Probleme mit Global Protect VPN

[TomH22]

Ich wage zu bezweifeln, dass in einem Unternehmen mit einer eigenen IT-Abteilung ein /24 Netz zum Einsatz kommt.

Bei dem Vorschlag geht es um das private Subnetz des Mitarbeiters, das wird in der Regel eine Class C (/24) Netz sein. Das ist der Firmen IT sicher komplett egal, was der Mitarbeiter da macht.

Unter: Heimnetz -> Netwerk -> unten auf IPv4 Einstellungen

Das kann man zwar grundsätzlich machen. Aber rein auf "Verdacht" sollte man das nicht tun. Außerdem muss man dran denken, das es mit der Umstellung der IP Adressse der FB nicht getan ist, man muss auch den DCHP Bereich anpassen, außerdem ist man nach der Umstellung erst mal "draußen" und muss eine neue IP Adresse bekommen, das gilt übrigens für alle Geräte ihm Heimnetz. Falls man irgendwo feste Adresse vergeben hat, muss man das auch anpassen. Das zieht also einen Rattenschwanz an Änderungen nach sich, und bei Fehlern kann man sich auch mal aus dem eigenen Netz aussperren. Lässt sich zwar auch wieder beheben, aber bitte nicht einfach so Vorschläge machen, ohne auf die Risiken und Nebenwirkungen hinzuweisen.

 

[riversource]

Bei dem Vorschlag geht es um das private Subnetz des Mitarbeiters, das wird in der Regel eine Class C (/24) Netz sein. Das ist der Firmen IT sicher komplett egal, was der Mitarbeiter da macht.

Es geht darum, dass sich das Netz des Nutzers und der Firma überlappen. Wenn die Firma "was ganz anderes" machen würde, wäre es kein Problem. Die Netze müssen sich also zumindest teilweise überlappen, was vermutlich heißt: Das Heimnetz ist ein Teil des Firmennetzes. Deshalb machen die hier geschriebenen Vorschläge, einfach mal ein anderes 192.168er Netz zu nehmen, nur eingeschränkt Sinn, denn damit verlagere ich ggf. das Heimnetz nur innerhalb des Firmennetzes.

Also entweder ist das Firmnennetz eh in einem anderen Bereich, dann brauche ich nicht zu verlagern. Oder es spannt einen größeren Bereich im 192.168er Bereich auf, dann besteht die Gefahr, dass ich es trotz Verlagerung noch treffe. Von daher halte ich es für sinnvoll, zunächst mit der IT die Bereiche abzuklären, bevor ich solche Aktionen lostrete.

 

[Raijin]

Selbst wenn es das Subnetz ist, kann die Firmen-IT das binnen weniger Sekunden diagnostizieren. Das ist weit weg von unzumutbarem Aufwand für die IT. Genau genommen ist die IT gegebenenfalls sogar selbst schuld, wenn sie Standardsubnetze wie 192.168.1.0/24 oder dergleichen auf professioneller Ebene in einem Firmennetzwerk einsetzen..................

Wie auch immer, es im Anschluss an diese Diagnose dem Mitarbeiter zu überlassen, das Subnetz zu ändern, ist dann eine ganz andere Geschichte. Sicher wäre auch da ein Mindestmaß an Hilfestellung wünschenswert, aber das sind am Ende Änderungen, die man gefahrlos auch mit Hilfe eines Forums hinbekommt, weil sie das Firmennetz nicht tangieren und auch keinen Zugriff unbefugter Personen beinhalten. Die Problemlösung würde sich dann auf das Ändern der IP des Routers, die Anpassung des DHCP-Bereichs (falls Router nicht automatisch umschaltet) und den Neustart aller Geräte im Netzwerk beschränken.

 

[TomH22]

@TomH22 : das Firmenhandy hat sage und schreibe 2gb datenvolumen. Das reicht von 12 bis Mittag gefühlt...

Ich habe in meinem Job jetzt die Qual, im Homeoffice zu arbeiten.

Meinst Du mit "Qual", dass Du es eigentlich nicht möchtest, aber Dein AG es möchte? Dann soll er sich auch darum kümmern, das es geht.
Da gibt es die Möglichkeiten:

• Dir bei Deinem Vodafone Anschluss helfen
• Dir einen zusätzlichen Internet-Anschluss zur Verfügung stellen, der mit dem Firmennetz kompatibel ist
• Die entsprechendes Datenvolumen für Dein Handy zu buchen.

Bei uns war vor der Pandemie Home-Office eine freiwillige Option des Arbeitgebers. Es war Sache des Mitarbeiters die Möglichkeiten dafür zu schaffen, dazu gehörte auch der Internet-Anschluss. Argument war: Wenn es nicht geht, kannst Du immer ins Büro kommen.

Während der Pandemie hat sich das natürlich drastisch geändert. Nun schauen wie in die Zukunft und haben Modelle für "Hybrid-Working", da steht noch nicht ganz genau fest, wie die Verantwortlichkeiten liegen werden, aber es ist schon klar, das wir nicht in den alten Modus zurückfallen werden.

Hilft Dir natürlich jetzt nichts, das musst Du am Ende mit Deinem AG klären.

Wobei auch nicht unbedingt jeder Mitarbeiter über ein Firmenhandy verfügt.. Wenn nu aber der Mitarbeiter aus lauter Verzweiflung einfach selbst eine Lösung sucht und gar in öffentlichen Foren Firmenfremde um Hilfe bittet, ist das sicherlich auch nicht im Sinne der IT.

Das ist genau das Problem. Aus diesem Grund sagen z.B. unsere Sicherheits-Richtlinien das wir auf Reisen anstatt öffentlicher Hotspots möglichst den Handy-Hotspot benutzen sollen. Jeder Mitarbeiter hat per Default 12GB Datenvolumen, seit der Pandemie hat bei uns wirklich jeder ein Firmenhandy (wir schaffen BTW auch gerade unsere Festnetz-Durchwahlen weitestgehend ab, aber das ist eine andere Baustelle...). Wenn die 12GB nicht reichen, kann man im Self-Service weiteres 12GB Pakete buchen. Da gibt es natürlich irgendwann eine Grenze. Aber wir haben einen Telekom-Großkunden Vertrag, da kosten die Pakete irgendeinen einstelligen Euro-Betrag.
Mit 12GB kommt man in der Praxis schon ganz schön weit.

Oder es spannt einen größeren Bereich im 192.168er Bereich auf,

Das ist zwar nicht auszuschließen, wäre aber höchst unprofessionell. Denn RFC1918 definiert für größere Bereiche private Class A und B Netze:

https://en.wikipedia.org/wiki/Private_network

Wenn die Firmen-IT nicht komplett inkompetent ist, wird sie private Class A oder B Netze verwenden.

 

[Raijin]

Wenn die Firmen-IT nicht komplett inkompetent ist, wird sie private Class A oder B Netze verwenden.

Wenn die Firmen-IT nicht komplett inkompetent ist, wird sie auf Class A/B/C/D/E pfeifen und die Subnetze nach CIDR Notation ohne Bezug auf die Netzklassen definieren. Netzklassen sind aus dem letzten Jahrtausend und auch nur da gehören sie hin, nicht ins Jahr 2022.

 

[TomH22]

Netzklassen sind aus dem letzten Jahrtausend und auch nur da gehören sie hin, nicht ins Jahr 2022.

IPv4 ist aus dem letzten Jahrtauend (IPv6 allerdings auch), CIDR ging grundsätzlich schon immer (die Netzmaske ist ja eine Bitmaske) und hat man auch schon "früher" gemacht - meine damalige Firma hatte 1994 ein /26 Subnetz an öffentlichen IP Adressen vom Provider. Und wenn eine Subnetzbildung anhand der "Klassen" zufällig passt, ist auch heute nichts falsches daran.

RFC1918 schreibt nicht vor, wie man die privaten Netzbereiche verwendet "soll", aber gerade weil viele SOHO Router standardmäßig eine /24er Subnetz aus dem 192.168.x.x Bereich verwenden, ist es sinnvoll größere Netze in den Bereichen 172.16.x.x bzw. 10.x.x.x. anzusiedeln, das kann man gerne auch "CIDR-Style" beliebig unterteilen. Nennen wir es "best practice"....


Wir sind hier eigentlich in einem Thread den jemand, dem das alles "böhmische Dörfer" sind, erstellt hat. Insofern sollten wir das vielleicht besser nicht weiter vertiefen...

Ergänzung (27. Mai 2022)

BTW: Gerade gesehen, laut Wikepedia https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing wurde CIDR 1993 eingeführt

Ich weiß gar nicht, ob es man eventuell in ganz alten TCP/IP Stacks keine Netzmaske hatte, sondern die "Klasse" wirklich statisch anhand des Nummernbereiches des Prefixes ermittelt wurde. Dafür bin selbst ich nicht alt genug
Insofern sind "Netzklassen" schon seit sehr langer Zeit einfach eine Konvention und keine wirkliche technische Eigenschaft des TCP/IP Stacks.

 

[Raijin]

RFC1918 schreibt nicht vor, wie man die privaten Netzbereiche verwendet "soll", aber gerade weil viele SOHO Router standardmäßig eine /24er Subnetz aus dem 192.168.x.x Bereich verwenden, ist es sinnvoll größere Netze in den Bereichen 172.16.x.x bzw. 10.x.x.x. anzusiedeln, das kann man gerne auch "CIDR-Style" beliebig unterteilen. Nennen wir es "best practice"....

Aber genau deswegen ist diese geistige Zuordnung vollkommen überflüssig. Man kann und darf aus jedem der in RFC1918 definierten privaten Adressbereiche beliebig große Subnetze nutzen, frei nach Schnauze. Netzklassen gehören einfach der Vergangenheit an, egal wie man nun argumentieren will. Es ist in meinen Augen sogar kontraproduktiv, dass Netzklassen tatsächlich noch in Ausbildung und Studium gelehrt werden, wo sie heutzutage einfach keinerlei Bedeutung mehr haben.

Ich weiß gar nicht, ob es man eventuell in ganz alten TCP/IP Stacks keine Netzmaske hatte, sondern die "Klasse" wirklich statisch anhand des Nummernbereiches des Prefixes ermittelt wurde.

Genau das war der Fall. Die Subnetzmaske war gewissermaßen statisch und hing vom jeweiligen IP-Bereich ab, was auf Dauer eben zu großen Problemen führte, weil man gerade noch rechtzeitig bemerkte, dass die IP-Adressen dann sehr schnell zur Neige gehen, weil das System sehr unflexibel war....

Wir sind hier eigentlich in einem Thread den jemand, dem das alles "böhmische Dörfer" sind, erstellt hat. Insofern sollten wir das vielleicht besser nicht weiter vertiefen...

Da bin ich voll bei dir, aber gerade Netzklassen tauchen iiiiiiiiiiiiiiiiiiiimmer wieder auf und das ist so als wenn wir heute noch über Telefone mit Impulswahlverfahren sprechen würden... Veraltete und überholte Technik sollte man da lassen wo sie hingehört, im Museum.


What ever, @123Olli456 muss sich so oder so erstmal erneut mit seiner IT-Abteilung in Verbindung setzen. Wenn es sich um einen Subnetzkonflikt zwischen Firmen-Subnetz und privatem Heimnetz handeln sollte, ist das vom Mitarbeiter der IT binnen 15 Sekunden herauszufinden. Dann kann man immer noch sehen ob @123Olli456 Unterstützung benötigt, um seinen Router entsprechend umzukonfigurieren.

 

[TomH22]

aber gerade Netzklassen tauchen iiiiiiiiiiiiiiiiiiiimmer wieder auf und das ist so als wenn wir heute noch über Telefone mit Impulswahlverfahren sprechen würden... Veraltete und überholte Technik sollte man da lassen wo sie hingehört, im Museum.

Wie gesagt, obwohl ich schon sehr lange dabei bin, kenne ich "Netzklassen" nur als Konvention, also in dem Sinne, das "Class C Netz" nur meint, das es ein /24 Subnetz ist. Und daran finde ich als umgangssprachliche Konvention nichts Falsches. Im Grunde genommen hat der Begriff "Netzklasse" seine ursprüngliche Definition schon lange verloren und wird heute nur noch in seiner umgangssprachlichen Bedeutung verwendet.

Der von mir oben verlinkte Wikipedia Artikel schreibt dazu

Seit der Einführung von CIDR ist classful routing zwar praktisch abgeschafft, beispielsweise ein /24-Netz als „Class C“ zu bezeichnen ist jedoch, zumindest umgangssprachlich, erhalten geblieben – obwohl diese Bezeichnung zumeist sogar falsch ist, da mittlerweile ehemalige Class A- oder Class B-Netze als kleinere Allokationen/Assignments zugeteilt werden und man somit ggf. von einem „Class C“-großen Netz spricht, was nach klassischer Notation ein Subnetz eines Class-A- oder B-Netzes wäre.

"Stundenkilometer" ist auch technisch falsch, aber jeder weiß was damit gemeint ist. Es wird benutzt weil "Kilometer pro Stunde" schlechter auszusprechen ist.

Das große Problem ist aber eigentlich, das IPv4 nicht auszurotten ist, mit IPv6 hätte man all diese Probleme nicht. Nur auch bei mir ist es so, dass unsere Firmen VPN Server zu den wenigen Dingen gehören, die nur per IPv4 erreichbar sind. Und u.a. deswegen bin ich froh das mein Telekom-VDSL Anschluss noch volles Dual-Stack mit eindeutiger IPv4 Adresse ist.

 

[Lawnmower]

Leute gehen wir doch wieder zurück zum Thema, sind da die letzten Beiträge ein wenig abgeschweift.
Würde sagen es wurden zig Vorschläge gepostet, der TE soll das erstmal klären und antworten bevor wir hier uns weiter mit Anekdote zu Dörfern und Wikipedia Links bewerfen.

 

[123Olli456]

Hallo zusammen. Ich habe bei vodafone jetzt dual stack aktivieren lassen. Da ich nur IPv6 hatte. Das habe ich gestern machen lassen, da ich erfahren habe, dass Global Protect mit IPv4 arbeitet. Kann mir jemand sagen, ob ich dann was einstellen muss? Oder ob es das dann war und danach alles gehen sollte?

 

[0-8-15 User]

Kann mir jemand sagen, ob ich dann was einstellen muss?

Du musst nichts weiter einstellen. Entweder es geht jetzt oder es geht immer noch nicht.

Oder ob es das dann war und danach alles gehen sollte?

Wir können nur raten, ob es daran liegt, und du kannst es ganz einfach durch ausprobieren selber herausfinden?

 

[123Olli456]

@0-8-15 User : die sagten die Aktivierung kann was dauern. Aber ich wäre zufrieden wenn es halt automatisch geht. Da ich mich wie genannt nicht mit Einstellungen etc auskenne. Oder kann man irgendwo erkennen das IPv4 jetzt aktiviert wurde ?

 

[TomH22]

IPv4 war auch schon vorher aktiv, aber eben nicht mit einer Dir zugewiesenen öffentlichen IP Adresse.

Ich weiß nicht was Du für einen Router hast, aber eigentlich kann man bei allen Geräten irgendwo in der Web Oberfläche die zugewiesene IP Adresse sehen. Wenn sie eine aus dem RFC1918 Bereich ist (siehe meinen Wikipedia Link etwas weiter oben), dann ist es nach wie vor CGNAT und kein echter dual Stack.

Man kann auch irgendwelche Websiten der Art „Was ist meine IP“ aufrufen, und sehen ob die dort angezeigte IPv4 die gleiche wie in Deinem Router ist. Dann hast Du eine öffentliche IPv4 (sprich Dualstack sollte aktiv sein).

Im Zweielsfall solltest Du Deinen Router mal neu starten, neue Einstellungen werden oft erst dann übernommen.

 

[riversource]

Das habe ich gestern machen lassen, da ich erfahren habe, dass Global Protect mit IPv4 arbeitet.

Was falsch ist, wenn man sich das Datenblatt ansieht. Global Protect unterstützt auch IPv6:
https://www.paloaltonetworks.de/app.../resources/datasheets/globalprotect-datasheet

Dennoch kann euer Server natürlich nur auf IPv4 arbeiten. Aber: Laut Datenblatt arbeitet Global Protect mit SSL/IPSec. Für beide Verfahren ist es unkritisch, wenn sich mehrere Anwender von der gleichen IP-Adresse anmelden. Ebenso stellt das Datenblatt von Global Protect die NAT-T Fähigkeiten heraus.

Sprich: Das CGNAT oder DS-Lite, das vorher an deinem Anschluss aktiv war, hat den Zugang nicht gestört. Folglich wird auch die Umstellung auf Dual Stack keine Besserung bringen. Das Problem muss woanders zu suchen sein.

 

[123Olli456]

@riversource : ich hoffe doch nicht... ich weiß halt nur nicht, wo ich suchen muss oder sollte...

 

[riversource]

Ich dachte, darauf hätten wir oft genug hingewiesen.

Nicht zuletzt: Welche IPs kommen bei dir zu Hause und im Firmennetz zum Einsatz? Wenn ihr das gleiche private Subnetz nutzt, dann ist kein Routing möglich.

 

[123Olli456]

@riversource : das sind leider alles römische Dörfer für mich. Für euch Profis ist das "Kinderkram"

 

[riversource]

Dann ist es entweder Zeit, sich damit zu befassen, oder jemanden zu fragen, der sich mit sowas auskennt. Ferndiagnose wird schwer, da du ja technisch auch nicht in der Lage sein wirst, die erforderlichen Informationen zu sammeln und aufzubereiten. Das ist kein Vorwurf, man muss kein Computerexperte sein. Aber ein Forum ist Hilfe zur Selbsthilfe, ein Mindestmaß an Fachkenntnissen ist erforderlich, um die Hinweise umzusetzen. Wenn dieses Mindestmaß nicht da ist, dann bleibt nur professionelle Hilfe.

 

[Raijin]

Ich habe bei vodafone jetzt dual stack aktivieren lassen. Da ich nur IPv6 hatte. Das habe ich gestern machen lassen, da ich erfahren habe, dass Global Protect mit IPv4 arbeitet.

Es würde mich wundern, wenn das zur Lösung beiträgt. Du hattest eingangs ja geschrieben, dass die VPN-Verbindung als solche wohl erfolgreich hergestellt wurde. Mindestens das muss dir die Firmen-IT immerhin bestätigen können. Ist das der Fall, spielt es eigentlich keine Rolle was wie wo dein Provider macht, weil nach erfolgtem VPN-Aufbau ein virtuelles Netzwerkkabel durch das Netzwerk deines Providers ins www und von dort zu deiner Firma geht. Was über dieses virtuelle Netzwerkkabel an Daten läuft und wie das passiert, spielt für den Provider keine Rolle, weil das VPN die eigentlichen Daten kapselt.

Man kann sich diese Kapselung so vorstellen als wenn DHL (Provider) entscheiden würde, keine Päckchen mehr zu transportieren, sondern nur noch Pakete. Und nu? Man packt sein Päckchen eben in ein Paket und schickt es so mit DHL. DHL sieht nur das Paket und weiß nichts vom Päckchen darin und es gibt kein Problem. Ähnlich ist es mit VPN, da der Provider nur die VPN-Verbindung als solche sieht, mit dessen Inhalt aber nichts zu tun hat.

Sofern die VPN-Verbindung also erfolgreich aufgebaut wurde, ist der Provider außen vor. Die IPv4/IPv6-Problematik bezieht sich explizit auf die Internetverbindung, also den Verbindungsaufbau des VPN-Tunnelst selbst. Sollte es nun funktionieren, wenn dein Provider deinen Anschluss auf DualStack umschaltet, ist davon auszugehen, dass der VPN-Tunnel vorher überhaupt nicht zustande gekommen ist - und das hätte die IT eigentlich direkt erkennen müssen, wenn sie sich auch nur 10 Sekunden Zeit genommen hätten.

Spoiler: Kurze Erklärung worum es bei IPv4/IPv6 DS-Lite und DualStack geht:

IPv4 und IPv6 sind zwei Formen von IP-Adressen. IPv4 ist die ursprüngliche Form wie man sie auch von zu Hause kennt (zB 192.168.0.1), während IPv6 die "neue" Variante ist, die in Hex geschrieben wird (zB so: fe80::9656:d028:8652:66b6). Das große www ist mittlerweile zu groß für IPv4 und es gibt schlicht und ergreifend nicht mehr genug freien Adressen mehr, IPv6 bietet ein Vielfaches an nutzbaren IP-Adressen und stellt daher die Zukunft dar - oder soll es seit nun mehr über 20 Jahren.....

Bei DS-Lite wie es bei den meisten Anbietern für Kabelinternet zum Einsatz kommt hat jeder Kundenanschluss eine eindeutige IPv6, weil es davon wie gesagt viel mehr gibt, aber bei IPv4 hat der Provider gespart und bündelt mehrere Kunden unter einer einzelnen IPv4 (Stichwort: Carrier Grade NAT, kurz: CGN). Dies kann zu Problemen führen, funktioniert aber in Millionen von Haushalten in Deutschland absolut problemlos, vor allem, wenn man den heimischen Internetanschluss nur von zu Hause aus nutzt.

Echtes DualStack bedeutet hingegen, dass der Anschluss sowohl eine eindeutige IPv6 als auch eine eindeutige IPv4 erhält, also eine jener rar gewordenen IP-Adressen.

 

[123Olli456]

Hallo zusammen,

Danke für Eure Hilfe! Ich bin gefühlt 300 Schritte weiter auch dank Euch! Coole Community (am Rande erwähnt, was auch wichtig ist zu sagen). Ich komme auf die Firmengeräte drauf per IP Adresse. => das heißt für mich VPN ist jetzt da.

Einzigste Problem was noch herrscht ist, ich komme nicht auf die Netzwerklaufwerke drauf. Mit einem netuse befehl kam ich leider nicht weiter.

Hat da jemand vielleicht eine idee?