Probleme mit Firewalls

Problembeschreibung

Eine auf dem Rechner (oder auf dem Weg "ins Internet", z.B. am Router) installierte Firewall (oder ein Router mit Adress- oder Portumsetzung NAT/PAT) blockiert den Verbindungsaufbau zwischen VPN-Client und VPN-Server. Dies kann verschiedene Auswirkungen haben.

• Meistens wird die folgende Fehlermeldung angezeigt:
  
  
  
• Es kann aber auch vorkommen, dass die Firewall die Anfangsverbindung zulässt, aber nach kurzer Zeit (typisch 3 - 10 Minuten) bei weiteren Rekeying-Versuchen des VPN-Servers die erneute Verbindungsaufnahme unterbindet, weswegen dann die Verbindung nach kurzer Zeit plötzlich abbricht.

Hinweise zur Lösung

Wenn eine Firewall die VPN Verbindung verhindert, kann das in der Regel durch entsprechende Umkonfiguration der Firewall oder des VPN-Clients behoben werden.

Wenn Sie auf Ihrem Rechner eine lokale/Desktop-Firewall aktiv haben: Deaktivieren Sie kurz die Firewall und versuchen Sie dann eine VPN-Verbindung herzustellen. Wenn dies schon hilft, können Sie die einzelne Anwendungen bzw. Ports freigeben.

Freizugebende Ports bzw. Programme

• Netzwerktransportprotokolle, die an der Firewall Ihres Laptops / PCs freigeschaltet sein müssen.
  
  

  Aktion	Programm auf PC:	Protokoll:	lokaler Port:	entf. Port:	entf. Rechner:	Richtung:
  Immer freischalten:	VPNGUI.EXE	TCP	any	any	127.0.0.1	out
  Immer freischalten:	CVPND.EXE	TCP	any	any	127.0.0.1	out
  Immer freischalten:	IPSECLOG.EXE	TCP	any	any	127.0.0.1	out
  Immer freischalten:	PPPTOOL.EXE	TCP	any	any	127.0.0.1	out
  Immer freischalten:	CVPND.EXE	UDP	any	any	129.206.100.81 (129.206.100.80/30) vpnsrv1.urz.uni-heidelberg.de	out
  IPSsec over TCP (Port 10000):	keine weitere	Freischaltung	erforderlich
  IPSec native oder über UDP:	CVPND.EXE	UDP	500	500	129.206.100.81 (129.206.100.80/30) vpnsrv1.urz.uni-heidelberg.de	in
  IPSec native oder über UDP:	alle	ESP 50 AHP 51	any	any	129.206.100.81 (129.206.100.80/30) vpnsrv1.urz.uni-heidelberg.de	in / out

  (Originaldoku dazu siehe Cisco-VPN-Server-FAQ.)

  Am Besten belassen Sie die Transporteinstellung des Verbindungsprofils bei IPSsec over TCP.

  Tipp: Wenn Sie einen "Outlook Expres"-E-Mail-Klienten verwenden, sollten Sie auch Port 113 (IDENT-Authentifizierung) erlauben.

• Sollten Sie nicht wissen, ob eine Firewall installiert ist:
  
  • Windows XP liefert eine eigene Firewall mit. Nach der Installation von Service Pack 2 (SP2) wird die Firewall automatisch gestartet.
  • einige sehr verbreitete Firewalls sind: Norton Internet Security, McAfee, G Data, ZoneAlarm, Kerio, Sygate.
    Prüfen Sie unter "Start > (alle) Programme", ob Sie eines dieser Programme finden.
  • Sie können auch in der Leiste unten rechts auf Ihrem Bildschirm nachschauen, ob dort eine automatisch gestartete Firewall zu finden ist.
• Die Möglichkeit, dass sich eine Firewall mit dem VPN-Client "generell" nicht verträgt, bleibt zwar eine Ausnahme, ist jedoch nicht auszuschließen. Wenn also sonst nichts hilft: Deinstallieren Sie Ihre Firewall und starten Sie den Rechner neu.
• In Firewall-Logs sieht man auch Hinweise auf Ports udp/625xx. Laut Cisco-VPN-Server-FAQ können diese Ports ignoriert werden, andererseits gibt es Hinweise darauf, dass insbesondere Port udp/62515 vom Client zum Server ebenfalls freigeschaltet sein sollte.

Konfiguration am Beispiel der WindowsXP-ServicePack2-Firewall.

Wer sich nicht die Mühe machen möchte, unter Windows XP mit Service Pack 2 und aktivierter Firewall die unten ausführlich dokumentierten Schritte nachzuvollziehen, lädt sich einfach die Datei xp-firewall-settings-for-ciscovpn.bat herunter und führt diese auf seinem PC mit Administratorrechten aus.

Seit Service Pack 2 beinhaltet Windows XP eine eingebaute Firewall. Diese wird gleich nach der Installation von SP2 aktiviert. Ausgehende Pakete sind in der XP-Firewall stets erlaubt. Daher sind nur die ankommenden Pakete zu betrachten; vor allem das Protokoll IKE 500/udp. Damit keine Probleme beim Betrieb des VPN-Clients entstehen, sollten Sie ihre Firewall-Einstellungen entsprechend anpassen.

1. Öffnen Sie "Netzwerkverbindungen": Start > Einstellungen > Systemsteuerung > Netzwerkverbindungen
2. Wählen Sie die Verbindung (Wirelesskarte, Netzwerkkarte), die Sie verwenden möchten. In unserem Fall ist das eine Netzwerkkarte (Fast Ethernet Adapter). Achten Sie darauf, dass der VPN-Client eine eigene Verbindung eingetragen hat (Cisco Systems VPN Adapter). Diese wird vom Client automatisch erstellt und benötigt keine weiteren Konfigurationen ihrerseits.
3. Gehen Sie also mit rechtem Mausklick auf die Eigenschaften der ausgewählten Verbindung.
   
   
4. Öffnen Sie unter "Erweitert > Einstellungen" das Kontrollzentrum der Windows-Firewall. Die Firewall ist standardmäßig auf "Aktiv" gesetzt.
5. 
   
6. Wählen Sie den Eintrag "Ausnahmen".
   
   
7. Wählen Sie "Programme" und fügen Sie den "VPN Client" ein.
   
8. Wählen Sie "Port?" und machen sie die nötigen Einträge:
   

   Der Eintrag "Name" kann beliebig ausgefüllt werden. Bei der Windows-XP-SP2-Firewall sind diese Einstellungen ausreichend. Bei anderen Firewalls kann aber einen zusätzlichen Eintrag, wie in der Tabelle weiter oben beschrieben, notwendig sein.

9. Die fertigen Einstellungen sehen dann so aus:
   

Probleme bei Sicherheitssoftware von Drittanbietern

1. Probleme bei der VPN Verbindung im Zusammenhang mit "Zonealarm"

   Bei der VPN-Verbindung via Cisco VPN-Client kommt es im Zusammenhang mit installierter Firewall-Software von Zonelabs, "Zonealarm", immer wieder zu Problemen. Um diese Probleme zu vermeiden hat sich folgende Vorgehensweise bewährt:

   • Cisco VPN-Client herunterladen
   • Zonelarm deinstallieren. Da nach einer Standard-Deinstallation über die Systemsteuerung immer noch Programmreste der Zone-Alarm- Software auf dem Computer verbleiben, die bei einem Wechsel zu einer anderen FW oftmals zu Problemen führen,
     finden Sie hier eine Anleitung zum endgültigen Entfernen.
   • Windows-XP Firewall aktivieren
   • Cisco VPN-Client installieren
   • Wenn gewünscht, aktuelle Verison von Zonealarm herunterladen und installieren.

2. Probleme bei der Cisco-VPN-Verbindung durch F-Secure-Internet-Security

   Wer die F-Secure-Firewall verwendet und sich per Cisco-VPN-Client in ein anderes Netzwerk einwählen möchte (beispielsweise ins Uni-Netz), wird evtl. die Erfahrung machen, dass der PC sich einfach ausschaltet und neu startet oder mit einem Bluescreen abstürzt.

   Die Lösung des Problems ist dagegen jedoch recht einfach: Firewall und Cisco deinstallieren! Dann zuerst Cisco-VPN-Client installieren (Neustart nicht vergessen) und erst danach F-Secure installieren. F-Secure wird dann ne Warnmeldung ausgeben, dass die Cisco-Firewall entdeckt wurde. Diese Warnmeldung mit "Weiter" bestätigen, dann wird die Cisco-Firewall deaktiviert. Danach ist es problemlos möglich, sich per VPN ins gewünschte Netzwerk einzuwählen.

   F-Secure: Der Virenscanner F-Secure darf nicht vor dem VPN-Client installiert worden sein. Abhilfe: Deinstallieren Sie F-Secure und den VPN-Client. Installieren Sie anschließend zuerst den VPN und danach installieren Sie den Virenscanner von F-Secure erneut.

3. Probleme bei der VPN-Verbindung im Zusammenhang mit Sicherheits-Software anderer Hersteller

   Weitere Hinweise zu Problemen mit "Thirdparty-Firewalls" etc. finden Sie unter: Kompatibilität Cisco VPN-Client - Personal Firewall (Windows XP)