Es kommt häufig vor, dass ein VPN-Tunnel scheinbar erfolgreich aufgebaut wird, die Endpunkte jedoch keinen Zugriff auf die Zielressourcen erhalten. Solche Fälle sind klassisch auf Routing- oder Firewall-Probleme zurückzuführen. In Provider- oder Unternehmensnetzen können fehlerhafte Routen, unzureichende Firewall-Regeln oder falsche Access-Listen die Kommunikation blockieren. Dieser Leitfaden zeigt strukturierte Checks, um die Ursache zu identifizieren und zu beheben.
1. VPN-Verbindung überprüfen
Bevor Routing oder Firewalls untersucht werden, sollte sichergestellt werden, dass der Tunnel tatsächlich aktiv ist.
Checkliste
- Status der VPN-Verbindung prüfen:
show crypto ikev2 sa show crypto ipsec sa - Endpunkte pingen:
ping - IKE und IPsec SAs vergleichen – Phase 1 und Phase 2 müssen aktiv sein
2. Routing prüfen
Selbst bei bestehendem Tunnel können falsche oder fehlende Routen den Zugriff verhindern.
Checkliste
- Lokale Routing-Tabelle auf VPN-Gateway prüfen:
show ip route - Prüfen, ob Zielnetz über Tunnel erreichbar ist:
traceroute - Split-Tunneling-Konfiguration beachten – nicht alle Netze werden automatisch über den Tunnel geleitet
- Default Route vs. selektive Routen:
ip route 0.0.0.0 0.0.0.0 ip route - Asymmetrisches Routing vermeiden – Rückwege müssen über das gleiche Gateway laufen
- MTU beachten – Fragmentierung kann ICMP-Messages blockieren und den Zugriff verhindern
3. Firewall prüfen
Firewalls sind eine der häufigsten Ursachen, wenn der VPN-Tunnel steht, aber keine Kommunikation erfolgt.
Checkliste
- Firewall-Logs prüfen:
show log | include - Access-Listen und Security Policies kontrollieren:
show access-lists show security policies - ICMP, TCP, UDP entsprechend freigeben – insbesondere die Ports der Zielanwendungen
- Stateful Inspection beachten – Rücktraffic wird ggf. blockiert
- NAT / PAT überprüfen – VPN-Endpunkte sollten direkt adressierbar sein oder NAT-Ausnahmen konfiguriert werden
4. Endpunkt-Checks
Auch auf Client-Seite oder in entfernten Netzsegmenten kann der Zugriff verhindert werden.
Checkliste
- IP-Adresse des VPN-Clients prüfen – liegt sie im richtigen Subnetz?
- Gateway auf Client prüfen:
ipconfig /all (Windows) ifconfig (Linux/Mac) - Firewall oder Security-Software auf Client prüfen
- Split-Tunnel beachten – nur die gewünschten Netze gehen durch den Tunnel
5. Testen mit minimalem Setup
Wenn Unsicherheiten bestehen, sollte der Zugriff in einer vereinfachten Umgebung geprüft werden.
- VPN zwischen zwei Testendpunkten aufbauen
- Minimal-Regeln in Firewall und Routing
- Traffic gezielt auf eine Test-IP schicken
- Ergebnisse dokumentieren und auf das produktive Netz übertragen
6. CLI-Beispiele für typische Fixes
- Route hinzufügen:
ip route - Firewall Policy für VPN-Traffic:
access-list VPN-TRAFFIC permit ip set security-policy from VPN-Interface to LAN-Interface - NAT-Ausnahme konfigurieren:
nat (inside,outside) source static no-proxy-arp
7. Best Practices
- Dokumentation der VPN-Subnetze und Routen
- Monitoring von Tunnel- und Firewall-Logs
- Standardisierte Templates für Routing und ACLs verwenden
- Testumgebung für Änderungen aufbauen, bevor produktiv gerollt wird
- Split-Tunnel nur für spezifische Netze einsetzen, Default Route nur wenn nötig
- Regelmäßige Überprüfung der MTU und Fragmentierungseinstellungen
Durch systematisches Prüfen von Routing, Firewall und Client-Konfigurationen lassen sich die meisten Fälle beheben, in denen ein VPN zwar steht, der Zugriff jedoch blockiert ist. Ein strukturiertes Vorgehen minimiert Ausfallzeiten und stellt sicher, dass Remote Access stabil und sicher bereitgestellt wird.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.