Sie sind hier: Startseite Services Internet und Netzzugang VPN FAQ

FAQ und Troubleshooting für VPN

Die FAQ-VPN gibt es für die Bereiche
IPSec (Cisco VPN Client)
und
SSL (Cisco AnyConnect)

FAQ Cisco VPN-Client (IPSec-VPN)

VPN Troubleshooting Checkliste

  1. Stellen Sie sicher, dass Sie die neuste verfügbare Version der Cisco VPN Client Software verwenden (zum_VPN_Softwaredownload) und zuvor installierte Versionen vollständig deinstalliert wurden.
  2. Funktioniert die Internet-Verbindung ohne VPN unter Verwendung desselben PC\'s einwandfrei?
  3. Befinden Sie sich in einem fremden Netzwerk? Wird in diesem eine Firewall eingesetzt? Stellen Sie sicher, dass die Firewall Ihre Daten durchlässt.
  4. Ist auf Ihrem PC eine Firewall installiert? Deaktivieren Sie sie für einen VPN-Verbindungsversuch und denken Sie daran, dass Windows XP über eine eigene eingebaute Firewall verfügt.
  5. Ist auf Ihrem PC Virenschutz-Software installiert? Deaktivieren Sie sie für einen VPN-Verbindungsversuch.
  6. Wenn Sie WLAN verwenden und die VPN-Verbindung nicht zustande kommt, versuchen Sie dasselbe mit einer Verbindung mit Netzwerkkabel.
  7. Stellen Sie sicher, dass das verwendete Netzwerkkabel funktionstüchtig ist. Testen Sie ein zweites Netzwerkkabel, von dem Sie wissen, dass es fehlerfrei funktioniert.
  8. Vergewissere Sie sich, dass im Gerätemanager keine Fragezeichen oder Ausrufezeichen sichtbar sind.
  9. Prüfen Sie, ob der Hersteller für Ihre Netzwerkkarte (Ethernet und/oder WLAN) neuere Treibersoftware anbietet, als Sie sie verwenden.
  10. Ist Ihre Netzwerkkarte so konfiguriert, dass sie DHCP verwendet?
  11. Funktioniert Ihr Login im BONNET (z.B. Mail) ansonsten einwandfrei?
  12. Ist auf Ihrem PC eine Netzwerkbrücke installiert?
  13. Welche Log-Einträge werden angezeigt, wenn Sie das Log-Fenster vor dem Verbindungsaufbau öffnen?

 

Fehlermeldung 1609

Bei der Installation der aktuellen Version des Cisco VPN Clients (vpnclient-win-msi-5.0.01.0600-k9.exe) erscheint unter Windows XP und VISTA deutsche Versionen die Fehlermeldung 1609 und das Setup lässt sich nicht fortführen.Die Fehlermeldung 1609 erscheint, weil das Installationsprogramm nur für englischsprachige Betriebssysteme ausgelegt ist und bei einem deutschen Windows die benötigten Benutzergruppen anders heißen.

  • Lösung:
    Um das Programm dennoch installieren erstellt man zwei leere Benutzergruppen mit den verlangten englischsprachigen Namen, die das Programm braucht.
    Dies kann man unter Windows XP und Vista wie folgt bewerkstelligen:
    • Logon mit Administratorrechten
    • Aufruf der Command Line (cmd) von Windows (Dos-Fenster / Windows Eingabeaufforderung) und Eingabe der Befehle:
      • net localgroup Users /add
      • net localgroup Interactive /add
    • Danach muss man das Installationsprogramm erneut aufrufen.

Eine bebilderte Anleitung der Installation finden Sie unter:
Hinweis bei Fehler 1609

 

Browsen: Ich kann eine VPN-Verbindung herstellen, nicht aber im Internet browsen

Prüfen Sie, ob in den Eigenschaften von My Network Places (Windows XP) eine Local Area Connection für den Cisco Systems VPN Adapter vorhanden ist.
Wenn Sie eine Personal Firewall benutzen (Windows XP / Vista), deaktivieren Sie diese Firewall und benutzen Sie die Firewall von Windows.
Vergewissern Sie sich im Gerätemanager und auf der Herstellerseite ob Sie tatsächlich den neusten Treiber für Ihre Netzwerkkarte verwenden.

 

Fehler: CM_CTCP_FAIL

Nachfolgend ein Beispiel eines Logs, wie er angezeigt werden kann, wenn auf dem Client Rechner eine Firewall den Aufbau der VPN-Verbindung unter Verwendung von IPSec über TCP verhindert:

1 09:24:56.320 06/02/04 Sev=Info/6 IPSEC/0x6370001F
TCP SYN sent to 10.2.3.45, src port 3249, dst port 10000

2 09:25:01.327 06/02/04 Sev=Info/6 IPSEC/0x6370001F
TCP SYN sent to 10.2.3.45, src port 3249, dst port 10000

3 09:25:06.334 06/02/04 Sev=Info/6 IPSEC/0x6370001F
TCP SYN sent to 10.2.3.45, src port 3249, dst port 10000

4 09:25:11.341 06/02/04 Sev=Info/6 IPSEC/0x6370001F
TCP SYN sent to 10.2.3.45, src port 3249, dst port 10000

5 09:25:15.998 06/02/04 Sev=Warning/3 DIALER/0xE3300008
GI VPNStart callback failed "CM_CTCP_FAIL" (1Dh).

6 09:25:17.040 06/02/04 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

7 09:25:17.040 06/02/04 Sev=Info/6 IPSEC/0x63700022
TCP RST sent to 10.2.3.45, src port 3249, dst port 10000

 

Fehler: CM_PEER_NOT_RESPONDING

Nachfolgend ein Beispiel eines Logs, wie er angezeigt werden kann, wenn auf dem Client Rechner eine Firewall den Aufbau derVPN-Verbindung unter Verwendung von IPSec über UDP verhindert:

1 08:36:38.699 06/01/04 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

2 08:36:58.577 06/01/04 Sev=Warning/2 IKE/0xE300007C
Exceeded 3 IKE SA negotiation retransmits... peer is not responding

3 08:36:58.627 06/01/04 Sev=Warning/3 DIALER/0xE3300008
GI VPNStart callback failed "CM_PEER_NOT_RESPONDING" (16h).

4 08:36:59.679 06/01/04 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

 

Fehler: Error 56: The Cisco Systems, Inc. VPN Service has not been started. Please start this service and try again

Diese Fehlermeldung tritt auf, wenn der VPN-Dienst (Service) nicht aktiv ist zum Zeitpunkt des VPN-Verbindungsaufbaus. Der Status des Dienstes sollte nach Installation der Cisco VPN Client Software auf "Automatisch" eingestellt sein. Der Status des "Cisco Systems, Inc. VPN Service" kann überprüft werden in der Windows Systemsteuerung (Control Panel) unter "Dienste" (Services). Zum Öffnen der Systemsteuerung klicken Sie auf "Start" und danach auf "Systemsteuerung" (Control Panel). Dort kann der Dienst auch manuell gestartet werden für den Fall, dass dies nicht automatisch erfolgt ist.

Unter Windows 98 kann dieser Fehler auftreten, wenn die Cisco VPN Software 4.6 verwendet wird. Für Windows 98 ist die Version 3.6.6.A zu verwenden.

 

Fehler: IPC socket allocation failed with error fffffff8h

Die Cisco VPN-Software wurde fehlerhaft oder unvollständig installiert. Sie muss über den Menübefehl "Uninstall VPN Service" deinstalliert und nochmals installiert werden. Oftmals kann das Programm nicht vollständig deinstalliert werden, dies äussert sich darin, dass eine weitere Neuinstallation ebenfalls fehlschlägt oder abbricht. Es müssen dann die Programmkomponenten manuell deinstalliert werden. Die Anleitung hierzu: How to Manually Uninstall the Cisco VPN Client 3.5 and Later for Windows 2000. Das beschriebene Vorgehen hat sich auch schon bewährt auf Windows XP-Rechnern, auch wenn nicht alle aufgeführten Dateien gefunden werden können.

Nach mehrmaligen misslungenen Installationsversuchen empfehlen wir, es mit einer älteren Version der Software zu versuchen.

 

Fehlermeldungen deuten - wie finde ich heraus, was die von meinen Cisco VPN Client angezeigte Fehlermeldung bedeutet?

Im VPN Client GUI Error Lookup Tool

 

Log File: Wie kann ich ein VPN Log File erstellen lassen?

  1. Wenn Sie bereits eine VPN-Verbindung erstellt haben, sollten Sie sie abbrechen, bevor Sie den Log Viewer aufrufen. Er muss zuerst geöffnet werden.
  2. Der Log Viewer ist standardmässig gesperrt, er kann entsperrt werden über den Befehl "Enable" im Log-Menü .
  3. Das Log Fenster kann angezeigt werden über den Befehl "Log Window" im Log-Menü. Die Menge der gesammelten Informationen kann kontrolliert werden über die Log Settings.

Mehr Informationen über das Filtern, Speicher und Durchsuchen von Log Files sowie das Verstehen desselben findest Sie hier:

  • Cisco VPN Client for Windows Online Help welche auf Ihrem System installiert ist ("Viewing and Managing the VPN Client Event Log")
  • Anleitung von Cisco: Troubleshooting with View Log

Die Log Viewer-Konfigurationsmöglichkeiten und Menüs können sich unterscheiden, abhängig davon, welche Version der VPN Client Software Sie installiert haben.

 

NAT: Ich kann keine VPN-Verbindung aufbauen und mein Rechner befindet sich in einem Netzwerk, in welchem NAT betrieben wird

In der Regel kann über ein NAT-Gerät problemlos ein VPN-Tunnel aufgebaut werden. Dies ist über die Standardeinstellung IPSec über UDP (NAT/PAT), welche den VPN-Servern und Ihrem Client das Aushandeln der Port Nummer erlaubt, möglich. Alternativ kann IPSec über TCP (NAT/PAT/Firewall) gewählt werden. Es muss dann die Port Nummer, welche auf den VPN-Servern dafür vorgesehen ist, angegeben werden. Standardgemäss ist dies Port 10000.

Network Address Translation (NAT): IP-Adressen sind weltweit nicht in unbeschränkter Menge verfügbar. NAT ermöglicht, mit der bestehenden Menge an Adressen eine grössere Anzahl Computer ans Internet anzubinden. Es werden dazu bei Bedarf einzelne Adressen aus den sogenannt "privaten Adressbereichen" (10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255 und 192.168.0.0 - 192.168.255.255) über im Router gespeicherte Tabellen "öffentlichen Adressen" zugeordnet. Auf diese Weise sind die betreffenden Rechner nicht nur in der Lage, eine Verbindung ins Internet aufzubauen, sondern sie sind auch aus dem Internet erreichbar. Die Struktur des Netzwerkes jedoch bleibt nach aussen verborgen und Rechner, die nur innerhalb des Netzwerkes miteinander kommunizieren, beanspruchen keine öffentliche Adresse. Mit dem Befehl "ipconfig" kann im MS-DOS prompt überprüft werden, ob Ihrn Rechner eine private oder öffentliche IP-Adresse erhalten hat.

Port and Address Translation (PAT): Alle Adressen eines privaten Netzwerkes werden an eine einzelne öffentliche (dynamische) IP-Adresse gebunden und zusätzlich die Portnummern ausgetauscht. So benötigt ein privates Netzwerk nur eine einzige öffentliche IP-Adresse. Die privaten Rechner können jedoch nicht aus dem Internet angewählt werden.

IPSec über UDP vs IPSec über TCP: Die Protokolle UDP und TCP sind beide der Transportschicht des IP-Protokoll-Stacks zugeordnet. TCP weist den geringeren Datenverlust auf, die jeweilige Paketgrösse ist bekannt und alle Bytes sind durchnummeriert. Sequenznummern erschweren die Fälschung. Die Übertragung wird jedoch durch den Auf- und Abbau der Verbindung und durch Acknoledgements verlangsamt. Die Übertragung mit UDP ist demgegenüber unsicher, aber schnell, UDP ist anfällig für Datenverlust und Datenverfälschung. IPSec ist eine gute Möglichkeit, trotzdem eine sichere UDP-Übertragung zu gewährleisten.

 

VPN Client uninstall: Fehler "The VPNClient application is running"

Beim Versuch, die Cisco VPN-Software zu deinstallieren, kann die Fehlermeldung "The VPNclient application is running. Please terminate all Cisco Systems VPN Client applications and restart uninstall." angezeigt werden. Es müssen dann die Tasks "vpngui.exe", "cisvc.exe" und "ipseclog.exe" beendet werden, damit die Software erfolgreich deinstalliert werden kann.

 

Windows Internet Connection Firewall (ICF): IPSec over TCP-Verbindung schlägt fehl

Wenn die Windows Internet Connection Firewall (ICF) aktiviert ist und versucht wird, eine IPSec over TCP-Verbindung herzustellen, resultiert die Fehlermeldung "Secure VPN Connection terminated locally by the Client. Reason 414: Failed to establish a TCP connection". Dieses Problem ist seit der Version 4.6 der Cisco VPN-Software behoben.

Das Internetverbindungsfirewall-Feature, das in Windows XP und Windows Sever 2003 enthalten ist, ist eine "statussensitiver" (stateful) Firewall, das heisst, sie berücksichtigt implizit den Status von Verbindungen. Das Öffnen bestimmter Ports entfällt deshalb beim Einsatz der ICF.

 

Bluescreen beim Aufbauen der Verbindung

Einige Firewalls (z.B. F-Secure) verursachen in Verbindung mit dem VPN-Clienteinen Fehler, infolgedessen der Computer abstürzt. Um dies zu verhindern kannman das Gerät "vsdatant" deaktivieren:

  • Zuerst den Windows Gerätemanager aufrufen (Start -> Ausführen -> "devmgmt.msc")
  • Unter dem Menüpunkt Ansicht "Ausgeblendetet Geräte anzeigen" wählen.
  • Unter "Nicht-PNP-Treiber" den Eintrag "vsdatant" wählen und mit einem
  • Rechtsklick das Kontextmenü aufrufen.
  • Hier "Deaktivieren" anklicken und anschliessend den Rechner neu starten.

 

Zum Seitenanfang der FAQ-VPN

FAQ Cisco AnyConnect (SSL-VPN)

 

Bluescreen nach dem Booten bei Windows XP

Eine Firewall (z.B. ZoneAlarm) kann in Zusammenhang mit dem Cisco AnyConnect Client beim Bootvorgang einen Bluescreen verursachen. Um dies zu verhindern sollte man vor der Installation von  Cisco AnyConnect die Firewall deinstallieren. Nach erfolgreicher Installation von Cisco AnyConnect kann die Firewall nach einem Neustart des System wieder installiert werden.

Tritt das Problem schon auf, kann es wie folgt beseitigt werden:

  • Booten des Systems mit "F8"
  • Starten von Windows mit der letzten lauffähigen Konfiguration
  • Cisco AnyConnect wieder über "Software" deinstallieren
  • die Firewall deinstallieren
  • Booten und Cisco AnyConnect wieder neu installieren
  • zum Abschluß kann die Firewall ebenfalls wieder installiert werden.

Jetzt sollte das System ohne Bluesreen zu booten sein und sowohl die Firewall als auch der Cisco AnyConnect Client normal arbeiten.

Zum Seitenanfang der FAQ-VPN

 

Artikelaktionen