VPN-Verbindungsabbrüche Lösungsansätze gesucht

[QuantumQuirk]

Hallo zusammen,

ich habe eine Frage an die Runde, speziell an die IT-Administratoren unter euch. Wie geht ihr vor, wenn sich ein Anwender über Verbindungsabbrüche mit der VPN-Verbindung beschwert und fest davon überzeugt ist, dass es nicht an seiner Internetleitung liegt?

Bei uns überprüfen wir systemseitig die Logs der Firewall. Oft stellen wir fest, dass der Abbruch bzw. die Sitzung vom Benutzer initiiert wurde, was nahelegt, dass es sich um ein lokales Problem handeln könnte. Das Problem ist jedoch, dass wir angewiesen sind, keine zu tiefen Analysen durchzuführen, die einen Eingriff in das private Heimnetzwerk darstellen.

Häufig kommt dann das Argument vom Anwender, dass es nicht am privaten Internet liegen kann, weil der private Laptop und das iPad vom Geschäft auch funktionieren. Es ist schwierig zu erklären, dass dies zwei verschiedene Paar Schuhe sind. Oftmals stelle ich fest, dass viele sogenannte WLAN-Verstärker oder PowerLine-Adapter einsetzen. Diese Geräte sind zwar nützlich, können aber durchaus Probleme verursachen.

Wenn ich vorschlage, das Gerät direkt per LAN-Kabel am Router anzuschließen, kommt häufig die Antwort: “Der Router ist im Keller, das geht nicht.”

Wie geht ihr mit solchen Themen um? Welche Ansätze und Lösungen habt ihr gefunden, um solche Situationen zu klären und den Anwendern zu helfen, ohne ihre Heimnetzwerke tiefgehend zu analysieren?

Ich freue mich auf eure Erfahrungen und Tipps!

Quantum

 

[azereus]

Wenn ich vorschlage, das Gerät direkt per LAN-Kabel am Router anzuschließen, kommt häufig die Antwort: “Der Router ist im Keller, das geht nicht.”

darauf bestehen schliesslich bist du der admin in erster instanz

/edit:
würde es am firmennetz liegen würden sich mehr user melden. nachdem sich nur 1 user meldet liegt es eher am user und seiner accessanbindung

 

[JumpingCat]

Gar nicht, oder? Wenn es bei 99% der Benutzer stabil läuft, dann bricht sicherlich nicht bei genau den restlichen 1% der Nutzer immer wieder die Verbindung weg.

Du könntest die Leute bitten im VPN konstant irgendwas in eurem Netz anzupingen. Und gleichzeitig von anderen Geräten euren VPN-Endpunkt. Da wird dann in der Regel Packet Loss auftreten. Der Packet Loss wird aber auch auftreten wenn die "nur" z.B. die 8.8.8.8 anpingen.

Eventuell liegt es aber auch an einem bestimmten Provider mit CGNAT, etc. Hast du da mal Daten versucht zu sammeln? Du siehst ja woher die VPN-Verbindungen kommen und kannst sagen das Abbrüche vor allem Provider A und Provider B auftreten.

 

[QuantumQuirk]

Das schlimme daran ist, dass ich immer das Gefühl habe das auch schwarz auf weiß zu beweisen. Es reicht nicht zu sagen, dass es vermutlich an seiner lokalen Infrastruktur liegt. Das macht es verdammt schwierig und frustrierend an solche Tickets zu arbeiten.

 

[azereus]

Das macht es verdammt schwierig und frustrierend an solche Tickets zu arbeiten.

das ist als ISP ganz genauso. Also willkommen im Club.

 

[QuantumQuirk]

Eventuell liegt es aber auch an einem bestimmten Provider mit CGNAT, etc. Hast du da mal Daten versucht zu sammeln? Du siehst ja woher die VPN-Verbindungen kommen und kannst sagen das Abbrüche vor allem Provider A und Provider B auftreten.

Erfahrungsgemäß lag es in den wenigsten Fällen tatsächlich am Provider. Meistens war es immer die lokale Infrastruktur.
Ich kann den Anwender auch nachvollziehen. Er möchte nur unterbrechungsfrei arbeiten und seine Arbeit erledigen. Dabei interessiert ihn nicht, ob die WLAN Verstärker, die er teuer bezahlt hat nun die Problemverursacher sind.
Mir geht es darum professionell und sachlich und am besten noch laienhaft dem Anwender beizubringen, dass wir keine weitere Störungen gemeldet bekommen haben.
Noch schlimmer sind dann die Fälle, wenn man sich Remote auf den Rechner dann schaltet und alles überprüft, die Verbindung ohne Probleme funktioniert. Das sind dann die Verbindungsabbrüche, die nur sporadisch auftreten.

 

[Azghul0815]

würde es am firmennetz liegen würden sich mehr user melden. nachdem sich nur 1 user meldet liegt es eher am user und seiner accessanbindung

Wahre Worte.

Du kannst bei sturen Endanwendern nichts machen. Wenn sie nicht von zuhause aus arbeiten können, weil der VPN nicht geht, müssen sie halt ins Büro.
Gibt ja kein Recht auf HomeOffice 😉

 

[QuantumQuirk]

Gibt ja kein Recht auf HomeOffice 😉

Wie Wahr!

Ergänzung (8. Juli 2024)

Es ist also nicht nur bei mir so, sondern offensichtlich bei vielen anderen auch so. Du möchtest einerseits professionell agieren und sachlich und auch kundenorientiert. Das ist in solchen Fällen schwer zu umsetzen außer mit der Führungsebene darüber zu sprechen.

 

[Azghul0815]

In jeder Firma gibts immer jemanden, der alles besser weiss.
Sieht du hier im Forum ständig...100x wird gesagt, bitte BIOS reset, 99x heisst vom TE "kann nicht sein" beim 100ten mal tut ers und siehe da...Problem weg.

Insofern

PS: Und wie hier bekommen nicht mal "Schmerzens"Geld. Wir Masochisten tun uns das freiwillig an und hin und wieder landet man (ich), wenn ich mal Frust ablasse im Aquarium

 

[Pilatesjünger]

Vodafone mit Powerline im Keller. Beste.

 

[redjack1000]

Das schlimme daran ist, dass ich immer das Gefühl habe das auch schwarz auf weiß zu beweisen.

Also ich drehe den Spieß in der Regel um, liefere Auszüge aus den Logfiles, aus denen hervorgeht, das der Client die Verbindung abbricht.
Anschließend bitte ich den Benutzer, dafür zu sorgen, das sein Client die Verbindung nicht abbricht.

Wenn ich vorschlage, das Gerät direkt per LAN-Kabel am Router anzuschließen, kommt häufig die Antwort: “Der Router ist im Keller, das geht nicht.”

Das kenne ich auch, ist gar nicht so lange her, da kam eine ähnliche Anforderung. Ein Benutzer wollte ins Homeoffice, also Gerät vorbereitet, getestet und dem Benutzer übergeben.
Es dauerte nicht lange, das der Benutzer nicht arbeiten könnte...... an seinem Arbeitsplatz gibt es kein Netzwerk. Ich habe dann einfach in Lösungen gedacht und genau das Vorgeschlagen, bitte zum Router bewegen und Gerät dort anschließen.

Das war natürlich aus vielen Gründen nicht möglich. Ich habe dann dem Benutzer mitgeteilt, er kann sich ein 30 Meter Patchkabel abholen.

Cu
redjack

 

[QuantumQuirk]

Solche Tickets könnten eigentlich schnell und unkompliziert gelöst werden, ohne aus einer Kleinigkeit ein großes Problem zu machen. In der Praxis sieht es jedoch oft ganz anders aus.

In solchen Fällen würde ich den Anwender gerne bitten, ein Netzwerkkabel zu verwenden und sich direkt mit dem Router zu verbinden. Das Netzwerkkabel würde ich als kundenfreundlicher IT-ler bereitstellen.

Falls eine schriftlicher Nachweis gewünscht wird, würde ich die entsprechenden Logs präsentieren, auch wenn der Anwender diese möglicherweise nicht verstehen wird oder?

 

[redjack1000]

würde ich die entsprechenden Logs präsentieren, auch wenn der Anwender diese möglicherweise nicht verstehen wird oder?

Ich bewerte nicht ob der Benutzer das versteht oder nicht, ich bewerte Fakten und Fakten sind Logfiles, Screenshots usw.

CU
redjack

 

[xxMuahdibxx]

Fakt ist das der Anwender in der Pflicht ist ein zu 100 % Funktionierendes Netzwerk bereitzustellen fürs Homeoffice ... und dazu gehört nicht WLAN.

Und wenn er keinen Internetausfall hat aber das VPN halt auf das sporadisch nicht vorhandene WLAN Signal mit Abbrüchen reagiert dann muss er nachbessern.

Laut dem hier bei allgemeinen Internetausfall -> Kabel schicken ...
https://kanzlei-herfurtner.de/homeoffice-internetausfall/

@Pilatesjünger Powerline ist schnell anfällig und wenn es getrennte Stromkreise sind kann es auch schnell komplett schief laufen. Das kann sehr Individuell sein und ist daher keine Empfehlung egal von welchem Hersteller.

 

[eigs]

Ich gehe davon aus, dass unsere IT allgemeine Tipps geben wird und das private Netzwerk nicht analysieren wird.
Sollte der Kunde darauf beharren, dass das Problem nicht bei ihm liegt würden die ihm wahrscheinlich fragen ob das Problem auch mit dem integrierten Mobilfunkmodem und der Firmen SIM auftritt.
Wenn der Mitarbeiter alles über Mobilfunk abwickeln will und dadurch mehr Datenvolumen benötigt, dann muss er sich das mit seinem zuständigen Vorgesetzten oder Besteller ausmachen.

 

[Hammelkoppter]

Bei ein zwei Kunden hatte ich ähnlich Phänomene d.h. einige wenige Mitarbeiter hatten Probleme mit ihrer VPN Verbindung und willkürliche Disconnects. Versuch mal die MTU runter zu setzen auf z.B. 1300. Vielleicht haben die betroffenen Nutzer nen DS-Lite Anschluss. Die Einstellung der MTU ist meist global d.h. Wartungsfenster oder mal Abends machen. Ist jetzt nur ein Schuss aus der Hüfte aber vielleicht hilft es.

 

[LasseSamenström]

Welche Ansätze und Lösungen habt ihr gefunden, um solche Situationen zu klären und den Anwendern zu helfen, ohne ihre Heimnetzwerke tiefgehend zu analysieren?

1. Wie oft kommt es vor? Gibt es einen Rythmus oder sporadisch?
2. ggf. über Smartphone Hotspot austesten. Gibt es dort auch die Abbrüche?
3. Ob es Aussetzer im LAN gibt (ping "gatewayip" -t)

Das wären meine ersten Fragen bei Ursachenforschung

//Grad erst gesehen das der Thread ja schon 3 Wochen alt ist. ups

 

[h00bi]

und fest davon überzeugt ist, dass es nicht an seiner Internetleitung liegt?

Ich teste im Büro übers Gäste-(W)LAN mit separater Internetleitung. Wenns da geht und zuhause nicht, ist das erstmal nicht meine Baustelle.
Erst recht nicht wenn zuhause WLAN zum Einsatz kommt und "Kabel verlegen nicht möglich" ist.
Dann ist halt auch von zuhause Arbeiten nicht möglich.

Umständlich wirds bei solchen Problemen bei Full-remote-lern, denen wir den Internetanschluss bereitstellen. Das sind aber zum Glück nur wenige und die arbeiten auch alle anständig verkabelt.

 

[scooterman]

Ich liebe es wenn Layer 8 es nicht einmal einsieht das er scheiße gebaut hat!
Wir schaffen unseren VPN Server grade ab weil alles in die Cloud geht SaaS, kein OnPrem mehr.
Aber wir brauchen noch für das ein oder andere Ding unseren VPN und da haben wir festgestellt, ganz simpel, keine Updates machen(alle Geräte die selbe Version) für Tunnelblick war das unsere Problemlösung, lässt sich ja auch alles über MDM oder so steuern. Sollte natürlich nur eine kurzfristige Lösung sein wenn es keine LTS ist.