# Probleme mit mehreren VPN-Clients auf einem Rechner



## Semo (9 November 2011)

Mahlzeit, 

ich wollte mal hören, ob es eigendlich nur uns betrifft oder ob andere Firmen auch die selben Probleme haben.

Da wir zumeist als Dienstleister für den einen oder anderen Fördertechniker arbeiten und selten selber als Planer/GU auftreten, 
haben wir fast nie die möglichkeit die VPN-Lösung mit dem Endkunden auszuhandeln, bzw. eine Lösung vorzugeben.

Hinzu kommt, dass gerade größere Unternehmen feste VPN-Lösungen haben, von welcher man sich nach "Unternehmensrichtlinie" nicht entfernen darf ...


Gerade in den letzten Jahren haben wir arge Probleme gehabt, weil so gut wie jeder Client (liste s. unten) auf jedem Inbetriebnehmer Laptop installiert war. Das Spektrum reichte von Verbindungsabbrüchen über Bluescreens (vereinzelt - andauernd) bis hin zur nötigen Neuinstallation.


Mittlererweile sind nur noch die wirklich "problemlosen" Clients (bei uns Greenbow, OpenVPN und Cisco Anyconnect) auf den Laptops installiert und der Rest je nach Kompatibilität auf extra angeschafften Support-PCs (teilweise mehrere Windows-Umgebungen pro Rechner)  in der Firma.

Vorgehen ist dann halt meistens, per VPN in die Firma einwählen. Mit VNC den jeweiligen Support-Rechner steuern. Und dann vom Support-Rechner aus beim Kunden einwählen. Ist bestimmt nicht die beste Lösung, vorallem bei schlechter Verbindung, aber funktioniert "meistens".
Manch ein VPN-Client trennt nämlich die Verbindung zum "Firmennetzwerk", bzw. Filtert diese, was dazu führt, dass die Fernsteuerung per VNC abgebrochen wird und nicht mehr möglich ist...

Kunden mit solchen Lösungen können wir also nicht die gleiche Reaktionszeit bieten, da wir nur eine recht kleine Fima mit mittlererweile gerade 3 SPS'lern sind. :|


*Wir setzten momentan folgende Clients ein:*
Cisco Systems
Cisco Anyconnect
Cisco Anyconnect (Nur Web)
OpenVPN
TheGreenBow
NCP Secure Client
NCP Secure Client - Juniper Edition
Advanced-VPN-Client (NCP???)
Nortel Networks - Contivity VPN Client
*
Sonst nutzen wir ab und an noch:*
Windows basierte PPTP-Verbindung
Winsows basierte L2TP-IPSec Verbindung
Einwahl-Modem (DFÜ)


Es lässt sich keiner der Clients durch einen der anderen ersetzen, wo es ging, haben wir es schon getan...

Momentan spielen wir mit dem Gedanken uns nach einer professionellen Virtuallisierungsumgebung umzuschauen, haben aber noch nichts konkretes.


Also. Wer kennt das Thema? Wer hat andere (bessere?) Lösungen?


----------



## Michael.Uray (2 Dezember 2011)

Wir habe öfter das selbe Problem und diese VPN Clients die man hier vorgesetzt bekommt sind teilweise wirklich eine Frechheit!
Wie du schon geschrieben hast ist hier von getrennten lokalen Netzwerkverbindungen über Bluescreens alles dabei.

Als Lösung für die Fernwartung mit anderen Clients kenne ich auch nur die Möglichkeit diese in einer Virtuellen Maschine zu installieren. Auf diese kann man dann auch noch über Remotedesktop oder VNC (über den Host Rechner) zugreifen, wenn ein Client innerhalb der VM alle Netzwerkverbindungen kappt.
Für so etwas ist eigentlich eine jede Virtualisierungssoftware verwendbar. Mit einem Hyper-V 2008R2 Server hättest du z.B. auch die Möglichkeit, dich direkt mittels RDP auf den virtualisierten Client zu verbinden, möglicherweise gibt es solche Remoteverbindungen bei anderen VMs auch noch.

Wenn es unsere eigenen GU Projekte sind oder wir es vorgeben können,  verwenden wir OpenVPN oder PPTP (Windows VPN) für den Zugriff.


----------



## Thomas_v2.1 (2 Dezember 2011)

Das Problem kenne ich, auf meinem Laptop treiben sich auch zwangsweise diverse VPN Programme herum.

Das mit dem Bluescreen nach Installation einer VPN Software hatte ich auch schon. Ich wollte letztens den Lancom Advanced VPN Client installieren, danach Bluescreen. Deinstallation ging nur wenn man im abgesicherten Modus ohne Netzwerktreiber startet. Auf einem anderen Rechner habe ich dann nochmal die Installation der Software versucht, mit gleichem Ergebnis (Bluescreen).
Der Lancom Client nutzt imho im Bauch den NCP Secure Client.

Für IPsec Verbindungen nutze ich jetzt den Shrew Soft VPN Client (frei für private und kommerzielle Nutzung).
Mit etwas tüfteln habe ich die Einstellungen herausgefunden welche notwendig sind um sich mit dem Lancom Gerät zu verbinden, sodass ich das jetzt auch dafür nutzen kann.
Es gibt aber Hersteller die irgendwelche Sonderfunktionen in IPsec einbauen, sodass man einen Standardclient nicht damit verbinden kann.

OpenVPN scheint mir etwas pflegeleichter zu sein, da es sich nicht ganz so tief ins System einnistet wie ein IPsec Treiber. Leider gibt es nur wenige Router die OpenVPN ab Werk unterstützen.


----------



## Oberchefe (3 Dezember 2011)

Bluescreen habe ich bei sowas schon gesehen in Verindung mit einer Firewall (Kerio wenn ich mich noch recht entsinne).


----------



## Matze001 (4 Dezember 2011)

Wir haben das Glück das wir die VPN-Geräte selbst verbauen.
Daher setzen wir nur auf einen Client, und haben keine Probleme,
aber ich kenne deine Problematik ziemlich gut.

Bei mir hatten sich mal der Juniper-Client und der von einer Astaro(?)-Firewall so sehr gezofft
das anschließend beide nicht mehr gingen. Ich frage mich nur warum das so ist... es muss
doch möglich sein VPN-Clients kompatibel zu gestalten, und nicht so viele Überschneidungen 
drin zu haben. 

Grüße

Marcel


----------



## Onkel Dagobert (4 Dezember 2011)

MichaelUray schrieb:


> Wir habe öfter das selbe Problem und diese VPN Clients die man hier vorgesetzt bekommt sind teilweise wirklich eine Frechheit!
> Wie du schon geschrieben hast ist hier von getrennten lokalen Netzwerkverbindungen über Bluescreens alles dabei...


Das kann ich bestätigen. Ich hatte nur einen VPN-Client installiert (NCP Secure Client) und massive Probleme damit. Manchmal bremste er das ganze System aus. Oftmals, wenn ich etwas an den Netzwerkeinstellungen ändern mußte, der genannte Blue-Screen. Es gab auch Fälle, da half nur ein Aufspielen eines Images, um den Rechner wieder zum Laufen zu bringen! Der recht kostenintensive Support konnte nicht helfen.

Ein Kollege, auf dessen Rechner keine Siemens-Software installiert war, hatte diese Probleme nicht. Gibt es hier vielleicht Zusammenhänge?


Gruß, Onkel


----------



## Matze001 (4 Dezember 2011)

VPN-Clients haben meiner Meinung nach wenig mit Siemens-Software am Hut.
Hattet ihr genau identische PCs mit genau gleicher Software (außer Siemens)? Dann wäre Siemens schuld.

Bei VPN gibt es viele Faktoren, die verbaute Hardware (Netzwerkkarten), die installierten Treiber, das Betriebssystem,
andere VPN-Clients oder gar Dienste die auf dem Netzwerktreiber rumjuckeln... ich glaube sogar das Wetter im Timbuktu ist entscheidend..

Grüße

Marcel


----------



## JandeFun (4 Dezember 2011)

Hallo

ich habe ähnliche Erfahrungen gemacht. Mehre VPN Clients auf einem System gab immer wieder Probleme.
Wir haben das inzwischen für uns so gelöst, dass wir alles in VM´s installieren und somit pro Kunde der ein VPN Client benötigt uns eine VM Ware weglegen. Wir nutzen Virtual PC / Windows XP auf einem 64 Bit Windows 7 Host System.
Nachdem wir uns für dieses Konzept entschieden hatte, waren verschiedene Versionen von Simatic Step 7 und WinCC pro Kunde auch kein Thema mehr.


----------



## bike (4 Dezember 2011)

So lösen wir das auch, doch inzwischen wird es schwer.
Jede VM kostet Speicherplatz und benötigt Support.
Inzwischen haben wir alle relevanten VM und die dazugehörigen Harddisks auf einem Server.
Wenn eine benötigt wird, wird diese eine gültige Version verwendet. Entweder über das Netz oder lokal. Wenn lokal muss die Kopie nach Nutzung rechtzeitig gelöscht werden.

Eine echt glückliche Lösung ist das aber für meinen Geschmack nicht, doch noch? kenne ich keine bessere.


bike


----------



## Onkel Dagobert (4 Dezember 2011)

Matze001 schrieb:


> VPN-Clients haben meiner Meinung nach wenig mit Siemens-Software am Hut.
> Hattet ihr genau identische PCs mit genau gleicher Software (außer Siemens)? Dann wäre Siemens schuld...


Nein es waren verschiedene Systeme. Siemens möchte ich auch nicht die Schuld geben, aber man muss ja alles in Betracht ziehen. Auf meinem aktuellen "Arbeitsgerät" kommt kein VPN-Client mehr drauf. Zum Glück haben wir bei all unseren Anlagen auch einen ISDN-Zugang.


Gruß, Onkel


----------



## JandeFun (4 Dezember 2011)

Die Nutzung der verschiedenen VM´s erfordert natürlich sehr viel sorgfalt bei der Pflege und der Datenarchivierung. Grundsätzlich daten wir einmal beim Kunden verwendete VM nicht mehr ab, außer dem Virenscanner natürlich.
Bislang kommen wir so am besten klar. Ich muss aber auch sagen, das wir nicht mehr als 3 Leute sind die auf die VM zugreifen und dann meistens immer die gleiche Person für den einen Kunden.
Diese Vorgehensweise hat viele unserer damaligen Probleme gelöst. Andauernd liefen die Systeme nicht, weil irgendwelche Software mit anderer nicht harmonisierte mal abgesehen von den verschiednen VPN Clients.


----------



## bike (4 Dezember 2011)

JandeFun schrieb:


> Die Nutzung der verschiedenen VM´s erfordert natürlich sehr viel sorgfalt bei der Pflege und der Datenarchivierung. Grundsätzlich daten wir einmal beim Kunden verwendete VM nicht mehr ab, außer dem Virenscanner natürlich.
> Bislang kommen wir so am besten klar. Ich muss aber auch sagen, das wir nicht mehr als 3 Leute sind die auf die VM zugreifen und dann meistens immer die gleiche Person für den einen Kunden.
> Diese Vorgehensweise hat viele unserer damaligen Probleme gelöst. Andauernd liefen die Systeme nicht, weil irgendwelche Software mit anderer nicht harmonisierte mal abgesehen von den verschiednen VPN Clients.



Wenn wir das auch so machen wollten, hätten wir ca 4-800 verschiedene VM.
Also, geht es nicht so ganz.
Doch inzwischen haben wir ein System, das es uns ermöglicht mit weniger als 20 verschiedenen VM auszukommen.


bike


----------



## JandeFun (5 Dezember 2011)

Okay so viele VM habe ich nicht am laufen.

Was habt ihr für ein System, was es euch ermöglicht mit weniger VM auszukommen?


----------



## kandalaks (1 April 2014)

Hallo Thomas,

set neuem muss ich Shrew Soft VPN Client einsetzen, um auf die Anlagen zu zugreifen.
Ich habe folgendes Problem, VPN-Tunnel wird aufgebaut, die CPU kann ich mit "ping" erreichen, aber über SIMATIC Manager sehe ich keine Teilnehmer.

meine version ist V5.5+SP3

Haben Sie ähnliche Erfahrungen mit Shrew Soft VPN Client gehabt?
Danke!


----------



## Thomas_v2.1 (1 April 2014)

Die Funktion "erreichbare Teilnehmer" funktioniert nur selten über Router oder ähnliche Verbindungen, da diese auf Mac-Ebene aufsetzt und somit nicht routingfähig ist.

Um auf die CPU online gehen zu können wird das auch nicht benötigt. Wenn du die CPU anpingen kannst, ist die Wahrscheinlichkeit groß dass du aus dem Simatic Manager auch online gehen kannst.


----------



## kandalaks (2 April 2014)

konnte ich eben nicht aus dem Simatic Manager... bis heute 

der Admin vor Ort hat die IP oder Port 102 für die CPU nicht freigegeben...

Danke für die Antwort


----------

