Heute noch ein Nachtrag zum Thema Breitbandanschluss bei Vodafone Kabelkunden, wo es Probleme gibt, eine VPN-Verbindung aufzubauen. Trifft möglicherweise Nutzer im Home-Office, die das für den Zugriff auf die Firmen-IT einsetzen wollen.
Anzeige
Ich hatte den Sachverhalt ausführlicher im Blog-Beitrag Breitband-Anschluss und kein VPN im Home Office beschrieben, nachdem Blog-Leser Thoma B. mich vor einiger Zeit per Mail auf die Sache hingewiesen hatte. Leute mit modernem Breitband-Internetanschluss, die momentan wegen der Coronavirus-Pandemie ins Home-Office wechseln, stellen möglicherweise fest, dass sie keine VPN-Verbindungen einrichten können – es gibt Fehlermeldungen.
Das Ganze hängt wohl vom Provider und dem Zugang (hier Kabelnetz) zusammen. Speziell Vodafone-Kunden mit neueren Cable Max 1000-Breitband-Anschlüssen scheinen betroffen. Es gab hier im Blog ja einige Diskussionen und Hinweise um dieses Thema, unter anderem auch zum Blog-Beitrag Home Office: Vodafone Breitbandanschluss und VPN-Probleme.
Immer noch bei Vodafone offen?
Aber offenbar ist das Thema beim Kabelnetzanbieter Vodafone (Unitymedia) nicht wirklich vom Tisch. Ich habe Ende Mai 2020 eine Mail von Blog-Leser Thoma B., der mich ursprünglich für das Thema sensibilisierte, bekommen, der auf das nach wie vor ungelöste Problem hinwies:
Re: Kein VPN seit Umstellung auf CableMax 1000
Nachricht:
Liebe Leute,
danke für diese "negativen" Bestätigungen, dass es nicht voran geht mit der laut Vodafone offenkundigen Lösung. Da meine telefonischen Tickets geschlossen wurden und mir hier auch von Vodafone nicht geantwortet wurde, habe ich zusätzlich ein eigenes Ticket aufgegeben. Ich empfehle auch jedem betroffenen, das zu tun und die Tickets untereinander zu verlinken, um Vodafone zusätzliche Recherche zur Lösungsfindung zu ersparen. Meine Annahme ist, Vodafone reagiert erst, wenn eine kritische Masse überschritten ist. Anders kann ich mir das alles nicht erklären, vermutlich muss der Teamleiter des Support hier "aktiviert" werden, damit das Thema priorisiert wird.
Heute habe ich das Kabelmodem außer Betrieb genommen und eine Fritzbox6490 angeschlossen: Ergebnis: Downstream von 1000 auf 500 begrenzt, aber Reaktionszeit beim Webseitenaufruf enorm gesteigert, die WLAN Abbrüche treten nicht mehr auf -> also gefühlter Performanceboost (wohlgemerkt trotz reduziertem Downstream) und vor allem : VPN Cisco Anyconnect funktioniert !
Beste Grüße an alle Leidensgenossen,
Carsten Scholz
Der letzte Stand des Partnertickets Re: Kein VPN mit Cisco Anyconnect seit Umstellung auf CableMax 1000 ist vom 22. Mai 2020 und lautet 'wie auch in dem von dir verlinkten Thread mitgeteilt, wissen wir von den Umständen zur VPN-Verbindung. An einer Softwarelösung wird gearbeitet, sobald diese verfügbar ist, wird es automatisch aufgespielt'. Oder ist jemand inzwischen was neues bekannt?
Anzeige
Anzeige
Mich würde ja mal interessieren, ob denn andere Lösungen funktionieren, also z.B. Wireguard oder OpenVPN. Gerade OpenVPN sollte doch absolut problemlos laufen, da es ja auf dem ganz normalen TCP/IP-Stack aufbaut. Ich nehme mal an, Ciscos AnyConnect benutzt IPSec und das scheint ja schon durchaus Probleme mit NAT o. IPv6-Tunneln zu haben. Vielleicht nutzen die betroffenen VPN-Verbindungen auch noch ein altes IPSec-Verfahren? Ich hatte bisher recht gute Erfahrungen mit IKEv2 gemacht, das deutlich NAT-freundlicher sein soll.
Cisco Anyconnect basiert auf dem OpenVPN System – es ist nur mit weiteren Feature versehn worden. (Sieht man ganz gut – wenn die ASA startet und alle OpenSoftware Licensen auflistet)
Bei uns funktiniert SSL VPN ohne Probleme (nachdem OpenVPN nicht funktioniert hat)
ich werf mal "Dual-Stack Lite" ein
Firmen VPN = v4 nativ
Endkunde = DS-Lite (also keine echte v4)
Dazwischen ein schlechtes oder port limitiertes Gateway
Es gibt einige Betroffene, die mit Einsatz einer FritzBox 6490 anstelle der Vodafone Station keine Probleme mehr mit VPN haben.
Warum es mit dem Roll-out einer neueren Firmware, die das IPSec Problem der aktuellen Firmware 1.09 beheben soll, für die Vodafone Station so lange dauert, ist nicht bekannt.
Ähnliche Probleme übrigens auch bei Citrix, Dual Stack bei Vodafone aktivieren behebt die Schwierigkeiten. Ist übrigens kostenlos.
Hm, ich verwende sowohl VPN mit Cisco Anyconnect vom Home Office aus zur Firma. Als auch von außerhalb nach Hause mit OpenVpn und von dort aus dann mit Anyconnect zur Firma. Das funktioniert mit Vodafone CAbleMax 1000 alles einwandfrei. Von außen allerdings nur nach Umschaltung auf den Bridge Modus. Die Geschwindigkeiten sind auch in Ordnung.
Welche FW Version hat die VodafoneStation? Das mit dem BridgeModus soll auch eine funktionierende Alternative sein, nach Aussage einiger Benutzer.
Wegen Corona wurde bei uns neben PulseSecure noch GlobalProtect eingeführt.
Bei GlobalProtect traten verschiedenste Probleme (gar keine Verbindung möglich, wenn verbunden waren manche Dienste nicht erreichbar oder sehr langsam…) bei IPv6 Internet Anschlüssen auf (besonders oft bei ds-lite). (Zum prüfen einfach beim Problemanschluss mal https://ipv6-test.com/ aufrufen und schauen ob ipv6 genutzt wird.)
Workaround bei uns war, das der MTU Wert auf dem Clientgerät angepasst wurde.
Bei Windows Rechnern hat GP ja einen eigenen virtuellen Netzwerkanschluß, da wurde dann die MTU auf 1300 geändert und eine Verbindung war möglich bzw. es lief alles wieder gut.
Bei MAC Rechnern, muss der MTU Wert bei WLAN oder Ethernet geändert werden, je nachdem was man zuhause nutzt. Evtl. muss man mit dem MTU Wert etwas spielen.
Eine andere Alternative ist optional SSL zu erlauben und bei Problemen wegen DS-lite die Checkbox für SSL zu ersetzen. Neu verbinden und die betroffenen User können ohne Probleme arbeiten!
Das Problem mit dem VPN betrifft mit Sicherheit nur die Kunden die keine echte IP v 4 Adresse bekommen haben. Also eine sogenannte IP v 4 über IP v 6. Anbindung haben.
In diesem Falle läuft die Verbindung über einen sogenannten Proxy. Dieser Proxy setzt dann die Pakete von IP v 6 auf IP v 4 um. Und genau an dieser Stelle hakt es. Das bedeutet hier ist der Server anscheinend zeitweise völlig überlastet und schmeißt dann irgendwelche Verbindungen raus oder nimmt keine mehr an. Genaueres dazu kann sicherlich das Vodafone Netzmanagement mitteilen. Denn die müssen die Auswertungen der Last an diesen Systemen auswerten können. Es sieht also so aus als wenn entweder das lastmanagement nicht funktioniert oder die vorhandenen Systeme völlig überlastet sind weil einfach zu wenig Systeme vorhanden sind. Wie auch immer es ist auf jeden Fall ein Problem von Vodafone, das auch nur von Vodafone gelöst werden kann.
Angeblich soll es eine neue Firmware 2.0.17 geben, die z.Zt. ausgerollt wird, die das Problem mit IPSec VPNs behebt. Bin mal gespannt.
Mit der neuen Firmware 2.0.17 sind die IPSec Verbindungsprobleme gelöst worden.