Teams über VPN über DS-Lite = Grütze

[PWA]

Hallo zusammen,

man liest im Netz ja oft, dass VPN über DS-Lite Probleme verursacht; seit vielen vielen Jahren.
Optimistisch, wie ich manchmal bin, bin ich davon ausgegangen, dass diese Problemchen mittlerweile endlich behoben wurden.

Seit dem Wechsel in einen neuen Tarif mit DS-Lite kann ich Teams im VPN aber kaum noch nutzen; Audio und Video haken extrem. Ohne VPN läufts sehr viel besser, aber dann kann ich leider nicht auf benötigte Ressourcen im Firmennetz zugreifen.

Woran liegt das eigentlich genau und wer könnte daran etwas optimieren? Liegts am Provider oder am VPN?

Danke!

 

[xexex]

Woran liegt das eigentlich genau und wer könnte daran etwas optimieren?

Es liegt daran, dass du dir bei DS-Lite deine Andresse mit hunderten Leuten teilst und die Datenverbindung über einen vorgeschalteten Router läuft. Wozu man allerdings für Teams vorher eine VPN Verbindung aufbauen soll, wo der Dienst komplett in der Microsoft Cloud liegt, ist mir ein Rätsel.

Optimieren kann man den VPN Zugriff ganz simpel, jede Firma sollte heutzutage in der Lage sein IPv6 zu nutzen und die VPN Verbindung auch darüber bereitzustellen.

 

[beercarrier]

Dual Stack Lite würde bedeuten das du keine öffentliche IPv4 zugeteilt bekommst und IPv4 Pakete in IPv6 getunnelt werden. Das kann, muss aber nicht, zu erhöhten packet loss führen und ist für RTC Anwendungen eh eher schlecht. Tunnel (VPN) in Tunnel (IPv4) für Echtzeitanwendungen, tja...
Die simpelste Lösung ist bei ISP anzurufen und Dual Stack erbitten, mit dem richtigen Mitarbeiter an der Strippe ist das unkompliziert. Bei Eigengeräten wird eigentlich Standard Dual Stack ausgeliefert.

Mal ganz grobkörnig zusammengefasst:
Mit Dual Stack Lite hat man ein NAT-Problem das dafür sorgt das IPv4-Port-Weiterleitungen am eigenen Router nicht mehr gehen.

 

[Christian1297]

Einfach das VPN so konfigurieren dass nicht der gesamte Traffic getunnelt wird?

 

[Shio]

Optimieren kann man den VPN Zugriff ganz simpel, jede Firma sollte heutzutage in der Lage sein IPv6 zu nutzen und die VPN Verbindung auch darüber bereitzustellen.

Nich wirklich.
Wir arbeiten schon sehr lange mit Sonicwall zusammen und die haben noch immer keinen funktionierenden IPv6 Client und recht lückenhaften Hardwaresupport.
Weshalb es bei uns auch aktuell keine Umstellung gibt.

 

[t-6]

Woran liegt das eigentlich genau und wer könnte daran etwas optimieren? Liegts am Provider oder am VPN?

Höchstwahrscheinlich liegts am VPN, da möglicherweise der gesamte Traffic getunnelt wird und nicht nur der interne.
Was bedeutet: Der Upload vom Anschluss deiner Firma ist jetzt der Download von dir und allen anderen Mitarbeitern, die auf dieselbe Art verbunden sind.

Optimierung: Deine IT anhauchen und das Problem darlegen.

 

[DonConto]

Den VPN Client so konfigurieren (lassen), dass Traffic zu den Teams Netzbereichen vom VPN ausgekoppelt wird und einen lokalen Breakout (also dein Internetzugang) nutzt. Microsoft stellt dafür Listen mit IP Netzsegmenten zur Verfügung.

 

[xexex]

Wir arbeiten schon sehr lange mit Sonicwall zusammen und die haben noch immer keinen funktionierenden IPv6 Client und recht lückenhaften Hardwaresupport.

Wie bitte? Ich arbeite seit Jahren mit IPv6 und der Netextender funktioniert damit problemlos.
http://help.sonicwall.com/help/sw/eng/8112/8/0/0/content/Chapter2_Overview.03.10.html

 

[Fliz]

oder manuell die Routen zu Microsoft Teams umändern, das die nicht über den VPN gehen..

 

[Shio]

Wie bitte? Ich arbeite seit Jahren mit IPv6 und der Netextender funktioniert damit problemlos.
http://help.sonicwall.com/help/sw/eng/8112/8/0/0/content/Chapter2_Overview.03.10.html

Wir benutzen den Client nicht den Netextender.
Ich weiß auch nicht mehr warum, aber der Netextender funktionierte zumindest damals 5+ Jahren nicht so gut wie der Client, weshalb wir umgeschwenkt sind.
Aber interessant, muss ich die Tage mal genauer prüfen wie das damit ausschaut.

 

[beercarrier]

Optimierung: Deine IT anhauchen und das Problem darlegen.

Wenn da nicht nur Idioten arbeiten wird es schon Gründe haben warum es so konfiguriert ist wie es ist. Und vermutlich wird er sich auch nicht von seiner privaten Maschine einloggen, hoffentlich.

 

[xexex]

Wir benutzen den Client nicht den Netextender.

Was ist denn "der Client"? Die Store App? Ist aber jetzt auch OT.

Fakt ist Sonicwall kann seit einigen Jahren IPv6 weitegehend problemlos, wie so ziemlich jeder andere Router/VPN Gateway was es auf dem Markt gibt, schon alleine deshalb weil im asiatischen Markt schon ewig keine neuen IPv4 Adressen mehr verfügbar sind.

 

[brainDotExe]

Wenn da nicht nur Idioten arbeiten wird es schon Gründe haben warum es so konfiguriert ist wie es ist.

Meistens ist das einfach Gewohnheit. Solange es man nicht unbedingt braucht wird im Firmenumfeld IPv6 nicht angerührt. Eigentlich eine totale Schande.
Aber ja, bei mir in der Firma ist das z.B. auch so geregelt, dass der Teams Traffic nicht über die VPN Verbindung geroutet wird.

 

[beercarrier]

IdR gibt es gute Gründe, oft liegt das dann daran das es in einer Abteilung noch einen Dienst gibt der nur IPv4 kann, den man aber aus verschiedesten Gründen nicht ersetzen oder aussortieren kann. Man verwendet dann eben geschlossen IPv4 um eine homogene Adressierung zu haben und den Fehlerteufel möglichst klein zu halten. Solche Entscheidungen werden aber weder mit dem Hausmeister noch mit dem Marketingbeauftragten abgesprochen. Ich mein der Marketingbeauftragte fragt die IT-Abteilung ja auch nicht in welcher Schriftart die Flyer gedruckt werden sollen und über nach welcher Reihenfolge der Hausmeister die Leuchtmittel prüft gibt es auch keine Rundmail.
Ein zusätzlich nerviges Detail an Corona ist das die Künstler an der Drehbank jetzt in nur 3 Schritten zu Netzwerkprofis werden.

 

[xexex]

oft liegt das dann daran das es in einer Abteilung noch einen Dienst gibt der nur IPv4 kann, den man aber aus verschiedesten Gründen nicht ersetzen oder aussortieren kann. Man verwendet dann eben geschlossen IPv4 um eine homogene Adressierung zu haben und den Fehlerteufel möglichst klein zu halten.

Meist tut man es heutzutage, weil selbst 20 Jahre nach Einführung von IPv6, sich die zuständigen Leute nicht damit beschäftigen wollen. Ein Dienst der nur IPv4 kann ist nur ein vorgeschobener Einwand, da IPv6 heutzutage immer als Dual Stack eingerichtet wird und nur die wenigstens Firmen komplett auf IPv6 setzen dürften, selbst Microsoft hat da zurückgerudert.

Fakt ist, es gibt keine IPv4 Adressen mehr. Fakt ist, dass selbst in der EU es immer schwieriger ist noch eine für einen Server zu bekommen und für die Clients selbst bei DSL Leitungen nur noch DS Lite bereitgestellt wird. Hier wird wieder IT auf dem letzten Drücker gemacht, wird prügeln die alte Technik so lange wie es geht weiter und wenn es dann zu spät ist, wird herumgeschrien man bräuchte mehr Zeit.

Gerade jetzt wegen Corona und massiven Investitionen im Home Office Lösungen, sollte es keine Ausreden mehr wegen IPv6 geben.

 

[beercarrier]

Meist tut man es heutzutage, weil selbst 20 Jahre nach Einführung von IPv6, sich die zuständigen Leute nicht damit beschäftigen wollen. Ein Dienst der nur IPv4 kann ist nur ein vorgeschobener Einwand, da IPv6 heutzutage immer als Dual Stack eingerichtet wird und nur die wenigstens Firmen komplett auf IPv6 setzen dürften, selbst Microsoft hat da zurückgerudert.

Fakt ist, es gibt keine IPv4 Adressen mehr. Fakt ist, dass selbst in der EU es immer schwieriger ist noch eine für einen Server zu bekommen und für die Clients selbst bei DSL Leitungen nur noch DS Lite bereitgestellt wird. Hier wird wieder IT auf dem letzten Drücker gemacht, wird prügeln die alte Technik so lange wie es geht weiter und wenn es dann zu spät ist, wird herumgeschrien man bräuchte mehr Zeit.

Gerade jetzt wegen Corona und massiven Investitionen im Home Office Lösungen, sollte es keine Ausreden mehr wegen IPv6 geben.

Eine bestehende Firmenumgebung mit x-hundert/tausend Clients auf IPv6 umstellen. Was soll da schon schief gehen? Ausfallzeit ist sicher null. Und wofür gibt es noch mal NAT? Es ist immer einfach für Leute ohne Verantwortung und Fachwissen, das ist jetzt nicht auf dich gemünzt, rumzublöken die sollen doch endlich mal was tun. Aber erstens kämpft man da mit Abteilungsleitern die ihre Programme behalten wollen und schon in der Ausbildung best friend mit dem aktuellen Chef wurden und zweitens muss man den Kopf hinhalten wenn es schief geht. Ich kann jeden verstehen der kein Bock auf IPv6 Umstellung hat nur weil der Sekretär des stellvertretenden Abteilungsleiters des Einkaufs meint er versteht bei der Teams Sitzung mit seinem sowieso viel zu lahmen und uralten Businessnotebook das er zu letzten Gehaltserhöhung vor einem halben Jahr dazubekommen hat, nicht genug weil seine Verbindung viel zu schlecht ist. Und klar liegt es am VPN und nicht daran das er während der Teamsitzung über WLAN im Garten arbeitet mit seinem Bluetooth Headset übers Notebook verbunden.

 

[xexex]

Eine bestehende Firmenumgebung mit x-hundert/tausend Clients auf IPv6 umstellen.

Der Punkt an der Geschichte ist, man "stellt" nichts um, man fügt etwas hinzu. Die Implementierung von IPv6 verändert nichts an den vorhandenen IPv4 Strukturen, aber anscheinend sind manche nicht fähig dies zu erkennen und haben wie ich bereits sagte keine Lust sich damit zu beschäftigen, solange es noch "funktioniert".

Und wofür gibt es noch mal NAT?

NAT wurde "erfunden", als man vor 40 Jahren festgestellt hat, dass man mit den IPv4 Adressen nicht auskommt und eine Lösung brauchte um trotzdem alle Geräte ans Netz zu bringen. Großen Firmen aus der Anfangszeit hat man noch ganze Class-A Adressbereiche gegeben, weshalb auch die Telekom bis heute so viele IPv4 Adressen hat.

Ich bin seit 20 Jahren in der IT tätig, ich kenne die Einstellung von vielen zu IPv6 und es ist schlichtweg zum Kotzen. Das betrifft aber nicht nur IPv6, es betrifft die gesamte Branche und auch die Politik. Wir können fast schon Corona "dankbar" sein, dass plötzlich überall Home Office möglich ist und wie selbstverständlich auch lernen von Zuhause auf einmal forciert wird, jahrelang wurde darüber bestenfalls diskutiert.

Leider muss es eben immer erst knallen, bevor die Verantwortlichen beginnen ihr Hirn einzuschalten und tätig zu werden.

 

[beercarrier]

also wenn sowieso nicht über ipv6 geroutet wird brauch ichs auch nicht eintragen das ist...

 

[Shio]

Was ist denn "der Client"? Die Store App? Ist aber jetzt auch OT.

halt den Global VPN Client von Sonicwall

 

[brainDotExe]

Eine bestehende Firmenumgebung mit x-hundert/tausend Clients auf IPv6 umstellen. Was soll da schon schief gehen? Ausfallzeit ist sicher null.

Moment, mann muss unterscheiden zwischen komplettes Firmennetz um IPv6 erweitern oder VPN Gateways um IPv6 als Transportprotokoll erweitern.
Letzteres ist ein sehr geringer Aufwand (wenn entsprechend halbwegs aktuelle Hardware/Software verwendet wird).
Im Tunnel selbst und im kompletten Firmennetz bleibt alles beim Alten nur der Tunnel wird dann auch über IPv6 (Dualstack) ermöglicht.