatei "openvpn-upb-win.ovpn" wird oben um eine Zeile erweitert:

tun-mtu 1380

Die veränderte Konfigurationsdatei ist genauso im Programmkonfigurationsverzeichnis "%ProgramFiles%\OpenVPN\Config" zu speichern. Dann sollte der VPN-Zugang endlich funktionieren.

OpenVPN verbindet sich, aber nutzt nicht die richtige IP[Bearbeiten | Quelltext bearbeiten]

Prüfen Sie zunächst ob das openVPN-Programm auch mit Administratorrechten ausgeführt wird. Sollte das der Fall sein, führen sie die nachfalgenden Schritte aus:

Prüfen Sie über http://go.upb.de/ip Ihre IP im Internet. Wird nicht die richtige IP angezeigt (Beginnend mit 131.234.*.*) sind Sie noch mit Ihrer privaten Adressen unterwegs und werden deswegen nicht als Unizugehörig erkannt. Oft hilft es, die Winsocket-Einstellungen und TCP/IP zurückzusetzen.

Eine Eingabeaufforderung mit Administratorrechten öffnen und folgende Kommandos eingeben:

netsh winsock reset
netsh int ip reset

Danach den Rechner neu hochfahren.

Tipp: Eingabeauforderung = Windowstaste -> dann "cmd" eingeben -> Rechtklick auf "Eingabeaufforderung" -> "Als Administrator ausführen" anklicken

Nach dem Verbinden mit dem VPN bricht die Internetverbindung zusammen[Bearbeiten | Quelltext bearbeiten]

Dieses Verhalten tritt auf, wenn OpenVPN nicht mit Administratorrechten gestartet wird. Starten Sie OpenVPN mit Administratorrechten, indem Sie einen Rechtsklick auf das OpenVPN-Icon machen und den Menüpunkt „Ausführen als…“ wählen.

Ich kann mich aus einem anderem Grund nicht mit dem VPN verbinden. Was kann ich tun?[Bearbeiten | Quelltext bearbeiten]

Besteht eine korrekt arbeitende Internetverbindung? Gehen Sie in die Windows Konsole (Start -> Ausführen -> cmd) und geben Sie „ping vpn.uni-paderborn.de“ ein. Die Ausgabe sollte wie folgt aussehen:

Openvpn Troubleshoot.jpg

Sollten Sie hier eine Fehlermeldung bekommen, könnte ein Problem mit Ihrer Internetverbindung bestehen. Starten Sie gegebenenfalls Ihren Router neu oder wenden Sie sich an Ihren Netzwerkadministrator.

Ein weiterer Grund für das Fehlschlagen eines Verbindungsaufbaus könnte sein, dass Sie mit zwei Geräten gleichzeitig (etwa Desktop-PC und Notebook) eine VPN-Verbindung zur Universität Paderborn aufzubauen versuchen. Dies ist allerdings nicht möglich. Schließen Sie eine der Verbindungen.

Bekannte Probleme mit fremden Hochschulen[Bearbeiten | Quelltext bearbeiten]

HS-OWL[Bearbeiten | Quelltext bearbeiten]

Stand Mai 2016
Die Hochschule OWL blockiert VPN-Verbindungen aus ihrem eigenen Netzwerk in fremde Netzwerke. Das Rechenzentrum dort (SKIM) kann Benutzer im Bedarfsfall freischalten.


Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: zim@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des ZIM - Sie finden uns in Raum I0.401

Wir sind zu folgenden Zeiten erreichbar:


Mo Di - Fr
Vor-Ort-Support Geschlossen Über die Feiertage geschlossen
Telefonsupport 08:30 - 13:00 Über die Feiertage geschlossen


Das ZIM:Servicecenter Medien auf H1 hat aktuell zu folgenden Zeiten geöffnet:

Mo Di - Fr
08:00 - 16:00 Über die Feiertage geschlossen


Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.