Es kann auch immer wieder Fehler geben, die auch einen erfahrenen ITler anfänglich zum Wundern bringen. Einige Kollegen berichteten mir, dass sie sich nicht auf Windows 7 Maschinen per Remote einwählen konnten, obwohl den Usern alle Intranetdienste im Netzwerk zur Verfügung standen. Alle Server im Intranet waren von den Clients aus anpingbar; umgekehrt von vorhandenen Intranet-Rechnern auf die per VPN verbundenen Clients, ging dies jedoch nicht. Eine genauere Analyse brachte zu Tage, dass die Windows-Firewall in Verbindung mit dem Cisco VPN der Verursacher war. Seit Windows Vista / Windows 7 gibt es das sogenannte Netzwerkcenter, welches den jeweils verbundenen Netzwerken unterschiedliche Firewallrichtlinen zuweist:
So sind die Richtlinien für Arbeitsplatz- oder Domänennetzwerke nicht so streng, als wenn man sich im virtuellen Elendsviertel (dem so genannten Internet) befindet (z.B. in einem Hotel oder auf einem Flugplatz), wo das Netzwerk als Öffentliches Netzwerk tituliert wird:
Als nun eine Verbindung des Cisco VPNs gestartet wurde, wurde das aufgebaute VPN nicht als Domänennetzwerk erkannt, sondern weiterhin als Öffentliches Netzwerk. Ursache ist das so genannte Windows 7 Network Location Awareness welches mit dem Cisco VPN nicht funktioniert.
So weit so gut, Ursache gefunden, wie sieht nun die Lösung aus?
Es gibt mehrere Möglichkeiten, dieses Problem zu beheben. Es gibt gute und eher schlechtere Lösungen. Als schlechte Lösung, könnte man entweder die Windows 7 Firewall einfach ausschalten oder alternativ die benötigten Ports im Öffentlichen Netzwerk per GPO freischalten. Da dies entweder ein hohes Sicherheitsrisiko darstellt, oder mit erheblichen Administrationsaufwand verbunden ist, würde ich von diesen Möglichkeiten abraten.
Man könnte, wenn nur Windows 7 Enterprise im Unternehmen benutzt wird, anstatt VPN das so genannte DirectAccess benutzen. Diese Lösung ist sehr elegant, aber sehr schwer in kurzer Zeit in einem Unternehmen umzusetzen. Dies sollte trotz all dessen langfristig in Betracht gezogen werden um die VPN-Technik langfristig abzuschaffen.
Die dritte Lösung ist relativ schnell umsetzbar. Nach Aussage von Cisco Systems wird die NLA Funktionalität des Cisco IPSec-Client leider nicht unterstützt und auch nie unterstützt werden. Das heißt man hat nur noch zwei Möglichkeiten:
Entweder man nutzt die Microsoft-Board-Technologien (was aber nur in einigen Unternehmensinfrastrukturen möglich ist) oder man nutzt einen aktuellen Cisco AnyConnect Client, denn auch ältere AnyConnect Clients leiden ebenfalls unter diesem Bug! Ab Version 3.0.2052 des Cisco AnyConnect Clients sollte der Bug behoben sein. Mit der neuesten Version des Cisco AnyConnect Clients seit ihr auf jeden Fall auf der sicheren Seite. Wenn euch das geholfen haben sollte, freue ich mich auf ein Danke!
Antworten