{"id":886,"date":"2011-08-20T18:35:09","date_gmt":"2011-08-20T17:35:09","guid":{"rendered":"http:\/\/blog.kurze-systems.de\/?p=886"},"modified":"2011-12-01T22:07:08","modified_gmt":"2011-12-01T21:07:08","slug":"windows-7-lsst-sich-bei-verbindung-durch-cisco-vpn-nicht-anpingen","status":"publish","type":"post","link":"https:\/\/www.kurze-systems.de\/?p=886","title":{"rendered":"Windows 7 lässt sich bei Verbindung durch Cisco VPN nicht anpingen"},"content":{"rendered":"

Es kann auch immer wieder Fehler geben, die auch einen erfahrenen ITler anf\u00e4nglich zum Wundern bringen. Einige Kollegen berichteten mir, dass sie sich nicht auf Windows 7 Maschinen per Remote einw\u00e4hlen konnten, obwohl den Usern alle Intranetdienste im Netzwerk zur Verf\u00fcgung standen. Alle Server im Intranet waren von den Clients aus anpingbar; umgekehrt von vorhandenen Intranet-Rechnern auf die per VPN verbundenen Clients, ging dies jedoch nicht. Eine genauere Analyse brachte zu Tage, dass die Windows-Firewall in Verbindung mit dem Cisco VPN der Verursacher war. Seit Windows Vista \/ Windows 7 gibt es das sogenannte Netzwerkcenter, welches den jeweils verbundenen Netzwerken unterschiedliche Firewallrichtlinen zuweist:<\/p>\n

\"Netzwerkcenter\"<\/a><\/p>\n

So sind die Richtlinien f\u00fcr Arbeitsplatz- oder Dom\u00e4nennetzwerke nicht so streng, als wenn man sich im virtuellen Elendsviertel (dem so genannten Internet) befindet (z.B. in einem Hotel oder auf einem Flugplatz), wo das Netzwerk als \u00d6ffentliches Netzwerk tituliert wird:<\/p>\n

\"Netzwerkcenter2\"<\/a><\/p>\n

Als\u00a0nun eine Verbindung des Cisco VPNs gestartet wurde, wurde das aufgebaute VPN nicht als Dom\u00e4nennetzwerk erkannt, sondern weiterhin als \u00d6ffentliches Netzwerk. Ursache ist das so genannte Windows 7 Network Location Awareness<\/a> welches mit dem Cisco VPN nicht funktioniert.<\/p>\n

So weit so gut, Ursache gefunden, wie sieht nun die L\u00f6sung aus?<\/span><\/p>\n

Es gibt mehrere M\u00f6glichkeiten, dieses Problem zu beheben. Es gibt gute und eher schlechtere L\u00f6sungen. Als schlechte L\u00f6sung, k\u00f6nnte man entweder die Windows 7 Firewall einfach ausschalten oder alternativ die ben\u00f6tigten Ports im \u00d6ffentlichen Netzwerk per GPO freischalten. Da dies entweder ein hohes Sicherheitsrisiko darstellt, oder mit erheblichen Administrationsaufwand verbunden ist, w\u00fcrde ich von diesen M\u00f6glichkeiten abraten.<\/p>\n

Man k\u00f6nnte, wenn nur Windows 7 Enterprise im Unternehmen benutzt wird, anstatt VPN das so genannte DirectAccess benutzen. Diese L\u00f6sung ist sehr elegant, aber sehr schwer in kurzer Zeit in einem Unternehmen umzusetzen. Dies sollte trotz all dessen langfristig in Betracht gezogen werden um die VPN-Technik langfristig abzuschaffen.<\/p>\n

Die dritte L\u00f6sung ist relativ schnell umsetzbar. Nach Aussage von Cisco Systems wird die NLA Funktionalit\u00e4t des Cisco IPSec-Client leider nicht unterst\u00fctzt und auch nie unterst\u00fctzt werden. Das hei\u00dft man hat nur noch zwei M\u00f6glichkeiten:<\/p>\n

Entweder man nutzt die Microsoft-Board-Technologien (was aber nur in einigen Unternehmensinfrastrukturen m\u00f6glich ist) oder man nutzt einen aktuellen Cisco AnyConnect Client, denn auch \u00e4ltere AnyConnect Clients leiden ebenfalls unter diesem Bug<\/a>! Ab Version 3.0.2052 des Cisco AnyConnect Clients sollte der Bug behoben<\/a> sein.\u00a0Mit der neuesten Version\u00a0des Cisco AnyConnect Clients seit ihr auf jeden Fall auf der sicheren Seite. Wenn euch das geholfen haben sollte, freue ich mich auf ein Danke!<\/p>\n","protected":false},"excerpt":{"rendered":"

Es kann auch immer wieder Fehler geben, die auch einen erfahrenen ITler anf\u00e4nglich zum Wundern bringen. Einige Kollegen berichteten mir, dass sie sich nicht auf […]<\/a><\/p>\n<\/div>","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,3],"tags":[131,116,86,115,22],"class_list":["post-886","post","type-post","status-publish","format-standard","hentry","category-cisco-systems","category-microsoft","tag-cisco-systems","tag-firewall","tag-problem","tag-vpn","tag-windows-7"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.kurze-systems.de\/index.php?rest_route=\/wp\/v2\/posts\/886","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kurze-systems.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kurze-systems.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kurze-systems.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kurze-systems.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=886"}],"version-history":[{"count":5,"href":"https:\/\/www.kurze-systems.de\/index.php?rest_route=\/wp\/v2\/posts\/886\/revisions"}],"predecessor-version":[{"id":888,"href":"https:\/\/www.kurze-systems.de\/index.php?rest_route=\/wp\/v2\/posts\/886\/revisions\/888"}],"wp:attachment":[{"href":"https:\/\/www.kurze-systems.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=886"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kurze-systems.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=886"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kurze-systems.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=886"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}