TUHH > Servicebereiche > Rechenzentrum > Hochschulnetz > VPN Service: Hilfe Windows XP/Vista FAQ

Fragen/Support

Bei Fragen oder Problemen schauen Sie bitte auf diese Hilfeseiten. Für Fragen, Anregungen, Erfahrungsberichte oder mit weitergehenden Problemen wenden Sie sich bitte an unser User Service Center (Helpdesk).

VPN Client unter Microsoft Windows XP/Vista

FAQ

  • [faq1] Ich benutze eine Personal Firewall (außer der Windows XP Firewall) und kann mit dem VPN Client keine Verbindung herstellen. [vgl. allgemeine faq6]

    Der Cisco VPN Client für Windows Vista wird derzeit noch ohne eigene Personal Firewall ausgeliefert. Dieser FAQ Punkt gilt nur für Windows XP!

    Der Cisco VPN Client liefert eine kleine Personal Firewall (Zone Alarm OEM) mit aus. Dieses Firewall-Modul (vsdatant) verträgt sich nicht mit anderen Personal Firewalls. Als Workaround kann man den entsprechenden Gerätetreiber im Geräte-Manager deaktivieren (devmgmt.msc). Diese Deaktivierung sollte nur vorgenommen werden, wenn keine ZoneAlarm Personal Firewall eingesetzt wird!

    Dazu wählt man dort unter Ansicht den Punkt Ausgeblendete Geräte anzeigen und deaktiviert den Treiber vsdatant unter den Nicht-PnP-Treibern.

    Ausgeblendete Geräte anzeigen: Ausgeblendete Geräte
    Deaktivieren von vsdatant: Deaktivieren vsdatant

    Alternativ können Sie den Treiber auch über eine Registry-Datei deaktivieren.

    Wichtig: Nach dem Deaktivieren des Treibers muss das System neu gebootet werden!

    Falls der entsprechende Treiber dort nicht auftaucht, kann es daran liegen, dass der Treiber erstmalig bei einer erfolgreichen VPN-Verbindung geladen wird und auch erst dann im Geräte-Manager erscheint. Nach einer Neuinstallation vom VPN Client muss also mindestens einmal eine VPN-Verbindung aufgebaut werden, bevor man den Treiber wie gerade beschrieben deaktivieren kann.

    • [faq1.1] Anleitung für Sophos Client Firewall
      (OEM Version von Agnitum Outpost, wird mit unserer Campuslizenz für Sophos Antivirus 7.0 ausgeliefert)
      Auch hier muss das ZoneAlarm OEM Personal Firewall Modul vsdatant unter Windows XP wie oben beschrieben deaktiviert werden. cpvpnd.exe wird wie folgt als vertrauenswürdig hinzugefügt. Sophos Client Firewall cvpnd.exe

      Ebenfalls muss unser VPN Server wegen des DPD-Problems (vgl. faq4) als vertrauenswürdig gelten. Dazu müssen Sie die Adresse casg.rz.tu-harburg.de und die VPN-Backup-Adresse vpn.tu-harburg.de in die Liste der vertrauenswürdigen Domainnamen eintragen. Sophos Client Firewall cvpnd.exe Sophos Client Firewall cvpnd.exe Sophos Client Firewall cvpnd.exe

  • [faq2] Warum wird Microsoft Windows 95/98/ME vom Cisco VPN Client nicht mehr unterstützt?
    Ab Juli 2006 hat Microsoft den Support für die o.g. Betriebssysteme eingestellt. Aus diesem Grund wird auch von Cisco der VPN Client für veraltete Betriebssysteme nicht weiter entwickelt.
  • [faq3] Unterstützt der Cisco VPN Client Microsoft Windows mit 64-bit?
    Ab Version 5.0.07.0290 unterstützt der VPN Client auch Windows Vista und Windows 7 unter 64bit.
  • [faq4] Warum wird kurz nach VPN Einwahl unter Windows XP die Verbindung wieder getrennt?
    Allgemein: Eine Fehlerquelle kann die Windows XP SP2 Firewall sein, die in einigen Fällen für die VPN Verbindung wichtige UDP Pakete vom VPN Konzentrator verwirft (DPD -- "Dead Peer Detection" unterbricht dann die VPN Verbindung). Damit diese Pakete aber auch ankommen, haben wir mit einem kleinen Batch-Skript gute Erfolge erzielt. Dieses Skript setcvpnd.cmd setzt eine Windows XP SP2 Firewall Regel, die Pakete von der IP Adresse unseres VPN Konzentrators erlaubt. Laden Sie dazu das untenstehende Skript herunter und führen Sie es aus. Zur Deinstallation bieten wir noch das Skript unsetcvpnd.cmd an. Die Regeländerung ist bei den Einstellungen zur Windows XP SP2 Firewall einsehbar.

    Wenn Sie die Sophos Client Firewall anstelle der Windows XP SP2 Firewall einsetzen, lesen Sie unter faq1.1 weiter.

    Im WLAN: Wir haben diesbezüglich einige Tests durchgeführt und konnten häufig durch eine Aktualisierung des WLAN Treibers (zumeist bei Intel WLAN Karten) das Problem beheben.
  • [faq5] Wenn ich mein WLAN mit der WLAN-Taste anschalte, erhalte ich einen "blue screen" oder Windows XP startet neu.
    Aktualisieren Sie Ihren WLAN Treiber. Wenn das Problem weiterhin bestehen sollte, installieren Sie den aktuellen VPN Client neu (inkl. Neustart).
  • [faq6] Wer ist "Igor Pavlov", dessen Name im VPN Client Installer erscheint?
    Igor Pavlov ist Autor des Programms 7-zip, das wir verwenden, um einen selbst entpackenden Installer für den VPN Client zu bauen. 7-zip ist ein Open Source Packer mit sehr hoher Kompressionsrate und größtenteils unter der GNU LGPL Lizenz veröffentlicht. Weitere Infos hier.
  • [faq7] Beim Nutzen des VPN Clients ohne Administratorrechte kann der VPN Client weder sein Zertifikatsverzeichnis öffnen (Error 31) noch Zertifikate importieren (Error 39).
    Windows XP Fehlermeldung Error 31: Error 31
    In diesem Fall muss der Benutzer Schreib- und Leserechte im %ProgramFiles%\Cisco Systems\VPN Client\Certificates Verzeichnis erhalten. Dies können Sie manuell durchführen oder durch folgendes Skript erledigen lassen:
  • [faq8] Der VPN Client lässt sich nach einer Deinstallation nicht installieren und meldet, dass der vorherige VPN Client erst entfernt werden muss.
    Diese Fehlermeldung wird durch eine nicht vollständig abgeschlossene Deinstallation verursacht. Selbst nach Entfernen des Cisco VPN Client Verzeichnisses (%ProgramFiles%\Cisco Systems\VPN Client) wird eine Installation nicht möglich sein, da der VPN Client auch Registry-Einträge hinterlässt. Um welche Einträge es sich genau handelt, ist schwer in einer FAQ zu beschreiben; möglich sind folgende Fehlerbehebungen:
    • Um herauszufinden auf welche Registry-Schlüssel sich die VPN Client Installation bezieht, starten Sie den ProcessMonitor von SysInternals.com. Anschließend versuchen Sie die fehlgeschlagene Installation erneut und achten auf die angezeigten Registry-Zugriffe (show registry activity). Wenn Sie einen Eintrag sehen, der gelöscht werden sollte, markieren Sie den Eintrag und drücken Strg-J, um zur zugehörigen Stelle in der Registry zu kommen. Dort können Sie den Eintrag löschen.
    • Alternativ können Sie auch den Registry-Editor mit Start → Ausführen → regedit direkt aufrufen. Suchen Sie nach vpn bzw. cisco und entfernen Sie die nötigen Einträge oder Verzeichnisse.
    Nach Änderungen in der Registry starten Sie den Rechner neu, um die neuen Einstellungen wirksam werden zu lassen.
  • [faq9] Der Cisco VPN Client kann unter Windows Vista nicht installiert werden.
    Bei Upgrades von Windows XP zu Windows Vista kann der Client nicht installiert werden. Cisco empfiehlt eine "saubere" Windows Vista Installation zu verwenden.
  • [faq10] Die VPN Verbindung baut sich unter Windows Vista sehr langsam auf.
    Laut Ciscos Release Note für die Version 5.0.03.0390 des Windows VPN Clients ist das soweit kein Bug, sondern bedingt durch die zusätzlichen Prozesse unter Windows Vista, die beim Aktivieren des VPN Adapters durchlaufen werden müssen. 

    "VPN Client takes longer to connect on Vista compared to XP. This is due to new features in Vista."
  • [faq11] Unregelmäßige Verbindungsabrüche mit dem Hinweis: "Secure VPN Connection terminated locally by the Client. Reason 442: Failed to enable Virtual Adapter"
    Ursache für diesen Fehler ist ein Konflikt mit der Systemdatei IpHlpAPI.DLL durch eine fehlerhafte Installationsroutine des VPN-Client.
    Mit der folgenden Anleitung kann der Fehler behoben werden. Die Reihenfolge muss unbedingt eingehalten werden. Wichtig: Der PC muss mehrfach neu gestartet werden.
    Verwenden Sie nur den VPN-Client, den das Rechenzentrum zum Download anbietet.
    Vorbereitung
    1. Laden Sie die aktuelle Version des Deterministic Network Enhancer vom Hersteller Deterministic Networks herunter:
      http://www.deterministicnetworks.com/tgdownload.asp
    Anleitung:
    1. Fehlerhafte Installation korrigieren
      Starten Sie die Kommandozeile als Administrator (Start → Alle Programme → Zubehör: Rechtsklick auf Eingabeaufforderung: Als Administrator ausführen). Geben Sie einzeln folgende Befehle ein und drücken Sie anschliessend jeweils die Eingabetaste:
      net localgroup Users /add
      net localgroup INTERACTIVE /add
      Starten Sie den Computer neu.
      Hintergrund: Die Installationsroutine wird aufgrund einer fehlerhaften Lokalisation nicht richtig abgeschlossen und wird bei jedem Neustart des Computers im Hintergrund aktiv. Dadurch verzögert sich der Start von Vista merklich und vor allem wird dadurch das Betriebsystem instabil.
    2. Deinstallation des Clients
      Deinstallieren Sie den VPN-Client (Start → Systemsteuerung → Programme: Programm deinstallieren: Wählen Sie den Cisco VPN-Client aus und deinstallieren Sie ihn).
      Starten Sie den Computer neu.
    3. Update des Deterministic Network Enhancers (DNE)
      Installieren Sie das im Abschnitt Vorbereitung heruntergeladene Programm Deterministic Network Enhancer.
      Starten Sie den Computer neu.
    4. Installation des VPN-Clients
      Installieren Sie bitte möglichst eine aktuelle Version des VPN-Clients (wenigstens Version 5.0.02.xxx).
      Starten Sie den Rechner neu.
    5. Deaktivieren des IPv6-Protokolls
      Deaktivieren Sie bei sämtlichen Netzwerkadaptern das IPv6-Protokoll und die Netzwerkfreigabe (Start → Systemsteuerung → Netzwerk und Internet → Netzwerkstatus und -aufgaben anzeigen: Netzwerkverbindungen verwalten: (für jeden Netzwerkadapter einzeln) Rechtsklick auf Adapter → Eigenschaften: Häkchen bei "Internetprotokoll Version 6 (TCP/IPv6)" entfernen. Im selben Dialogfenster auf den Karteireiter "Freigabe" klicken und sicherstellen, dass kein Häkchen gesetzt ist. Anschliessend auf OK klicken.).
      Hintergrund: Der IPv6-Dienst ist standardmässig installiert und aktiv, wird aber noch nicht genutzt. Jedoch verursacht er einen Konflikt mit dem VPN-Client.
    6. ARP- Announcement deaktivieren
      Starten Sie die Kommandozeile als Administrator (Start → Alle Programme → Zubehör: Rechtsklick auf Eingabeaufforderung: Als Administrator ausführen).
      Geben Sie folgenden Befehl ein und drücken Sie anschliessend die Eingabetaste:
      reg add HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v ArpRetryCount /t REG_DWORD /d 1 /f

      Hintergrund: Cisco empfiehlt zwar genau das Gegenteil, jedoch gibt es dann Kollisionen bei der Initialisierung des virtuellen Adapters (Ghosts).
      Starten Sie den Rechner neu.
    Wenn Sie alle Schritte genau befolgt haben, sollte der Fehler
    "Secure VPN Connection terminated locally by the Client. Reason 442: Failed to enable Virtual Adapter."
    nicht mehr auftreten.
  • weitere Antworten in der allgemeinen VPN FAQ