Deutsche Glasfaser, Fehler VPN Verbindung zum Arbeitgeber

    Zitat von HAL2001

    Dann waren wir nochmal zu unseren Freunden, ca. 1000m entfernt mit DG Anschluss und auch mit einer Fritzbox. Das Firmen-Notebook meiner Frau funktioniert da nach wie vor, Internet und die VPN Verbindung werden direkt und schnell aufgebaut.

    Da das Laptop an dem anderen Anschluss funktioniert, liegt das Problem augenscheinlich an deiner Infrastruktur:

    • Entweder ist der NT nicht richtig konfiguriert, oder
    • die verwendete FRITZ!Box ist anders konfiguriert/defekt

    Beim ersten Punkt kannst Du nicht viel mehr machen, als dem Support die mit ALCL beginnende Seriennummer des funktionierenden Anschlusses mitzuteilen und darum zu bitten die NT-Konfiguration mit deinem (ebenfalls die Seriennummer mitgeben) zu vergleichen und ggf. Einstellungen anzupassen.


    Bei zweitem Punkt wird es schon komplizierter. Haben die beiden FBs die gleiche Modellbezeichnung, das gleiche Hardwarerelease und die gleiche FRITZ!OS Version? Sind das beide sogenannte kundeneigene Router oder ist eines ein Mietgerät? Wenn alles gleich ist, dann ist die Konfiguration Punkt für Punkt zu vergleichen, das ist eine Ochsentour, sollte aber Erkenntnis bringen, warum es bei dir nicht funktioniert.


    Welcher VPN Client ist auf dem Laptop installiert?

    • Offizieller Beitrag

    HubeBube: Unterschiede in der Anschlusskonfiguration sind eine Möglichkeit, aber nicht unbedingt die wahrscheinlichste. Das VPN wird mit dem in Windows integrierten Client aufgebaut (erkennbar an der charakteristischen Fehlermeldung) und ist sehr wahrscheinlich L2TP über IPSEC. Dieser Client ist normalerweise nicht für NAT auf beiden Seiten konfiguriert. Für NAT-Traversal ist eine Änderung in der Registry nötig. IPSEC verwendet ein eigenes Protokoll mit dem Namen ESP. Das ist nicht TCP und nicht UDP. Anders als diese beiden Protokolle hat ESP keine Ports. Ein NAT-Router kann die Pakete also nicht am Tupel (Absenderadresse, Absenderport, Zieladresse, Zielport) unterscheiden sondern bestenfalls am Tupel (Absenderadresse, Zieladresse) und für eine bestimmte Zieladresse höchstens an der Absenderadresse. Es ist also sehr leicht möglich, dass sich verschiedene IPSEC-Nutzer hinter einem NAT-Router in die Quere kommen. Das ist ein durchaus möglicher Unterschied zwischen der Netzumgebung bei den Freunden und zu Hause. Wie schon vorher geklärt funktioniert der Anschuss ansonsten einwandfrei, so dass eine grundlegende Fehlkonfiguration von NT oder Router unwahrscheinlich ist. Der Router wurde auch schon zurückgesetzt und händisch neu konfiguriert.

    Noch eine Frage: erhalten die an der FRITZ!Box angeschlossenen Endgeräte eine IPv6 Adresse durch die FB? Im Laptop beispielsweise in der Powershell oder cmd Eingabeaufforderung ein

    Code
    ipconfig /all

    eingeben.

    Falls in der Ausgabe nur IPv4 Adressen stehen, dann bitte prüfen, ob die IPv6 Unterstützung der FB aktiviert ist.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von alfalfa

    Unterschiede in der Anschlusskonfiguration sind eine Möglichkeit, aber nicht unbedingt die wahrscheinlichste.

    Wir tappen hier alle leider ziemlich im Dunklen...

    Seit Windows 7 ist MS IPv6 sehr aufgeschlossen und es ist die dringende Empfehlung von MS den IPv6 Support des Netzwerkinterfaces nicht auszuschalten. Sofern das tatsächlich der MS eigene VPN-Client ist, sollte ein Aufbau des IPSEC-Tunnels mittels IPv6 möglich sein. Immer natürlich abhängig von den Einstellungen der Gegenstelle. Hoffentlich ist da die Unternehmens-Security so kooperativ wie meine, dann sollte das Problem gut lösbar sein. Wir können hier leider nur Vermutungen äußern und Tipps geben.

    Zitat von frank_m

    Das Ziel des VPN Routers ist lediglich, für eine andere öffentliche IP zu sorgen und so die Nutzer voneinander zu entkoppeln.

    Richtig, aber dafür braucht der VPN Router eine passende Gegenstelle für die VPN - Verbindung. Bei meinem Vorschlag wäre das mein eigener Profi - Router und meine öffentliche IPv4 - Adresse gewesen.

    • Offizieller Beitrag

    HAL2001 befindet sich in einer ungünstigen Situation, weil weder die Arbeitgeber-IT noch die Deutsche Glasfaser erwarten lassen, dass sie zu individuellen Änderungen bereit sind. Dass fehlendes IPv6 ein Unterschied ist, halte ich für denkbar, und das ist ja auch schon an Anschlüssen der DG spontan verschwunden. Das sollte man also nachschauen.


    Ansonsten glaube ich nach der Beschreibung nicht an ein Konfigurationsproblem des Anschlusses. Erstens ist das Problem plötzlich aufgetreten, ohne dass bewusst irgendwas geändert wurde. Zweitens ist der Anschluss schon überprüft und der Router neu konfiguriert worden, und abgesehen vom VPN funktioniert alles. IPSEC gilt aber völlig zu Recht als schwer zu kontrollierende Diva und Unternehmens-IT-Abteilungen sind dann schnell dabei, einfach eine öffentliche IPv4 zu fordern, anstatt die einmal funktionierende Konfiguration anzufassen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von JAKuhr

    Hast Du mal (z.B. unter "wieistmeineip.de") geprüft, ob Du aktuell noch über eine IPv6 angebunden bist? Das ist für eine funktionierende VPN-Verbindung sicher die Grundvoraussetzung.

    Habe ich schon mehrmals überprüft. Zuletzt gerade eben. Angezeigt werden eine IPv4 und eine IPv6 Adresse.


    In der FRITZ!Box ist die IPv6 Unterstützung aktiviert. Hat die Hotline der DG heute auch noch online geprüft, die können das bei sich am Monitor sehen, ob IPv6 am NT aktiv ist.

    Die FRITZ!Box wurde schon auf Werkseinstellungen zurückgesetzt und komplett neu eingerichtet. Ein Softreset und Hardreset des NT wurde auch schon mehrmals durchgeführt. Das Notebook direkt am NT wurde auch schon ausprobiert. Das Notebook, der installierte VPN Client, wurde mehrfach von der IT überprüft. Das normale Internet funktioniert über den Anschluss ganz normal und performant. Ich glaube, einen lokalen Fehler bei uns im Haus, kann man so gut wie ausschließen.


    Vorhin haben wir wieder mit der IT gesprochen, sie wissen bis heute nicht, woran es liegt. Eine gute Fehlerdiagnose und klare Benennung des Fehlers, ist aber die Voraussetzung für eine Behebung des Fehlers. Alles andere ist Fischen im Trüben. Aber sie haben immerhin zugegeben, dass sie noch den einen oder anderen gleichen/ähnlichen in Arbeit haben. Ich wäre ja schon froh, wenn klar wäre, wo die Zuständigkeit liegt, bei der IT oder der DG.


    Die DG haben wir vorhin auch wieder angerufen, weil sich heute eigentlich der Second Level wieder bei uns melden wollte, aber nicht hat. Über den First Level bin ich wieder nicht hinaus gekommen. Die stellen prinzipiell nicht zum 2. Level durch. Der 1. Level hat wieder eine Notiz ans Ticket geschrieben und ich muss wieder warten, bis sich irgendwann jemand vom 2. Level bei uns meldet.
    Im Laufe einer Woche habe ich jetzt ungefähr 10 mal bei der DG angerufen. Jedes Mal habe ich mit einem anderen Mitarbeiter telefoniert, jedes Mal musste ich die ganze Geschichte neu erzählen, jedes Mal versuchte der Mitarbeiter zuerst das Problem auf seine Art zu lösen, bis er ganz schnell merkt, dass er da nichts ausrichten kann und dann auf den Rückruf des 2. Level verweist. Wann und ob die zurückrufen weiß man nicht. Kundenservice und Kundenserviceprozesse in ihrer höchsten Ausprägung :-((


    Immerhin funktioniert das Arbeiten mit VPN über den Hotspot des Arbeitssmartphone besser und stabiler als gedacht. Meine Frau „verbrät“ jetzt erst einmal das Datenvolumen des Smartphone. Mit 1-2 GB pro Tag kommt sie irgendwie hin, wenn keine größeren Videokonferenzen anstehen.


    Ich werde weiter berichten.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Es gibt gute Nachrichten.


    Nach jetzt einer Woche ist das Problem von der unternehmenseigenen IT gelöst worden. Es wurde ein neuer, anderer VPN Client installiert. Und damit funktioniert die VPN Verbindung zum Arbeitgeber meiner Frau wieder.


    Leider kann ich nicht sagen was exakt das Problem war und ob die Deutsche Glasfaser da nicht doch irgendwelche Karten im Spiel hatte. Weil, das Problem der nicht funktionierenden VPN Verbindung bestand bei einem anderen Anschluss der DG, ca. 1000m von uns entfernt bei Freunden, mit dem gleichen Notebook, ja nicht. Und diesen Umstand konnte sich auch die Hotline der DG absolut nicht erklären.


    Der IT-Mitarbeiter konnte mir nicht sagen, wo der Fehler genau lag. Auch welches Ereignis den Fehler am letzten Dienstag, während der ganz normalen Arbeitstätigkeit meiner Frau, auslöste, bleibt im Dunkeln. Aber er sagte, es hätte was, wie hier im Thread auch schon vermutet, mit einem Konflikt zwischen IPv4 und IPv6 Adressen zu tun.


    Vielleicht hat die Unternehmens IT die IP Probleme mit der DG jetzt, mit dem neuen Client, nur elegant umschifft. Ich weiß es nicht. Unterm Strich ist die Unternehmens IT nicht ganz unbeteiligt, weil sie immer noch auf IPv4 Technik setzt. Aber da sind sie ja zumindest in guter Gesellschaft. Ich habe gelesen, dass selbst große Tech-Giganten immer noch IPv4 Technik einsetzen.


    Der Client, der jetzt neu installiert wurde ist der „LANCOM Advanced VPN Client“ in der Version 4.14.

    Was der jetzt mehr kann, oder anders macht, als der vorher installierte VPN Client, kann ich nicht sagen, keine Ahnung.


    Ich möchte mich bei Allen, an diesem Thread Beteiligten, für die tatkräftige Unterstützung bedanken.


    PS: Der 2. Level der Deutschen Glasfaser hat sich immer noch nicht wieder gemeldet :-((

    Zitat von HAL2001

    Unterm Strich ist die Unternehmens IT nicht ganz unbeteiligt, weil sie immer noch auf IPv4 Technik setzt. Aber da sind sie ja zumindest in guter Gesellschaft. Ich habe gelesen, dass selbst große Tech-Giganten immer noch IPv4 Technik einsetzen.

    Danke für die Rückmeldung und schön, das es nun funktioniert!


    Ich möchte sogar fast sagen: je größer das Unternehmen und je länger dieses existiert, desto geringer ist der Einsatz von IPv6. Es gibt immer noch sehr alte legacy Software, die mit IPv6 Adressen gar nichts anfangen kann und daher wird nach wie vor auf IPv4 gesetzt.


    Nun durfte ich feststellen, das halbwegs moderne Router bzw. deren Betriebsysteme sehr wohl IPv6 verstehen und daher eine Kommunikation via IPv6 zwischen Endgeräten möglich ist, deren IPv4 Kommunikation durch Hardwarefirewalls und Microsegmentierung blockiert wird.

    Die reale Welt ist nun mal nicht schwarz und weiß, sondern bunt.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von HAL2001

    Der Client, der jetzt neu installiert wurde ist der „LANCOM Advanced VPN Client“ in der Version 4.14.

    Das ist eine gute Wahl, denn bei mir läuft die gleiche Software, aber als Version von bintec elmeg, da ich Bintec Router verwende. (bintec Secure IPSec Client)

    Diese Client - Software hat viel mehr Einstellungsoptionen und bietet spezielle Funktionen für Sonderfälle.