Hallo Community,
ich habe ein Problem mit der Einrichtung eines Datevnet Telearbeitsplatzes. Ich habe die Einrichtung nach Anleitung unter Dok.-Nr.: 0904062 durchgeführt. Es lief auch alles einwandfrei, bis zu dem Punkt an dem man die Verbindung aufbauen soll (Punkt 17). Der Ping funktioniert noch. Die Eingabe des mIDentity Pins funktioniert auch und wird grün angezeigt.
Drücke ich jedoch auf Verbindung, dann kommt der Fehler "PAP/Chap-Fehler Benutzername oder Passwort falsch (VPN)".
Kann mir jemand mal einen Tipp geben, wo hier der Fehler liegen könnte?
Vielen Dank
Kann mir jemand mal einen Tipp geben, wo hier der Fehler liegen könnte?
Sie haben den Laptop aber mit einem Hotspot oder Ähnlichen verbunden? Wenn der Laptop innerhalb des Kanzleinetzes per LAN oder WLAN angebunden ist, kann man sich ja nicht von dort von außen per VPN einwählen.
Hallo Daniel,
ja. Ich habe das Notebook über einen Hotspot mit dem Internet verbunden (Smartphone). Also nicht im Netzwerk der Kanzlei.
Hm. Und es steckt auch definitiv die SmartCard, die Sie in der DATEVnet Administration dazu angeben haben?
Sie haben Windows 10 v1903 und haben die letzte DVD 13.0 der DATEV zur Installation des Arbeitsplatzes genutzt?
Ja. Rechner ist komplett neu installiert und mit Updates versorgt. Letzte DVD 13.0 wurde auch verwendet. Außerdem habe ich einfach mal alle SmartCards freigeschaltet. So viele sind es nicht, um das auszuschließen.
Hallo conserit,
PAP/CHAP-Fehler deuten in vielen Fällen auf ein Problem mit der Smartcard hin.
Folgende Fragen wären wichtig um den Fehler eingrenzen zu können:
1) Funktioniert der Verbindungsaufbau mit einer anderen (freigeschalteten) Smartcard?
2) Gibt es andere funktionierende TAP's?
3) Funktioniert die Verbindung zum DATEVnet-Profil?
Für die weitere Fehlersuche ist das NCP-Logbuch äußerst hilfreich:
1. NCP starten
2. Verbindungsaufbau versuchen
3. Menüpunkt "Hilfe"
4. Punkt "Logbuch..."
5. Ein Fehler wird dort rot markiert, Achtung das Logbuch wird nach beenden des NCP's gelöscht
Achtung: Das Logbuch enthält Benutzer/systemspezifische Informationen z.B. IP-Adressen welche nicht hier in der Community gepostet werden sollten. Möchten Sie den Fehler hier posten achten Sie bitte auf eine entsprechende Anonymisierung der Daten.
Für eine individuelle Fehlersuche stehen wir Ihnen vom DATEVnet-Service gerne zur Verfügung.
Viele Grüße
DATEV eG
L. Aulitzky
Service DATEVnet
Edit: Frage 3 hinzugefügt
Nur so als Gedanke:
Könnte es sein, dass der Netzanbieter des genutzten Hotspots einen DS-Lite Stack nutzt? Falls ja können im NCP Client Einstellungen möglich sein mit denen trotzdem getunnelt werden kann.
Hallo zusammen,
ich bin etwas weitergekommen. Es lag tatsächlich am Hotspot, den ich über das Iphone eingerichtet hatte. In einem anderen WLAN hat die Verbindung funktioniert.
Mit der Verbindung hat sich der NCP Client dann auch die Konfiguration gezogen und das Profil "Telearbeit 01 xx" angelegt. Wenn ich mich nun aber mit dem "Telearbeitsplatz" Profil verbinden will, dann kommt folgende Fehlermeldung: VPN - Fehler / VPN Gateway antwortet nicht. Bitte Prüfen Sie ihre Internetverbindung.
In der Netzwerkdiagnose funktioniert der Ping auf die hinterlegte IP, der Ping auf den DNS ( nsi01.services.datevnet.de) aber nicht.
Im Info Center steht noch unter DNS -> Failed => Host not found
Im Log ist folgender Eintrag zu finden
ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - Telearbeit 01: DATEV
Die Verbindung mit dem NCP Client und dem Profil DATEVnet (Einzelplatz) funktioniert allerdings.
Hat hier noch jemand einen Tipp?
Hallo conserit,
in den allermeisten Fällen deutet die Fehlermeldung "Wait for Message 2" auf ein Problem bei der Portfreischaltung hin. Betroffen ist hier der Port 500 UDP, welcher nicht freigeschalten oder blockiert ist.
Erläuterung:
Sie können sich mit dem DATEVnet-Profil verbinden, damit fällt die lokale Firewall am TAP als Ursache weg.
Frage:
Gibt es weitere TAP's welche funktionieren?
Wenn nein, könnte die Firewall in der Zentrale die Ursache sein und hier noch eine Portfreischaltung notwendig sein. Siehe hierzu InfoDB-Dok 0904062 Punkt 7.1.
Wenn ja, könnten es auch ein Problem mit dem Zertifikat der Smartcard geben. Das können Sie mit einer anderen funktionierenden Smartcard testen.
Viele Grüße
DATEV eG
L. Aulitzky
Service DATEVnet
Hallo Community,
leider hat es jetzt etwas länger gedauert, bis ich testen konnte. Ich habe jetzt in der Fritzbox (2110) nach Möglichkeit die Ports freigegeben. Dies ist allerdings extrem eingeschränkt möglich.
Die Verbindung scheitert jetzt an folgendem Punkt:
ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state <Wait for Message 2 > - Telearbeit 01: DATEV_xxxx
Die DNS Abfrage funktioniert auch nicht. Ich weiß allerdings nicht, ob diese relevant ist
Starting DNS request "nsi01.services.datevnet.de" ...
DNS request "nsi01.services.datevnet.de" failed => Host not found
Die Verbindung mit Datevnet klappt nach wie vor.
Ich vermute mal, dass ich einen anderen Router brauche, der mir die Freischaltung aller relevanten Ports ermöglicht. Oder hat jemand noch eine andere Idee?
Oder hat jemand noch eine andere Idee?
Via Exposed Host kann man alle Ports an ein bestimmtes Ziel / Gerät im Netzwerk weiterleiten.
Glaube aber gar nicht, dass es daran liegt. Wäre mir neu, wenn man via Fritz!Box kein VPN herstellen kann.
Could not contact Gateway (No response)
Heißt, er kann den DATEVnet Router in der Kanzlei nicht erreichen bzw. antwortet dieser nicht.
Hallo conserit,
grundsätzlich sind FRITZ!Box'en empfehlenswert für die Einrichtung eines TAP's. Unzählige funktionierende Systeme im Feld zeigen hier deutlich die Eignung.
Anstelle der Einrichtung eines "Exposed Host" empfehlen wir eine dedizierte Port/Firewall-Freischaltung.
Ihrer Beschreibung nach funktioniert der Aufruf des "DATEVnet"-Profils. Dies bedeutet, dass die Fritz!Box am TAP nicht das Problem ist. Es stellt sich nach wie vor die Frage:
Gibt es weitere TAP's welche funktionieren?
Wenn nein, könnte die Firewall in der Zentrale die Ursache sein und hier noch eine Portfreischaltung notwendig sein. Siehe hierzu InfoDB-Dok 0904062 Punkt 7.1.
Wenn ja, könnten es auch ein Problem mit dem Zertifikat der Smartcard geben. Das können Sie mit einer anderen funktionierenden Smartcard testen.
Viele Grüße
DATEV eG
L. Aulitzky
Service DATEVnet
Hallo Herr Aulitzky,
vielen Dank für die Info. Ich habe den Zugriff von außen jetzt von verschiedenen TAP´s versucht. Es klappt nirgendwo. Die Ursache muss in der Kanzlei liegen. Ich tausche dort mal die Fritzbox und schalte die Ports erneut frei. Sollte das nicht klappen, dann kann es eigentlich nur noch der LANcom Router sein. Andere Komponenten gibt es eigentlich nicht mehr. Die Smartcard ist in der Kanzlei täglich im Einsatz. Aber ich kann auch gerne noch eine weitere testen.
Hallo Herr Aulitzky,
ich habe inzwischen eine weitere Smart Card getestet. Außerdem habe ich in der Kanzlei den Datev Router als "Exposed Host" in der Fritzbox eingetragen. Trotzdem funktioniert die Verbindung nicht. Im Grunde stehe ich jetzt am Anfang und habe keine Idee mehr....
Hallo conserit,
anstelle der Einrichtung eines "Exposed Host" empfehlen wir eine dedizierte Port/Firewall-Freischaltung. Wir kennen Fälle im Service wo der "Exposed Host" nicht funktioniert hat.
Gerne können Sie sich bei uns im DATEVnet-Service melden:
Tel: +49 911 319-34999
E-Mail: datevnet@service.datev.de
Viele Grüße
DATEV eG
L. Aulitzky
Service DATEVnet