Noch eine kleine Information in Sachen VPN-Probleme. Leute mit modernem Breitband-Internetanschluss, die momentan wegen der Coronavirus-Pandemie ins Home-Office wechseln, stellen plötzlich fest, dass sie keine VPN-Verbindungen einrichten können – es gibt Fehlermeldungen. Ergänzung: Speziell Vodafone-Kunden mit Cable Max 1000-Anschlüssen scheinen betroffen.
Aktuell fühle ich mich wie in der Werbewoche ‘Los Wochos’ eines Burgerbräters, der seine Angebote rauf und unter gebetet hat. Bei Apple ist beim Update auf iOS 13.4 einen Sicherheitsbug bei der VPN-Verschlüsselung aufgefallen, der schon länger besteht (siehe Bug in iOS Version 13.4 verhindert VPN-Verschlüsselung). Und Microsoft patzt nach einem Windows Update bei Windows 10 mit dem VPN-/Internetzugang (siehe Windows 10: Bug verhindert (meist VPN) Internetzugang). Als drittes Thema im Bunde ein Hinweis auf VPN-Probleme bei Breitband-Internet über DSL-Lite. Könnte Leute treffen, die wegen Corona gerade ins Home-Office gewechselt sind und bestimmte Tarife (von Kabelnetzanbietern) nutzen.
Keine VPN-Verbindung bei VPN-Lite?
Blog-Leser Thoma B. hat mich bereits Mittwoch per Mail auf eine Sache angesprochen, die ihm unter die Augen gekommen ist, bisher aber an vielen Leuten (auch an mir) vorbei gegangen ist. Thomas schrieb:
wenn man mal in den Community Foren der Provider schaut, gibt es einige Benutzer, die vom HomeOffice kein VPN mehr nutzen können.
Laut Provider sind das wohl Benutzer, die neuere Tarife und damit neue Hardware sowie Technologie der Provider nutzen.
Hier stellt sich wohl heraus, dass diese VPN Gateways und Clients Probleme mit DS-Lite (Dual Stack Lite) haben.
Ich selbst weiß, dass es diesbezüglich Probleme mit VPN-Verbindungen mit Cisco AnyConnect bei Vodafone und UPC gibt. Über diese Provider kann mit Cisco AnyConnect kein VPN mehr ins Firmennetz aufgebaut werden. Auch SonicWall Site-2-Site VPNs funktionieren so nicht mehr.
Wahrscheinlich ist das so in der Breite noch nicht aufgefallen, weil viele natürlich noch alte Hardware von ihrem Provider haben. Es tritt erst auf, wenn z.B. aufgrund von Tarifwechsel, neue Hardware vom Provider benutzt wird.
Später ergänzte Thomas in einer weiteren Mail noch eine zusätzliche Information, die er bekommen hat:
Dieses Problem mit VPN Verbindungen tritt nach Aussage des Providers NUR bei DS-Lite Modus auf, nicht bei Dual Stack Modus. Ferner sind wohl auch fehlerhafte Rückkanäle dafür verantwortlich.
Zur Aussage im letzten Satz würde dieser Forenpost passen. Geht man in das Vodafone-Forum und sucht nach VPN-Störungen, sollten einige Meldungen zu Störungen mit VPN-Verbindungen im Zusammenhang mit neuen Tarifen und Hardware auftauchen. Im Vodafone-Forum gibt es z.B. diese, diese und diese Meldungen, wo es VPN-Probleme mit neuen Tarifen gibt. In diesem Post vom 24.3.2020 beschreibt jemand das Problem konkret.
Einloggen in VPN nicht möglich
aufgrund der derzeitigen Situation wurde ich ins HomeOffice gesetzt. Leider komme ich mit meinem Internet nicht in das Firmen VPN rein. EIn Kollege meinte:
Du hast wahrscheinlich einen Anschluss mit DSLite Tunnel (IPv6).
Dann muss dein Anbieter umstellen auf Dual Stack IPv4.
Unser VPN kommt mit IPv6 nicht klar.
Hier kann man nur mit dem Kundendienst klären, ob es an DS-Lite und dem Tunnel für IPV4/IPv6 liegt. Laut diesem Forenpost gibt es für Privatkundentarife aber keine öffentlichen IPv4-Adressen mehr, so dass es bei Problemen möglicherweise schwierig werden kann. In diesem Post listet jemand die möglichen Optionen auf.
Bei DS-Lite werden IPv4-Adressen per IPv6-Tunnel an den Provider geschickt und dort aufgelöst. Eine ausführlichere Erklärung, was DS-Lite beim Internetzugang bedeutet, findet sich auf dieser AVM-Seite sowie hier. Nach meinem Verständnis trifft es bevorzugt Kabelnetzanbieter – ich mag mich aber täuschen.
Hardware scheint eine Rolle zu spielen
Wenn ich die Posts im Forum so durchgehe, scheint auch die von Providern wie Vodafon ausgegebene Hardware eine Rolle zu spielen. In diesem Post schreibt jemand zum Dezember 2019:
VPN Verbindung
ich habe hier im Forum bereits einiges zu meinem Thema gelesen, die dortigen Erkenntnisse führen mich aber leider nicht weiter.
Ich habe einen Kabelanschluss und müsste einen Tag in der Woche von zu Hause aus arbeiten. Leider klappt das mit dem Aufbauen einer VPN Verbindung nicht. Ich habe bereits im Forum etwas über DS-Lite gelesen und die Deaktivierung bei Vodafone beantragt. Es funktioniert aber leider trotzdem nicht.
Ich habe dann vom Vodafone-Team gehört, man könne noch HomeSpot deaktivieren, aber auch das brachte nichts. Wenn ich in meine Router-Einstellungen gehe, sehe ich auch, dass mein Dienst-Computer eine WLan-Verbindung aufgebaut hat.
Nur wird die VPN Verbindung irgendwie blockiert. Über ein LAN-Kabel funktioniert es übrigens auch nicht. Bei meinen Eltern (die sind bei der Telekom) funktioniert alles wunderbar.
Gibt es Personen mit einem Ähnlichen Problem und hat jemand vielleicht einen Lösungsvorschlag für mich.
Es gibt 4 Seiten Diskussion mit dem Ergebnis, dass es bisher keine Lösung gibt. Viele Ratschläge, Hardware tauschen, neues Modem wird als Lösung angegeben. In diesem Thread schreibt jemand zum Thema ‘Fritz!Box wurde eingebaut und es geht’:
Betreff: VPN Verbindung nicht möglich (IPSEC – IPv4)
Aber auch nur deshalb, weil mit der eigenen FritzBox derzeit noch kein DS-Lite erzwungen wird.
Sobald auch dort DS-Lite erzwungen wird (was vertraglich vereinbart ist, sofern man keinen Business-Tarif mit der Zusatzoption „Feste IP-Adresse“ benutzt), stehst du selbst mit eigener FritzBox wieder an genau diesem Punkt, an dem du jetzt schon warst…
Mit DS-Lite gibt es wohl Probleme mit VPN-Verbindungen. In den Vodafone-Foren habe ich mehrfach die Umstellung auf Bridge-Modus als Lösung gelesen. Geht aber wohl nur bei bestimmten Routern, die dann als Modem betrieben werden und eine nachgeordnete FRTIZ!Box für den Bezug der IPv4-Adresse über DS-Light verantwortlich ist. Als nicht Betroffener kann ich die Aussagen aber schlecht bewerten. Jemand von Euch betroffen?
Falls jemand diese Probleme hatte und eine Foolproof-Lösung kennt, kann er ja einen Hinweis als Kommentar einstellen.
Kein VPN bei
Ergänzung: Thomas hat mir noch einen weiteren Link auf diesen Thread im Vodafone-Forum geschickt und meint ‚Es ist offensichtlich, dass die neuen Cable Max 1000 Anschlüsse Ärger bringen.‘ Im Forum schreibt ein Nutzer:
Von Vodafone kommt da nichts – könnte man mittlerweile als geschäftsschädigend ansehen, was der Provider dort macht….
Ist doch gut, nicht auf den schnellsten+billigsten Anbieter zu setzen.
Das hat mit billig oder schnell nichts zu tun.
Wenn man nur die Wahl hat zwischen Telekom, teuer und geht andauernd nicht und einem Anbieter mit DS-Lite, der billiger und schneller ist, aber wenigstens halbwegs funktioniert, dann kann man wohl nicht von Auswahl sprechen.
Nicht jeder wird in diesem Land mit einem tollen Anschluss versorgt und kann sich seinen Provider auch noch aussuchen.
Stimmt so bloß nicht ganz.
Tkom ist nicht „teuer“ – sondern hat Marktpreise. MIT (!) support. Den rechnen die Billigen einfach raus, was ungleich preiswert ist(!).
So die eindeutige Aussage eines vodafone-Managers, der in Ddorf wohnend bei der (surprise) Telekom ist. Und bleiben will.
Ohne supp. merkt man, wenns Probleme gibt. Da dann doch lieber Tkom, wo die Wahrscheinlichkeit auf Kompetenzen zu stoßen, erheblich größer ist.
Einfach beim Provider ipv4 oder Dualstack und nicht dslight verlangen. Stellen das normalerweise kostenlos um. Bei vodafone oder unity kann man auch für 3eur/monat den upload erhöhen, dann sollte es zumindest vorübergehend funktionieren. Alternativ und Zukunftsicherer wäre es wenn deine Firma auch einen Ipv6 VPN Zugang zur Verfügung stellt. Habe unseren erst gestern zusätzlich mit ipv6 bereitgestellt. Seitdem keinerlei Probleme mehr, egal welcher Provider.
Das VPN/DS-Lite Problem gibt es auch bei uns in der Firme. Wir haben eine Unitymedia (bzw. jetzt Vodafone) Business Internetanschluss mit fester IPv4. Das Lustige ist, dass hier Dualstack noch nicht angeboten wird und man auf seiner festen IPv4 hängt.
Du gohts noch mit den Abkürzungen ??
Wenn die Alternative zu „Kabelanschluss“ in „DSL-Light“ besteht…(Mobilfunkempfang? Was ist das? Und LTE steht hier in der Gegend ohnehin meist für „Leider Trotzdem Edge“, sogar an Standorten mit Empfang)
Nicht DSL-Light, DS-Light ist gemeint, das steht für Dual Stack – Light, das heisst der Kunde muss sich die IPv4 Adresse mit anderen Kunden teilen.
Nein, ich meinte schon DSL-Light (mit 384kbit/s). Das hier in der Gegend oft als einzige „Alternative“ zu Vodafone/Kabelanschluss, der hier ja als „schnell+billig“-Anbieter bezeichnet wurde, zur Verfügung steht.
Selber keine Probleme, da ich noch Dual-Stack bei 1&1 habe. Aber es sollen da wohl Umstellungen auf DS-Lite kommen. Weiß da jemand was genaues ?
Kann ich nicht bestätigen. Habe den CableMax Anschluss mit 1000/50 von Vodafone sowie der Vodafone Station. Dahinter eine Ubiquiti UDM Pro und baue ganz normal eine IPSec Verbindung zum firmeneigenen Windows RAS Server auf.
Ebenfalls keine Probleme!
Ich bin Mal wieder sowas von froh, dass ich auf die Telekom gesetzt habe.
Hier habe ich vDSL 50/10Mbit/s und die Leitung glüht, weil wir zu viert Homeoffice machen.
Wenn meine Kinder im Klassengruppenchat ihre Übungen mit den Lehrern kontrollieren, nehme ich mein D1 Handy und mache es zum HotSpot, weil sonst die Leitung in die Knie geht. Aber auch hier zum Glück Datenvolumen satt und eine stabile LTE+ Verbindung.
Wir haben hier Telekom Business und leider immer wieder Verbindungsabbrüche.
Mal häufiger, mal weniger oft.
Ich hab 100mbit 1&1
Keine Probleme.
Nur die alte Infrastruktur der telekom ist uncool da sie alle paar jahre in die knie geht.. Irgendwas am DSLAM.. Und der gehört der Telekom.
Wir haben bei uns das Problem, das alle Kollegen die per Telekom im Homeoffice ins Internet gehen, immer so gegen 16 Uhr (und heute seit 9.30 Uhr) massive Geschwindigkeitsprobleme über SSL-VPN haben. Geht man über L2TP VPN rein, ist die Geschwindigkeit OK. Mitarbeiter die über Unitymedia/Vodafone sich verbinden, haben zu den genannten Uhrzeiten keine Probleme mit dem SSL VPN.
Muss also was mit SSL-Traffic im Telekom Netz zu tun haben. In der Firma hängt der Router an eine LWL Leitung eines anderen Anbieters.
Sehr merkwürdig auf jeden Fall.
Der Speedtest zu dem Zeitpunkt wenn das SSL.-VPN lahmt, bringt keine Erkenntnisse, das Internet an sich ist schnell…
Hat jemand auch diese Beobachtung gemacht?
Telekomanschlüsse kämpfen, je nach Uhrzeit, seit dem 19.03. mit massiven Paketverlusten (20-30%) und erhöhten Pings bis zu 600ms bei Verbindungen zu anderen Anbietern (peering). Grund soll wohl die Telekomanbindung im Rechnzentrum sein, diese ist viel geringer als bei anderen Anbietern und kommt an ihre Grenze.
Seit dem 23.03. ist es zwar besser geworden, aber trotzdem zeigen sich im laufe des Tages (Heute z.B. so zwischen 10:30 Uhr und 11:00 Uhr) immer mal wieder Phasen wo Verbindungen von oder zu Telekomanschlüssen schlecht laufen.
Wir hatten auch bei mehreren Kabel Deutschland/Vodafone Benutzern Probleme mit VPN Verbindungen. Die Palo Alto Global Protect Verbindung wurde erfolgreich aufgebaut, es kam aber zu massiven Verbindungsproblemen z.B. zu unserem Exchange. Noch schlimmer war es bei der Verbindung zu unserem Citrix Storefront Server zum Aufbau von Terminalserversitzungen. Schwierig an der Fehleranalyse war, dass alle internen Server über ping ganz normal erreichbar waren, nur über die Anpassung der ping Paketgröße sind wir dem Problem auf die Schliche gekommen. Die Lösung für uns war dann die MTU Size auf dem VPN Netzwerkadapter von den voreingestellten 1400 auf 1300 runterzudrehen. Seitdem sind alle Probleme verschwunden!
Das kann ich bestätigen !
MTU size auf <1432 reduzieren, ist die Lösung.
Leider auf meinem Geschäftslaptop bzw. auf dem VPN-Server der Firma nicht umsetzbar.
Deshalb habe ich mit Vodafone (vormals Unitymedia in BaWü) telefoniert. Inzwischen gibt es scheinbar wieder die Option von DSlite ("4in6"=IPv4-Pakete getunnelt im IPv6-Protokoll) auf echten dual-stack ("nativ") zu wechseln. Hat Unitymedia durch die Übernahme durch Vodafone wieder mehr freie IPv4-Adressen ?
Der Wechsel war aber nicht "einfach so" möglich. Ich habe die kostenpflichtige Tarif-Option "Power Upload" gezogen. Habe nun also wieder eine echte IPv4 (ohne CG-NAT), eine echte IPv6 und doppelt so schnellen Upload. Diese Option ist monatlich kündbar (für den Tag, an dem home-office nicht mehr relevant sein sollte …).
Die Umstellung war 1-2h nach dem Telefonat aktiv. Seither rennt die VPN-Verbindung (IPsec). Davor konnte ich mich zwar authentifizieren, aber es rieselten nur wenige Kilobytes durch. Sah nach konstantem Packet-loss aus.
Hallo, vielen Dank für die Infos. Kannst du oder irgend jemand hier mal die einzelnen Schritte „Anpassung der ping Paketgröße“ und „MTU auf dem VPN Netwerkadapter runterdrehen“ mal auflisten ? Also die CMD Befehle? Ich möchte mir bei einem aktuellen Kunden mit VPN Abbrüchen sicher sein, dass es auch daran liegt
openVPN in die Konfig mssfix 1384 einfügen um die mtu zu reduzieren hilft bei den kabelanbietern und die leute mit den tollen hybridroutern der telekom können im router (speedport) ihre Verbindung (portbasierend) auf eine Leitung festtackern. Vorzugsweise das DSL. Dann läuft es. Zumindest mit openVPN
Für meinen Kunden mussten ca. 15 Mitarbeiter Ihren Arbeitsplatz in’s Homeoffice verlegen. Das VPN-Gateway in der Firma ist ein Lancom-Router 1784VA der auf 25 VPN Zugänge hochgesetzt wurde. Client in der Regel ist ShrewSoft (2.17).
Telekom DSL/VDSL keine Probleme.
Vodafone Kabel lief nicht wegen DS-Lite wurde aber von Vodafone asap umgestellt so dass man eine eigene IPv4 hatte. Dann lief es auch mit dem Router der im genannten Thread (Dezember 2019) Probleme gemacht hat (der war wohl wirklich schlicht defekt ;-)).
1&1 verweigerten eine Umstellung, ohne Worte, zur Lösung wurde hier die Lancom Advanced Client Software erworben (30 Tage Testversion!) mit der es keine Probleme gab einen IPv6 Tunnel aufzubauen.
@Dirk:
Hier das selbe: Div. Lancoms (178x VA/179x VA), alle an Telekom Business-Anschlüssen, teilweise mit VPN25-Option, Zugriff per Shrewsoft (v2.22) u. IKEv1.
– Verbindungen von Telekom-Anschlüssen (Privat/Business) keine Probleme!
– Von Kabel-Privatkundenanschlüssen mit DS-lite (KabelBW/Unitymedia/VF) *immer* das selbe Problem, der Verbindungsaufbau scheint zu funktionieren (LanMonitor!), es geht aber nichts „durch“.
EIne oft angeratene Anpassung/Verkleinerung der MTU (auf 1300 o.. kleiner) scheint nicht durchgängig zu funktionieren.
Lancom-Partner-Hotline meint, mit dem AdvancedVPN-Client seien Ihnen keine Probleme bekannt, Shrewsoft supporten sie nicht. Dort aber den Tip erhalten, das IKEv2-Zugänge wohl funktionieren sollen. (Wäre aber bei den ganzen Zugängen z.Zt. wieder die eine oder andere Woche Verzögerung für die Neuanlage u. Verteilung, die grade keiner haben will)
Lösung für uns bisher für die betroffenen Heimzugänge:
Wahlweise
– per Hotline/Kundencenter den „Powerupload“ buchen (2,99.-/Monat). Dabei kann eine Umstellung auf Dual-Stack eingefordert werden. Außerdem gibts den doppelten Upstream!
oder
– Umstellung auf Business-Anschlüsse für zu Hause. Deutlich teurer, klar.
Grüße,
Karl
Lancom Router an Glasfaseranschluss (Versatel) und Kupfer (Plusnet)
Hab null Klagen was den Aufbau von VPN Tunneln angeht, weder zu Leitung A noch zu Leitung B. Weder mit dem ShrewSoft Client, Lancom Client noch mit dem Apple VPN Client. Auch keine Probleme über ein DS-Lite Anschluss von Unitymedia die Verbindung aufzubauen.
„Keine VPN-Verbindung bei VPN-Lite?“
–> Muss wohl „Keine VPN-Verbindung bei DS-Lite?“ heißen.
Bei DS-Lite erhält der ISP-Kunde prinzipiell einen nativen IPv6-Internetzugang bei dem die IPv4-Konnektivität wird über DS-Lite realisiert.
D.h. IPv6 läuft „ganz normal“ und für IPv4 tunnelt der Router beim Kunden die IPv4-Pakete, welche auf dem LAN-Interface ankommen, über IPv6 zu einem AFTR (Address Family Transition Router, de facto ein großer Router welcher als NAT-Gateway fungiert) wo diese ausgepackt und über ein NAT/PAT ins Internet geschickt werden.
Dabei gibt es mehrere potenzielle Problemstellen:
a) Das Zusammenspiel Kundenrouter AFTR
b) Die Konfiguration von AFTR & Kundenrouter
c) Overhead / Paketgrößen
d) Protokolle bzw. Protokollimplementationen welche mit dem NAT nicht klarkommen
A & B lässt sich als Kunde nicht lösen.
C ist ein bekanntes aber dennoch oftmals unbeachtetes Problem, viele Leute gehen einfach davon aus, dass eine MTU von 1492 schon überall passen wird – bei DS-Lite liegt der Overhead aber höher so dass die MTU auch schon mal „nur“ 1400 Byte betragen kann. Wenn das für die Tunnel-MTU nicht berücksichtigt wird kann das schon mal problematisch werden
D kann man ggf. nur begrenzt beeinflussen. SSL-basierte Lösungen kommen i.d.R. aber besser mit NAT klar als z.B. IPSec. Das sollte man bei der Auswahl seiner VPN-Lösung berücksichtigen.
Generell sind das aber alles nur Workarounds, die einfachste und definitiv unproblematischste Lösung wäre schlichtweg IPv6 zu nutzen…
Mit IPv6 tappt man dann aber in die nächste Falle. Die meisten haben IPv6 im Unternehmen nicht sauber eingerichtet – sprich haben FE80 Adressen. Der Client zuhause natürlich auch eine FE80. Dann versuchen die beiden Systeme – da ja IPv6 von Windows bevorzugt wird – über den Tunnel DNS zu reden. Mit FE80 auf beiden Seiten führt das dann nicht zum Erfolg.
Ich bin bei dir IPv6 löst das Tunnel Problem – bringt aber leider dann neue Probleme. Wenn IPv6 sauber implementiert ist – an allen Stellen – dann sieht die Welt wieder für VPN besser aus.
Es stimmt so nicht, dass Windows pauschal IPv6 bevorzugt, ab Windows 8.1 wurde RFC6724 implementiert siehe https://tools.ietf.org/html/rfc6724. Zu Verifizieren mit „netsh interface ipv6 show prefixpolicies“. Somit wird in bestimmten Situationen sogar IPv4 bevorzugt…
Die Aussage mit dem DNS ist daher auch nicht zutreffend und auch unsinnig – niemand sollte einem Client link-local-Adressen als DNS-Server zuteilen geben
Meiner Erfahrung nach funktioniert das bei Windows 10 mit dem VPN IPv4-over-IPv6 absolut problemlos, auch bei einem DS-Lite-Anschluss.
„Probleme“ kann es u.U. nur geben, wenn externe Ressourcen (im Internet) über den Tunnel erreicht werden sollen und diese ebenfalls einen AAAA-Record haben und im Tunnel kein Dual-Stack gesprochen wird – dann wird der Traffic via IPv6 u.U. am Tunnel vorbei direkt vom Client ins Internet geschickt.
Eine Bekannnte ist im Home-Office. Sie hat einen Vodafone-Kabel-Anschluss mit der Standart-Vodafone Station. VPN-Einrichtung mit dem von der Firma bereitgestellten PC war kein Problem. VPN ist auf dem PC, die Anmeldedaten (Anmeldenahme + Passwort) vor jeder Sitzung eingeben und läuft. Die Anmeldung bei den Anwendungen der Firma sind dann als wenn sie in der Firma wäre.
Hat sie ganz allein hingekriegt, ganz easy.
VPN-Client mit Shrewsoft von einem DS Lite host (cable) von Vofafone
zu einem VPN-Server – einer Fritzbox an einem IPv4 Anschluss.
Hier wird der Tunnel zunächst aufgebaut, und die Authentifizierung geht auch,
dann kommt aber der Fehler „Security Associations“ mit „Failed“.
Das Problem kann behoben werden, wenn man folgende Einstellungen im Shrewsoft-Client noch ändert:
Phase1:
Ciper Algorithm: aes
Ciper Length: 256
Hash Algorithm: sha1
Phase2:
Transform Algorithm: esp-aes
Transform Key Length: 256
HMAC Algorithm: sha1
(An einem DSL-Anschluss funktionieren die „auto“ Einstellungen).
Hallo Volker, deine Einstellungen haben tatsächlich mein Problem gelöst.
Habe hier einen neuen Vodafone Router Cable bekommen dann lief es mit dem alten Setup Shrew nicht mehr. Connect war da, aber Security Ass. Failed lief hoch. PC mit Win10 :-)
Auf der Gegenseite ist ein Vodafone Zugang mit Fritz 6591 Cable.
Guter Tipp nach langem Suchen gefunden, nochmals Danke.
Jochen aus Backnang
Mit OpenVPN konnte ich bisher keine Probleme feststellen. Liegt vlt daran, dass OpenVPN-Verbindungen praktisch einfach über UDP/IP aufgebaut werden. Der OpenVPN-Server ist dabei per fester IPv4-Adresse im Internet erreichbar. DS-Lite Clients haben damit jedenfalls kein Problem.
Bei IPSec sieht das schon anders aus. Doppel-NAT (was z.B. auf DS-Lite-Client Seite entsteht) mögen die meistens gar nicht. Soweit mir bekannt, sind IPSec-Verbindungen auf IKEv2-Basis (FritzBoxen nutzen z.B. kein IKEv2) hier deutlich problemloser.
Ich kann nur den Hinweis geben, dass VPN-Verbindungen (IPSec/OpenVPN) über eine IPFire-Firewall funktionieren (wobei die IPSec-Konfiguration allerdings Anpassungen für Windows benötigt).
VPN: PulseSecure
OS: Windows 10
Netzwerk: Ethernet
Router und Modem: FritzBox
Internetzugang: Telekom ADSL
öffentliche IP: v4
Heute war für 10 Minuten DSL-Synchronisation weg. InternetLatenz hat sich seit 1 Woche verdoppelt. Sonst seit 4 Wochen keine Probleme.
Egal bei welchem Anbieter man ist, insbesondere, wenn man IP-Telefonie (z. B. Swyx) nutzt, soll die MTU (Hauptnetz- und Subnetzmaske) < 1300 heruntergestez werden. Das macht die VPN Tunneling "flüssiger".
Bei uns hat sich bewährt, bei Usern mit DS-Lite-Anschlüssen die MTU des virtuellen VPN-Netzwerkadapters auf 1300 zu setzen.
Ein zu hoher MTU Wert kann wirklich oft Probleme verursachen.
Wer eine Anleitung für einen VPN Server sucht kann sich die hier mal ansehen:
https://ctaas.de/OpenVPN_Server_Ubuntu_howto.htm
Auch das MTU Problem wird hier eingängig mit behandelt.
Wir haben schon lange Zeit Probleme mit vereinzelten Home-Office-Usern bei der Verbindung per L2TP mit dem Windows-internen VPN-Client. Das Problem tritt immer dann auf, wenn der User eine IPv6-Adresse auf dem Router hat. Nach Router-Neustart hat er dann manchmal IPv4 gehabt und es ging wieder.
Was für uns das Problem löst: wir haben im Interface der VPN-Verbindung IPv6 deaktiviert, seither keine Probleme mehr.
Vodafone Cable Max 1000 Vertrag, VPN über Sophos (mehr Details nicht bekannt).
Bei mir funktioniert alles einwandfrei.
Man könnte als Firma auch einfach mal dem VPN-Server ne Anbindung mit IPv6 geben, aber das wäre ja zu einfach im Jahr 2020.
Ich habe auch Vodafone Cable Max 1000 und nutze es in Corona-Zeiten fürs Homeoffice. Nachdem ich mich häufig per Cisco AnyConnect VPN ins WAN eines sehr großen Kunden verbinden muss, um dort unsere Software auf diversen Servern zu supporten, habe ich mir eine VM in VirtualBox dafür eingerichtet. Das hat den Vorteil, dass AnyConnect mir nur auf der VM alle Verbindungen ins eigene LAN und ins Internet wegbügelt, aber nicht auf dem Blech – da tunnelt es einfach durch.
Ich hatte auch Probleme mit dem VPN – Authentifizierung und Verbindung ins Kunden-WAN liefen zwar normal, dort konnte ich aber danach nur in Einzelfällen noch irgendwelche Server per HTTP und überhaupt keine per RDP erreichen.
Auch bei mir war die Lösung, auf der VM die MTU der (virtuellen) Netzwerkkarte auf 1300 zu setzen. Dadurch wird AnyConnect gezwungen, auch von seiner Voreinstellung von 1406 runter zu gehen, und nun funktioniert es.
Auf dem Blech habe ich es übrigens bei der Windows 10-Standard-Einstellung von 1500 belassen.
Das hört sich jetzt einfach an, hat mich aber einen guten halben Tag Recherche, Tüfteln und Probieren gekostet. War aber immer noch die schnellere Lösung gegenüber Bridge Mode, denn um den einzuschalten, muss man vorher den Hotspot Mode ausschalten – um die Änderung der Einstellung auf „aus“ im Mein Vodafone-Portal umzusetzen braucht Vodafone 7 (in Worten: SIEBEN!!!) Tage. Erst danach lässt sich Bridge einschalten.
Da fällt einem echt nichts mehr ein!
Hallo, erstmal danke an alle Beiträge hier. Ich hatte auch Probleme bei mit dem Firmen-VPN: Einwahl klappte, aber dann lief alles sehr träge + ständige Abbrüche. Habe vodafone.kabel mit 50Mbit. Nach dem Lesen der Beiträge hier hat Folgendes schon geholfen:
-An den vodafone-router (cbn CH7466CE) habe ich einen Alcatel HH40V LinkHub angeschlossen,
-daran dann den PC.
– Ich bin n i c h t bei vodafone in den bridge-mode, und im LinkHub ist (natürlich) keine SIM Karte (der LinkHub ist eigentlich ein LTE Router).
Und nun funktioniert alles. Für mich einzig sichtbare Änderung: bin nun über ipv4 angebunden (mit ipv6-test.com geschaut).
Hatte alten Vodafone/Kabel Deutschland 30Mbit-Kabel-Vertrag mit Uralt-Modem – Verbindung mit Firmen VPN war nie ein Problem. Dann auf 50Mbit und neues Modem geupgraded und seit dem ist nix zu machen. IPv4 wurde freigeschaltet, trotzdem ist keine Verbindung möglich. Es kommt nicht mal eine Anfrage bei meinem Arbeitgeber an. Über die mobilen Daten klappt es.
Habe das gleiche Problem bei Vodafone mit dem neuen Router. IvP4 ist geschalten aber die VPN-Verbindung baut sich nicht auf. Habe den Fehler gefunden. Die Firewall des Routers von Vodafone ist das Problem, sobald diese aus ist klappt alles wunderbar. Leider gibt es in den Routereinstellungen nur Firewall an oder aus. Vielleicht ist dies ja so beabsichtigt. Hier sollte Vodafone mit einem Routerupdate nachbessern. So muss ich halt das langsame LTE nutzen.
Hallo zusamen,
vermutlich wird bei Vodafone Kabel und deren 1000er Leitung das DTLS Protokoll blockiert. Dies verhindert eine Anmeldung an Citrix Gateway.
Also Port 443 über das UDP Protokoll. Versucht ein Mitarbeiter sich anzumelden, ist an unserer Firewall gar nichts davon ersichtlich. Scheint also entweder unterwegs verloren zu gehen, oder blockiert zu werden.
Sobald wir das DTLS abschalten, also wieder auf TCP wechseln, läuft alles problemlos.
Wir werden jetzt vorerst auf TCP wechseln (Was bei VDI aber leider nicht ganz optimal ist)
Quelle: https://forum.vodafone.de/t5/St%C3%B6rungsmeldungen-Internet-TV/DTLS-blockiert/m-p/2432067