Fritz! VPN Verbindung nicht mehr möglich

[3faltigkeit]

Hallo Zusammen,
wir haben einen MA der von zu hause Arbeitet und sich per VPN auf eine FB 7490 verbindet. Also Windows 10 Client Shrew Soft VPN zur FB. Das hat soweit jetzt seit beginn der Pandemie super funktioniert. Jetzt, seit dem vergangenen Wochenende hat der MA einen neuen Vodafone Kabelanschluss und eine neue FritzBox 6490. Es ist ein DS-Lite Anschluss. Mit der neuen FB funktioniert die VPN Einwahl nicht mehr. Erstaunlicherweise sagt der Shrew Soft Client dass der Tunnel stehen würde. Laut ipconfig /all hat der VPN Adapter sogar eine IP aus dem entfernten Netzbekommen. In dem Netz ist allerdings nichts erreichbar. Die entfernte FB 7490 bekommt vom Tunnelaufbau anschainend gar nichts mit. Wir haben schon mal die MTU verringert. Die FBs neugestartet. die Fritz!OS Updates installiert. Die VPN Einwahl über Mobile-Hotspot oder von anderen Internetanschlüssen mit anderen Fritzboxen funktioniert. Nur beim MA zuhause mit der neuen FB nicht. Ich bin gerade mit meinen Ideen dazu am Ende. Ich hatte noch DS-Lite in verdacht. Gerade weil das VPN der FB 7490 nur über IPv4 funktioniert (wenn ich das richtig gelesen habe). Allerdings hatte ich es so verstanden, dass es dann eher ein Problem ist, wenn der Anschluss mit den FritzBox, die das VPN Anbietet ein DS-Lite Anschluss ist.
Einen alten Thread hatte ich noch gefunden in dem die "Navigationshilfe" bei einem Telekomanschluss ganz ähnliche Probleme verursacht hatte. Allerdings gibt es diese Navigationshilfe nicht mehr und der MA ist sowieso bei Vodafone und im Kundenportal haben wir nichts vergleichbares zum aktivieren oder deaktivieren gefunden. Filter an der neues FB des MA sind auch nicht gesetzt, alles unbegrenzt. Die paar Sicherheits-Häkchen die die Firewall der FB beeinflussen sind genauso gesetzt wie bei meiner FB, mit der ich mich einwählen kann. Wie gesagt ich verdächtige den Kabel-Anschluss von Vodafone. Ich weiß nur nicht, ob ich damit wirklich richtig liege und was ich machen könnte, damit der MA wieder per VPN arbeiten kann.

Vielen Dank für eure Hinweise und Ideen - Beste Grüße,
3Falten

 

[Tornhoof]

Naja, wenn du nach dem Problem im Internet suchst, bist du (bzw. dein MA) nicht der einzige. Da ist überall auch von DS-Lite als Client von Problemen die Rede. siehe u.A. https://www.borncity.com/blog/2020/03/27/breitband-anschluss-und-kein-vpn-im-home-office/ und die Links da drin.

Was kann dein MA machen? Gibt laut den Berichten nicht viel, kein Vodafone oder Bridge Modus (also ohne DS-Lite) aktivieren. Alternativ kannst du natürlich auch ein anderes VPN Protokoll probieren (was afaik deine Fritzbox nicht kann, mit OpenVPN dürfte sowas ggf. nicht auftreten).

 

[Christian1297]

DS-Lite erschwert aber nur den Zugriff auf das eigene Heimnetzwerk. Ausgehend kann normalerweise problemlos eine Verbindung hergestellt werden.

Funktioniert der VPN-Aufbau nur mit Shrewsoft nicht oder kann auch ein Android- oder iOS-Client keine VPN Verbindung zum Ziel aus dem Mitarbeiternetzwerk heraus herstellen?

 

[Tornhoof]

Wenn du mal weitersuchst, bist du z iemlich zügig bei: https://vpn-anbieter-vergleich-test.de/blog/vpn-mit-ds-lite-ipv6-verwenden-ohne-probleme/
Da steht unten (grüner Block 2.) bei IkeV1 macht das auch Probleme, deine Fritzbox 7490 kann laut https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/3342_Unterstutzung-von-VPN-Anbietern/ kein V2.

 

[3faltigkeit]

@Christian1297 So hatte ich es auch verstanden. Aber stimmt schon es gibt doch einige Threads von Leuten die einen Kabelanschluss bei Vodafone haben mit Problemen bzgl. VPN.

Übrigens war der Anbieter wohl Kabel-Deutschland vorher. Die gibt es ja jetzt nicht mehr bzw. wurden von Vodafone übernommen. GEnau das war hier der wechsel letztes Wochenende. Der alte Thomoen Router von Kabeldeutschland ging zurück, neue Vodafone Fritzbox dran und zack VPN funktioniert nicht mehr. Ob sich dabei an der Anschluss-Art, also ob es vorher auch schon DS-LIte war konnte mir der MA nicht sagen.

 

[Myron]

Welche privaten IP Adressbereiche werden bei den beiden Fritzboxen genutzt? Sind diese unterschiedlich gewählt?

 

[Christian1297]

@Tornhoof
bei mir Zuhause hat es über DS-Lite bis zuletzt problemlos funktioniert eine VPN Verbindung zu entfernten FRITZ!Boxen herzustellen. Allerdings kein Vodafone-Anschluss.

 

[3faltigkeit]

@Myron Ja, das ist alles richtig aufgesetzt. Es funktioniert ja auch bei mehreren Leuten und bei dem betroffen MA bis zum Vodafone und FB wechsel auch. Ansonstigen Einstellungen (Ziel FB, Windows 10 & VPN Client) hat sich nichts geändert. Es kann eigentlich nur an der FB liegen (was ich nicht glaube) oder am Vodafone-Anschluss.

Ich spreche mal mit dem MA, zwecks Kontaktaufnahme zu Vodafone.
Ein Raspberry hab ich schon im Zielnetz als kleines NAS. Ich werde zum Testen im Laufe der Woche mal OpenVPN installieren und schauen ob es darüber funzt.

 

[Tornhoof]

@Christian1297 Wie gesagt, es gibt Meldungen von Leuten mit Problemen auf beiden Seiten, einerseits Vodafone, die je nach Konfiguration und Angebot unterschiedlich häufig sind und von Leuten mit der Fritzbox auf der anderen Seite. IPSec mit IKE v1 hat halt so seine Probleme (nicht nur Spezifikation, auch unterschiedliche Implementierungen), IKE v2 löst da so einiges (u.A. sauberer NAT Traversal Support), die Fritzbox kann das halt nicht (aus welchen Gründen auch immer AVM das nicht aktiviert auf den Boxen).

 

[chrigu]

Was sollte ein mtu Änderung an einer VPN Leitung verbessern? Richtig, nichts.

das Dilemma ist… dein Mitarbeiter hat ds-lite, also keine eigene ipv4 Adresse und die fritzbox-VPN kann kein vpn via ipv6 stellen.
so kann nur die Lösung sein, bei dir ein VPN Client (Software) zu stellen auf dem dein Mitarbeiter mittels ipv6 verbinden kann.

 

[3faltigkeit]

@Tornhoof Weil die alles Verpennen. Das gleiche wie mit SMB. Bis letzten Sommer oder Herbst konnten die FBs nur SMBv1... Und ab Fritz!OS 7.21 auch v2 & v3. Die Implementierung ist auch noch zugekauft und nicht mal 100% Open Source. LibreOffice unter z.B. Ubuntu hat beim Speichen Dokumente zerschossen. Da waren dann 4096x der Wert NUL in der ersten Zeile wenn man das Dokument mit einem Editor geöffnet hat. Caching beim mounten über die fstab zu deaktivieren funktioniert als Workaround. Kurzum, bei denen ist Einiges veraltet und neue Implementierungen machen Probleme. Ich halte leider nicht mehr viel von AVM. Wahrscheinlich drücken die sich wieder vor IKE 2 bis sonst wann. Gerade in der aktuell Zeit wäre es eigentlich angbracht an der VPN Implementierung zur arbeiten. Aber hey man jann einem PC vorfahrt geben, wenns VPV funktionieren würde.

Ergänzung (24. August 2021)

@chrigu du meinst sicherlich einen IPv6 fähigen VPN Server zu stellen. Ja das hatte ich schon so verstanden. Daher OpenVPN aufm Raspi. Wobei man eigentlich eine DMZ bräuchte... Einfach Ports zum Raspi ins lokale Netz öffnen finde ich Sicheitstechnisch nicht so toll. Ich denke das wäre mit größeren Aufwänden verbunden. Mal schauen, eventuell lässt sich der MA drauf ein seinen Vertrag auf DS upzugraden (falls es die Option gibt, mal sehen).

 

[Christian1297]

das Dilemma ist… dein Mitarbeiter hat ds-lite, also keine eigene ipv4 Adresse und die fritzbox-VPN kann kein vpn via ipv6 stellen.

Es ist richtig dass der VPN Server der FRITZ!Box nur IPv4 kann aber der Mitarbeiter-Anschluss kann ja sowohl IPv4 als auch IPv6 Ziele erreichen. Daher liegt hier nicht Pauschal das Problem.

@3faltigkeit
Nutzt ihr den myfritz Dienst als DDNS Adresse für das VPN?

 

[3faltigkeit]

@Christian1297 Ja auch. Es ist eingerichtet. Es gibt aber auch eine feste IP dort von der Telekom. Ich hatte im Shrew Soft VPN Client beides probiert. Ist jeweils das gleiche Ergebnis.

 

[hildefeuer]

Einmal kurz nachdenken, was sich denn geändert hat durch die neue FB beim Client. DS-Lite war zuvor auch bei Kabel Deutschland da. Aber es war ein Tomson Router dort mit anderem ip Bereich wie jetzt.
Ich wette das die 7490 noch 192.168.178.1 hat und die Kabel-Frize auch 192.168.178.1. Das muss geändert werden an der 7490 in 192.168.xxx.1. Nicht auf 0, 1 oder 254 ändern, weil auch viele Router diese Bereiche nutzten. Sonst sind keine eingehenden Verbindungen von diesen Routern möglich.
Dann wird es funzen. Ich habe ebenfalls ein VPN mit einer 7490 am laufen seit jahren. Auch Verbindungen von DS-Lite Clients sind ohne weiteres möglich.

 

[3faltigkeit]

@ hildefeuer, da wettest du leider falsch, so einfach ist es nicht. Unsere Standorte folgen einem IP-Adressschema und damit auch die Fritzbox 7490 zu der sich der MA verbinden möchte. Die trägt im 3. Oktett die Nummer des Standortes und nicht die 178 - Wir nutzen keine Standard IP-Bereiche von diversen Routern.

 

[Christian1297]

Entschuldige falls ich das jetzt irgendwo überlesen habe aber habt ihr die VPN Verbindung mal auf einem anderen Gerät eingerichtet. Bestenfalls einem Android oder iOS Smartphone wo der VPN-Standard der FRITZ!Box nativ unterstützt wird. Das Smartphone soll sich bei dem Test dann natürlich im betroffenen WLAN befinden.

 

[3faltigkeit]

@Christian1297
Da bin ich noch an der Klärung, also dazu hast du noch nichts überlesen. Der MA nutzt wohl auf dem Andoid-Phone VPN das funktioniert. Aber ich weiß nicht wohin, also was privates. Ich hab nachgefragt was das für ein VPN ist, aber noch keine Antwort. Könnte ja vielleicht ein IKEv2 fähiger Router am anderen Ende sein. Ich werde berichten sobald ich dazu was weiß.

 

[Raijin]

Wenn es sich um eine Firma handelt, ist es sowieso fraglich ob man sich auf das VPN eines Consumer-Routers verlassen sollte. Solche VPNs sind in 99 von 100 Fällen einfach nur quälend langsam, weil die CPU einfach nicht mehr hergibt. Fritzboxxen sind Router für den Heimbereich und sollten in einer Firma maximal als Internetlieferant für eine nachgelagerte professionelle Firewall dienen, die bei Bedarf auch VPN bietet. Eine Fortigate zum Beispiel. Wenn das Budget knapp ist, taugt aber auch ein Router von MikroTik oder eine kleine pfSense. Letztere lässt sich je nach Hardwarebasis natürlich beliebig skalieren. Mit einem Mini-PC mit Celeron J3160 kann man mit pfSense schon eine Menge Gewichte stemmen, aber es geht durchaus noch kleiner und günstiger.

Einen PI würde ich im übrigen auch nur sehr bedingt empfehlen, mit demselben Argument. Ein PI ist ein tolles Spiel- und Werkzeug für zu Hause, hat aber in einer Firma als Basis der technischen Infrastruktur für das HomeOffice der Mitarbeiter in meinen Augen nichts zu suchen. Je nach Modell lässt auch hier die VPN-Performance zu wünschen übrig.


In der 1. bis Anfang der 2. Welle konnte man noch damit argumentieren, dass viele Unternehmen von HomeOffice überrollt wurden und gar nicht die Voraussetzungen dafür hatten. Mittlerweile ist aber ausreichend Zeit vergangen, um das Konstrukt HomeOffice und VPN auf vernünftige Beine zu stellen. Ich rate daher dringendst zu einer dauerhaften und leistungsfähigeren Lösung als 08/15 Heimhardware für Otto Normal und Eva Standard, die tendenziell nicht für mehrere parallele VPN-Sitzungen konzipiert sind und schon bei einer einzelnen Verbindung nur mäßige Performance bieten.

Selbst ein EdgeRouter-X für 50€ schafft mit IPsec um und bei 200 Mbit/s, mehr als jede Fritzbox, insbesondere eine 7490, die ja nu auch schon einige Jahre auf dem Buckel hat und je nach Quelle nur 10-20 Mbit/s schafft.

 

[3faltigkeit]

Ja ist ja alles richtig. Wir haben aber nur einen MA der oft VPN nutzt. Ich zur Wartung ab und an. Wir kommen gut damit aus. Da verven mich an den FBs ganz andere Dinge.

Aber zurück zum Thema. Der MA hat inzwischen mit dem Vodafone Support gesprochen. Die haben ihm innerhalb von 2 Stunden IPv4 aktiviert und jetzt klappt die VPN Einwahl auch wieder.