Keine VPN-Verbindung mehr seit Glasfaser

[Schlittrix]

Hallo zusammen,

bis vor kurzem nutzte ich eine DSL-Leitung mit der Fritz.Box 7530AX und hatte hierbei keine Probleme, die berufliche VPN-Verbindung herzustellen.
Seit meinem Umzug und der Umstellung von DSL auf Glasfaser (Router ist der gleiche geblieben, lediglich ein Glasfaser-Modem ist dazwischen geschaltet) funktioniert diese VPN-Verbindung nicht mehr wie sie soll.
Bei jeder Verbindung bricht die Internetverbindung zum Surfen und Mails schreiben komplett ab: kurios, denn der Laufwerkzugriff funktioniert dann. Eine Internetverbindung muss also weiterhin bestehen, nur eben sehr eingeschränkt.

Bei der Einrichtung bzw. dem Umzug habe ich den Router auf Werkseinstellungen zurückgesetzt, außerdem ist das neuste Fritz.OS installiert.

Habe das Ganze auch schon per Hotspot am PC getestet, hier gibts keine Probleme - es liegt also nicht am VPN Client sondern meinem (neuen) WLAN.

VPN Client ist: paloalto GlobalProtect

Muss ich im Router irgendwas umstellen / konfigurieren?

Danke für jede Hilfe!!!

 

[blurrrr]

Hi,

funktioniert diese VPN-Verbindung nicht mehr wie sie soll

Bei jeder Verbindung bricht die Internetverbindung zum Surfen und Mails schreiben komplett ab: kurios, denn der Laufwerkzugriff funktioniert dann. Eine Internetverbindung muss also weiterhin bestehen, nur eben sehr eingeschränkt.

Teste erstmal folgendes - in der "Eingabeaufforderung":

1) Namensauflösung (jeweils mit aktivierter und deaktivierter VPN-Verbindung)
nslookup test.de
(damit nutzt Du den Dir jeweils "zugewiesenen" DNS-Server)
nslookup test.de 8.8.8.8
(damit befragst Du direkt Google)

2) Routing (wieder mit aktivierter und deaktivierter VPN-Verbindung)
tracert test.de
(zeigt Dir den Weg auf, welchen die Pakete zum Ziel nehmen)

Das hat nun 2 Hintergründe:

1) Es kann sein, dass Dein Arbeitgeber Deinem Rechner bei aktiviertem VPN einen DNS-Server vorgibt, welcher ggf. nur interne Dinge auflöst, womit die restliche Auflösung (Internet) nicht mehr funktioniert, dafür aber eben die "internen" Dinge.
2) Es kann ebenso sein, dass Dein Arbeitgeber bei aktivierter VPN-Verbindung "sämtlichen" Netzwerk-Verkehr in die Firmennetzwerke umleitet.

Je nach Firmengröße und -richtlinien ist es auch nicht ungewöhnlich, dass sowas gemacht wird, denn nur so kann sichergestellt werden, dass die Firmenrichtlinien auch entsprechend umgesetzt werden (können). Ich gehe auch einfach mal von einer etwas grösseren Firma aus, denn Lösungen von Palo Alto sind in kleineren Firmen eher weniger zu finden, sondern eher im grösseren Enterprise-Segment.

Im Zweifel hast Du aber sicherlich in Deiner Firma auch Administratoren, welche Du diesbezüglich befragen kannst, die werden Dir da schon recht genau Auskunft geben können

 

[Schlittrix]

Hi,


Teste erstmal folgendes - in der "Eingabeaufforderung":

1) Namensauflösung (jeweils mit aktivierter und deaktivierter VPN-Verbindung)
nslookup test.de
(damit nutzt Du den Dir jeweils "zugewiesenen" DNS-Server)
nslookup test.de 8.8.8.8
(damit befragst Du direkt Google)

2) Routing (wieder mit aktivierter und deaktivierter VPN-Verbindung)
tracert test.de
(zeigt Dir den Weg auf, welchen die Pakete zum Ziel nehmen)

Das hat nun 2 Hintergründe:

1) Es kann sein, dass Dein Arbeitgeber Deinem Rechner bei aktiviertem VPN einen DNS-Server vorgibt, welcher ggf. nur interne Dinge auflöst, womit die restliche Auflösung (Internet) nicht mehr funktioniert, dafür aber eben die "internen" Dinge.
2) Es kann ebenso sein, dass Dein Arbeitgeber bei aktivierter VPN-Verbindung "sämtlichen" Netzwerk-Verkehr in die Firmennetzwerke umleitet.

Je nach Firmengröße und -richtlinien ist es auch nicht ungewöhnlich, dass sowas gemacht wird, denn nur so kann sichergestellt werden, dass die Firmenrichtlinien auch entsprechend umgesetzt werden (können). Ich gehe auch einfach mal von einer etwas grösseren Firma aus, denn Lösungen von Palo Alto sind in kleineren Firmen eher weniger zu finden, sondern eher im grösseren Enterprise-Segment.

Im Zweifel hast Du aber sicherlich in Deiner Firma auch Administratoren, welche Du diesbezüglich befragen kannst, die werden Dir da schon recht genau Auskunft geben können

Danke für deine Antwort.
Habe es nun einmal mit und einmal ohne VPN getestet.
Bin jetzt nicht so IT-affin, glaube aber das mit den IP-Adressen zu teilen, wäre ungeschickt ;-)
Was aber auffällt:
mit VPN kommt bei "nslookup test.de als Server "UnKnown" und bei 8.8.8.8-Test kommt ein "DNS request timed out", was vorher nicht der Fall war. Der Rest sieht für mich als Laie ähnlich aus.

Zum Thema IT im Haus: hier wurde mir mitgeteilt, dass es am privaten Internet liegt und somit nicht deren Bereich ist ;-) Deshalb bin ich hier gelandet.

 

[blurrrr]

IP-Adressen sollst Du auch nicht teilen.

mit VPN kommt bei "nslookup test.de als Server "UnKnown" und bei 8.8.8.8-Test kommt ein "DNS request timed out", was vorher nicht der Fall war.

Unter "Unknown" steht normalerweise die IP-Adresse des DNS-Servers welcher befragt wurde. Das ist im Normalfall (ohne VPN) Dein lokaler Router (automatisch zugewiesen). Wenn Du Dich via VPN mit der Firma verbindest, ist es nicht unüblich, dass Du einen DNS-Server aus der Firma zugewiesen bekommst. Das solltest Du daran erkennen, dass sich die IP des befragten DNS-Servers bei aktivierter VPN-Verbindung unterscheidet (ist also "nicht" Deine Router-IP).

Da Du in der Firma nicht einfach hingehen darfst und einen anderen DNS-Server (als die der Firma) befragen darfst, sind wohl sämtliche ausgehenden DNS-Anfragen an anderweitige externe DNS-Server unterbunden worden. Somit wird auch sichergestellt, dass Du die DNS-Server der Firma fragen "musst" und nicht einfach daran vorbei kannst.

Wie sieht es mit dem Traceroute ("tracert test.de") aus? Ohne VPN sollte der erste Hop die IP Deines heimischen Routers sein. Mit VPN kann es durchaus schon etwas aus der Firma sein.

 

[Schlittrix]

IP-Adressen sollst Du auch nicht teilen.

Unter "Unknown" steht normalerweise die IP-Adresse des DNS-Servers welcher befragt wurde. Das ist im Normalfall (ohne VPN) Dein lokaler Router (automatisch zugewiesen). Wenn Du Dich via VPN mit der Firma verbindest, ist es nicht unüblich, dass Du einen DNS-Server aus der Firma zugewiesen bekommst. Das solltest Du daran erkennen, dass sich die IP des befragten DNS-Servers bei aktivierter VPN-Verbindung unterscheidet (ist also "nicht" Deine Router-IP).

Da Du in der Firma nicht einfach hingehen darfst und einen anderen DNS-Server (als die der Firma) befragen darfst, sind wohl sämtliche ausgehenden DNS-Anfragen an anderweitige externe DNS-Server unterbunden worden. Somit wird auch sichergestellt, dass Du die DNS-Server der Firma fragen "musst" und nicht einfach daran vorbei kannst.

Wie sieht es mit dem Traceroute ("tracert test.de") aus? Ohne VPN sollte der erste Hop die IP Deines heimischen Routers sein. Mit VPN kann es durchaus schon etwas aus der Firma sein.

@blurrrr hier mal "zensierte" Screenshots, einmal mit und einmal ohne VPN. Kannst du daraus mehr erkennen?

Habe in der Zwischenzeit den Router auch einmal zurückgesetzt und neu konfiguriert, Problem besteht weiterhin

 

[blurrrr]

Jo, da siehste es ja schon...

Beim ersten Bild ist ja ganz klar zu sehen, dass sowohl bei DNS-Anfragen - als auch beim ersten Hop - immer die Fritzbox die erste Geige spielt. Das ist bei aktiviertem VPN eben alles nicht mehr der Fall. Von daher wird es auch genau so sein, wie ich es zuvor schon gesagt habe, es wird halt einfach alles in den VPN-Tunnel - und somit zur Firma - geschickt, womit dann auch sicherlich entsprechende Regeln der Firma gelten.

Hier sieht es übrigens so aus:



Es kann mitunter auch sein - je nach Konfiguration - dass du bei verbundenem VPN auch nicht einfach irgendwas im Internet aufrufen kannst, sondern noch über einen Proxy gehen musst (ein Zwischensystem), damit Dinge wie Web/HTTP überhaupt "raus" dürfen. Der Einsatz solcher Systeme ist in grösseren Firmenstrukturen eigentlich auch ganz normal (in kleineren aber auch gern mal).

Grundsätzlich würde ich das erstmal wie folgt betrachten:

1) Ohne VPN funktioniert bei Dir alles.
2) Mit VPN funktioniert bei Dir nicht mehr alles.

Das sind ja nun erstmal nur die grundsätzlichen 2 Fakten. Fakt ist aber auch, dass bei aktiviertem VPN "alles" durch die Firma muss, welche entsprechende Regeln für alles mögliche hat. DNS und das Standard-Routing, alles läuft durch die Firma, nun kommt es aber auch noch auf die eingesetzten Protokolle an (wie Du ja schon leidlich mitbekommen hast). Client darf keine DNS-Anfrage nach extern schicken, sondern "muss" den internen DNS-Server der Firma befragen (hatte ich ja schon erwähnt). Gleiches Spiel kann es nun z.B. für HTTP und den Proxy sein. Das testen wir einfach mal auf der Eingabeaufforderung: curl https://www.test.de. Nicht erschrecken, kommt ein bisschen mehr, da wird die Webseite bzw. der ausgelieferte Website-Code in der Konsole angezeigt.

Ist jetzt ein sehr gutes Beispiel, denn sowohl die DNS-Auflösung von test.de (aka www.test.de), als auch das IP-Routing dorthin haben erstmal funktioniert. Damit sind die Grundlagen zur Erreichbar des Servers erstmal gegeben. Wenn nun anderweitige Protokolle (wie Web/Mail) z.B. von der Firma her eingeschränkt werden, wird die Verbindung nicht funktionieren - zumindestens solange nicht, bis im Client z.B. ein entsprechender Proxy der Firma eingetragen ist (sofern das von der Firma so vorgesehen ist).

Das wäre für mich jedenfalls ein "normales" Szenario auf Deine Situation bezogen. Was das hier angeht:

Seit meinem Umzug und der Umstellung von DSL auf Glasfaser (Router ist der gleiche geblieben, lediglich ein Glasfaser-Modem ist dazwischen geschaltet) funktioniert diese VPN-Verbindung nicht mehr wie sie soll.
Bei jeder Verbindung bricht die Internetverbindung zum Surfen und Mails schreiben komplett ab: kurios, denn der Laufwerkzugriff funktioniert dann. Eine Internetverbindung muss also weiterhin bestehen, nur eben sehr eingeschränkt.

Ich hatte da eigentlich zuerst IPv4 und IPv6 im Verdacht (grade der Wechsel spricht dafür), faktisch spielt es aber wiederum keine Rolle, wenn Du dann sowieso komplett via IPv4 durch die Firma wanderst (und Deine Screenshots zeigen auch nichts von IPv6). Die Fritzbox selbst kann übrigens auch nicht in den VPN-Tunnel gucken, soll heissen, sie weiss auch garnicht, was für eine Art von Netzwerkverkehr dort stattfindet.

Ich würde jetzt erstmal mit "curl" testen und ggf. habt ihr webbasierte Intranet-Ressourcen (z.B. ein internes Wiki oder sowas), da könntest Du dann auch nochmal den Zugriff testen.

 

[Schlittrix]

@blurrrr vorab vielen Dank für deine ausführliche Antwort und deine Hilfe! Ich gewinne langsam wieder Hoffnung, dass ich/wir das Problem in den Griff bekommen ;-)
curl https://www.test.de OHNE VPN führt zu der kompletten "Seitenanalyse" und wilden Buchstaben.
curl https://www.test.de MIT VPN führt zu gar nichts, es kommen keinerlei Inhalte an.

Thema Intranet war ein gutes Stichwort. MIT VPN funktioniert das tatsächlich. Heißt für mich: Intranet, Webtelefonie und Laufwerkzugriff funktionieren. Also alle Dienste, die einen VPN Tunnel zwingend erfordern. Standardseiten wie Google, Mailprogramme etc. funktionieren bei eingeschalteten VPN nicht mehr, diese funktionieren aber eben auch ohne VPN.

Diese Erkenntnis haben wir also schon - in wieweit das zur Problemlösung beiträgt, weiß ich allerdings noch nicht ;-)

 

[blurrrr]

curl https://www.test.de OHNE VPN führt zu der kompletten "Seitenanalyse" und wilden Buchstaben.
curl https://www.test.de MIT VPN führt zu gar nichts, es kommen keinerlei Inhalte an.

Tja, ich behaupte jetzt einfach mal: Stichwort "Proxy". Die Firmen-Firewall wird vermutlich einfach nur alles "wegschmeissen", denn Dein Client ist nicht der Proxy und nur der darf Webanfragen ins Internet stellen - wäre ein ganz typisches Szenario, ebenso wie vorher schon mit DNS (direkt geht, fragt man Google gibt es einen Timeout).

Handelt es sich bei Deinem Gerät eigentlich um einen privaten Client, oder um z.B. einen Firmen-Laptop? Das Problem mit einem Proxy ist generell folgendes:

1) Es ist eine "firmeninterne" Ressource (heisst: nur innerhalb der Firma erreichbar, oder ggf. via VPN).
2) Besteht keine Verbindung zur Firma, wird trotzdem versucht den Proxy zu erreichen, heisst: Keine Webseiten, keine Mails.

Ohne alles:
<Client> -> <Webserver>

Mit VPN
<Client> -> <Firma> -> <Webserver>

Mit VPN und Proxy:
<Client> -> <Firma> -> <Firmen-Proxy> -> <Webserver>

Mit Proxy und ohne VPN:
<Client> -> <Firma> -> <???> -> <???>
(VPN steht nicht, Firmen-Proxy ist nicht erreichbar, ergo auch nichts dahinter)

Wenn Du das Firmen-Gerät nun also auch in "freier Wildbahn" nutzen willst/kannst/sollst/etc. kann man Dir nicht einfach den Proxy hinterlegen, weil ohne VPN dann nichts funktioniert. Auf der anderen Seite (wenn es ein Firmengerät ist), solltest Du vermutlich sowieso "immer" mit aktiviertem VPN arbeiten (der Compliance wegen), womit auch "alles" immer brav durch das Firmennetz geht und man Dir so auch vorschreiben kann, was Du darfst und was Du nicht darfst und kann so auch einfach den Proxy dauerhaft im System hinterlegen.

Handelt es sich hingegen um ein "privates" Gerät, wird die Sache schon etwas schwieriger. Trägst Du den Proxy ein, geht ohne VPN eben sogut wie nichts mehr. Wäre natürlich äusserst ärgerlich bei einem privaten Gerät. Umso ärgerlicher ist es aber auch, dass bei aktiviertem VPN nichts mehr funktioniert, aber hier steckt der Arbeitgeber natürlich auch irgendwo in einer Zwickmühle, denn a) Du brauchst Zugriff auf die Firma, b) niemand will, dass Du mit Deinem privaten Gerät über den Firmenproxy surfst (schon allein aus Datenschutz-Gründen, denn was Du privat treibst, geht niemanden etwas an, am allerwenigsten die Firma), c) kann so ein hinterlegter Proxy (an ggf. etlichen Stellen) schon weitreichend das System einschränken.

Also alles in allem - beim Einsatz privater Geräte - schon äusserst schwierig, daher gehen die meisten Firmen aber auch einfach hin und verteilen entsprechend vorkonfigurierte Laptops, welche dann genau für solche Zwecke gedacht sind bzw. schaltet man sich mit den Geräten meist eh nur auf einen Terminalserver auf, welcher dann für alles weitere genutzt wird. Von daher frage ich mal ganz vorsichtig: Kann es eventuell sein, dass Du "eigentlich" auf einem Terminalserver arbeiten solltest, anstatt "direkt" auf die Ressourcen zuzugreifen? Kenne eure Firmen-Infrastruktur nicht, von daher kann ich auch nur raten und Du kannst mir ggf. etwas bestätigen (oder eben nicht)

 

[Schlittrix]

@blurrrr okay, also vorab: ich nutze einen Firmenlaptop, keinen Privaten.
Was ich bei der ganzen Sache durchaus kurios finde ist, dass es mit dem alten DSL-Anschluss funktioniert hat, und nun bei neuen Glasfaser-Anschluss nicht mehr. Am Tag des Umzugs ist das Problem aufgetreten. Und da Hardware (Laptop als auch Fritzbox) identisch geblieben sind, muss es ja irgendwie an der Leitung liegen, oder?
Laienfrage: kann es nicht sein, dass es durch die neue Leitung im Router zu einem Firewall-Thema wurde, dass hier Pakete vom Proxyserver nicht durchgelassen werden?

 

[blurrrr]

@blurrrr okay, also vorab: ich nutze einen Firmenlaptop, keinen Privaten.

Das sagt man mir "jetzt"....

Laienfrage: kann es nicht sein, dass es durch die neue Leitung im Router zu einem Firewall-Thema wurde, dass hier Pakete vom Proxyserver nicht durchgelassen werden?

Nein, der Router sieht davon "nichts" (nur den VPN-Traffic).

Am Tag des Umzugs ist das Problem aufgetreten. Und da Hardware (Laptop als auch Fritzbox) identisch geblieben sind, muss es ja irgendwie an der Leitung liegen, oder?

"Muss" muss mal so "garnichts", ich dachte eigentlich, dass wäre soweit schon klar (Sack Reis in China -> Auto springt nicht mehr an), aber ich merke schon, es gibt hier anscheinend noch Verständnisprobleme.... kein Ding, kriegen wir hin!

Also: Wir sind jetzt neuerdings "Nachbarn" Wir haben nun beide unser kleines freistehendes Häusschen (Netze/Standorte). Du hast Deine Haustür (Router) - dahinter steht man direkt im Wohnzimmer (lokales Netz), ich hab meine Haustür (Router) - da muss man erst noch durch einen Flur (Proxy) bevor man ins Wohnzimmer kommt (lokales Netz).... So.... ein bisschen sacken lassen.... check?!

So, nun legen wir einen "Kinder-Krabbeltunnel" (weisst schon, sowas hier ) zwischen unsere Häuser bzw. der Anfang des Tunnels ist bei Dir im Wohnzimmer am Sessel (Client), das Ende ist bei mir im Wohnzimmer. So... schon mal ein schön buntes Szenario Nun funktioniert Deine Haustür nicht (weil einfach "alles" durch den Krabbeltunnel und somit durch mein Haus muss). Tja, nun stehst Du also in meinem Wohnzimmer, aber da ist keine Haustür... da ist kein Flur... ?! Genau das ist das Problem, wenn "alles" durch den VPN-Tunnel geht, aber kein Proxy angegeben ist (sofern einer erforderlich ist).

Und ja, es drängt sich "erstmal" der Verdacht auf, dass es etwas mit der Umstellung zu haben könnte (grade im Hinblick auf IPv4/IPv6), damit hat es aber eher nichts zu tun, denn a) ist nix von IPv6 zu sehen, b) treten die Probleme ja auch bei den IPv4-Geschichten auf und c) scheint es ja so, als würden diese Probleme nur dann auftreten, wenn "alles" durch das VPN läuft und dann "externe" Ressourcen angesprochen werden sollen. Letzter Umstand führt mich auch eher zu dem Firmen-Proxy-Gedanken.

Die Fritzbox bzw. die Leitung bzw. der Provider.. wie auch immer... alle können den VPN-Tunnel (Krabbeltunnel! ) immer nur von "aussen" sehen. Da kann niemand hingehen und sagen: "Also irgendwas zu privaten IP-Adressen darf, aber alles andere darf nicht...", weil sie diese Unterscheidung garnicht treffen können. Für die zuvor genannten Geräte besteht lediglich eine dauerhafte Verbindung zwischen Deinem Client und dem Firmen-VPN-Dienst - "Ende". Was da nun alles durch den Tunnel läuft, davon wissen diese Geräte nichts.

Wenn Du den Provider wechselst bzw. ein Modem vor die Fritzbox hängst, was auch immer... Ja, es kann sein, dass es dann Probleme mit VPN-Diensten gibt, aber nicht in "dieser" Form. Entweder geht es z.B. einfach garnicht, oder es bricht ständig ab, ggf. ist keine Datenübertragung möglich, usw. In Deinem Fall funktioniert aber alles völlig problemlos, ausser Du versuchst durch das Firmennetz auf externe Ressourcen zuzugreifen.

Nur nochmal der Vollständigkeit halber in der Eingabeaufforderung: netsh winhttp show. Meiner Meinung nach, wird da "kein Proxyserver" stehen, was ich schon etwas merkwürdig finden würde...

Btw... Du schriebst ja, dass Du schon mit einem von eurer IT gesprochen hättest. Hat der ggf. auch remote irgendwas umgestellt?

Also ich würde da einfach nochmal nachhaken und die Gegebenheiten abklären... Was "muss" für Dein Vorhaben gegeben sein bzw. wie hat es auszusehen, wenn Du von Zuhause a) arbeiten willst, aber b) ggf. auch surfen willst. Ich bin sowieso ziemlich erstaunt darüber, dass da kein Terminalserver zum Einsatz kommt, aber jut... ich steck auch nicht in Deiner Firma und kenne die Anforderungen nicht

Wie gesagt, Du bist nun etwas schlauer... klär das nochmal "vernünftig" mit den Administratoren. Du hast nun ein paar Stichworte an der Hand und es kann schon durchaus sein, dass man beim Wort "Proxy" direkt zu hören bekommt "Natürlich müssen Sie den Proxy nutzen, sonst erreichen sie ja auch extern nichts!", wie gesagt, ich würde da einfach mal am Ball bleiben.

Es ist alles "Firma", da hat die "Firma" sich dann auch darum zu kümmern (bzw. die entsprechende IT-Fachabteilung). Je nachdem, was für einen Posten Du bekleidest, könnte man auch ggf. mit "Ich kann so nicht arbeiten!" argumentieren, falls das aber alles nur "privates Vergnügen" ist (privat surfen, private Mails) könnten die Chancen da eher schlecht stehen und wenn das dann noch gegen die Compliance geht, kann es ggf. auch zu Abmahnungen führen.

Aber... lange Rede, kurzer Sinn: Die Firmen-Admins sind Deine Anlaufstelle (erneut)

 

[Schlittrix]

@blurrrr deine bildliche Sprache gefällt mir, sowas hätte man sich mal in der Schule für komplexe Themen gewünscht ;-)
Habe das Thema nochmal mit diesen Erkenntnissen an die IT gespielt. Zuletzt wurde gesagt, das wäre ein Problem für meinen Internetanbieter, da es bspw. mit Hotspot funktioniert. Man darf gespannt sein.
Danke schon einmal für deine Hilfe!

 

[blurrrr]

a es bspw. mit Hotspot funktioniert

Ach, das hab ich garnicht mehr im Kopf gehabt...

Check mal "Deine" öffentlichen IPs via z.B. https://www.wieistmeineip.de/ (lokal und LTE) und dann poste mal die jeweils ersten beiden Stellen der angezeigten IPs (v4+v6) in Form von "Y.Y.x.x" und YYYY:YYYY::x". Es mag ja sein, dass man es sich in der Firma "einfach" macht und dem entsprechenden Provider irgendwas in die Schuhe schieben möchte, "faktisch" hat man aber dafür zu sorgen, dass es funktioniert (kurzum: seinen Job machen, eigentlich ganz einfach oder?). Leider ist es grade bei grösseren Firmen so, dass die Mühlen extrem langsam mahlen... IPv4-Adressknappheit ist nun schon länger bekannt, es gibt schon seit zig Jahren IPv6 und weil es sonst langweilig wäre, sprechen die beiden Protokolle natürlich nicht miteinander.

Nun haben wir die "Firmen" die sich aus ihrer IPv4-Komfortzone erstmal so "garnicht" weg bewegen, dann haben wir Provider, welche den Kunden "DualStack" anbieten (IPv4+IPv6), dann gibt es die, die nur IPv6 an ihre Kunden verteilen und für den Zugriff auf IPv4-Ziele noch entsprechende eigene Gateways bereitstellen (die funktionieren dann quasi so, wie Dein Router Zuhause, teilst Dir also mit hunderten anderen eine öffentliche IPv4-Adresse) und dann gibt es noch die ganz schlauen, die so richtig geizig sind, da gibt es dann nur "private" IP-Adressen für die Kunden und eine öffentliche IP gibt es erst irgendwann später (stell Dir vor, dass Dein ISP am Strassenanfang nochmal eine Fritzbox stehen hat, über die alle Leute auf der Strasse dann auch nochmal zusätzlich müssen).

Du siehst, da besteht schon mal ein ganz "grundsätzliches" Problem. IPv4 ist "alt", IPv6 ist "neu" (will aber irgendwie so recht keiner wirklich nutzen). Viele Webseiten z.B. sind garnicht in der Lage IPv6 zu sprechen, das siehst Du schön am Beispiel von "test.de":

Name:    test.de
Address:  128.65.209.28

Bei Google z.B. sind es hingegen so aus:

Name:    google.de
Addresses:  2a00:1450:400a:802::2003
          172.217.168.35

Spielt aber eigentlich alles keine Rolle, das sind nunmal die "Problemchen" dieser Zeit. Ich vermute einfach mal, dass es ggf. da schon zu Problem kommen "könnte" (nicht "muss"!), wenn Du jetzt hinter irgendwas nicht ganz schönem sitzt (s. letzten beiden Provider-Beispiele), die Firma aber auf ihrem alten IPv4 sitzt bleibt und sich keinen Milimeter bewegt. Jo, mag alles sein, aber die Firma kann den Mitarbeitern ja nicht vorschreiben, was sie für einen Internetanschluss zu nutzen haben. Wenn die Firma es zahlt, ok, wenn nicht, dann nicht ok, ganz einfach

Wenn es ein Firmenhandy ist mit einer entsprechenden Firmen-SIM-Card, dann wäre es halt noch eine Option, ständig über den Handy-Hotspot zu gehen. Schöner wäre es natürlich, wenn der Laptop eine eigenbaute LTE-Möglichkeit hätte, da könnte einfach eine Zweitkarte rein und jut (so kenne ich das eigentlich auch nur, wenn man irgendwelchen "Problemchen" schon im Vorfeld aus dem Weg gehen möchte). Auch nicht so verkehrt, aber etwas weniger praktisch: ein zusätzlicher LTE-Stick.

 

[blurrrr]

Nur nochmal so als zusätzliche Info:

Wenn Du ggf. nur IPv6 am lokalen Standort hast (DS-Lite), schau mal hier rein:
https://avm.de/service/wissensdaten...1611_Was-ist-DS-Lite-und-wie-funktioniert-es/

Sollte in Deiner Fritzbox beim Internet eine private IP-Adresse zu sehen sein, kannst Du hier mal nachschauen:
https://de.wikipedia.org/wiki/Carrier-grade_NAT
(Da wird auch nochmal DS-Lite erwähnt)

Die meisten Provider nutzen etwas in die o.g. Richtungen... Vernünftig "DualStack" (IPv4+IPv6) bekommt man heutzutage kaum noch als Privatperson. Wäre auch alles gar kein Problem, wenn alle mal vernünftig IPv6 umsetzen würden (bzw. in der aktuellen Zeit eben DualStack).

Du kannst bei aktiviertem VPN in der Eingabeaufforderung auch nochmal nachschauen, was für Routen (bzgl. Netzwerk-Verkehr) gesetzt werden via: route print bzw. zur besseren Differenzierung:

IPv4: route print -4
ÍPv6: route print -6

Die "Default"-Routen (also alles, wo keine anderweitige Route bekannt ist) bzgl. der Netzwerkziele lauten:

IPv4: "0.0.0.0/0"
IPv6: "::/0"

Ist keine anderweitige Route bekannt, werden die Pakete nach "irgendwo" immer über die Default-Route an das jeweils hinterlegte Standard-Gateway geschickt. Bei IPv4 können wir uns da schon relativ sicher sein: Ohne VPN wird die Default-Route auf die IP der Fritzbox zeigen, mit aktiviertem VPN nicht mehr auf die Fritzbox. Das hast Du auch beim Traceroute (tracert - mit Ziel "test.de") vorhin gesehen: Ohne VPN laufen die Pakete über die Fritzbox, mit aktiviertem VPN laufen die Pakete direkt ins VPN zur Firma.

Wenn Du jetzt IPv6 hast, wäre es interessant, ob die IPv6-Pakete auch durch den Tunnel laufen, oder ob diesbezüglich dann doch wieder die Fritzbox das Standard-Gateway ist.

 

[Schlittrix]

Nur nochmal so als zusätzliche Info:

Wenn Du ggf. nur IPv6 am lokalen Standort hast (DS-Lite), schau mal hier rein:
https://avm.de/service/wissensdaten...1611_Was-ist-DS-Lite-und-wie-funktioniert-es/

Sollte in Deiner Fritzbox beim Internet eine private IP-Adresse zu sehen sein, kannst Du hier mal nachschauen:
https://de.wikipedia.org/wiki/Carrier-grade_NAT
(Da wird auch nochmal DS-Lite erwähnt)

Die meisten Provider nutzen etwas in die o.g. Richtungen... Vernünftig "DualStack" (IPv4+IPv6) bekommt man heutzutage kaum noch als Privatperson. Wäre auch alles gar kein Problem, wenn alle mal vernünftig IPv6 umsetzen würden (bzw. in der aktuellen Zeit eben DualStack).

Du kannst bei aktiviertem VPN in der Eingabeaufforderung auch nochmal nachschauen, was für Routen (bzgl. Netzwerk-Verkehr) gesetzt werden via: route print bzw. zur besseren Differenzierung:

IPv4: route print -4
ÍPv6: route print -6

Die "Default"-Routen (also alles, wo keine anderweitige Route bekannt ist) bzgl. der Netzwerkziele lauten:

IPv4: "0.0.0.0/0"
IPv6: "::/0"

Ist keine anderweitige Route bekannt, werden die Pakete nach "irgendwo" immer über die Default-Route an das jeweils hinterlegte Standard-Gateway geschickt. Bei IPv4 können wir uns da schon relativ sicher sein: Ohne VPN wird die Default-Route auf die IP der Fritzbox zeigen, mit aktiviertem VPN nicht mehr auf die Fritzbox. Das hast Du auch beim Traceroute (tracert - mit Ziel "test.de") vorhin gesehen: Ohne VPN laufen die Pakete über die Fritzbox, mit aktiviertem VPN laufen die Pakete direkt ins VPN zur Firma.

Wenn Du jetzt IPv6 hast, wäre es interessant, ob die IPv6-Pakete auch durch den Tunnel laufen, oder ob diesbezüglich dann doch wieder die Fritzbox das Standard-Gateway ist.

Genau, habe (laut FB) eine native IPv6 und eine IPv4 mit DS-Lite (AFTR-Adresse automatisch über DHCPv6 ermitteln).
bei den Routen fällt mir auf jeden Fall auf: IPv6 hat 2 aktive Routen, egal ob mit oder ohne VPN (keine Unterscheidung).
bei IPv4 sieht das Ganze anders aus.
ohne VPN: 11 aktive Routen, die erste auf 0.0.0.0 und Router, die letzte ebenfalls zurück zur Router-IP.
mit VPN:17 aktive Routen, die erste auf 0.0.0.0 und Router, die zweite auf 0.0.0.0 und (vermutlich Firmen-IP)... und nach vielem hin und her gehts a Ende wieder erst auf die 192er IP vom Router und danach als letztes wieder zur vermutlichen Firmen-IP.

 

[blurrrr]

IPv6 hat 2 aktive Routen

Das ist ein "bisschen" wenig für den Client, vielleicht aktivierst Du mal IPv6 LAN-seitig auf der Fritzbox:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/573_IPv6-in-FRITZ-Box-einrichten/

Kannst auch mal nachschauen, ob IPv6 auch für Deine Netzwerk-Adapter aktivierst ist. Das jetzt aber nicht in der "Eingabeaufforderung", sondern in der "Powershell" via: Get-NetAdapterBinding -ComponentID ms_tcpip6. Theoretisch sollte das aber alles aktiv sein und Du solltest - nach Konfiguration der Fritzbox (LAN-seitig!) - auch eine öffentliche IPv6-Adresse am Client zugewiesen bekommen.

Deine Firma scheint es ja nur auf IPv4 abgesehen zu haben (was Du eben auch den zusätzlichen IPv4-Routen merkst). Somit würde es im Falle einer aktivierten VPN-Verbindung wie folgt laufen (da Windows IPv6 gegenüber IPv4 bevorzugt)...:

Du rufst eine interne Firmen-Ressource via IPv4 auf -> Traffic läuft durch den VPN-Tunnel
Du rufst eine externe Ressource via IPv4 auf -> Traffic läuft durch den VPN-Tunnel, scheint ja nicht wirklich zu funktionieren
Du rufst eine externe Ressource via IPv6 auf -> Traffic läuft nicht durch den Tunnel, sondern über die Fritzbox

Heisst im Umkehrschluss: google.de funktioniert (da via IPv6 angesprochen (Dualstack)), test.de funktioniert nicht (da via IPv4 angesprochen).

 

[Schlittrix]

Das ist ein "bisschen" wenig für den Client, vielleicht aktivierst Du mal IPv6 LAN-seitig auf der Fritzbox:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/573_IPv6-in-FRITZ-Box-einrichten/

Kannst auch mal nachschauen, ob IPv6 auch für Deine Netzwerk-Adapter aktivierst ist. Das jetzt aber nicht in der "Eingabeaufforderung", sondern in der "Powershell" via: Get-NetAdapterBinding -ComponentID ms_tcpip6. Theoretisch sollte das aber alles aktiv sein und Du solltest - nach Konfiguration der Fritzbox (LAN-seitig!) - auch eine öffentliche IPv6-Adresse am Client zugewiesen bekommen.

Deine Firma scheint es ja nur auf IPv4 abgesehen zu haben (was Du eben auch den zusätzlichen IPv4-Routen merkst). Somit würde es im Falle einer aktivierten VPN-Verbindung wie folgt laufen (da Windows IPv6 gegenüber IPv4 bevorzugt)...:

Du rufst eine interne Firmen-Ressource via IPv4 auf -> Traffic läuft durch den VPN-Tunnel
Du rufst eine externe Ressource via IPv4 auf -> Traffic läuft durch den VPN-Tunnel, scheint ja nicht wirklich zu funktionieren
Du rufst eine externe Ressource via IPv6 auf -> Traffic läuft nicht durch den Tunnel, sondern über die Fritzbox

Heisst im Umkehrschluss: google.de funktioniert (da via IPv6 angesprochen (Dualstack)), test.de funktioniert nicht (da via IPv4 angesprochen).

in der FB sind bereits die Einstellungen so eingestellt, wie im Link beschrieben (Schritt 3 IPv6-Einstellungen für das Heimnetz anpassen). Powershell passt auch, ist alles aktiv.

 

[blurrrr]

Heisst bei Dir ist theoretisch IPv6 aktiv... Schau mal bitte in der Eingabeaufforderung nochmal mittels ipconfig nach den IP-Adressen Deines Clients. Wenn da nur IPv4-Adressen stehen, stimmt etwas nicht, falls auch eine öffentliche IPv6 dort auftaucht, ok, dann weiter mit: VPN aktivieren, in der Eingabeaufforderung mal ein nslookup google.de ausführen (zwecks Ziel-IP-Kontrolle, Antwort sollte vom DNS der Firma kommen) und dann mal über den Browser "google.de" aufrufen. Theoretisch sollte das funktionieren, wenn der IPv6-Traffic nicht durch den Tunnel geschickt wird und der Firmen-DNS auch entsprechend mit der korrekten IPv6-Adresse des Ziels antwortet. Dann verhält es sich erstmal wie in meiner vorherigen Antwort.

Wenn alle Stricke reissen, kann man natürlich auch noch hingehen und einen Paketmitschnitt machen, aber mal ganz ehrlich... Prinzipiell ist das erstmal Sache der Firma, dass diese Verbindungen funktionieren und es gibt verschiedene VPN-Arten (haben alle so ihre Eigenheiten), dazu die IPv4/IPv6-Thematik, es ist nicht so, als hätte der Arbeitgeber nicht alle Möglichkeiten den Mitarbeitern einen "voll funktionsfähigen" VPN-Zugang zur Verfügung zu stellen (völlig unabhängig vom ISP des Mitarbeiters).

 

[Schlittrix]

Heisst bei Dir ist theoretisch IPv6 aktiv... Schau mal bitte in der Eingabeaufforderung nochmal mittels ipconfig nach den IP-Adressen Deines Clients. Wenn da nur IPv4-Adressen stehen, stimmt etwas nicht, falls auch eine öffentliche IPv6 dort auftaucht, ok, dann weiter mit: VPN aktivieren, in der Eingabeaufforderung mal ein nslookup google.de ausführen (zwecks Ziel-IP-Kontrolle, Antwort sollte vom DNS der Firma kommen) und dann mal über den Browser "google.de" aufrufen. Theoretisch sollte das funktionieren, wenn der IPv6-Traffic nicht durch den Tunnel geschickt wird und der Firmen-DNS auch entsprechend mit der korrekten IPv6-Adresse des Ziels antwortet. Dann verhält es sich erstmal wie in meiner vorherigen Antwort.

Wenn alle Stricke reissen, kann man natürlich auch noch hingehen und einen Paketmitschnitt machen, aber mal ganz ehrlich... Prinzipiell ist das erstmal Sache der Firma, dass diese Verbindungen funktionieren und es gibt verschiedene VPN-Arten (haben alle so ihre Eigenheiten), dazu die IPv4/IPv6-Thematik, es ist nicht so, als hätte der Arbeitgeber nicht alle Möglichkeiten den Mitarbeitern einen "voll funktionsfähigen" VPN-Zugang zur Verfügung zu stellen (völlig unabhängig vom ISP des Mitarbeiters).

Tatsächlich taucht hier unter ipconfig nur IPv4 auf, keine IPv6 zu finden.

 

[blurrrr]

Also bei z.B. Vodafone heisst es, dass man die Fritzbox komplett zurücksetzen soll und dann die Einrichtung via Modeminstallationscode (MIC) vornehmen soll. Bei anderen Providern wird es vermutlich ähnlich sein. Hast Du das auch gemacht, oder ist das alles komplett händisch durchkonfiguriert worden?

Wie dem auch sei, ich sehe die Verantwortung hier eindeutig nicht bei Dir. Es ist Aufgabe der Firma bzw. der dortigen IT dafür zu sorgen, dass Du von - egal wo - entsprechend Zugriff hast (ausser ggf. Hotels oder so, die ihren Internetzugang beschränken). Von daher ist das auch die Anlaufstelle Nr 1. Wenn die jetzt der Meinung sind, dass sie nichts machen "könnten" (was ich für ein Gerücht halte) und alles auf den ISP schieben, nun denn, dann sollen sie Dir halt sagen, was "nötig" ist, damit es deren Meinung nach "einwandfrei" funktioniert. Mit diesen Anforderungen kannst Du dann zum Provider gehen.

Alternativ bleibt es halt beim Handy-Hotspot (bzw. "vernünftiger" einer LTE-Lösung auf Firmenkosten). Wenn eine Firma nicht auf die aktuellen Gegebenheiten der heutigen Zeit reagiert, sorry... geht einfach so "garnicht".

 

[Schlittrix]

Also bei z.B. Vodafone heisst es, dass man die Fritzbox komplett zurücksetzen soll und dann die Einrichtung via Modeminstallationscode (MIC) vornehmen soll. Bei anderen Providern wird es vermutlich ähnlich sein. Hast Du das auch gemacht, oder ist das alles komplett händisch durchkonfiguriert worden?

Wie dem auch sei, ich sehe die Verantwortung hier eindeutig nicht bei Dir. Es ist Aufgabe der Firma bzw. der dortigen IT dafür zu sorgen, dass Du von - egal wo - entsprechend Zugriff hast (ausser ggf. Hotels oder so, die ihren Internetzugang beschränken). Von daher ist das auch die Anlaufstelle Nr 1. Wenn die jetzt der Meinung sind, dass sie nichts machen "könnten" (was ich für ein Gerücht halte) und alles auf den ISP schieben, nun denn, dann sollen sie Dir halt sagen, was "nötig" ist, damit es deren Meinung nach "einwandfrei" funktioniert. Mit diesen Anforderungen kannst Du dann zum Provider gehen.

Alternativ bleibt es halt beim Handy-Hotspot (bzw. "vernünftiger" einer LTE-Lösung auf Firmenkosten). Wenn eine Firma nicht auf die aktuellen Gegebenheiten der heutigen Zeit reagiert, sorry... geht einfach so "garnicht".

Also die Fritzbox habe ich einmal manuell und einmal mit MIC eingerichtet.
Wie gesagt, mit den Infos habe ich es jetzt mal an unsere IT weitergegeben. Da ich nun rausgefunden habe, dass es mit dem gleichen Laptopmodell und anderem VPN-Tunnel im selben Netzwerk funktioniert, scheint wohl doch das Problem eher auf der Firmenseite zu liegen ;-)
Danke für deine Hilfe!