DS-Lite Anschluß bei Eazy/Vodafone für VPN Problem und Umgang?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
O

Oetsch

Neuer User
Mitglied seit
16 Mai 2005
Beiträge
148
Punkte für Reaktionen
4
Punkte
18
Hi
habe über Eazy einen 20er Kabelinternetanschluß der über Vodafone ehem. Unitymedia ausgeführt wird.

Aktuell ist trotz reduzierter MTU es nicht möglich eine voll-funktionsfähige VPN-Verbindung ins Firmennetz zu nutzen und die Konzern-IT-Abteilung gab klar die Lösung, dass mit Vodafone zu klären, nur die können das lösen und umstellen.

Der erste Versuch ergab nach einem Telefonat mit einer aufdringlichen Mitarbeitern die vordergründig einen teureren Vertrag verkaufen wollte, dass mein Router (Connect Box) gegen eine Vodafone Box getauscht wurde.

Das löste das Problem natürlich nicht und ich telefonierte wieder. Etliche Diskussionen wieder warum ich nicht 14€ mehr im Monat zahlen möchte und den Vertrag wechseln möchte..... bis die Dame dann eine Umstellung auf Ipv4 versuchen wollte. Die Buchung/Umstellung scheiterte da dies nicht mit meinem 20er Vertrag möglich sei und der ja auch uralt sei.

Ich entgegnete dass ich den 1 Jahr abgeschlossen habe und nicht informiert sei einen Anschluß/Vertrag 2.ter Klasse zu haben mit dem 2021/2022 kein HomeOffice möglich sei.
Für mich läge Laeinhaft gesprochen hier eine funktionale Beeinträchtigung/Störung vor und ich bitte um Klärung.

Dies endet nun darin, dass sie mir einen Technik gebucht hat der morgen kommt um den Anschluß zu prüfen.

Was soll da groß rauskommen? Natürlich nix solange mir Vodafone keinen Dual Stack schaltet.

Wie seht ihr das und sind Eure Erfahrungen? Der Vertrag reicht mir von der Geschwindigkeit und hab auch kein Bock das doppelte zu zahlen, wo der Vertrag noch 1 Jahr Laufzeit hat.

Besten Dank für Eure Tips!
 
Danke. Gibt es dazu Erfahrungen bzw. übliche Begründungen die man nutzen kann. Habe mich bisher total dumm gestellt und was Dual Stack oder IPv4/IPv6 ist unkommentiert gelassen. In erster Linie habe ich einen Vertrag über einen vollwertigen Anschluß (nach meiner aktuellen Meinung) und der funktioniert nicht im HomeOffice. Gibt es dazu eine Regelung ob man einen Anspruch darauf hat bzw. ob Vodafone im Prinzip reagieren muß und ich nur hartnäckig bleiben muß?


Ich mein im Prinzip verstehe ich es nicht. Der neue Router und der Technikereinsatz kostet Vodafone mehr als einfach Dual Stack zu schalten oder nicht?
 
Eine "ordentliche" Dial-In-VPN-Verbindung in eine Firma sollte auch per DS-lite und/oder Carrier-grade NAT funktionieren. Das macht ja sogar eine "bucklige" Fritzbox mit IP4-only-VPNs. Irgendwelche wenigstens andeutungsweisen Infos über das HomeOffice-VPN bist du uns aber noch schuldig.
 
Wenn dir die Info etwas hilft, es läuft über einen Client "Global Protect" und der stammt wenn ich es richtig ergoogelt hab von Palo Alto networks.
Vielmehr weiß ich auch dazu nicht. Ein Versuch mit kurzeitiger Wirkung der IT (keine Adminrechte) hat durch eine MTU von 1300 für die NIC Erfolg gebracht. Funktioniert aber derzeit nicht mehr.

Privat fahre ich noch einen Wireguard Tunnel darüber und der machte irgendwann auch Probleme und eine MTU auf 1392 verhalf zu vollständigen Funktion.
 
Hier auch noch einmal meinen "Senf" zu diesem Thema (sonst schreibe ich mir im 1&1-Forum zu diesem Thema die Finger wund und mache mich unbeliebt).

Kurzfassung:
  • Auch wenn die bekannten Ignoranten es immer wieder bestreiten: die Zeit der massenhaft vorhandenen und verfügbaren IPv4 ist nun wirklich endgültig vorbei! Ja, einige Provider konnten in "guten Zeiten" vorsorgen und genügend IPv4 kaufen und "bunkern". Andere Provider sind einfach "zu spät" gekommen und verfügen heute nur noch über eine sehr begrenzte Anzahl frei verfügbarer IPv4 und können ihren Kunden einfach keinen DS mehr anbieten. Andere Provider waren "klüger" und halten jetzt für die Vergabe einer IPv4 ihre Hand auf.
  • Dieses Problem der begrenzten Anzahl von IPv4 wurde im Verlauf der letzten 2 Jahrzehnte mit diversen Krückenlösungen immer wieder mehr oder weniger erfolgreich nach hinten rausgeschoben: zuerst mit dem bekannten NAT (wo die Kunden eine einzige routingfähige IPv4 bekamen und das Heimnetz mit mehreren hosts, "private", nicht routingfähige IPv4 verteilte und eine begrenzte Erreichbarkeit über Portfreigaben ermöglicht wurde). Später kam das sogenannte "DS-lite", wo bereits seitens des Providers nur noch eine private IPv4 vergeben wurde - zusätzlich zur IPv6 mit allen ihren Möglichkeiten und Vorteilen. Die allermeisten Kunden bemerken dabei überhaupt nicht, dass die meisten ihrer abgehenden Verbindungen schon über IPv6 erfolgt und das obsolete IPv4 nur in seltenen Fällen (wo das zu erreichende Ziel nur über IPv4 erreichbar ist) genutzt wird. Und aktuell wird von so manchen Providern (wie bspw. 1&1) das Port-Control-Protokol angewendet, wo eine Art NAT mit der Weiterleitung einer bestimmten Anzahl von Ports nach "innen" möglich ist.
    Mit allen diesen Verfahren ist es möglich, mit etwas "Frickelei" im Heimnetz gehostete Dienste (ja, auch VPN!) aus dem Internet erreichbar zu machen. Zumindest mit etwas Sachkenntnis und Bereitschaft von allen Beteiligten. Trotzdem bleibt es eine Frickelei, welche eigentlich im Jahr 2023 nicht mehr notwendig sein sollte!
  • Heute bietet jeder Provider (ja, es mag einige unbedeutende Ausnahmen geben) seinen Kunden native IPv6 an. Mit diesem zukunftsfähigen Protokoll könnten alle Probleme und Engpässe überwunden sein …
    Ja wenn, alle Beteiligten mitspielen würden.
    - Wenn sich die Kunden mit IPv6 befassen würden und bereit wären, etwas umzudenken und zu lernen. Dann würden sie auch die vielen Vorteile von IPv6 erkennen und auch nutzen! (Ja, ich weiß, Umdenken ist oftmals mit einer unzumutbaren Kraftanstrengung verbunden!)
    - Wenn die Firmen ihre Infrastruktur (oder zumindest in einem ersten kleinen Schritt ihre VPN-Zugänge!) auf IPv6 umstellen würden (aber nein, sie verlangen einfach, dass ihre im HomeOffice beschäftigten Mitarbeiterinnen und Mitarbeiter sich um einen Zugang mit DS kümmern sollten). Mittlerweile ermöglichen ja schon eine Reihe diverser Router auch ein VPN native über IPv6 zu betreiben. Und anstelle von den Mitarbeiterinnen und Mitarbeitern IPv4 zu fordern, sollten diese Firmen dann diesem Personenkreis eine verhältnismäßig billige Fritz!Box spendieren (oder zumindest leihen, bis deren Router ebenfalls das VPN über IPv6 aufbauen kann.)

So, nun bin ich gespannt, was in der Zwischenzeit zu diesem Thema gepostet wurde. Aber keine Angst, ich bin aus dem 1&1-Forum entsprechendes Bashing gewohnt.

vy 73 de Peter
 
Peter_Lehmann schrieb:
und anstelle von den Mitarbeiterinnen und Mitarbeitern IPv4 zu fordern, sollten diese Firmen dann ..
Zum Vergrößern anklicken....
Davon habe ich nichts gelesen, dass die Konzern-IT DS oder ähnliches vom MA fordern würde.
Allerdings kann ich mir auf "nicht möglich eine voll-funktionsfähige VPN-Verbindung ins Firmennetz zu nutzen" keinen richtigen Reim machen. "Meine" VPN-Verbindungen funktionieren nie halb. :)
 
@FlyingToaster dafür hab ich zu wenig Ahnung davon und war mir bisher auch eher fremd bis ich die Probleme mit der privaten Wireguard Verbindung bekam. SSH und einfache Ping Kommunikation ging ohne Probleme durch den Tunnel. Browseranwendungen schlugen fehl. Eine Reduzierung der MTU lies dann wieder alles zu. Daher meine analoge Aussage zur VPN Verbindung im Gegensatz zu einer digitale Funktioniert/Funktioniert nicht, wie ich lernen durfte.

Ähnlich jetzt im Firmen VPN. Einige Browserapplikationen funktionieren wie etwa SAP Anbindungen aber zu einem anderen System wie beispielsweise dem CRM System funktioniert es nicht. Das meine ich mit Teilfunktion.

Und wie gesagt, einmal hat ein IT Kollege meine MTU auf 1400 reduziert und ich konnte 1 Tag völlig ohne Probleme arbeiten.

Als Ergänzung und auch Punkt, wo sich die Firmen-IT ausklinkt, ist wenn man erwähnt, dass am Smartphone über den mobilen Hotspot alles einwandfrei funktioniert aber über den privaten Internetanschluss nicht. Somit klar wo das Problem liegt und ich steh zwischen den Stühlen, grrrr
 
Zuletzt bearbeitet:
Hallo @FlyingToaster!

Ich beziehe mich hier auf ~100 in den letzten Wochen teilweise als direkte Forderung an den Provider geposteten Beiträge im 1&1-Forum. Gegenwärtig sind grob überschlagen 80% aller Postings fast gleichlautende (garantiert kopierte) Beiträge, wo die Kunden DS "erbitten". Wie es aussieht, wurde seitens der werten Kundenschaft erkannt, dass da etwas zu Ende geht und ganz schnell gehandelt werden muss … (Und garantiert arbeiten diese Leute nicht alle im HomeOffice!)
(Es sind sogar Kunden dabei, welche gar nicht wussten, dass sie schon immer DS hatten, wie nachträglich der Provider feststellte.)

Aber immer steht im Beitrag, dass die Kunden von ihrem Arbeitgeber aufgefordert wurden, sich um "eine IPv4" zu kümmern (so als ob sie überhaupt keine hätten …), weil ein VPN mit IPv6 angeblich nicht betrieben werden kann.
Ich vermisse in diesen Beiträgen jeglichen Willen der Firmen, ihre Mitarbeiterinnen und Mitarbeiter beim Einrichten des VPN zur Firma konstruktiv zu unterstützen. Entsprechende Nachfragen meinerseits ("Frag doch mal deine Firma, ob und wann …) wurden mit totaler Ignoranz "beantwortet".
Und ich habe in den Beiträgen festgestellt, dass viele Kunden auch der irrigen Meinung sind, dass ihnen eine routingfähige IPv4 rechtlich zusteht. Niemand, auch unser Provider, getraut sich, denen das Gegenteil zu beweisen. Da brauchen wir uns über das fordernde Auftreten (einschließlich des Drohens mit Kündigung) nicht zu wundern.

BTW:
Ich habe viele Jahre (auch privat) im großen Stil VPN-Verbindungen (damals noch IPsec), auch zu Freunden welche nur DS-lite haben, erfolgreich und völlig problemlos betrieben. Wenn man die auftretenden Schwierigkeiten und auch entsprechende Lösungen kennt, ist das alles kein Problem.
Heutzutage, wo die gängigen F!B WireGuard beherrschen und sogar das "gute alte" IPsec über IPv6 fahren können, ist das ja alles kein Thema mehr.

(Schon sehr oft gepostet, sorry) Ich betreibe ein WireGuard-Netz, bestehend aus ggw. 8 WireGuard-"Servern" (auf OpenWrt umgeflashte 4040 und 7412) in drei Ländern und mit dort direkt angeschlossenen über 60 Endgeräten. Und mir ist es völlig "Wurscht", ob die Tunnel über IPv4 oder IPv6 betrieben werden (über 80% nutzen IPv6) und innerhalb des Tunnels sind (zumindest bei der vollständigen OpenWrt-Installation) ja eh beide Protokolle standardmäßig möglich. Oder anders gesagt: echter Dualstack.

vy 73 de Peter
 
Hi
da mir die Verbindung Dual Stack mit VPN Problemen nahegelegt wurde und ich a) selbst und b)hier lesbar ggf alle Vorraussetzung habe um über die bestehende Verbindung dies in voller Funktion zu betreiben, die große Frage was ich tun kann/sollte?

Vodafone bietet nur begrenzte Optionen an und wenn ich es richtig verstehe ist a) nicht gewährleistet, dass sie mir mit einen teurerem Vertrag auch Dual Stack verträglich zusichern und b) das überhaupt mein Problem löst.

Die Firmen-IT bekomme ich nur begrenzt zur Handlung da es als "privates Problem" gesehen wird.

Da ich privat per Wireguard mit einer MTU von 1392 alle Probleme beseitigen konnte. Die Frage ob die MTU am Firmengerät von 1400 ggf. noch zu hoch ist. Eine Umstellung auf 1392 bzw. gleich 1300 kann ich versuchen anzufragen. Macht das Sinn? Kommt mir sinnvoller vor als tagelang mit Vodafone Technikern oder der Hotline zu aggieren ohne Ergebnis.
 
Hallo @Oetsch!

Kein, wirklich kein (seriöser) Provider kann es sich heutzutage leisten, seinen Kunden in einem Privatkundentarif vertraglich und dauerhaft eine routingfähige IPv4 zuzusichern. Ja, einige können aktuell noch routingfähige IPv4 vergeben, bei einigen wird es immer knapper und andere Provider sind hinsichtlich IPv4 längst am Grund der Grabbelkiste angelangt. Das ist eben so, und die Anzahl der noch vorhandenen und zu vergebenden IPv4 werden als strenges Firmengeheimnis gehütet. (So bekomme ich niemals eine Antwort auf eine entsprechende Frage von meinem Provider).

Oetsch schrieb:
Die Firmen-IT bekomme ich nur begrenzt zur Handlung da es als "privates Problem" gesehen wird.
Zum Vergrößern anklicken....
Und genau das bezeichne ich als eine riesengroße Frechheit! Allerdings, auch hier sollten wir klar unterscheiden, ob der Arbeitgeber "jemanden in das Homeoffice schickt", also aus irgendwelchen schlüssigen Gründen dieses Verfahren anordnet (wie es in der Pandemie verständlich und IMHO sinnvoll war), oder ob er dem Wunsch einer oder eines Beschäftigten mit "gutem Willen" nachkommt. Bei der ersten Variante ist es nach meinem Verständnis eine Pflicht des AG, hier auch unterstützend zu wirken und nicht die Verantwortung einfach auf den Beschäftigten oder seinen Provider abzuwälzen. Ich bin kein Jurist, sondern "nur" ehemaliger IT-Sicherheitsfuzzi :), aber ich habe mitbekommen, dass (bei angeordnetem?) HomeOffice sogar bestimmte Arbeitsmittel wie der PC und Büromöbel gestellt werden müssen. Da sehe ich auch die Pflicht des AG zur technischen Unterstützung!
Etwas völlig anderes kann es bei wunschgemäßer Tätigkeit im HomeOffice seitens des AN sein.

Trotzdem: mein eigenes Berufsverständnis hätte es mir nie zugelassen, einen unserer Mitarbeiterinnen und Mitarbeiter mit einer dummen Bemerkung einfach so im Regen stehenzulassen.
Oetsch schrieb:
Da ich privat per Wireguard mit einer MTU von 1392 alle Probleme beseitigen konnte …
Zum Vergrößern anklicken....
Ich gehe davon aus, dass du völlig ohne Unterstützung der IT-Abteilung deines AG das Problem nicht lösen kannst. Zum einen weiß hier niemand, um welches VPN es sich bei euch handelt (IPsec?, OpenVPN? oder schon WireGuard oder was auch immer). Klar kann man mit dem Wert für MTU bestimmte Optimierungen vornehmen. Aber auch hier muss man gute Informationen zur eingesetzten Technik haben. Einfach auf Verdacht geht nicht … .

Fazit:
Ich sehe die einzige Möglichkeit für dich darin, mit dem AG ins Gespräch zu kommen. Und da kommt es eben wirklich davon an, von wem es ausging, dass du jetzt im HomeOffice arbeitest. Das ist für mich der Knackpunkt. Also, wer die meisten Vorteile daraus zieht.

Viel Erfolg!

va 73 de Peter
 
Danke, was ich draus machen kann mal gucken, aber "etwas zu fordern" in Richtung AG liegt mir fern.

Auch wenn ich vielleicht eine "Extrarunde" drehen muß bezog sich meine Frage eher in Richtung Problemlösung ohne irgendwo "rumzuwirbeln" weder beim AG noch bei Vodafone.

Da scheint es technisch nichts sinnig zu geben, entnehme ich Eurem Feedback.

Der Techniker war gerade da und verlief etwa wie erwartet. Er hat nicht mal einen Kugelschreiber dabei um dann den Router auf Werkseinstellung zu setzen und wieder zu fahren. Aber nicht ohne einen Tip zu hinterlassen. Wenn ich Probleme mit VPN Verbindungen hätte solle ich mir doch eine FritzBox mieten/kaufen damit würde es besser funktionieren. Was kann die FB was die VodafoneStation nicht kann oder schlechter macht? Was sagt Ihr dazu?

P.S.: Und mein Kommentar bzgl. Kugelschreiber ist in Richtung Sinnhaftigkeit eines Technikerbesuchs bei dem Problem zu verstehen. Der Techniker wird von einem SubUnternehmen "auf die Straße" geschickt und kann da bei bestem Willen nix zu.
 
Zuletzt bearbeitet:
Abschließend eine kurze Rückmeldung. Da der Anschluß im Rahmen des üblichen Vertragsspektrums laut Euch (kein Anspruch auf Dual Stack oder ähnliches) und dem Techniker in Ordnung ist, gab es noch einen Versuch bei der Firmen-IT. Jeder Kollege ist anders und mit Verweis auf den Routertausch und Technikereinsatz ohne Befund durch Vodafone war der Kollege sehr zugänglich. Der Hinweis auf vorherige Reduzierung der MTU von 1500 auf 1400 was einen Tag problemloses Arbeiten ermöglichte mit Frage ob man dies wiederholen kann. Erzeugte, dass er die MTU auf 1300 absenkte, was prompt zum problemlosen Arbeiten verhalf. Zum Schluß der Hinweis, dass wenn es hier nochmal Probleme gibt, würde er mir das "Whitelisten", dass ich es selbst ohne Adminrechte modifizieren kann. Auch wenn es nicht der technischen Ideallösung entspricht, kann ich damit sehr zu recht kommen.
 
Hallo @Oetsch!

Es freut mich, dass du einen verständnisvollen (oder mitdenkenden) Mitarbeiter zur Zusammenarbeit überreden konntest. Leider ist es so, dass … wie ich in meinem letzten Beitrag beschrieben habe.
Nun, nicht immer kann man das Problem mit einem geringeren MTU lösen. Aber dort, wo dieses das Problem ist, sollte man das zumindest probieren.
Ja, es gibt kleine Scripte, mit denen man recht schnell den MTU optimieren ("austesten") kann. Und es ist auch eine Tatsache, dass jede durch das VPN eingezogene Protokollschicht einige Bit mehr benötigt.

Ich habe in meinem doch schon (für private Verhältnisse) recht großen WireGuard-VPN den von J. Donenfeld in der Originaldokumentation empfohlenen MTU-Wert einfach stehen lassen. Meine ständigen (automatisch ablaufenden und ebenso ausgewerteten) Test mit iperf3 zwischen den 8 WG-"Servern" zeigen, dass der jeweilige max. Upload (40.000) unserer DSL-Verbindungen fast vollständig ausgelastet ist. Nur aus Dänemark (symm. 1Gbit/s) kommen fast 100.000 an.

Und, ich finde dein Beispiel sehr gut, da es meine schon x-mal gepostete Meinung bekräftigt, dass man für ein funktionierendes VPN (und überhaupt für die Erreichbarkeit im Heimnetz gehosteter Dienste) wirklich nicht unbedingt einen mit DS betriebenen Internetzugang benötigt. Wenn alle Beteiligten mitdenken (dazu gehört auch, IPv6 zu verstehen!) und auch aufeinander zugehen und miteinander reden würden.


vy 73 de Peter
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Oetsch
Hallo @Peter_Lehmann

Danke und da sprichst du sicher viel Gutes an. Was mir dabei jedoch sofort in den Sinn kam, war dass man gerade als technisch in dem Thema etwas nichtso versierterer Mensch extrem schwer hat die wirkliche Hilfe zu erkennen. Damit meine ich als Beispiel, dass zB hier relativ schnell auch vom eigentlich geschulten Personen wie dem Vodafone Support mir bei VPN Problemen gerade zu die "Wunderwaffe" Dual Stack in den Mund gelegt wurde. Ich habe mich bewusst mit technisch/fachlichen Ausdrücken zurück gehalten und bin entsprechend froh diese pauschalisierten Antworten nun als nicht einziges "Wort zum Sonntag" erkennen zu dürfen. Hätte ich beiden Seiten einzig und sofort Glauben geschenkt, hätte ich jetzt einen doppelt so teuren Vertrag für 2 Jahre den ich nicht brauche da die VPN Verbindung immer noch haken würde.
Auf die MTU Reduzierung wäre vielleicht irgendwann wieder ein Kollege gekommen hätte ich nicht darauf gedrängt, aber wer weiß wann und nach wievielen Telefonaten....
Sehr schade, aber entsprechend herzliches DankSchön für eine neutrale Hilfe hier im Forum die extrem willkommen ist um so etwas "gesund" zu bewerten und aktuell auch zum Glück auch zufriedenstellend zu lösen.
 
Zuletzt bearbeitet:
@pa-jt auch nach intensivster Suche kann ich dort nicht ein Wort zu VPN Eigenschaften oder bezogen auf die hier gennante Aufgabenstellung finden und entsprechend hilft mir das zum Thema leider nicht weiter.
 
  • Haha
Reaktionen: KunterBunter
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 347 (Mitglieder: 28, Gäste: 319)

Neueste Beiträge

Statistik des Forums

Themen
246,356
Beiträge
2,250,743
Mitglieder
374,008
Neuestes Mitglied
Tommi59
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück