Häufig gestellte Fragen
Es gibt eine Reihe von Ursachen für ein derartiges Problem. Diese FAQ wird Ihnen dabei helfen herauszufinden, was in Ihrem konkreten Fall die Fehlerursache ist. In dieser Antwort wird der Begriff Zielgerät stellvertretend für das Gerät verwendet, zu dem Sie sich über das VPN verbinden möchten. Das Zielgerät kann in Ihrem konkreten Fall alles sein, von einem normalen Rechner, über einen Server, bis hin zu einem Netzwerkdrucker.
1. Versuchen Sie sich zum Zielgerät mittels Hostnamen zu verbinden?
Wenn Sie einen Hostnamen verwenden, versuchen Sie es stattdessen bitte einmal mit der IP Adresse des Zielgerätes. Wenn es damit funktioniert, liegt ein Problem mit Ihren DNS Einstellungen vor. Stellen Sie bitte sicher, dass DNS für die VPN Verbindung eingeschaltet und korrekt konfiguriert ist. Bitte beachten Sie, dass Sie grundsätzlich nie Bonjour oder NETBIOS Hostnamen über VPN verwenden können.
2. Ist die IP Adresse, zu der Sie sich verbinden, auch wirklich Teil des Remote-Netzwerks?
Wenn Ihr Remote-Netzwerk beispielsweise 192.168.13.0/24 ist, sollten Sie sich zu allen IPs verbinden können, die mit 192.168.13.x anfangen. Verbindungen zu 192.168.14.x sind damit hingegen über das VPN nicht möglich, da diese Adresse außerhalb des Adressbereichs liegt, der über das VPN gesendet wird.
3. Ist die lokale Adresse in VPN Tracker Teil des Remote-Netzwerks?
Mit den meisten VPN Gateways können Sie nur lokale Adressen (Grundeinstellungen > Lokale Adresse) verwenden, die nicht Teil eines Remote-Netzwerks sind. Bitte verwenden Sie daher eine lokale Adresse, die ausserhalb aller Remote-Netzwerke liegt. Wenn Ihr Remote-Netzwerk beispielsweise 192.168.13.0/24 ist, verwenden Sie bitte keine Addresse, die mit 192.168.13. beginnt. Wenn Sie eine automatische Konfiguration verwenden (z.B. Mode Config, EasyVPN oder DHCP über VPN), können Sie in manchen Fällen auch IPs zuweisen, die Teil des Remote-Netzwerks sind. Details dazu finden Sie in der Konfigurationsanleitung für Ihr VPN Gateway.
4. Nutzen vielleicht mehrere VPN Nutzer die gleiche lokale Adresse?
Falls es mehrere VPN Nutzer gibt, stellen Sie bitte des weiteren sicher, dass keine zwei VPN Nutzer die gleiche lokale Adresse (Grundeinstellungen > Lokale Adresse) verwenden, denn ansonsten kann einer von beiden seinen Tunnel nicht verwenden, sobald beide zeitgleich verbunden sind. Falls dieses Feld bei Ihnen leer gelassen wurde, verwendet VPN Tracker einfach die IP Adresse Ihres primären Netzwerkinterfaces, was bei mehreren Nutzern natürlich auch bei zwei Nutzern die gleiche Adresse sein könnte, daher ist es nicht empfehlenswert bei mehreren VPN Nutzern dieses Feld leer zu lassen.
5. Können Sie die LAN Adresse des VPN Gateways selber pingen?
Sie finden ein Ping-Werkzeug direkt in VPN Tracker im Menü unter Werkzeuge > Host pingen. Die LAN Adresse des VPN Gateways ist insofern interessant, da Datenverkehr zu dieser Adresse im Remote-Netzwerk nicht gerouted werden muss. Ist also diese Adresse erreichbar, aber keine andere Adresse, dann liegt ein Routing Problem auf der Gatewayseite vor.
6. Wenn Sie keinen Computer im Remote-Netzwerk pingen können, lassen Sie bitte den Test der VPN-Verfügbarkeit erneut laufen.
Sie finden den Test im Menü unter Werkzeuge > Test der VPN-Verfügbarkeit. Verbinden Sie anschließend das VPN erneut. Die Ergebnisse dieses Tests hängen von den Fähigkeiten Ihres lokalen Internet Routers/Modem bzw. ihrer Internetverbindung ab und haben Einfluss darauf, wie der VPN Tunnel aufgebaut. Dieser Test läuft automatisch für jede neue Internetverbindung, die VPN Tracker erkennt, aber auch wenn die Verbindung bereits bekannt ist, kann sich das Verhalten der Verbindung aus diversen Gründen geändert haben und daher kann es helfen den Test einfach erneut durchzuführen.
7. Ist Ihr VPN Gateway das Standardgateway (der Router) des Remote-Netzwerks?
Falls nicht, benötigen Sie im Normalfall ein geeignetes Routing-Setup, um sicherzustellen, dass Antworten des Zielrechners das VPN Gateway überhaupt erreichen, denn wann immer Rechner einer externen Adresse antworten möchten, senden sie die Antwort an ihren Standardgateway und wenn das nicht der VPN Gateway ist, dann wird dieser nicht wissen, was er mit dieser Antwort anfangen soll. In diesem Fall ist es wichtig, dass der Standardgateway die Antworten an den VPN Gateway weiterleitet.
8. Haben Sie ggf. Software installiert, die VPN Datenverkehr blockiert?
Hierzu möchten wir Sie bitte auf folgenden FAQ Eintrag verweisen.
9. Haben Sie weitere VPN Software installiert?
Hierzu möchten wir Sie bitte auf folgenden FAQ Eintrag verweisen.
Diese Nachrichten können ignoriert werden. Falls Sie diese Möglichkeit haben können Sie auch mit folgendem Kommando den NetBIOS-Dienst abschalten, der diese Pakete erzeugt:
launchctl unload -w /System/Library/LaunchDaemons/com.apple.netbiosd.plistBitte beachten Sie, dass das deaktivieren des NetBIOS-Dienstes Auswirkungen auf Ihre Netzwerk-Dateifreigaben haben kann.
Den Pre-Shared Key für eine neue VPN-Verbindung einrichten
VPN Tracker bietet Setup-Guides für alle großen VPN Gateway Hersteller an. In diesen Konfigurationsanleitungen wird ebenfalls erwähnt, wie Sie den Pre-Shared Key für Ihren VPN Router einrichten können.
Eine Übersicht aller Konfigurationsanleitungen finden Sie auf dieser Seite.
Ich habe meinen Pre-Shared-Key verloren - wie bekomme ich ihn wieder?
Es gibt ein paar Möglichkeiten den Pre-Shared Key wieder zu bekommen:
- Prüfen Sie, ob Sie die Verbindung in Ihrem Personal Safe gespeichert haben. Falls ja, können Sie sich eventuell die Verbindung nochmals neu herunterladen.
- Sehen Sie im Schlüsselbund nach (Programme > Dienstprogramme > Schlüsselbundverwaltung). Hier wird der Pre-Shared Key normalerweise gespeichert. Wenn Sie in der Schlüsselbundverwaltung im Suchfeld rechts oben "Shared Secret" oder "geteiltes Geheimnis" eingeben, sollten alle gespeicherten PSKs aufgelistet werden.
- Haben Sie evtl. ein Time Machine Backup? Hieraus könnten Sie sich eine alte Verbindung inklusive dem Pre-Shared Key wiederherstellen.
- Direkt auf der Firewall nachsehen oder den zuständigen VPN Administrator fragen. Wo dies in Ihrer Firewall zu finden ist, sehen Sie in der jeweiligen Produkte-Konfigurationsanleitung.
- Als erstes müssen Sie VPN Tracker herunterladen. Sie können dies über diesen Link tun.
- Starten Sie die VPN Tracker App und klicken "Anmelden" im linken oberen Bereich des Programm-Fensters.
- Geben Sie hier Ihre equinux ID und Ihr Passwort ein. Tipp:Nicht sicher? Ihr Benutzerkonto haben Sie bereits beim Kauf von VPN Tracker 365 in unserem Online Store erstellt.
World Connect User?
Laden Sie den VPN Tracker World Connect über diesen Link. VPN Tracker World Connect muss mit dem App Store installiert werden. Sobald Sie die App auf Ihrem Gerät installiert haben, melden Sie sich mit Ihrer equinux ID an.
- Private IP Adressen, und
- Öffentliche IP Adressen
Private IP Adressen können durch Personen oder Firmen für Ihre privaten Netzwerke verwendet werden.
Die zwei am häufigsten verwendeten IP Ranges (Bereiche von IP Adressen) sind:
- 192.168.0.x und
- 192.168.1.x
Wenn zum Beispiel Ihr Netzwerk Zuhause und das Firmennetz den gleichen Privaten IP Range verwenden, kann es zu Problemen kommen, da mehrere Geräte mit der gleichen IP Adresse gefunden werden und dies den Computer verwirrt.
Ihr Firmen Netzwerk:
Beim Aufsetzen eines Firmennetzwerks, versuchen die meisten Firmen die obig genannten IP Ranges zu vermeiden, was auch durch uns empfohlen wird, um Konflikte mit VPN Nutzern zu vermeiden. Es gibt allerdings weiterhin Firmen, welche diese beliebten IP Bereiche verwenden.
Ihr Heimnetzwerk:
Viele beliebte VPN Router, wie beispielsweise Netgear, Asus, Google, D-Link, TP-Link, Linksys, Trendnet und AVM verwenden alle einen IP Range von 192.168.0.x.
Falls Ihr Firmennetz den gleichen IP Range wie Ihr Netzwerk Zuhause verwendet, kann es zu Problemen kommen.
Zwei mögliche Lösungsansätze sind:
Den lokalen Netzwerkbereich auf einen anderen Range ändern (bevorzugt)
Mögliche Ranges sind:
- 10.250.250.x
- 172.30.30.x
- 192.168.250.x
Vorteil: Sobald diese Änderung an Ihrem Heimnetzwerk durchgeführt wurde, werden Sie in diesem Netz keine Probleme mehr haben.
Nachteil: Sie müssen die Einstellungen an Ihrem privaten Router ändern, hierfür benötigen Sie Zugriff zu dem Router und dies ist zeitaufwändig.
Was müssen Sie tun:
- Auf dem lokalen Router anmelden
- Den Bereich mit den "DHCP" Einstellungen finden.
- Router IP Adresse ändern (zum Beispiel auf eine der oben genannten Adressbereiche wie 172.30.30.1)
- DHCP Server Einstellungen auf den gleichen Range wie Ihren Router ändern (wenn Ihr Router die IP 172.30.30.1 hat, wäre ein möglicher Bereich 172.30.30.10 bis 172.30.30.253)
Nachdem diese Änderungen durchgeführt wurde, wird es keine weiteren Konflikte zwischen Ihrem Heimnetz und dem Firmennetz geben.
Force Traffic over VPN
Es gibt Situationen in denen die erste Option nicht möglich ist (zum Beispiel wenn Sie sich in einem Café oder Hotel befinden). In diesem Fall gibt es die Option den Traffic über Ihr VPN zu erzwingen. Dies bedeutet Ihr Firmennetz gewinnt immer.
Vorteil: Diese Einstellung ist global, d.h. egal welches Netzwerk Sie verwenden, Sie können sich immer verbinden.
Nachteil: Sobald Sie mit dem VPN verbunden sind, können Sie nicht mehr mit Ihren lokalen Geräten spreche, wie zum Beispiel Ihrem Router, lokale Server oder lokale Netzwerkdrucker.
Was müssen Sie tun:
- VPN Verbindung konfigurieren
- Oben im Fenster das Tab "Erweitert" auswählen
- Im Bereich "Traffic Control" das Häkchen setzen bei "Lokalen Netzwerkverkehr über das VPN senden, wenn sich Remote-Netzwerke mit lokalen Netzwerken überschneiden"
VPN Tracker kann je nach Aktion nach unterschiedlichen Passwörtern fragen. Diese Anleitung erklärt, welche Passwortabfrage was bedeutet und welches Passwort jeweils eingegeben werden muss.
1. Ihr Mac-Passwort
Wann wird es benötigt?
– Bei der Installation von VPN Tracker
– Beim Genehmigen von Systemerweiterungen
Warum?
macOS benötigt Ihr Administratorpasswort, um Änderungen am System zu erlauben.
Wo finde ich es?
Das ist das lokale Passwort Ihres Macs – also das, das Sie beim Hochfahren eingeben, um sich anzumelden.
2. Ihre equinux ID (VPN Tracker Konto)
Wann wird es benötigt?
– Beim Anmelden in der VPN Tracker App (Mac oder iOS)
– Beim Zugriff auf Ihr Konto unter my.vpntracker.com
Warum?
Dies ist Ihr persönliches VPN Tracker Konto. Darüber verwalten Sie Ihren Plan, Ihr Team, Ihre Verbindungen und Ihre Geräte.
Wo finde ich es?
Dieses Passwort ist meist im Schlüsselbund oder in der Passwörter-App als „id.equinux.com“ gespeichert.
3. Pre-Shared Key (PSK) / Gemeinsames Geheimnis
Wann wird es benötigt?
– Beim Einrichten oder Verbinden mit einer VPN-Verbindung
Warum?
Manche VPNs nutzen einen Pre-Shared Key zur Authentifizierung. Dieser Schlüssel muss mit dem auf dem VPN-Gateway gespeicherten Wert übereinstimmen.
Tipp für Teams: Admins können vorkonfigurierte VPN-Verbindungen über TeamCloud teilen, um PSK-Verwirrung zu vermeiden.
Wo finde ich es?
Der Schlüssel wird in der Regel vom VPN-Admin Ihrer Firma gesetzt und ist in der Verbindung gespeichert – normalerweise müssen Sie ihn nicht selbst kennen.
4. Ihr Firmen-Login (XAUTH-Zugangsdaten)
Wann wird es benötigt?
– Beim Verbinden mit dem Firmen-VPN
Warum?
Zur Authentifizierung benötigen Sie eventuell Ihre Firmen-Zugangsdaten – oft dieselben, die Sie auch am Arbeitsplatz verwenden.
Wo finde ich es?
Diese Zugangsdaten haben Sie idealerweise von Ihrer IT-Abteilung erhalten – und hoffentlich nicht auf einem Post-it unter der Tastatur notiert.
Ein solches Setup wird in VPN Tracker als “Host zu allen Netzwerken” bezeichnet. Jeglicher nicht-lokaler Netzwerkverkehr geht durch das VPN. Damit dieses Setup funktioniert, muss es in VPN Tracker und auf dem VPN Gateway korrekt konfiguriert sein.
- Die Netzwerktopologie in VPN Tracker muss auf “Host zu allen Netzwerken” stehen.
- Das VPN Gateway muss eingehende VPN-Verbindungen mit einem 0.0.0.0/0 (= alle Netzwerke) Endpunkt akzeptieren.
Damit sollten Sie bereits eine VPN-Verbindung aufbauen können. Allerdings wird der Zugriff auf das Internet höchstwahrscheinlich noch nicht funktionieren. Damit der Zugriff auf das Internet funktioniert, müssen noch folgende weitere Einstellungen vorgenommen werden:
- Das VPN Gateway muss Netzwerkverkehr aus dem VPN, der nicht für seine lokalen Netze bestimmt ist, in das Internet weiterleiten.
- Dieser Netzwerkverkehr muss Network Address Translation (NAT) unterzogen werden, damit Antworten das VPN Gateway erreichen können.
- In vielen Fällen ist außerdem ein geeignetes Remote DNS Setup nötig.
Bitte beachten Sie, dass nicht jedes VPN Gateway auch für “Host zu allen Netzwerken” konfiguriert werden kann. Viele für kleine Büros oder Heimnutzer ausgelegte VPN Gateways (z.B. von NETGEAR oder Linksys) können nicht für “Host zu allen Netzwerken” konfiguriert werden.
VPN Tracker erstellt automatisch Backups aller VPN Verbindungen, die auf Ihrem Mac gesichert werden. Wenn Sie eine Verbindung versehentlich gelöscht oder verändert haben, können Sie es aus einem Backup wiederherstellen.
Backup einspielen
- Öffnen Sie den Finder und wählen Sie "Gehe zu > Gehe zum Ordner …"
- Geben Sie folgenden Pfad ein und bestätigen Sie ihn
/Library/Application Support/VPN Tracker 365
- Nennen Sie den "etc" Ordner in "etc-backup" um, damit Sie zur Sicherheit eine Kopie haben
- Wechseln Sie in den "Backup" Ordner
Dort sehen Sie mehrere Ordner, die nach dem Schema "etc-Datum" benannt sind.
- Wählen Sie den Ordner dessen Stand Sie wiederherstellen möchten und bewegen Sie es aus dem "backup" Verzeichnis in den übergeordneten "VPN Tracker 365" Ordner
- Dieser Ordner muss jetzt in "etc" umbenannt werden – löschen Sie also die Datumsangabe aus dem Ordnernamen
- Öffnen Sie anschliessend VPN Tracker 365 wieder
Jetzt sind Ihre Verbindungen wiederhergestellt.
Eine VPN Verbindung wird typischer Weise über das Internet aufgebaut und das Internet hat eine sehr unterschiedliche Netzwerk Charakteristik wie man das von Netzwerken in der Arbeit oder daheim gewohnt ist. Lokale Netzwerke bieten normalerweise eine hohe symmetrische (Sende- ist gleich Empfangsgeschwindigkeit) Bandbreite, sehr niedrige und vor allem stabile Latenz, sehr wenige Paketverluste, beinahe keine Datenfehler und eine hone, stabile maximale Übertragungsgröße (MTU). Im Gegensatz dazu, bieten Internetzugänge oft nur eine geringe, asymmetrische (viel schnellere Empfangs- als Sendegeschwindigkeit) und das Internet hat eine viel höhere, stark schwankende Latenz, ein nicht unerhebliches Maß an Paketverlusten, Datenfehler kommen ab und an vor und die maximale Übertragungsgröße ist oft geringer und ist dazu noch stabil und kann sich jederzeit auch während einer laufenden Datenübertragung ändern. Einige Protokolle können deutlich besser mit diesen Bedingungen umgehen als andere.
Probleme, auf die man gefasst sein sollte: Dateien eines Ordners auflisten lassen kann langsam bis sehr langsam sein (aufgrund der hohen Latenz), Dateien vom Server kopieren kann sehr langsam sein (limitiert durch die Sendegeschwindigkeit der anderen Seite), das Kopieren von Dateien auf den Server kann sehr langsam sein (limitiert durch die Sendegeschwindigkeit des eigenen Internetanschlusses), Dateien direkt vom Server öffnen kann sogar noch viel langsamer sein (weil hier nicht nur Bandbreite sondern auch Latenz und MTU eine Rolle spielen) und Dateizugriffe können sogar komplett fehlschlagen (aufgrund von Paketverlusten oder Datenfehlern). Wir möchten aber darauf hinweisen, das nichts davon direkt durch den VPN Tunnel verursacht wird, denn auch ohne VPN wären die Resultate bei gleicher Verbindung über das Internet kaum bis bestenfalls minimal besser.
Leider gibt es hier wenig, das man aktiv gegen derartige Probleme unternehmen kann. Auf die Latenz hat man als Nutzer praktisch keinen Einfluss. Die Bandbreite erhöhen auf einer oder beiden Seiten hilft so gut wie immer etwas, aber nur wenn es die Sendebandbreite (Upload) ist, da wenn überhaupt nur dieses der limitierende Faktor ist. Ein anderes Protokoll zu verwenden kann natürlich immer helfen, da besonders SMB/CIFS eher schlecht mit Internetverbindungen zurecht kommt und falls das Protokoll auf eine ältere Version zurückfallen muss (eine Version älter als SMB 3.0), sind die Ergebnisse oft katastrophal (bis hin zum Totalausfall). Ein Problem dabei ist, dass Windows von Haus aus nur SMB und WebDAV beherrscht, während macOS alle oben genannten Protokolle von Haus aus beherrscht. Daher muss man auf Drittprodukte zurückgreifen, um Windows alternative Protokolle beizubringen. Zur Not kann man auf WebDAV zurückgreifen, das aber grundsätzlich eine sehr schlechte Performance bietet. Dedizierte NAS Server bieten normalerweise auch NFS an, oft muss er nur eingeschaltet werden, und das könnte eine bessere Performance als SMB bieten.
IPsec VPNs verwenden ein anderes Protokoll (ESP) für die Datenübertragung als für den Verbindungsaufbau (IKE). Da das ESP Protokoll keine Netzwerkports kennt, kann es sein das NAT (Network Address Translation) Router damit nicht korrekt umgehen können. Nur NAT Router, die "IPSec Passthrough" beherrschen (manchmal auch "VPN Passthrough" oder "ESP Passthrough" genannt) und bei denen diese Option auch aktiviert ist, können ESP Packet korrekt verarbeiten.
Um dieses Problem zu umgehen existieren zwei alternative Tunnelmechanismen:
- NAT-Traversal (alte, RFC Draft Version)
- NAT-Traversal (neue, RFC Standard Version)
Welche dieser Methoden möglich ist, hängt von zwei Bedingungen ab:
- Welche dieser Methoden es ermöglicht überhaupt Daten über den lokalen Router hinaus in's Internet zu senden.
- Welche dieser Methoden der VPN Gateway auf der anderen Seite unterstützt.
Um die erste Bedingung zu testen baut VPN Tracker automatisch drei VPN Verbindungen zu einem VPN Gateway in der Client, sobald er einen Router erkennt, der bisher noch nicht getestet wurde. Eine Verbindung nutzt dabei nur normales ESP, die anderen beiden je einen der oben erwähnten Tunnelmechanismen. Der Grund warum der Test mit einem unserer VPN Gateways erfolgen muss ist einfach der, dass ein Gateway benötigt wird, der alle drei Methoden beherrscht, dessen korrekte Konfiguration VPN Tracker bekannt ist und der einen einfache Weg bietet, mit dem man prüfen kann, ob Datenverkehr dort am Ziel auch wirklich angekommen ist.
Die zweite Bedingungen wird nicht vorab geprüft, sondern diese Information erhält VPN Tracker automatisch beim Verbindungsaufbau mit einer Gegenstellen. VPN Tracker vergleicht dann die unterstützten Methoden mit den Testergebnissen. Sofern es eine Übereinstimmung gibt, also eine Method, die sowohl im Test funktioniert als auch von der Gegenstelle unterstützt wird, so wird diese verwendet. Falls es keine Übereinstimmung gibt, bricht VPN Tracker den Verbindungsaufbau sofort ab und zeigt eine entsprechende Fehlermeldung mit Erklärung im Log.
Falls Sie der Meinung sind, die Testergebnisse können so nicht stimmen bzw. sind vielleicht veraltet, können Sie diesen Test jederzeit erneut durchführen lassen:
‣ Stellen Sie NAT-Traversal (Reiter Erweitert) auf Automatisch ‣ Gehen Sie im Menü zu "Werkzeuge" > "Test der VPN-Verfügbarkeit" ‣ Klicken Sie "Erneut Testen" ‣ Warten Sie bis der Test fertig ist und verbinden Sie dann Ihr VPN
Der Testdialog erlaubt es auch VPN Tracker mitzuteilen, dass die aktuell Netzwerkumgebung nicht getestet werden soll bzw. bereits vorhandene Testresultate einfach zu ignorieren sind. Das ist selten notwendig und grundsätzlich nicht empfehlenswert, aber es gibt Situationen, wo ein Test nicht möglich ist, da z.B. unser VPN Gateway nicht erreichbar ist (ggf. wird dieser von einer Firewall blockiert) und somit die Testresultate nicht wirklich die Fähigkeiten des lokalen Routers widerspiegeln.
- VPN Verbindung in VPN Tracker starten
- Im Finder Menü: Gehe zu > Mit Server verbinden auswählen
- In der Adresszeile den Namen oder die IP Adresse des Servers eingeben
- Auf Verbinden drücken
VPN Shortcut erstellen:
VPN Tracker bietet praktische VPN shortcuts für häufige Aktionen. Der Shortcut muss nur einmal konfiguriert werden. Danach können Sie sich mit nur einem Klick mit dem VPN verbinden und Ihre Dateien öffnen.
Weitere Details:
Folgen Sie diesen einfachen Schritten:
- Laden Sie VPN Tracker für Mac oder iPhone herunter
- Kopieren Sie Ihre VPN Verbindungsdaten von der AnyConnect App
- Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich zu verbinden
Fertig! VPN Tracker sichert Ihre Anmeldedaten mittels höchster Ende-zu-Ende-Verschlüsselung, damit Sie sich jedes mal schellstmöglich verbinden können. Der ultimative VPN-Workflow für Mac und iOS.
VPN auf Ihrem Mac einrichten
VPN Tracker ist der marktführende VPN Client für macOS und funktioniert reibungslos auf den aktuellsten macOS Betriebssystemen.Testen Sie VPN Tracker gratis.
VPN Tracker für Mac starten
Damit VPN Tracker eine VPN Verbindung aufbauen kann, müssen Sie es zuerst einmalig in den Systemeinstellungen erlauben.Stellen Sie bitte zuerst sicher, dass die App zuerst im Programme-Ordner liegt.
Führen Sie diese Schritte lokal am Mac aus (NICHT über Remote Desktop, Screen Sharing o.ä.).
WICHTIG: macOS bemerkt, wenn Sie Remote Desktop Systeme ausführen, wie TeamViewer, Apple Remote Desktop, VNC o.ä. und blendet diese Buttons aus. Sie MÜSSEN lokal am Mac sein.
Machen Sie bitte folgendes, um Ihre App in den Systemeinstellungen zu erlauben:
Jetzt können Sie Ihre VPN Verbindung in VPN Tracker verwenden.
‣Öffnen Sie die Systemeinstellungen
‣Gehen Sie zu den Sicherheitseinstellungen
‣Klicken Sie "Erlauben"
Troubleshooting: VPN Setup für macOS
Falls ein Klick auf "Erlauben" keinerlei Effekt zu haben scheint, stellen Sie bitte sicher keine Mäuse oder Tablet-Geräte mit Software von Drittherstellern zu verwenden, denn diese verhalten sich gegenüber dem System oft wie Remote Desktop Anwendungen. Nutzen Sie z.B. ein Wacom Tablet oder ein Programm, dass in irgend einer Form den Mauszeiger steuert, schalten Sie diese aus, starten sie den ggf. den Rechner neu und versuchen dann erneut auf die Schaltfläche zu klicken.Im Falle das "Erlauben" erst gar nicht angezeigt im Dialog, könnte das daran liegen, dass ein MDM Profil auf Ihrem Mac hinterlegt ist und diese Profil es verbietet, eigenen System Erweiterungen zu autorisieren. Lesen Sie hierzu bitte auch den folgenden Hinweis.
Hinweis für den Enterprise Rollout:
VPN Tracker verwendet eine Systemerweiterung, um VPN Tunnels aufzubauen und Netzwerkpakete zu verschlüsseln. Bei einem Rollout auf MDM-gebundenen Macs, kann mit einem speziellen Profil die Systemerweiterung ohne Benutzerinteraktion autorisiert werden. Unsere Team-IDs lauten CPXNXN488S und MJMRT6WJ8S. Weitere Infos dazu finden Sie im Apple Support Dokument.
Ihr Mac ist nicht MDM-gebunden?
Wenn Ihr Mac nicht MDM-gebunden ist, führen Sie am besten einen Neustart durch, da macOS manchmal temporär Probleme mit Systemerweiterungen haben kann. Nach dem Neustart sollte VPN Tracker ganz normal funktionieren.
Hash Mismatch bedeutet in der Regel, dass Sie den falschen Pre-Shared Key (PSK) verwenden. Mismatch hat nichts mit dem "Hashing" -Algorithmus zu tun, der für Phase 1 gewählt wurde. Wenn der Hash-Algorithmus falsch ist, dann wäre der Fehler "No Proposal Chosen". Dies würde bedeuten, dass sich der Client und das Gateway nicht auf gemeinsame Krypto-Einstellungen einigen konnten. Auf der anderen Seite bedeutet Hash Mismatch, dass der Hash dein Gateway nicht mit dem Hash übereinstimmt, den VPN Tracker berechnet hat (die beiden Hashes sind einfach nicht passend). Dieser Hash wird aus Werten berechnet, die zwischen dem Client und dem Gateway und dem Pre-Shared Key ausgetauscht werden. Da alle anderen Werte gerade ausgetauscht worden sind und von beiden Seiten richtig beurteilt wurden (so können diese nicht einen anderen Hash verursachen, nicht wenn beide Seiten einen schrecklichen Fehler haben). Der einzige Wert, der nicht ausgetauscht wird und nicht im Voraus überprüft werden kann, ist der Pre-Shared Key (PSK).
Nach dem Upgrade auf macOS 15 (Sequoia) stellen Sie möglicherweise fest, dass Ihr Mac ständig seine MAC-Adresse ändert, was Ihre Fähigkeit beeinträchtigen kann, sich mit Ihrem VPN zu verbinden. Dieses Verhalten ist auf die neuen Datenschutzfunktionen von macOS 15 zurückzuführen, die zufällige MAC-Adressen für Netzwerkverbindungen zuweisen können. Sie können jedoch Ihre Netzwerkeinstellungen so konfigurieren, dass immer eine feste MAC-Adresse verwendet wird, um Probleme mit der VPN-Konnektivität zu beheben, z. B. wenn DHCP-Reservierungen aufgrund von MAC-Adressänderungen fehlschlagen.
So richten Sie eine feste MAC-Adresse in macOS 15 (Sequoia) ein:
-
Öffnen Sie die Systemeinstellungen:
- Klicken Sie oben links auf das Apple-Logo auf Ihrem Bildschirm.
- Wählen Sie Systemeinstellungen aus dem Dropdown-Menü.
-
Gehen Sie zu den Wi-Fi-Einstellungen:
- Klicken Sie in der linken Seitenleiste auf WLAN.
- Wählen Sie das Wi-Fi-Netzwerk aus, mit dem Sie normalerweise eine Verbindung für den VPN-Zugriff herstellen und klicken auf "Details..."
-
Konfigurieren Sie die MAC-Adresse:
- Suchen Sie nach der Option mit der Bezeichnung Private WLAN-Adresse.
- Setzen Sie hier den Schalter auf "Statisch", um eine feste MAC-Adresse für Ihr Gerät anstelle einer zufälligen zu verwenden.
Hinweis: In manchen Fällen ist die Einstellung Statisch nicht ausreichend, und es kann weiterhin zu Problemen kommen. In diesem Fall, bitte den den Schalter auf "Aus" setzen.
- Ihr Netzwerk wird jetzt immer mit derselben MAC-Adresse verbunden, was zur Stabilität der VPN-Verbindung beiträgt.
-
Stellen Sie die VPN Tracker-Verbindung wieder her:
- Sobald Sie eine feste MAC-Adresse festgelegt haben, stellen Sie sicher, dass die DHCP-Reservierung oder Konfiguration Ihres VPNs mit dieser MAC-Adresse übereinstimmt.
Dieser Vorgang stellt die Fähigkeit von VPN Tracker wieder her, eine zuverlässige Verbindung mit einer konsistenten MAC-Adresse herzustellen, wodurch Probleme behoben werden, die durch die standardmäßige Randomisierung der MAC-Adresse in macOS 15 Sequoia verursacht werden.
Normalerweise können Sie keine Netzwerke über VPN erreichen, deren Adressen sich mit dem lokalen Netzwerk überschneiden.
Netzwerkkonflikte mit Traffic Control beheben
Mit VPN Tracker können Sie mit Traffic Control Netzwerkverkehr an nicht kritische lokale Adressen über das VPN senden (Erweitert > Traffic Control > Lokalen Netzwerkverkehr über das VPN senden wenn sich Remote-Netzwerke mit lokalen Netzwerken überschneiden).
Bitte beachten Sie, dass Sie damit niemals die folgenden Adressen über VPN erreichen können: Die von Ihrem lokalen Router verwendete Adresse, die DHCP Server Adresse, die DNS Server Adresse(n). Wenn Sie diese IPs über VPN erreichen wollen, müssen Sie den Netzwerkkonflikt manuell lösen anstatt Traffic Control zuv erwenden. Das gleiche gilt für alle IPs die Sie lokal und über das VPN erreichen können müssen.
Netzwerkkonflikte von Hand beheben
Grundsätzlich gibt es zwei Wege, einen Netzwerkkonflikt zu beheben:
- Ändern des lokalen Netwerks auf andere Adressen: In den meisten Fällen bedeutet dies eine Änderung der LAN-Einstellungen auf dem lokalen Router (inkl. DHCP-Einstellungen, falls DHCP verwendet wird). Ausserdem müssen die IP Adressen der Geräte im LAN geändert werden (bzw. bei DHCP ein Update der DHCP Adressen ausgelöst werden).
- Ändern des Remote-Netzwerks auf andere Adressen: In den meisten Fällen bedeutet dies eine Änderung des LAN auf dem VPN Gateway (inkl. DHCP-Einstellungen, falls DHCP verwendet wird). Ausserdem müssen die IP Adressen der Geräte im LAN des VPN Gateway geändert werden (bzw. bei DHCP ein Update der DHCP Adressen ausgelöst werden). Wenn das LAN in den VPN-Einstellungen (z.B. Policies, Firewall-Regeln) verwendet wurde, muss es dort ebenfalls geändert werden. Zuletzt ändern Sie bitte das Remote-Netzwerk in VPN Tracker entsprechend.
Wenn Sie sich dazu entschließen, das Remote-Netzwerk zu ändern, macht es Sinn, für das neue Netzwerk eines der seltener verwendeten privaten Subnetze zu verwenden. Nach unseren Erfahrungen sind dies die folgenden Netze:
- Subnetze von 172.16.0.0/12
- Subnetze von 192.168.0.0/16, aber nicht 192.168.0.0/24, 192.168.1.0/24 und 192.168.168.0/24
Sollten Sie keines dieser Netze verwenden können, können Sie selbstverständlich auch ein Subnetz von 10.0.0.0/8 verwenden, jedoch ohne 10.0.0.0/24, 10.0.1.0/24, 10.1.0.0/24, 10.1.1.0/24. Allerdings benutzen manche WLAN- und Mobilfunk-Anbieter das komplette 10.0.0.0/8 Netzwerk, daher sind die o.g. Netzwerke Subnetzen von 10.0.0.0/8 vorzuziehen.
Wenn Sie ein VPN Gateway mit tiefgreifenderen Einstellungsmöglichkeiten (z.B. eine SonicWALL) einsetzen, können Sie möglicherweise ein alternatives Remote-Netzwerk aufsetzen, das mittels Network Address Translation (NAT) 1:1 auf das eigentliche Remote-Netzwerk abgebildet wird. VPN-Nutzer können sich dann stattdessen zu diesem alternatven Remote-Netzwerk verbinden, wenn das normale Remote-Netzwerk Konflikte verursacht. Für SonicWALL-Geräte finden Sie hier eine Beschreibung eines solchen Setups.
Falls der Konflikt von virtuellen Netzwerkadaptern (z.B. Parallels, VMware), verursacht wird, finden Sie hier weitere Informationen.
Das hängt von den Einstellungen ab. Das übliche Setup für eine VPN-Verbindung ist “Host zu Netzwerk”, in diesem Fall wird nur Netzwerkverkehr zu den angegebenen Remote-Netzwerken durch den VPN-Tunnel geleitet.
Bei einem Setup mit der Netzwerktopologie “Host zu allen Netzwerken” wird jeglicher Netzwerkverkehr – mit ausnahme von Netzwerkverkehr zum lokalen Netz – durch das VPN geleitet. Für eine solche Verbindung wird ein geeignetes Setup auf dem VPN Gateway benötigt.
Die Empfehlung der OpenVPN Entwickler ist es diese Option am besten nicht mehr zu verwenden, sondern entweder Kompression einzuschalten ("comp-lzo yes") oder Kompression gar nicht erst zu verwenden (dann darf die Option "comp-lzo" gar nicht in der Konfiguration auftauchen).
Die Option "comp-lzo no" bedeutet nicht "keine Kompression", sondern es bedeutet "Kompression nur dann, wenn der Server das verlangt". Deswegen wird "comp-lzo" aktuell durch die neue Option "compress" ersetzt, die sich teilweise anders verhält und daher leider nicht rückwärts kompatibel ist.
- Gehen Sie auf my.vpntracker.com und klicken Sie auf „Meine Abos“ in der Seitenleiste.
- Aktivieren Sie die „automatische Erneuerung“, um Ihre Laufzeit automatisch um weitere 12 Monate zu verlängern.
- Alternativ können Sie diese Funktion deaktivieren und später einen neuen Plan von unserem Store kaufen.
Tipp: Wählen Sie die „automatische Erneuerung“ aus, so wird Ihr Plan immer automatisch zu Ihrem aktuellen Preis verlängert und Sie können immer reibungslos und sicher weiterarbeiten.
Loggen Sie sich auf Ihrer TP-Link admin Website ein
Suchen Sie die VPN Passthrough Einstellungen
Deaktivieren Sie und Reaktivieren Sie alle VPN Passthrough Optionen
Änderungen speichern
Dies sollte die internen Parameter überschreiben und dafür sorgen, dass Ihre Verbindung wie geplant funktioniert.
Für sich allein gesehen unterstützt das IPsec-Protokoll keine Benutzernamen. Falls sie von ihrem Systemadministrator einen Benutzernamen für die Verbindung zu ihrem Firmennetzwerk erhalten haben, gibt es zwei Möglichkeiten:
- Der VPN-Router in ihrer Firma verwendet den Begriff "Username" im Sinne von "Identifier". Tragen Sie den Benutzername als "Local Identifier" in den Verbindungseinstellungen ein.
- Der VPN-Router in ihrer Firma verwendet "Extended Authentication (XAUTH)". Aktivieren Sie XAUTH in VPN Tracker. Die Software fordert Sie dann während des Verbindungsaufbaus auf, den Benutzernamen und das Passwort einzugeben.
Bei Problemen mit dem Schlüsselbund am Mac kann es vorkommen, dass VPN Tracker Anmeldedaten nicht sicher speichern kann.
So kann das Problem gelöst werden:
- Beenden Sie VPN Tracker
- Öffnen Sie die Schlüsselbundverwaltung (unter Programme > Dienstprogramme)
- Wählen Sie den Schlüsselbund “Anmeldung”
- Wählen Sie Ablage > Schlüsselbund “Anmeldung” sperren
- Anschliessend entsperren Sie den Schlüsselbund wieder unter Ablage > Schlüsselbund “Anmeldung” entsperren
In neueren macOS Versionen ist müssen Sie diese Schritte über das Terminal durchführen. Geben Sie dazu folgende Befehle ein:
security lock-keychain ~/Library/Keychains/login.keychain
Anschliessend können Sie den Schlüsselbund mit diesem Befehl wieder entsperren:security lock-keychain ~/Library/Keychains/login.keychainStarten Sie anschließend VPN Tracker und versuchen Sie bitte die Anmeldung erneut.
Falls es weiterhin zu Problemen kommen sollte:
Beenden Sie VPN Tracker
- Öffnen Sie die Schlüsselbundverwaltung (unter Programme > Dienstprogramme)
- Geben Sie im Suchfeld “VPN Tracker User Auth” ein
- Löschen Sie den Eintrag “VPN Tracker User Auth Token”
Starten Sie anschließend VPN Tracker und versuchen Sie bitte die Anmeldung erneut.
Notfalloption: Schlüsselbund zurücksetzenWenn keines der oberen Optionen geholfen hat, haben Sie die Möglichkeit Ihren Schlüsselbund zurückzusetzen. Beachten Sie, dass hierbei alle Schlüsselbundeinträge entfernt werden und Sie ggf. Passwörter neu eingeben müssen:
- Öffnen Sie die Schlüsselbundverwaltung
- Wählen Sie Schlüsselbund > Einstellungen
- Wählen Sie die Option "Standardschlüsselbunde zurücksetzen …"
Bei weiteren Problemen, nehmen Sie bitte mit unserem Support Team Kontakt auf und schicken Sie uns die Log Dateien, die Sie in folgendem Ordner finden:
/Library/Application Support/VPN Tracker 365/var/log.
Was bedeutet das?
Wenn DoH aktiv ist, wird Ihr regulärer DNS-Server umgegangen und die Domänen, die Sie in Ihren Browser eingeben, werden stattdessen über einen DoH-kompatiblen Server geschickt, der eine verschlüsselte HTTPS-Verbindung nutzt.
Dies sollte als Sicherheitsmaßnahme dienen, um zu verhindern, dass andere (z. B. Ihr Internet-Anbieter) Ihre Internet-Daten sehen können. Jedoch, wenn Sie einen DNS-Server von Ihrem VPN-Gateway verwenden, werden DNS-Anfragen außerhalb des VPN-Tunnels geschickt. Außerdem, wenn das VPN einen DNS Server vorgibt, der interne Hostnamen auflöst, werden die bei DoH entweder gar nicht oder falsch aufgelöst.
DNS über HTTPS in Firefox deaktivieren
Um sicherzustellen, dass all Ihre DNS-Anfragen über den DNS-Server Ihres VPNs laufen, müssen Sie DoH in Firefox deaktivieren. Öffnen Sie hierfür Ihren Firefox-Browser und gehen Sie zu Firefox > Einstellungen > Verbindungseinstellungen und wählen Sie die Option "DNS über HTTPS aktivieren" ab:
Klicken Sie auf OK, um Ihre Änderungen zu sichern.
Vor einigen Jahren hat ein Team von Sicherheitsexperten ein Papier veröffentlicht, in dem sie ein Angriffsszenario beschreiben, das es ermöglicht eine IKEv1 Aggressive Mode Verbindung mit Pre-Shared Key zu brechen, und das sich so wie dort beschrieben aber nicht gleichermaßen auf eine IKEv1 Main Mode Verbindung mit Pre-Shared Key anwenden lässt, was zu der fehlerhaften Annahme führte, dass Aggressive Mode grundsätzlich viel unsicher ist als Main Mode. Wirft man aber einen neutralen Blick auf die Fakten, entspricht dieses Behauptung so nicht den Tatsachen. Was den meisten Leuten nicht bekannt ist, ist die Tatsache, dass es ein Teil dieses Angriffs war, den Pre-Shared Key (PSK) mit Hilfe eines "Brute Force" Angriffs zu erraten und so ein Angriff kann nur dann erfolgreich sein, wenn der PSK zu unsicher gewählt wurde. Auch ein PSK ist nur ein Passwort und wie immer bei Passwörtern gilt auch hier: schlechte Passwörter führen zu geringer Sicherheit. Solange der PSK mindestens 14 Zeichen lang ist (desto mehr, desto besser), aus Kleinbuchstaben, Großbuchstaben und Ziffern besteht und komplett zufällig erzeugt wurde (so dass man ihn nicht ohne weiteres erraten kann), und so lange in Phase 1 mindestens SHA1 als Hash ausgewählt wurde (oder besser, wir empfehlen SHA-256 falls möglich), gibt es überhaupt keinen Grund anzunehmen, dass eine Aggressive Mode PSK Verbindung grundsätzlich weniger sicher ist als eine Main Mode PSK Verbindung. Wer ganz auf Nummer sicher gehen möchte, der wählt einfach eine Zertifikat-basierte Authentifizierung aus, sofern möglich, denn damit ist dieser Angriff überhaupt erst gar nicht durchführbar.
Technische Hintergrund:
Der Pre-Shared Key (PSK) ist kein Passwort, dass der Verschlüsselung von Daten dient, er dient ausschließlich der Authentifizierung, in etwa so wie wenn ein Nutzer sich mit einem Passwort an einer Webseite anmeldet. Während der Phase 1 müssen sich beide Seiten gegenseitig beweisen, dass sie den PSK kennen. Natürlich kann das nicht dadurch passieren, das eine Seite ihn der anderen Seite sendet, weil auch wenn die andere Seite ihn bisher nicht kannte, spätestens jetzt kennt sie ihn. Stattdessen müssen beide Seiten eine Zahl berechnen (einen sog. Hashwert), wofür zum einen Daten hergenommen werden, die beide Seiten bereits ausgetauscht haben (und die bei jedem Verbindungsaufbau anders sind, um sicherzustellen, dass der Hashwert auch jedes mal ein anderer ist) und zum anderen eben der PSK. Nur dieser Hashwert wird zur anderen Seite gesendet, die dann genau die gleichen Berechnungen durchführen muss. Kommt sie dabei zum gleichen Ergebnis, dann muss die andere Seite auch den gleichen PSK verwendet haben, ergo kennt sie ihn. Das gleiche Spiel wiederholt sich dann noch einmal in die andere Richtung, wobei die Berechnung hier leicht abweicht, damit auch die beiden Hashwerte garantiert immer unterschiedlich sind, denn den gleiche Wert zurück zu senden würde natürlich nichts beweisen.
Der Unterschied zwischen Main Mode und Aggressive Mode ist schlichtweg der, dass im Main Mode der Hashwert verschlüsselt übertragen wird, da das Schlüsselaustauschverfahren (DH Exchange), dass zu einem sicheren Session Schlüssel auf beiden Seiten führt, zu diesem Zeitpunkt bereits komplett durchlaufen wurde und sobald beide Seiten eine Session Schlüssel haben alle Pakete nur noch verschlüsselt übertragen werden. Mit Aggressive Mode wird der Hashwert unverschlüsselt übertragen, da zu diesem Zeitpunkt der Schlüsselaustausch noch nicht abgeschlossen ist. Dadurch dass ein Angreifer also eine Aggressive Mode Verbindung belauscht, kann er sowohl an den Hashwert, als auch an alle für die Berechnung dieses Wertes notwendigen Daten gelangen, mit Ausnahme des eigentlichen PSKs. Damit alleine hat der Angreifer aber die Verbindung noch nicht gebrochen, er hat lediglich genug Informationen, um sich damit auf die Suche nach den PSK zu machen, z.B. durch einen sog. "Brute Force Angriff" (einfach alle möglichen Kombinationen ausprobieren) oder einen Wörterbuchangriff (häufig gewählte Passwörter durchprobieren, die man durch Datenlecks andere Onlinedienste ergattern konnte). Nur wenn der PSK zu schwach ist um diesen Angriffen standzuhalten kann man so die Verbindung letztlich brechen. Daher ist ein guter, ausreichen sicherer PSK essentiell für die Sicherheit einer PSK VPN Verbindung.
Allerdings ist der gleiche Angriff auch auf eine Main Mode Verbindung möglich, er erfordert nur etwas mehr Aufwand. Im Falle von Main Mode ist es nicht genug nur den Datenverkehr mitlesen zu können, stattdessen ist ein sogenannter Man-in-the-Middle (MitM) Angriff notwendig, d.h. ein Angreifer muss den Datenverkehr abfangen und auch manipulieren können. Über einen MitM Angriff kann ein Angreifer die Verschlüsselung aushebeln, was zwar nicht genügt um Zugriff auf das VPN zu bekommen, denn dafür ist nach wie vor der PSK notwendig, denn ohne den lässt sich Phase 1 nicht erfolgreich abschließen, aber auch dann hätte ein Angreifer den Hashwert und alle für die Berechnung notwendigen Daten und könnte genauso versuchen den PSK zu erraten. Und wenn ein Angreifer schon dazu in der Lage ist, jeglichen Datenverkehr mitzulesen (was ja Grundvoraussetzung für jegliches Angriffsszenario ist), dann ist es sehr wahrscheinlich, dass er auch einen MitM Angriff durchführen kann und spätestens dann bietet Main Mode keinen zusätzlichen Schutz mehr.
Ein PSK aus 11 zufälligen alphanumerischen Zeichen hat eine Entropy von ca. 64 Bits, das sind 2^64 mögliche Werte. Moderne High End Grafikkarten (Stand 2016) können in der Größenordnung von 1 Mrd. SHA-265 Hashwerte die Sekunde berechnen. Im Schnitt muss man 50% aller Möglichkeiten probieren um einen Treffer zu landen und das würde 292 Jahre dauern. Wenn natürlich ein Angreifer 100 solche Grafikkarten zur Verfügung hat, dann würde der Angriff "nur noch" um die 3 Jahre dauern. Aber schon bei 14 Zeichen liegt die Entropy bei 80 Bits und hier brauch eine Grafikkarte alleine 19.154.798 Jahre. Nicht einmal 10.000 Grafikkarten würden hier die Zeit ausreichend verkürzen. Und man darf nie die Kosten eines solchen Angriffs außer Acht lassen. Weniger die Anschaffungskosten der Grafikkarten, es geht eher um ihren Stromverbrauch, wenn alle diese Grafikkarten 24 Stunden am Tag mit maximaler Leistung arbeiten und das über Jahre, Jahrzehnte oder sogar Jahrhunderte. Da kommen schnell Mrd Euro an Stromkosten auf einem zu und das nur um am Ende eine einzige PSK Verbindung auf dieser Welt zu brechen. Dazu kommt noch, dass jedes mal wenn sich der PSK ändert, der Angreifer wieder ganz von vorne anfangen muss. Wird also der PSK nur einmal pro Jahr gewechselt, hätte ein Angreifer max. 1 Jahr Zeit diesen zu finden; das wäre schon recht ambitioniert, selbst bei einem schwachen PSK.
Keine Sorge, das passiert uns auch immer wieder.
Auf unserer Passwortseite bekommen Sie Ihre Login-Daten automatisch per E-Mail zugeschickt, wenn Sie Ihre E-Mail-Adresse oder Ihre equinux ID eingeben.
Hat sich Ihre Email Adresse geändert? Senden Sie uns eine Nachricht.
Der IKE Phase 1 Tunnel dient ausschließlich dazu eine sichere Verbindung zwischen VPN Client und VPN Gateway zu gewährleisten, vergleichbar mit einer TLS Verbindung (also HTTPS statt HTTP). Über den Phase 1 Tunnel werden nur IKE Nachrichten ausgetauscht, die dazu dienen die Phase 1 Verbindung selber am Leben zu halten und bei Bedarf Phase 2 Tunnel auszuhandeln. Der Phase 1 Tunnel hat keinen Einfluss auf die VPN Geschwindigkeit, nur auf den initialen Verbindungsaufbau, daher spricht nie etwas dagegen in Phase 1 immer mit der stärksten Absicherung zu arbeiten, die beide Seiten unterstützen. Da nur sehr wenige Daten jemals über den Phase 1 Tunnel gesendet werden, spricht nichts dagegen eine sehr hohe Lebensdauer dafür zu wählen.
Die Phase 2 Tunnel werden genutzt um den eigentlichen Datenverkehr zu verschlüsseln, daher haben hier die Einstellungen direkten Einfluss auf Overhead, Latenz und Geschwindigkeit der VPN Verbindung und müssen gegen die Sicherheit abgewogen werden. Auch werden große Datenmengen über die Phase 2 Tunnel verschlüsselt, weswegen man deren Lebensdauer nicht zu hoch einstellen sollte. Falls möglich ist es immer empfehlenswert Perfect Forward Secrecy (PFS) in Phase 2 zu verwenden, was zwar den Phase 2 Verbindungsaufbau etwas verlangsamt, dafür aber die Phase 2 kryptographisch komplett von der Phase 1 entkoppelt, da ein eigenständiger Session Schlüssel ausgehandelt und nicht vom Session Schlüssel der Phase 1 abgeleitet wird.
Die Lebensdauern der beiden Phasen sind grundsätzlich unabhängig voneinander. Ein Phase 2 Tunnel darf weiter bestehen, auch wenn der Phase 1 Tunnel über den er ausgehandelt wurde nicht länger existiert. Somit darf Phase 1 auch eine kürzere Lebenszeit als Phase 2 besitzen. VPN Tracker handelt immer rechtzeitig vor Ablauf der Lebensdauer neue Tunnel aus, so dass es im Normalfall nie zu einer Unterbrechung der Verbindung kommt. Bei Phase 2 greifen die Tunnel dabei nahtlos ineinander, d.h. es geht kein einziges Datenpaket bei einem Wechsel verloren, deswegen entsteht auch bei einer sehr kurzen Lebensdauer von wenigen Minuten der Eindruck einer unterbrechungsfreien Verbindung. Häufige Wechsel der Phase 2 Tunnel führt lediglich zu etwas mehr Datenverkehr und etwas mehr Rechenarbeit auf beiden Seiten der Verbindung.
Wichtige Hinweise
Die Lebensdauer der der Tunnel wird explizit nicht ausgehandelt. Der Standard erlaubt, dass ein Tunnel unterschiedliche Lebenszeiten auf beiden Seiten der Verbindung besitzt. Die Seite, wo die Lebenszeit dann zuerst abläuft, bestimmt damit auch das weitere Vorgehen. Nur wenn VPN Tracker diese Seite ist, kann VPN Tracker auch das weiter Vorgehen bestimmen und aktiv agieren, ansonsten kann VPN Tracker nur passiv reagieren. Letzteres hat bei Phase 1 immer zur Folge, dass die Verbindung kurzfristig unterbrochen wird oder sogar ganz abreißt. Bei Phase 2 hängt es davon ab, ob die Gegenseite aktiv neue Phase 2 Tunnel aushandeln will oder nur die alten Tunnel löscht; letzteres führt auch mindestens kurzfristig zu einem Verbindungsabbruch.
Daher ist es grundsätzlich ratsam in VPN Tracker immer genau die gleichen Lebensdauern wie auf der Gegenseite einzustellen, denn dann wird VPN Tracker immer versuchen rechtzeitig in das Geschehen eingreifen um einen Verbindungsabbruch zu vermeiden.
Da es leider auch IKE/IPSec Implementierungen gibt, die alle Phase 2 Tunnel löschen, sobald der dazugehörige Phase 1 Tunnel gelöscht wurde, ist darüber hinaus grundsätzlich ratsam die Phase 1 auf Geräten immer so lange zu wählen, wie eine VPN Verbindung maximal am Stück bestehen bleiben soll.
VPN Tracker für Mac – mit vollständiger macOS-Unterstützung
Ab macOS Big Sur hat Apple eine neue Sicherheitsarchitektur eingeführt. Die neuste VPN Tracker für Mac Version ist vollständig mit den aktuellsten macOS Betriebssystemen kompatibel, inklusive macOS Sequoia. Dies beinhaltet Support für: IPsec VPN, IKEv2 (Beta), OpenVPN, L2TP VPN, PPTP VPN, SonicWall SSL VPN, Fortinet SSL VPN, Windows SSTP VPN, Cisco AnyConnect VPN und WireGuard® VPN.
Tipp: Mit dem VPN Tracker Insider Programm erhalten Sie frühen Zugriff auf Beta-Versionen.
WireGuard® ist ein eingetragenes Markenzeichen von Jason A. Donenfeld.
Sowohl bei SMB (Windows File Sharing) als auch bei AFP (Apple File Sharing) ist die Verringerung der Latenz der Schlüssel zu guter Performance. Dies setzt natürlich zunächst voraus, dass Ihre Internetanbindungen auf beiden Seiten des VPN über ausreichende Bandbreite verfügen. Mit einem Dateitransfer über HTTP oder FTP können Sie dies leicht überprüfen.
Sie nutzen SSL VPN? Wechseln Sie auf IPSec
Im Vergleich zu einem SSL-VPN bietet IPsec viel schnellere Verbindungsgeschwindigkeiten, weil es sich auf der Netzwerk-Schicht des OSIs befindet – was bedeutet, dass es der physischen Schicht viel näher ist, wo sich die Verbindung und Ihr Gateway miteinander treffen. So bekommen Sie eine schnellere VPN-Leistung.
Mehr erfahren Sie in diesem Blogbeitrag.
Finder-Einstellungen
Wenn Sie den Finder verwenden und das Problem hauptsächlich in Verzögerungen beim Zugriff auf Ordner besteht (das Kopieren von Dateien aber akzeptabel schnell ist), schalten Sie Symbolvorschau und Vorschau einblenden in den Ansicht-Optionen des Finders (Cmd-J) aus.
Latenz verringern
Wenn die Performance sowohl beim Auflisten von Ordnern als auch beim Übertragen von Dateien nicht zufriedenstellend ist, sollte Ihr Ziel sein, die Latenz zu verringern. Einige Möglichkeiten, die Latenz zu verringern sind:
- Vermeiden Sie Internetanbindungen mit hoher Latenz (z.B. Satellit, einige Arten von Funk/Mobilfunk-Providern, Leitungsbündelung, ...).
- Wenn Sie DSL verwenden, fragen Sie bei Ihrem Interntprovider nach “Fast Path” (Interleaving ausgeschaltet). Diese Einstellung wird normalerweise an Onlinespieler vermarktet, aber ist auch sehr hilfreich für AFP oder SMB Dateiserver-Verbindungen oder Verbindungen zu Datenbanken (z.B. FileMaker).
- Stellen Sie sicher, dass der VPN-Verkehr ggf. priorisiert wird, damit andere Nutzer der Internetverbindung den VPN-Verkehr nicht verlangsamen können.
Um die Latenz zwischen den beiden Endpunkten des VPN zu messen, verwenden Sie Ping auf einem Host auf der anderen Seite der Verbindung, oder pingen Sie das VPN Gateway vom Client aus an. Ein Ping-Tool finden Sie direkt in VPN Tracker (Menü “Werkzeuge”), Sie können aber natürlich auch Ping im Terminal verwenden.
Um die Latenz der einzelnen Internetanbindungen zu messen ist es hilfreich, zunächst den lokalen Router zu pingen (um sicherzustellen, dass im lokalen Netz keine unnötige Latenz verursacht wird), und anschließend den ersten Router beim Internetprovider (um festzustellen, ob z.B. Fast Path oder ein anderer Internet Provider in Erwägung gezogen werden sollten).
Wenn Sie die Latenz nicht weiter verringern können:
Wenn Sie die Latenz nicht weiter verringern können (oder die Latenz zwischen den beiden Endpunkten allein schon aufgrund Ihrer physischen Entfernung sehr hoch ist), versuchen Sie es mit einem Dateiübertragungsprotokoll, das von hoher Latenz weniger stark beeinflusst wird, z.B. WebDAV oder FTP. In manchen Fällen können Sie auch mit rein administrativen Maßnahmen (z.B. weniger Dateien/Ordner pro Ebene, Kompression, ...) schon erhebliche Verbesserungen erreichen.
Das Symptom
Sobald der VPN Tunnel aufgebaut wurde, kann Skype keine neuen Anrufe mehr tätigen, Anrufe die aber bereits vor dem Tunnelaufbau bestanden, funktionieren hingegen weiterhin.
Die Lösung
Das Feld Lokale Adresse darf nicht leer sein. Falls es leer sein sollte, tragen Sie bitte eine beliebige private IP Adresse ein. Private IP Adressen sind alle Adressen, die folgende Form auweisen:
192.168.x.x10.x.x.x172.y.x.x
x: Eine Zahl im Bereich 0 bis 255.
y: Eine Zahl im Bereich 16 bis 31.
Die Adresse darf nicht Teil eines Netzes auf der anderen Seite des VPN Tunnels sein (also sich nicht mit einem Eintrag der Felder "Entfernte Netze" überscheinden), sonst wird der VPN Tunnel nicht länger funktionieren (er kann dann immer noch aufgebaut werden, aber nichts ist über diesen Tunnel dann erreichbar).
Alternative Lösungen
Sollte obige Lösung das Problem nicht beheben, stellen Sie bitte sicher, dass
- das Auflösen von DNS Namen auch mit verbundenen Tunnel noch möglich ist.
- öffentliche Internetserver auch mit verbundenen Tunnel noch erreichbar sind.
- der VPN Gateway im Fall einer Host zu allen Netzen Verbindung keinerlei Datenverkehr blockiert, der für den Betrieb von Skype unablässig ist.
Erklärung
VPN Tracker erzeugt ein virtuelle Tunnelschnittstelle für jeden VPN Tunnel. Wie bei jeder anderen Netzwerkschnittstelle auch, muss diese eine IP Adresse zugewiesen bekommen, um als IP Netzwerkschnittstelle agieren zu können. Falls der VPN Gateway eine Adresse zuweist, dann verwendet VPN Tracker diese. Falls nicht, verwendet er die Adresse aus dem Feld Lokale Adresse. Falls dieses Feld leer ist, verwendet VPN Tracker einfach die gleiche Adresse zu wie derzeit die primäre Netzwerkschnittstelle hat.
Im letzten Fall hat das System am Ende zwei Netzwerkschnittstellen mit identischer IP Adresse, was erlaubt ist und normalerweise auch problemlos funktioniert, außer ein App verhält sich nicht korrekt und fragt z.B. das System welche Netzwerkschnittstelle eine bestimmte IP Adresse hat, ohne dabei die Rangordnung der Schnittstellen zu berücksichtigen.
Sie können mit unserer VPN Wizard App für FritzBox eine neue Verbindung entsprechend konfigurieren.
Ihre neue VPN Verbindung für Fritzbox können es mit der kostenlosen VPN Tracker 365 Demo testen:
http://www.vpntracker.com/de/download.html#vpnt365
Um eine VPN-Verbindung zu einem bestimmten Ort (z.B Ihrem Büro) aufzubauen, benötigen Sie eine VPN-fähiges Gerät (“VPN Gateway”) an diesem Ort. Dieses Gerät ist in der Regel eine Firewall mit VPN-Funktionalität (in unserer Kompatibilitätsliste finden Sie eine Reihe von Beispielen).
Das VPN Gateway muss mit dem Internet verbunden sein (z.B. per DSL-Modem) sollte am besten eine statische öffentliche IP-Adresse haben oder einen Dienst wie DynDNS.org nutzen können, um dynamische IP-Adressen automatisch auf Hostnamen abzubilden. Die Konfiguration ist am einfachsten wenn das VPN Gateway auch der Router (Standard-Gateway) seines Netzes ist, andernfalls müssen Sie in den meisten Fällen durch geeignete Routen sicherstellen, dass Daten korrekt über das VPN geroutet werden.
Details zur Konfiguration finden Sie in den Konfigurationsanleitungen für kompatible Geräte.
So funktioniert es:
- Gehen Sie in die Einstellungen Ihrer PPTP VPN-Verbindung im Control Panel Ihres Windows PC
- Starten Sie die VPN Tracker 365 App auf Ihrem Mac und klicken Sie auf das "+", um eine neue PPTP Verbindung zu erstellen.
- Übernehmen Sie die Einstellungen von Schritt eins in das Konfigurationsfenster von VPN Tracker 365.
- Aktivieren Sie Ihre PPTP Verbindung in VPN Tracker 365, um sie zu testen.
Nun können Sie Ihre Windows PPTP VPN-Verbindung auf Ihrem Mac verwenden - dank VPN Tracker 365. Eine detaillierte Anleitung finden Sie in diesem PDF Guide: Eine Windows PPTP VPN Verbindung auf den Mac umziehen
Mehr über PPTP VPN-Verbindungen unter macOS Big Sur erfahren
Folgen Sie diesen Schritten, um eine Verbindung einzurichten:
- Öffnen Sie VPN Tracker und erstellen Sie eine neue WireGuard® Verbindung
- Laden Sie Ihre WireGuard® Konfigurationsdatei hoch oder scannen Sie Ihren QR-Code
- Sichern Sie Ihre Verbindung in Ihren Account mittels sicheren Ende-zu-Ende-Verschlüsselung
Nun können Sie sich mit Ihrem WireGuard® VPN-Server auf Mac, iPhone oder iPad verbinden.
→ Weitere Informationen zu WireGuard® VPN-Verbindungen in VPN Tracker
WireGuard® ist ein eingetragenes Markenzeichen von Jason A. Donenfeld.
- Wenn die App schon in Ihrem Dock liegt, drücken Sie die Wahltaste (⌥) und machen Sie einen Rechtsklick auf dem App-Symbol. Sie können "Sofort beenden" von dem Menü wählen.
- Sie können auch Wahltaste (⌥) + Befehltaste (⌘) + Esc drücken, um eine Liste von aktiven Apps zu bekommen. Aus der Liste können Sie die App selektieren, die Sie beenden möchten und dann "Sofort beenden" klicken.
1. Um PPTP hinter einem NAT-Router verwenden zu können, muss Ihr Router "PPTP Passthrough" unterstützen und diese Option muss ebenfalls aktiviert sein.
Stellen Sie sicher, dass Ihr Router "PPTP Passthrough" unterstützt, und stellen Sie sicher, dass es auch aktiviert ist. Überprüfen Sie das Handbuch Ihres Routers. Wenn Ihr Router dies nicht unterstützt, müssen Sie ihn möglicherweise ersetzen, wenn Sie PPTP verwenden wollen.
2. Überprüfen Sie auch, ob Ihr Internet Anbieter (ISP) eine "DS Lite" -Verbindung zu Ihnen herstellt. Mit "DS Lite" erhalten Benutzer nur private IP-Adressen, deren Netzwerkadresse vom Anbieter übersetzt wurde, und dies ist normalerweise nicht mit PPTP kompatibel. Sie benötigen eine öffentliche IPv4-Adresse oder wechseln zu einem anderen VPN-Protokoll. Rufen Sie Ihren ISP an und fragen Sie nach "einer öffentlichen IPv4-Adresse".
Gehen Sie zu "Datei" > "Neu" > "VPN Shortcuts"
Öffnen Sie das Shortcuts-Dock, indem Sie auf den Pfeil klicken, um sich alle verfügbaren Shortcuts in VPN Tracker 365 anzeigen zu lassen. Ziehen Sie einen Shortcut aus dem Dock nach oben, um einen Dienst oder eine Application zu konfigurieren (z. B. eine interne Webseite).
Um den Shortcut zu konfigurieren, geben Sie die nötigen Daten ein. Falls Sie unsicher sind, kann Ihnen Ihr Netzwerkadministrator oder das VPN Tracker 365 Support Team beim Setup helfen.
Wiederholen Sie diese Aktion bis Sie VPN Shortcuts für all Ihre meistgenutzten Dienste erstellt haben. Wenn Sie fertig sind, können Sie Ihre Änderungen abspeichern, indem Sie nochmal auf den Pfeil klicken, um das Shortcuts-Dock wieder zu schließen.
Sie können einen VPN Shortcut testen, indem Sie auf das entsprechende Icon klicken. So wird Ihre VPN-Verbindung aufgebaut und gleichzeitig der jeweilige Dienst gestartet.
Dieses Video zeigt Ihnen, wie Sie in VPN Tracker 365 praktische Shortcuts erstellen können:
Öffnen Sie die VPN Tracker 365 App. Gehen Sie zu Datei > Importieren > System VPN Verbindungen
VPN Tracker durchsucht nun Ihren Mac nach VPN-Verbindungen, die mit VPN Tracker 365 kompatibel sind. Sie können dann die gewünschten Verbindungen auswählen und importieren.
Bitte beachten Sie, dass nur kompatible Verbindungen importiert werden können.
Damit ein Zertifikat in der Liste "Local Certificate" erscheint, muss es mit seinem zugehörigen privaten Schlüssel in einem Mac OS X Schlüsselbund vorhanden sein.
Mit Hilfe der Schlüsselbundverwaltung können Sie dies leicht prüfen: Wenn ein Zertifikat unter "Meine Zertifikate" aufgelistet ist, ist sein privater Schlüssel verfügbar und Sie können es als "Lokales Zertifikat" auswählen.
Wichtiger Hinweis für CheckPoint VPN Nutzer:
Die Mac OS X Schlüsselbundverwaltung kann derzeit keine privaten Schlüssel aus manchen von Checkpoint Software erzeugten Zertifikaten auslesen.
Um solche Zertifikate zu verwenden, konvertieren Sie sie bitte mit dem OpenSSL Kommandozeilenprogramm um:
- Öffnen Sie ein Terminal ("Programme" > "Dienstprogramme" > "Terminal")
- Konvertieren Sie das Zertifikat ins PEM Format um:
openssl pkcs12 -in /Users/joe/Desktop/MyCheckPointCert.p12 -out /tmp/out.pem
Ersetzen Sie /Users/joe/Desktop/MyCheckPointCert.p12 durch den Pfad des Zertifikates, das Sie konvertieren wollen.
Sie werden zunächst nach dem Passwort gefragt, mit dem das ursprüngliche Zertifikat verschlüsselt ist. Wenn Sie das Passwort nicht kennen, fragen Sie bitte den Systemadministrator, der dieses Zertifikat für Sie erzeugt hat. Anschließend werden Sie zwei Mal nach einem Passwort gefragt, um die exportierte PEM Datei zu schützen. Sie können hier das gleiche Passwort verwenden, mit dem das Zertifikat ursprünglich verschlüsselt war. Bitte beachten Sie, dass beim Eintippen der Passwörter keine Buchstaben angezeigt werden - tippen Sie einfach das Passwort ein, und drücken Sie die Eingabetaste.
- Konvertieren Sie die PEM Datei in PKCS#12 (.p12) Format zurück:
openssl pkcs12 -in /tmp/out.pem -export -out ~/Desktop/MyFixedCheckPointCert.p12
Ersetzen Sie /Users/joe/Desktop/MyFixedCheckPointCert.p12 durch den Pfad, an dem Sie das konvertierte Zertifikat abspeichern möchten.
Sie werden zunächst nach dem Passwort gefragt werden, mit dem Sie eben die PEM Datei geschützt haben. Anschließend werden Sie nach einem Passwort gefragt, um die exportierte .p12 Datei zu schützen. Sie können erneut überall das selbe Passwort verwenden.
Zum Schluss doppelklicken Sie bitte auf die konvertierte Zertifikatsdatei, um sie in die Mac OS X Schlüsselbundverwaltung zu importieren.
Wenn Sie FortiOS 3 verwenden, stellen Sie bitte sicher, dass Sie mindestens MR6 patch 2 einsetzen. Frühere Versionen haben ein bekanntes Problem, das eine fehlerhafte Reaktion auf einen Verbindungsversuch mit XAUTH und Aggressive Mode verursacht.
Es gibt grundsätzlich verschiedene Kategorien von Programmen, die dafür verantwortlich sein können, dass VPN Tracker auf Ihrem System nicht korrekt arbeitet:
- Personal Firewalls / Desktop Firewalls
- Schutzprogramme (z.B. Virenscanner, Malwareschutz)
- Andere VPN Clients / VPN Software (z.B. NCP Client)
Personal Firewalls filtern Netzwerkdatenverkehr anhand von Regeln; nur Datenverkehr für den eine entsprechende Regel existiert darf auch passieren. macOS selber bringt so eine Firewall mit, die aber nur eingehenden Datenverkehr filtert und mit ihren Standardeinstellungen VPN Tracker nicht behindert. Bei Personal Firewalls wird der Nutzer in der Regel beim ersten Verbinden einer Anwendung explizit gefragt ob er den Datenverkehr zu lassen möchte und hier darf man VPN Tracker natürlich nicht den notwendigen Datenverkehr untersagen. Falls Sie letzteres aus Versehen bereits getan haben, und nicht wissen, wie Sie es wieder rückgängig machen können, konsultieren Sie bitte das Handbuch der Software bzw. wenden Sie sich bitte an deren Hersteller.
Schutzprogramme sehen in VPN Datenverkehr oftmals eine potentielle Bedrohung, da sie diesen Datenverkehr aufgrund der enorm starken Verschlüsselung nicht näher analysieren können. Anders als bei sicheren Browserverbindungen lässt sich die VPN Verschlüsselung nicht lokal aushebeln, daher blockieren sie vorzugsweise jeglichen VPN Datenverkehr, den der Nutzer nicht explizit freigeben hat. Falls Sie nicht wissen, wie Sie bei dieser Software einstellen können, dass sie bestimmte (oder auch alle) VPN Verbindungen erlauben soll, konsultieren Sie bitte das Handbuch der Software bzw. wenden sich an deren Hersteller.
Andere VPN Programme sollten eigentlich kein Problem darstellen, da das System durchaus so ausgelegt ist, dass beliebig viele VPN Clients zeitgleich installiert und benutzt werden können. Allerdings muss ein VPN Client auch so programmiert sein, dass er mit anderen VPN Clients zusammenarbeiten kann. VPN Tracker ist so programmiert, aber das gilt leider nicht für alle VPN Clients. Manche beanspruchen direkt nach der Installation jeglichen VPN Datenverkehr für sich, selbst dann wenn sie gerade nicht einmal aktiv oder gestartet sind. Folglich bekommt VPN Tracker diesen Datenverkehr erst gar nicht zu Gesicht. Hier hilft es meistens nur, diese Programme komplett zu deinstallieren und sich ggf. beim Hersteller über dieses Verhalten zu beschweren.
Falls Sie sich unsicher sind, ob eines dieser Programme auf ihren System installiert ist oder nicht, gibt es einen einfachen Weg das heraus zu finden. Starten Sie die Standardanwendung “Terminal”, und geben Sie dort folgende Befehlszeile ein:
kextstat | grep -v com.applesobald Sie danach mit Enter/Return bestätigen, erhalten Sie eine Liste aller Systemkernerweiterungen, die aktuell geladen sind und nicht von Apple stammen. Diese gleichen Sie einfach mit den Namen in Klammern ab, wobei es genügt, wenn nur einer der dort genannten Einträge zu finden ist:
- Little Snitch
(at.obdev.nke.LittleSnitch)
- TripMode
(ch.tripmode.TripModeNKE)
- Sophos Anti Virus
(com.sophos.kext.oas, com.sophos.nke.swi)
- Symantec Endpoint Protection / Norton AntiVirus
(com.symantec.kext.SymAPComm, com.symantec.kext.internetSecurity, com.symantec.kext.ips, com.symantec.kext.ndcengine, com.symantec.SymXIPS)
- Kaspersky Internet/Total Security
(com.kaspersky.nke ,com.kaspersky.kext.kimul, com.kaspersky.kext.klif, com.kaspersky.kext.mark)
- Intego Mac Internet Security
(com.intego.netbarrier.kext.network, com.intego.virusbarrier.kext.realtime, com.intego.netbarrier.kext.process, com.intego.netbarrier.kext.monitor)
- Fortinet FortiClient
(com.fortinet.fct.kext.avkern2, com.fortinet.fct.kext.fctapnke)
- Cisco Advanced Malware Protection (AMP)
(com.cisco.amp.nke, com.cisco.amp.fileop)
- TUN/TAP based VPN Clients VPN Clients
(net.sf.tuntaposx.tap, net.sf.tuntaposx.tun)
- eset Security Produkte
(com.eset.kext.esets-kac, com.eset.kext.esets-mac und com.eset.kext.esets-pfw)
Im September 2021 sind Root-Zertifikate für "Let's Encrypt" abgelaufen. Da Apple ältere Mac OS X Versionen (10.9 - 10.11) nicht mit aktuellen Root-Zertifikate aktualisiert hat, kommt es auf diesen Systemen zu Problemen in der Kommunikation mit sicheren Webseiten. Wenn Ihnen aufgefallen ist, dass viele Webseiten in Safari nicht mehr richtig geladen werden, liegt es höchstwahrscheinlich daran.
Anmerkung: Es handelt sich hierbei um ein allgemeines Mac OS X Problem, das viele Anwendungen und Webseiten betrifft.
Die sichere Kommunikation mit my.vpntracker.com - dem Dienst hinter VPN Tracker 365 - ist davon auch betroffen.
So wird das Problem behoben:- Installieren Sie die richtige VPN Tracker Version für Ihr System:
- Mac OS X 10.9 oder 10.10: VPN Tracker 365 20.0.1
- Mac OS X 10.11: Laden Sie die aktuellste VPN Tracker Version
- Die aktuellen Root-Zertifikate hinzufügen:
- Besuchen Sie unsere Problembehebungsseite
- Laden Sie dort das Profil herunter
- Öffnen Sie es aus dem Downloads Ordner
- Doppelklicken Sie das Profil, um es in den Systemeinstellungen zu öffnen und bestätigen Sie dort die Installation
- Starten Sie VPN Tracker neu und melden Sie sich noch einmal an
Falls das Problem weiterhin besteht:
- Öffnen Sie Safari
- Gehen Sie zu Einstellungen > Datenschutz > Websitedaten verwalten
- Mit der Suche können Sie alle Daten für 'equinux' und 'vpntracker' finden und entfernen
Ältere VPN Tracker Versionen können ebenfalls Zertifikats-Probleme haben. Da diese Versionen end-of-life sind, können wir keinen Support mehr dafür anbieten. Die obigen Schritte sollten auch bei diesen Versionen anwendung finden. Für Support und um VPN Tracker auf den neuesten macOS Versionen zu nutzen, kaufen Sie bitte eine moderne VPN Tracker Lizenz.
VPN Tracker oder equinux haben mit diesem Passwort nichts zu tun. Ihr VPN Gateway bittet VPN Tracker lediglich um die Eingabe eines Nutzernamen und Passwortes, welche dann direkt an das VPN Gateway weitergibt. Falls die Daten nicht mit den Serverdaten übreinstimmen, bekommt VPN Tracker lediglich die Antowrt: "Dies ist keine gültige Kombination von Benutzername und Passwort, ich kann dich nicht rein lassen, sorry, und Tschüss".
In VPN Tracker können Sie einfach auf den blauen Marker neben den XAUth Einstellungen klicken. Daraufhin erscheint der XAUTH Dialog und die bestehenden Daten können überschrieben werden.
Weitere Details finden Sie auf Seite 16 unserer Anleitung
VPN Tracker Pro ist perfekt für Sie, wenn Sie als Consultant arbeiten, ein System- oder Netzwerkadministrator sind oder mit mehreren VPN Verbindungen arbeiten.
- Exportieren Sie VPN Verbindungen für sich und andere Nutzer.
- Scannen Sie das Remote Network nach Diensten oder um Benutzer zu unterstützen.
- Verbinden Sie sich gleichzeitig mit mehreren VPNs.
- Verwalten Sie eine große Anzahl an VPNs mittels der Suchfunktion, der kompakten Ansicht und der Möglichkeit, Verbindungen zu gruppieren.
- Konfigurieren Sie Ihren Mac als Router, um dem gesamten Netzwerk einen VPN Tunnel als Netzwerk zu Netzwerk Verbindung zur Verfügung zu stellen.
Wenn die hinterlegte IP Adresse nicht aktuell ist, überprüfen Sie bitte Ihre dynamische DNS Konfiguration auf dem VPN Gateway.
Die Watchguard-Firmware enthält einen bekannten Fehler. Leider haben wir noch nicht herausfinden können, warum VPN Tracker diesen Fehler hervorruft (anders als der VPN-Client für Windows, den Watchguard selbst bereitstellt). Wir haben Watchguard das Problem geschildert, aber auch die Entwickler konnten uns nicht sagen, warum der Fehler auftritt. Der Fehler besteht darin, dass der Tunnel auf dem Watchguard-Gerät geschlossen wird. Er wird weiterhin als aktiv angezeigt, aber alle Pakete aus dem Tunnel werden zurückgewiesen.
Wenn Sie im Moment eine Branch Office-Konfiguration verwenden, wechseln Sie zu einem Mobile User-Setup (wenn möglich). Die Mobile User-Variante arbeitet besser mit VPN Tracker zusammen.
Bitte lesen sie hierzu auch folgende Beschreibung.
- Laden Sie die OpenVPN-Konfigurationsdatei von der Unifi-Konsole herunter.
- Öffnen Sie die Konfigurationsdatei mit einem Texteditor.
- Identifizieren Sie diese Zeile:
Cipher AES-256-CBC
- Ändern Sie die Zeile in:
AES-256-GCM
- Speichern Sie die Datei.
- Importieren Sie die Datei in VPN Tracker
Für weitere Hilfe mit der Konfiguration, sehen Sie sich die NETGEAR Nighthawk Konfigurationsanleitung an.
Sie wollen nicht, dass Ihr ganzer Internet-Traffic über das VPN geht? Konfigurieren Sie eine "Host-to-Network" Verbindung, um ausschließlich netzwerkrelevanten Traffic über das VPN zu schicken.
Sobald Sie "Host-to-Network" ausgewählt haben, können Sie Ihre Verbindung starten und VPN Tracker 365 erstellt automatisch eine separate Route für Ihren Netzwerk-Traffic, der über das VPN gehen soll. Alles andere (z. B. Ihr persönlicher Internet-Traffic) erfolgt einfach über die normale Internetverbindung.
Dies hat den gleichen Effekt, wie die Option "Standardgateway für das Remotenetzwerk verwenden" unter Windows.
Geräte mit aktueller Firmware (Fireware XTM)
WatchGuard Firebox X Edge e-Series Geräte mit Fireware XTM (Fireware 11) werden in aktuellen VPN Tracker Versionen voll unterstützt. Weitere Infos finden Sie in der Konfigurationsanleitung.
Geräte mit älterer Firmware
Geräte mit einer älteren Firmwareversion können möglicherweise mit folgenden Einstellungen erfolgreich konfiguriert werden:
Zuerst sollten sie einen neuen Nutzer auf der Firebox Edge einrichten und anschliessend MUVPN für diesen Nutzer freischalten.Nun müssen sie nur noch die Einstellungen entsprechend der folgenden Tabelle auf VPN Tracker übertragen:
| Watchguard | VPN Tracker |
|---|---|
| Account Name | Local Identifier |
| Shared Key | Preshared Key |
| Virtual IP Address | Local Address |
| Authentication Algorithm | Phase 1 und Phase 2 Hash/Authentication Algorithms |
| Encryption Algorithm | Phase 1 und Phase 2 Encryption Algorithms |
| Key expiration in hours | Phase 1 und Phase 2 Lifetime |
Die folgenden Einstellungen müssen immer in VPN Tracker vorgenommen werden, unabhängig von der Firebox Konfiguration:
- Local Identifier Type: Email (auch wenn der Identifier z.B. ein Name und keine Emailadresse ist)
- Exchange Mode: Aggressive
- Phase 1 Diffie-Hellman Group: Group 2 (1024 bit)
- Perfect Forward Secrecy (PFS): aus
Zuletzt stellen sie bitte sicher, dass unter "Host to Network" ausgewählt ist und das richtige Remote Network eingetragen ist (z.B. 192.168.1.0/255.255.255.0).