Deutsche Glasfaser, Fehler VPN Verbindung zum Arbeitgeber

  • alfalfa Du hast wahrscheinlich recht, das wäre nicht klug und das wahre Problem damit nicht gelöst.


    In der FRITZ!Box, unter Menü Internet, dann unter Online Monitoring gibt es die Möglichkeit die Verbindung zu trennen und neu aufzubauen. Laut zugehörigem Text in der FRITZ!Box sollen dann ggfs. eine neue IP Adresse und neue IPv6 Präfix vergeben werden.


    Ich habe das ausprobiert, nach ca. 2 Minuten steht die neue Verbindung. Aber die IPv4 und IPv6 Adressen sind identisch geblieben.

    Liegt das daran, dass sich die Technik der DG die MAC Adresse meiner FRITZ!Box merkt und dann die gleiche IPv Adressen wieder vergibt ?

    Ich habe gelesen, dass diese gespeicherten MAC Adressen nach ca. einer Stunde auf dem Server der DG gelöscht werden.
    Was ist denn, wenn ich meine FRITZ!Box ausschalte, eine gute Stunde warte, bis seine MAC Adresse auf dem Server der DG gelöscht ist, und dann wieder einschalte. Besteht dann nicht die Chance, dass die FRITZ!Box eine wirklich neue IPv Adresse bekommt, und diese neue IPv Adresse nicht doppelt belegt ist, bzw. problemfrei ist.


    Wäre das ein Versuch wert, oder ist das eine Schnappsidee eines Netzwerklaien ?

    • Offizieller Beitrag

    Es ist nicht so leicht, bei der DG eine neue IP-Adresse zu bekommen. Wie du schon gemerkt hast, bekommst du bei einem neuen Verbindungsaufbau i.d.R. die selbe Adresse. Die Adresse, die dir die Fritzbox anzeigt, ist auch nicht die öffentliche Adresse, um die es geht. Trotzdem kann es funktionieren, wenn du den Router für eine längere Zeit ausgeschaltet lässt, aber dann bist du in der selben Situation wie mit einem anderen Router: Wenn es dann immer noch nicht geht, sagt das nichts aus, und wenn es dann geht, ist es bestenfalls eine vorübergehende Lösung.


    Du solltest den Eintrag in der Registry wenigstens lesen können. Wenn der schon auf 2 steht, ist das nicht die Ursache. Wenn er noch auf 1 steht, würde ich zuerst diese Änderung versuchen. Wenn das nichts hilft, dann einen anderen VPN-Client probieren.

  • Mal den Worst Case angenommen, das Problem wird nicht zeitnah gelöst.


    Ich habe im Prozessmanagement, an der Schnittstelle zwischen Fachbereich und IT, gearbeitet. Im gleichen Konzern wie meine Frau. Ich weiß wie die arbeiten und wie die ticken.

    Die IT wird nur wegen dem Einzelschicksal meiner Frau mit dem Netz der Deutschen Glasfaser, weder ihre VPN Server auf IPv6 Technik umstellen, noch in der Registry ihres Rechners eine Sonderlocke fahren, oder einen anderen VPN Client installieren. Alle tausende Rechner des Konzerns haben einen Schema F Standardclient installiert.


    Die werden sagen, dann wechsle doch den Anbieter. Würde ich ja machen, wenn das ginge. Wir wohnen auf dem Land, hier gibt es nur DSL mit 16Mbit. Wir waren glücklich, als die Deutsche Glasfaser hier auf dem Land Glasfaser verlegte und wir plötzlich 400 MBit bekommen konnten. Wir waren auch 3 Jahre lang sehr zufrieden. Ich könnte nur zur Telekom oder zu 1+1 auf Kupfer bzw. DSL 16 zurückwechseln. Aber das würde mir vollkommen widerstreben. Man hat ja auch noch andere Hobbies :-))


    Ich könnte bei 1+1 einen DSL 16 Vertrag für 30 Euro/Monat zusätzlich zur Deutschen Glasfaser buchen, und hänge daran ihren Firmenrechner. Das wäre immer noch günstiger, als wenn meine Frau täglich, hin und zurück 90 km, ins Büro pendelt.


    Was habe ich sonst noch für Optionen?

  • Was habe ich sonst noch für Optionen?

    Ein VPN Tunnel, sowas wie NordVPN oder andere vergleichbare Anbieter. Ein SOCKS Proxy auf das TOR Netzwerk könnte auch funktionieren. Das ziel muss es ja sein, dass dein Rechner unter einer anderen öffentlichen IP "erscheint", damit die VPN Server nicht verwirrt werden.


    Den müsstest du aber wohl auf einem externen Gerät, eine Raspi oder ähnlichem, einrichten, um Probleme in der Interaktion mit dem VPN Client auf dem Notebook zu umgehen. Außerdem braucht es vermutlich Admin Rechte für die Einrichtung.

  • Ein VPN Tunnel, sowas wie NordVPN oder andere vergleichbare Anbieter. Ein SOCKS Proxy auf das TOR Netzwerk könnte auch funktionieren. Das ziel muss es ja sein, dass dein Rechner unter einer anderen öffentlichen IP "erscheint", damit die VPN Server nicht verwirrt werden.


    Den müsstest du aber wohl auf einem externen Gerät, eine Raspi oder ähnlichem, einrichten, um Probleme in der Interaktion mit dem VPN Client auf dem Notebook zu umgehen. Außerdem braucht es vermutlich Admin Rechte für die Einrichtung.

    Gute Idee. Aber solche Tricks kann man in einem großen Konzern nicht anwenden. Ohne Admin Rechte geht auf dem Notebook nichts. Und selbst dann bewegt man sich als normaler Mitarbeiter auf dünnen Eis, wenn man am Standardclient des Konzerns herumbastelt.

    • Offizieller Beitrag

    Ich würde wirklich erst nach dem Registry Key schauen, denn sonst stochert man im Dunkeln.


    Natürlich kann man versuchen, eine möglichst "Telekom"-ähnliche Netzsituation herzustellen, also Dualstack ohne CGNAT, aber soweit mir bekannt ist, ist das mit der DG nicht so einfach. Wenn dir tatsächlich eine öffentliche IPv4-Adresse angeboten worden ist, dann hat sich vielleicht etwas geändert und dann sollte man diesen Weg gehen. Wenn es sich aber nur um das Angebot des Kooperationspartners EDV Kossmann handelt, dann nützt das nichts. Da ist NAT in einer Art und Weise im Spiel, mit der das VPN nicht funktionieren wird. Die DG müsste die IPv4 Adresse schon direkt auf dem Anschluss zur Verfügung stellen. In den Business-Tarifen ist das der Fall, aber die kosteten ab 250€/Monat, bevor die Preise mit der Umstellung zu Privat-DG und Business-Inexio von der Webseite verschwunden sind.


    Wenn ich das für mich an allen Beteiligten vorbei lösen müsste, würde ich das mit einem gemieteten (virtuellen) Server und einem kleinen zusätzlichen Router machen. Darüber würde ich dem Arbeitslaptop einen eigenen virtuellen Internetanschluss mit einer öffentlichen IP-Adresse bauen, ähnlich wie frank_m das angedeutet hat, aber von SOCKS und TOR würde ich die Finger lassen. Auf dem Notebook wären dazu keine Veränderungen nötig. Es gibt Dienstleister, die so etwas anbieten, aber ob diese Lösungen mit der konkreten Anwendung wirklich kompatibel sind, müsste man mit dem jeweiligen Dienstleister klären.

  • Vielen Dank an Alle. Ihr habt mir mit Eurer Kompetenz sehr geholfen, die Problematik überhaupt zu verstehen. Und die Lösungsansätze helfen mir auch weiter. Montag werde ich mich mit der IT Abteilung weiter auseinandersetzen und zuerst das Registry Thema ansprechen. Mit dem hier erworbenen Wissen wird mir das viel leichter fallen.


    Parallel werde ich heute Abend die FRITZ!Box mal für 2 Stunden vom Netz nehmen und vielleicht habe ich Glück und die DG erteilt der dann „neuen“ FRITZ!Box eine neue IP Adresse, die ohne Probleme funktioniert. Ja das löst nicht wirklich das Problem bzw. das Problem kann jederzeit wieder auftreten. Aber bis zum Eintritt des Problems konnte meine Frau an der DG 1,5 Jahre problemlos arbeiten. Vielleicht geht das ja noch einmal für 1,5 Jahre :-))


    Ich halte Euch auf dem Laufenden was aus der Sache geworden ist.

  • In den Business-Tarifen ist das der Fall, aber die kosteten ab 250€/Monat, bevor die Preise mit der Umstellung zu Privat-DG und Business-Inexio von der Webseite verschwunden sind.

    Die Preise stimmen leider nicht mehr... (Netto Preise)

    DG Business 300/300 wird nicht mehr beworben kostet nun minimum 349€ (100€ teurer pro Monat)

    Dann der 600/600 549, der 1000/1000 849€ und der 10.000 ab 3000€ / Monat.

    Es gibt nun neue Pakete, die noch nicht auf der Website zu sehen sind. Die nennen sich small business und sind asymetrische Tarife, allerdings mit fester ipv4 Adresse.

    Das ist als Paket zwischen den DG Professionel (Tarife ähnlich der DG Privatkundentarife, ohne ipv4) und den DG Business Tarifen zu sehen.

    Die DG Small business sind vom Aufbau wie die DG Professionnel 300/150, 400/200 600/300 und 1000/500 mit festern IP.

    der kleinste Tarif davon hat es aber schon in sich


    300/150 kostet dann 249€/monat... und das bei asymetrischer Leitung. Wir haben noch den alten DG BUiness 300/300 für 249€. Vertrag läuft 60 Monate (noch bis 2024).

  • Was habe ich sonst noch für Optionen?

    Ich könnte dir - vielleicht als Übergangslösung - einen VPN-Router zur Verfügung stellen der über IPSec eine VPN - Verbindung zu meinem Glasfaseranschluss herstellt. Diesen hängst du dann hinter die FB und den Laptop per LAN - Kabel an den VPN - Router. Das Gerät hat aber kein WLAN eingebaut.

  • Ich könnte dir - vielleicht als Übergangslösung - einen VPN-Router zur Verfügung stellen der über IPSec eine VPN - Verbindung zu meinem Glasfaseranschluss herstellt. Diesen hängst du dann hinter die FB und den Laptop per LAN - Kabel an den VPN - Router. Das Gerät hat aber kein WLAN eingebaut.

    Das ist sehr nett, vielen Dank für das Angebot. Momentan arbeitet meine Frau über den Hotspot ihres Smartphones, und darüber mit VPN zu ihrem Arbeitgeber. Das ist nicht toll, funktioniert aber besser als gedacht. Der Verbrauch an Datenvolumen ist auch noch überschaubar, SAP usw. sind nicht so sehr datenintensiv. Parallel sind noch die Tickets bei der DG und bei der IT ihres Arbeitgebers offen bzw. in Arbeit. Ich warte mit möglichen Optionen noch, bis die Tickets geschlossen sind.


    Gestern hat endlich ein Mitarbeiter des 2. Level der DG angerufen. Ich sollte einen Werksreset der Fritzbox durchführen, das habe ich auch gemacht. Gebracht hat es nichts, außer einer Stunde Arbeit für mich, bis ich WLAN, Router, Mesh, Telefonbuch, Passwörter und alle DECT Telefone wieder eingerichtet hatte. Der Mitarbeiter der DG will sich heute wieder melden.

    Mit dem neuerlichen Ticket an die IT ihres Arbeitgebers wollen wir u.a. erreichen, dass die Protokolle am Gateway und am VPN Server angeschaut werden. Ich habe das Gefühl, die haben sich bisher immer nur ihr Notebook angeschaut. Nach wie vor haben wir ja keine wirkliche Diagnose, was genau der Fehler ist. Und ohne Diagnose, keine wirkliche Lösung/Heilung. Das ist wie beim Arzt :-))


    Selbst habe ich ausprobiert das Notebook meiner Frau direkt am NT anzuschließen, mit der Hoffnung, dass eine neue IP gezogen wird und die Fritzbox als Verursacher ausgeschlossen werden kann. Die Internetverbindung hat das Notebook, direkt am NT, nach langer Zeit auch aufgebaut, mit VPN erhalten wir leider weiterhin die gleiche Fehlermeldung.


    Dann habe ich versucht, die Fritzbox über ein Stunde lang abzuklemmen, in der Hoffnung, dass das Netz der Glasfaser die MAC Adresse der Fritzbox löscht und beim Wiederanschluss eine neue IP Adresse gezogen wird. Auch das hat nichts gebracht.


    Dann waren wir nochmal zu unseren Freunden, ca. 1000m entfernt mit DG Anschluss und auch mit einer Fritzbox. Das Firmen-Notebook meiner Frau funktioniert da nach wie vor, Internet und die VPN Verbindung werden direkt und schnell aufgebaut.


    Wenn die DG und die IT des Arbeitgebers das nicht hinbekommen, dann werde ich, zähneknirschend , einen DSL Anschluss von 1&1 für 30 Euro/Monat ordern und da das Firmennotebook meiner Frau dranhängen. Das ist eigentlich lächerlich, wenn man schon Glasfaser im Haus hat, aber immer noch günstiger wie jeden Tag 80 km hin und zurück ins Büro pendeln zu müssen.


    Ich halte Euch auf dem Laufenden.

  • Nur so als Info am Rande. Die Deutsche Glasfaser verfolgt seit geraumer Zeit die "nur ein Router pro Anschluss" Philosophie. Die DG hat ihre DHCP Lease Time auf 60 Minuten eingestellt. Das bedeutet, dass man mindestens 65 Minuten warten sollte wenn man dirket am NT die Geraete zwecks Tests tauscht. Andernfalls gibts keine IP. Bei IPv4 wird es aber auch zu 99,9% immer die selbe IP werden.

  • Wenn die DG und die IT des Arbeitgebers das nicht hinbekommen, dann werde ich, zähneknirschend , einen DSL Anschluss von 1&1 für 30 Euro/Monat ordern und da das Firmennotebook meiner Frau dranhängen.

    Da würde ich aber einen kleinen Router mit VPN Lösung bevorzugen. Das dürfte erheblich preiswerter werden.

  • Nur so als Info am Rande. Die Deutsche Glasfaser verfolgt seit geraumer Zeit die "nur ein Router pro Anschluss" Philosophie. Die DG hat ihre DHCP Lease Time auf 60 Minuten eingestellt. Das bedeutet, dass man mindestens 65 Minuten warten sollte wenn man dirket am NT die Geraete zwecks Tests tauscht. Andernfalls gibts keine IP. Bei IPv4 wird es aber auch zu 99,9% immer die selbe IP werden.

    Ja, genau so ist es gewesen. Ich habe eine gute Stunde gewartet und am Ende war es wieder die gleiche IP. Diese Philosophie der DG ist bei einer Fehlersuche, oder beim Tausch eines defekten Routers, nicht gerade förderlich.


    Im Internet gibt es so Seiten wie „Zeige mir meine IP“. Ist sowas zu empfehlen ? Wird da die IP richtig angezeigt ? Ist das die IP, die meiner Frau, bei der Nutzung von VPN zum Arbeitgeber, womöglich Probleme macht, oder ist das auch wieder nur ein Dummy?


    Wo kann man denn sonst noch „seine“ öffentliche IP sehen ? Ich habe hier schon gelernt, dass die IP, die die FRITZ!Box anzeigt, auch „nur“ eine interne IP ist und mit unserem Problem nichts zu tun hat.


    Das ganze Thema ist aber auch wirklich kompliziert.

  • Da würde ich aber einen kleinen Router mit VPN Lösung bevorzugen. Das dürfte erheblich preiswerter werden.

    Was wäre das denn für ein Router? Und könnte ich so eine Lösung in Betrieb nehmen, ohne Admin Rechte auf dem betroffenen Notebook zu haben? Und mit diesem VPN Router würde ich die Eigenheiten des Netzes der Deutschen Glasfaser bei der IP Vergabe in Richtung VPN Server ihres Arbeitgebers komplett umschiffen ? Und das beißt sich nicht mit der o.g. „Ein Router Philosophie“ der DG? Denn auf meine FRITZ!Box, mit ihren WLAN Fähigkeiten und ihrer DECT Telefonie, kann ich bei uns im Haus nicht verzichten.


    Das Firmen Notebook meiner Frau „gehört einem großen Konzern“ und ist vollkommen „zugenagelt“. Selbst im Internet Browser sind alle Einstellungen wie z.B. Proxy Server, ausgegraut. Ebenso Registry, VPN Client, sämtliche Tiefen der Systemeinstellungen usw. usw..


    Wobei ja immer noch nicht feststeht, was wirklich das Problem ist. Eine eindeutige Aussage der DG oder der arbeitgebereigenen IT dazu gibt es ja bis heute nicht. Ich hoffe, dass die DG oder die IT heute noch wieder anruft.

  • Gl.Inet ist ein recht beliebter Anbieter, was man so liest. Es gibt diverse Produkte bei Amazon oder anderen Online Händlern.


    Der VPN-Router hängt hinter der Fritzbox und baut den VPN Tunnel auf. Alle Geräte direkt an der Fritzbox verhalten sich so wie vorher. Die Geräte hinter dem VPN Router kommunizieren über den Tunnel. Von daher gibt es keine Probleme mit DG oder deren IP Vergabe. Auch am Notebook muss man nichts einstellen, man muss sich lediglich mit einem anderen LAN oder WLAN verbinden.

    • Offizieller Beitrag

    Im Internet gibt es so Seiten wie „Zeige mir meine IP“. Ist sowas zu empfehlen ? Wird da die IP richtig angezeigt ? Ist das die IP, die meiner Frau, bei der Nutzung von VPN zum Arbeitgeber, womöglich Probleme macht, oder ist das auch wieder nur ein Dummy?


    Wo kann man denn sonst noch „seine“ öffentliche IP sehen ? Ich habe hier schon gelernt, dass die IP, die die FRITZ!Box anzeigt, auch „nur“ eine interne IP ist und mit unserem Problem nichts zu tun hat.

    Ja, um die Adresse, die dort angezeigt wird, geht es. Das ist die Adresse, die auch der Arbeitgeber an seinem VPN Konzentrator sieht. Diese Adresse wird von mehreren DG-Kunden genutzt, so wie die IP-Adresse der Fritzbox von mehreren Geräten in eurem Netz gemeinsam genutzt wird.


    Eine sehr schön einfache URL, wo man die im Internet sichtbare IPv4 Adresse ohne das übliche Werbedrumherum angezeigt bekommt, ist:

    https://api.ipify.org

    Die Hauptseite mit Erklärungen ist https://www.ipify.org/.


    Aber das hat nur informativen Wert. Ändern kannst du mit der Kenntnis der IP Adresse nichts. Das CGNAT kannst du nicht beeinflussen, nur mit einem eigenen Tunnel umgehen.

  • Gl.Inet ist ein recht beliebter Anbieter, was man so liest. Es gibt diverse Produkte bei Amazon oder anderen Online Händlern.


    Der VPN-Router hängt hinter der Fritzbox und baut den VPN Tunnel auf. Alle Geräte direkt an der Fritzbox verhalten sich so wie vorher. Die Geräte hinter dem VPN Router kommunizieren über den Tunnel. Von daher gibt es keine Probleme mit DG oder deren IP Vergabe. Auch am Notebook muss man nichts einstellen, man muss sich lediglich mit einem anderen LAN oder WLAN verbinden.

    frank_m Vielen Dank für die Erkärung. Hört sich interessant an, da werde ich mich mal einlesen.

  • Nee, nicht unbedingt. Das Ziel des VPN Routers ist lediglich, für eine andere öffentliche IP zu sorgen und so die Nutzer voneinander zu entkoppeln.


    Ja, das führt zu einem Tunnel über Tunnel Setup. Damit gewinnt man keinen Schönheitspreis, aber es wird funktionieren.


    Den VPN Zugang wird das Unternehmen nicht freigeben. Stell dir vor, den könnte man so einfach in einen Router transferieren. Dann wäre jedes Gerät an diesem Router im Firmennetz. Da können sie auch gleich die Admin Rechte am Notebook freigeben und die Hacker auf einen Kaffee einladen.

    • Offizieller Beitrag

    Kalle: Die Gegenstelle ist der Windows 10 Laptop, der von der Arbeitgeber-IT verwaltet wird. Der VPN-Router soll nicht die Verbindung zum Arbeitgeber aufbauen, sondern per Tunnel eine öffentliche IPv4-Adresse aus einem entfernten Netz (bei einem Server-Hoster) heranholen, so dass es für den Laptop-Computer so aussieht, als wäre das kein CGNAT-Internetanschluss. Auf diese Weise wird zwar immer noch NAT benutzt, aber nicht mehr geteilt mit anderen DG-Kunden. Wenn man dem Laptop eine öffentliche IPv4-Adresse geben wollte, ginge das damit im Prinzip auch, aber das wird nicht nötig sein, weil es auch an anderen Internetanschlüssen nicht üblich ist.


    Bevor man das eine oder das andere macht, sollte man aber erst herausfinden, woran es liegt.