VPN - seit Win10 umstellung "Fehlerhaft"? [Sophos UTM9]

[tschulian]

Hallo Leute,
ein kleines ärgerliches Problem mit VPN Connections am Notebook eines Kollegen.
 

Positiv:
- VPN verbindung (anmelden mit AD-User) klappt
- Pingen auf ExchangeServer / DataServer klappt (IP wird auch richtig aufgelöst)
- NetphoneClient meldet sich an TelefonAnlage erfolgreich mit AD-User an
- mit RDP komme ich auf alle o.g Server ohne Probleme drauf (Exchange, Telefonanlage, DataServer)

Negativ:
- Outlook öffnet sich nicht (angeblich "keine" Verbindung zum Exchange)
- Netzwerklaufwerke sind "verfügbar", verlangen aber immer Anmeldeinformationen (als wäre der User gesperrt)
- Pingen auf zufällige Maschine im Netzwerk liefert keine Antwort  bzw. löst auf falsche IP auf


Diese Symptome treten auf:
Ich bin mir nichtmehr ganz sicher, aber als ich den VPN Tunnel via iPhone Hotspot (simulieren dass das Gerät sich nicht im Firmennetzwerk befindet) hatte diese Symptome nicht. Dort konnte ich in windes Eile Outlook öffnen, und auf alle Netzwerklaufwerke zugreifen usw.

An den Routereinstellungen kann das ja nicht liegen, weil das alte Notebook mit Win7 des selben Kollegen hat im Homeoffice mit der gleichen Internetanbindung keinerlei Probleme....
Außerdem läuft ja der gesamte Traffic über den VPN Zugang, das heißt für mich, dass entweder alles geht oder garnichts - oder Irre ich mich da? Läuft ja über das VPN Protokoll.


Danke und liebe Grüße

Julian

 

 

Bearbeitet 23. Februar 2016 von tschulian

[Crash2001]

Es kann durchaus sein, dass unterschiedliche User unterschiedliche Rechte haben per VPN.
Genauso kann es auch sein, dass anhand z.B. des Maschinenzertifikats das Gerät oder der User identifiziert wird und da bei zwei Geräten eines Users unterschiedliche Einstellungen existieren.
Genauso kann es auch sein, dass man sich über einen anderen Eingangspunkt oder eine andere Zugangsart einwählt und dementsprechend andere Berechtigungen hat.

Nur weil der Exchange-Server anpingbar ist, heißt das noch lange nicht, dass man Zugriff darauf hat. Kann z.B. sein, dass bei der Firewall Ping generell erlaubt ist, jedoch der Exchange-Zugriff nicht. Zudem verbindet man sich meist nicht nur mit einem Server, sondern mit eventuell unterschiedlichen Servern für E-Mail, öffentliche Ordner und den Verzeichnisdienst.

Wenn du mit dem Exchange-Server verbunden bist, die Strg-Taste drückst und gleichzeitig mit der rechten Maustaste auf das Outlook-Symbol in der Taskleiste klickst, kannst du dir den Verbindungsstatus anzeigen lassen. Da sieht man genau, welche Server für was verwendet werden.

Könnte z.B. aber auch daran liegen, dass nicht jeglicher Traffic über die VPN-Verbindung geleitet wird, sondern direkt ins Internet geht und somit dort dann das entsprechende Gerät nicht erreichen kann, da es nur üer VPN-Tunnel bzw. aus dem internen Netz erreichbar ist.

Es gibt einfach zu viele Möglichkeiten, um dir nur mit den angegebenen Informationen zu helfen.
Ich würde an deiner Stelle den Servicedesk kontaktieren oder direkt man bei den Netzwerkern nachfragen.

[tschulian]

hey Crash, danke!

Naja, ihr altes Notebook ist im selben Netzwerk, und der VPN User ist der selbe.

Bei dem alten Notebook war das Problem scheinbar damals auch als es neu war. Abhilfe hat eine sehr aufgeblasene Hosts-Datei geschafft. (laut meinem IT-Vorgänger)

Ich werd die alte Hosts-Datei jetzt mal einfügen und das ganze nochmal Testen.

[Crash2001]

Wenn eine Hosts-Datei verwendet werden muss, dann ist man per VPN eventuell in einer anderen (Sub)Domain drin und darf die anderen Rechnernamen entweder nicht auflösen, darf nicht mit dem DNS sprechen, hat einen anderen DNS eingetragen, der die Hosts nicht kennt, oder aber die DNS-Suffixliste ist nicht richtig / komplett.

[Eye-Q]

vor 3 Stunden schrieb tschulian:

Bei dem alten Notebook war das Problem scheinbar damals auch als es neu war. Abhilfe hat eine sehr aufgeblasene Hosts-Datei geschafft. (laut meinem IT-Vorgänger)

Hosts-Datei schön und gut, aber eine ordentliche DNS-Auflösung ist immer noch am besten.

Auf der Sophos gibt es unter Fernzugriff einen Punkt "Erweitert", dort kannst Du spezifizieren, welcher DNS-Server dem VPN-Einwahlclient mitgeteilt werden soll. Dort packst Du einen oder mehrere interne DNS-Server rein und das Problem sollte ohne hosts-Datei gegessen sein.