Wie muss ich meine Firewall konfigurieren ?

SSL-VPN (AnyConnect):

 

Die Kommunikation mit dem VPN-Cluster findet über Port 443 statt. Bei einigen Firewalls muss das berücksichtigt werden.

Wenn Kaspersky Anti-Virus 201x verwendet wird kann sich der Client nur verbinden, wenn bei der Internetportüberwachung HTTP SSL 443 abgewählt wird.

Bei Comodo muss der Internet Security Treiber für den Cisco AnyConnect Secure Mobility Client Connection Netzwerkadapter deaktiviert werden. Dazu: Im "Control Panel" zuerst "Network and Internet" und dort dann "Network and Sharing Center" öffnen. Im Menü links "Change Adapter Settings" wählen und dort mit einem Rechtsklick auf "Cisco AnyConnect Secure Mobility Client Connection" die Einstellungen öffnen. Dort kann man den Comodo-Treiber deaktivieren. Mit ok kann die Aktion bestätigt werden. Es reicht nicht, die Comodofirewall einfach zu deaktivieren.

IPsec VPN:

Schalten Sie Port 500 für TCP sowie die Ports 500, 504, 1208, 4500 und 10000 für UDP (für die Adressen 129.187.7.27, 129.187.7.1, 129.187.7.3, 129.187.7.4 und 129.187.7.5) frei (ALLOW). Außerdem müssen Sie die IP-Protokolle mit den Nummern 50 (ESP) und 51 (AH) freigeben (ALLOW). Erlauben Sie dem VPN-Programm und Dienst (cvpnd.exe) den Zugriff auf das Internet.

Falls mit diesen Einstellungen noch keine Verbindungen funktionieren, können Sie Port-Forwarding probieren. Schalten Sie dazu zusätzlich Port 10000 TCP an der Firewall frei und aktivieren Sie im Client durch einen Klick auf Modify unter Transport die Buttons Enable Transparent Tunneling und IPsec over TCP mit Port 10000.

Tipp:
Die von den laufenden Prozessen verwendeten Ports kann man sich mit dem Freeware-Programm TCPView anzeigen lassen. TCPView gibt es unter  http://download.sysinternals.com/Files/TCPview.zip.

Eine ausführlichere Anleitung zu Firewall-Problemen bei VPN-Verbindungen finden Sie auf einer Seite der Universität Heidelberg. (2011-06)