OpenVPN mit Fritzbox will nicht funktionieren

[Twapsel]

Hallo,

um mich in das Firmennetz zu verbinden nutzen wir OpenVPN. Ich nutze auf meinem Arbeitslaptop Ubuntu und habe dort einfach die .ovpn Konfiguratsdatei geladen um die VPN-Einstellung anzulegen. Das ganze funktioniert prinzipiell. Es funktionierte mit meinem alten Internet in der alten Wohnung, es funktioniert wenn ich mit meinem Handy über mobile Daten einen Hotspot mache und es funktioniert auch wenn ich auf der Arbeit im öffentlichen WLAN bin, wo man die VPN-Verbindung ebenfalls benötigt.

Nun bin ich in eine neue Wohnung gezogen. Dort habe ich einen anderen Internet-Provider. Ich bin nun bei Vodafone und beziehe Internet über Kabel. Mein Router ist iene Fritzbox 6690. Dort funktioniert OpenVPN nicht. Der Toggle zeigt an, dass die VPN-Verbindung aktiv ist, jedoch kann ich weder auf reguläre Internetseiten noch auf das interne Intranet zugreifen, wenn der VPN aktiv ist.

Wenn ich mit meinem Handy einen Hotspot mache, aber das Handy selbst mit dem WLAN verbunden ist, geht es auch nicht. In der Fritzbox habe ich einmal unter Freigaben für meinen Laptop den Port 1194 und das Protokoll UDP für meinen Laptop freigegeben, weil ich das als Internet als mögliche Lösung gelesen habe. Funktioniert aber leider immer noch nicht.

Ich habe unseren internen ITler gefragt und er sagt, dass da Firmenseiting nichts gemacht werden muss, weil es z. B. ja ne neue Verbindung ist und es definitiv an meinem Internetprovider und/oder meinen Router-Einstellungen liegen muss.

Was kanni hc noch machen?

 

[Lawnmower]

Da die Verbindung ja scheinbar aufgebaut ist, wäre nun die Frage was genau nicht geht.
Kannst Du mit IP pingen z.B. (also nicht mit DNS Name)? Dann wäre es bloss ein Namensauflösungsproblem.

Eine weitere Möglichkeit wäre z.B. wenn ein weiterer VPN / Proxy installiert ist und der eine höhere Prio hat.
Falls nicht, wäre ggf die Ausgabe von route print noch hilfreich (Start, Eingabeaufforderung öffnen und den Befehl absetzen).
Wichtig: Vor Absetzung des Befehls muss die VPN Verbindung natürlich aufgebaut sein.

 

[kieleich]

tcp oder udp? bei wireguard ja letzteres aber ovpn macht doch tcp noch?

manchmal sind es auch viel banalere probleme, eine falsche MTU, falscher DNS server usw

 

[Masamune2]

Willkommen bei Vodafone. Habe einen Kunden der hat das gleiche Problem. Verbindung über OpenVPN lässt sich aufbauen, Tunnel steht aber ist faktisch nicht nutzbar. Über jeden anderen Provider und Hotspot mim Handy funktioniert es einwandfrei.

Support war wenig hilfreich und Problem besteht bis heute. Workaround ist aktuell eine VPN Verbindung zu einem anderen Standort aufzubauen und durch diesen über IPSec zum eigentlichen Standort zu gehen. Das funktioniert ohne Probleme.

 

[Twapsel]

Ich habe wie es aussieht schon das Problem identifizieren können. Die VPN-Verbindung läuft mit einer IPv4-Adresse.

IPv4 meines Internets läuft aber über einen DS-Lite-Tunnel. Das scheint aber mit IPv4 OpenVPN nicht zu funktionieren. Ich muss daher die OpenVPN-Konfiguration entweder über IPv6 konfigurieren oder mit dem Internetprovider klären, ob DualStack aktiviert werden kann, sodass ich auch eine öffentliche IPv4-Adresse habe und dann sollte es gehen.

Bevor ich mit der IT meines Arbeitgebers klären konnte, ob OpenPVN auch über IPv6 genutzt werden kann, habe ich den Weg gewählt erstmal den Internetprovider zu kontaktieren, da meine Frau für ihren Arbeitgeber auch OpenVPN nutzt und evtl. das gleiche Problem haben wird.

Ein Anruf bei Vodafone. Mir wurde zugesagt, dass eine öffentliche IPv4 aktiviert wird wird (innerhalb der nächsten Stunde) und das OpenVPN dann funktionieren sollte. Ich bin mal gespannt.

PS: Bei meiner alten Adresse hatte ich mit Telekom ebenfalls Probleme. Da hatte ich einen Hybrid-Tarif mit DSL und LTE, weil es dort nur sehr langsames DSL und kein Kabel gab. Der neue Speedport-Router hat mit OpenVPN nur geklappt, wenn ich alle Verbindungen von meinem Arbeitslaptop über das DSL geroutet habe und nicht über LTE, was dann unglaublich langsam war.

Das ist generell meine Erfahrung. Liest man sich Probleme zu Internetanbietern an, wird man bei jedem eine lange Liste an schlechtem Kundenservice und Problemen lesen. Pest und Cholera. Und guter Support ist Glückssache. Ich hoffe ich hatte nun Glück und es läuft dann jetzt auch.

 

[chrigu]

Wieso gehst du zu einem Provider der „Pest und Cholera „ verteilt und Support Glücksache ist?
Wende dich an die it der Firma. Erkläre dass du umgezogen bist und nun ds-lite hast.
Wobei wenn du zum openvpn Server verbindest sollte die Verbindung zustandekommen. Kann sein dass die openvpn Konfiguration falsch ist oder deine interne ip geändert hat . Stell mal zum Test die alte ip im Router ein

 

[Twapsel]

Wieso gehst du zu einem Provider der „Pest und Cholera „ verteilt und Support Glücksache ist?

Damit meinte ich nicht, dass mein Anbieter Pest und Cholera verteilt. Ich wollte sagen, dass die Auswahl zwischen mehreren Anbietern sich anfühlt wie die Wahl zwischen Pest und Cholera.

Spoiler: Erläuterung

Die technischen Gegebenheiten sind ja sowieso bei jedem Anbieter abhängig von der Infrastruktur zum Haus und den Anschlüssen am Haus sowie von der Wahl des Tarifs ja ohnehin höchst unterschiedlich. Meine Probleme mit dem Hybrid-Tarif mit LTE werden zum Beispiel auch auf über 90% der Telekom-Kunden auch nicht zutreffen.

Aber auch beim Support und der Kommunikation mit dem Anbieter sehe ich das bei den meisten Anbietern sehr ähnlich. Wenn man Privat und/oder Kleingewerbe-Kunde ist und keinen Tarif bzw. Einstufung in eine höhere Priorität oder einen höheren Service-Level hat, sehe ich da bei keinem der gängigen Anbieter einen großen Unterschied.

Sowohl der Vertrieb als auch der 1-Level-Support ist bei, den meisten Anbietern an (meist mehrere) Call-Center ausgelagert. Die Vertriebshotlines arbeiten auf Provision. Das heißt, die Leute haben eine finanzielle Motivation einem die möglichst teuersten Produkte und Zusatzoptionen zu verkaufen, egal ob es passt oder nicht.

Ich selbst habe vor und zwischen Ausbildung und Studium länger im Call-Center gejobbt. Ich war nur im Support tätig und das auch in der Energiewirtschaft. Aber sowohl in der Firma wo ich tätig war, wurde auch für mehrere Internet-Provider gearbeitet und auch kenne ich das von Kollegen, die vorher in anderen Call-Centern arbeiteten. Überall beobachtet man dasselbe. Es hängt halt von den Arbeitern vor Ort und der Qualität des Call-Centers ab (und da die meisten Provider mehrere Call-Center nutzen, gibt es da bei keinem Anbieter ein konstant hohes Level, weil der Call-Center-Dienstleister besser ist als der von andern Providern).

Wie oben bereits gesagt, ist es offensichtlich, warum man beim Vertrieb teilweise Mist erzählt bekommt, je nachdem ob die Gewissenhaftigkeit oder das finanzielle Interesse beim jeweiligen Vertriebler höher sind. Aber auch im 1-Level-Support ist es schlimm. Und in den letzten Jahren, mit dem Fachkräftemangel, wird es nicht besser. Diese Jobs sind meist kaum höher als oder auf Mindestlohnniveau. Nur wenige Leute mit Intelligenz und Kompetenz arbeiten daher dort langfristig. Gleichzeitig hat man sehr oft viel Druck eine gewisse Anzahl an Fällen zu bearbeiten. Von daher ist die Motivation und auch die Kompetenz etwas komplexere Fälle fachgerecht zu bearbeiten sehr oft nicht sehr hoch. Und dann erlebt man halt ein Pingpong bis man doch mal einen kompetenten und motivierten Mitarbeiter erwischt und/oder das Anliegen an den nächst höheren Supportlevel weitergegeben werden, die das Problem meist direkt lösen können.

Sowohl von der Innenperspektive als auch auf Kundenseite konnte ich das halt bei so gut wie jedem der großen Provider beobachten. Wenn ich guten Support erhalte, freut mich das. Bei schlechtem Support ärgert es mich massiv. Das alleine ist aber kein Grund für mich Provider A oder B zu meiden, weil ich weiß, dass es woanders ganz genauso passieren kann. Daher habe ich Vodafone gewählt, weil ich hier rein von der Technik bzw. dem Tarif das beste Preis-Leistungsverhältnis geliefert habe.

Wende dich an die it der Firma. Erkläre dass du umgezogen bist und nun ds-lite hast.

Ich habe mich parallel an die Firma gewendet, bevor ich wusste, dass es an DS-Lite lag. Da war es erst einmal schwer, die Fehlerursache festzustellen. Hätte es keine Lösung gegeben, hätte ich mich damit auch nochmal an die Firma gewendet. Aber im Regelfall versuche ich Probleme an der eigenen Infrastruktur erstmal selbst zu lösen, da meine Frau auch OpenVPN hat aber in einer anderen Firma arbeitet. Wenn es daher Probleme sind, die am eigenen Anschluss/Tarif/... liegen ist es daher sinnvoll die erstmal intern zu lösen, denn dann müssen wir uns nicht beide an die jeweilige IT wenden. Vor allem, wenn eine der beiden ITs das Problem auf deren Seite nicht lösen will oder kann, ist die andere Person von uns ja immer noch aufgeschmissen. Es kostet daher insgesamt für uns beide weniger Zeit und Nerven es in dieser Reihenfolge anzugehen.

Wobei wenn du zum openvpn Server verbindest sollte die Verbindung zustandekommen. Kann sein dass die openvpn Konfiguration falsch ist oder deine interne ip geändert hat . Stell mal zum Test die alte ip im Router ein

Zwischenzeitlich ist DualStack tatsächlich (ohne Aufpreis) aktiviert und ich habe kein DSLite mehr. OpenVPN funktioniert jetzt. Von daher ist jetzt alles geklärt. Dennoch vielen Dank für den Tipp, auch wenn ich das jetzt nicht mehr testen muss.

Dieses Mal hatte ich daher Glück und direkt mit einem Anruf wurde mein Problem gelöst (die Identifizierung des Problems war jedoch Eigenrecherche, ich glaube nicht, dass der First Level-Support das hinbekommen hätte, so wie ich die Person am Telefon eingeschätzt habe).

 

[mchawk777]

Bevor ich mit der IT meines Arbeitgebers klären konnte, ob OpenPVN auch über IPv6 genutzt werden kann, habe ich den Weg gewählt erstmal den Internetprovider zu kontaktieren, da meine Frau für ihren Arbeitgeber auch OpenVPN nutzt und evtl. das gleiche Problem haben wird.

Wenn das nicht gehen würde, wäre es sichtlich eine Schande für diese Firma.
IPv6 ist weder neu noch Hexenwerk.
Die Tatsache, dass ISP häufig nur noch einen Notbehelf in Sachen IPv4 fahren, ist auch seit Jahren kein Geheimnis. Bzw. sollte für die Verantwortlichen kein Geheimnis sein.

 

[Masamune2]

IPv4 meines Internets läuft aber über einen DS-Lite-Tunnel. Das scheint aber mit IPv4 OpenVPN nicht zu funktionieren.

Ganz allgemein gesprochen stimmt das so nicht, OpenVPN funktioniert auch bei Garrier Grade NAT bei DS-Lite Anschlüssen. Lediglich Vodafone scheint hier die Probleme zu machen.

 

[DLMttH]

Lediglich Vodafone scheint hier die Probleme zu machen

Ich gehe da eher von einem Konfigurationsfehler aus, welcher Provider ist denn dein Positivbeispiel mit DS Lite?

 

[Masamune2]

Deutsche Glasfaser funktioniert zumindest in einem Fall bei mir.

 

[DLMttH]

Deutsche Glasfaser verwendet aber kein DS Lite.

 

[Twapsel]

Ich gehe da eher von einem Konfigurationsfehler aus

Kann durchaus sein, dass es mit anderer Konfiguration funktioniert hätte. Wenn es aber vorher out of the Box funktioniert und nun bei Vodafone mit diesem Tarif nicht mehr, würde ich es eher als ne fehlende Konfiguration als eine fehlerhafte Konfiguration bezeichnen, auch wenn das nur Semantik ist.

 

[DLMttH]

Weiß ich gerade nicht. Manche Vodafone-DS-Lite-Anschlüsse "sehen" an WAN ihren DS-Lite-Endpunkt "192.0.0.1". Vielleicht ist das Teil des Problems, an wieder Anderen taucht im Online-Monitor lediglich auf, dass ein DS-Lite-Tunnel zum Einsatz kommt.

Streng genommen muss man mindestens vier Arten von Anschlüssen auseinander halten, die keine öffentliche IPv4 anliegen haben, nämlich:

- CG-NAT, also private IPv4 an WAN wie bei Deutsche Glasfaser/E.on Highspeed, IPv4 beginnt mit 100..

- DS Lite ohne PCP mit Erwähnung des Tunnels, z.B M-Net, NetCologne, manche Vodafone-Anschlüsse

- DS Lite ohne PCP mit Erwähnung einer Hilfs-IPv4 192.0.0.1 wie bei manchen Vodafone-Anschlüssen

- DS Lite mit PCP wie bei 1&1

 

[BFF]

In der Fritzbox habe ich einmal unter Freigaben für meinen Laptop den Port 1194 und das Protokoll UDP für meinen Laptop freigegeben

Und mach die Portfreigaben rückgängig.

 

[Twapsel]

@BFF Schon erledigt