Probleme mit Internetverbindung im Home Office (VPN)

[haezzii]

Hallo zusammen,

ich habe mich wegen eines Problems hier angemeldet, das mich langsam verzweifeln lässt. Hoffentlich kann mir hier jemand weiterhelfen.

Ich bin in 08/2023 umgezogen und nutze seitdem die Fritzbox 7581.

Seitdem habe ich massive Probleme, wenn ich im Home Office mit dem vom Arbeitgeber gestellten Laptop per VPN arbeite.
Das VPN trennt sich ca. 10 Mal täglich mit der Meldung, dass keine Verbindung zum Internet besteht. Nach ca. 30 Sekunden ist die Verbindung zwar wiederhergestellt, aber es ist trotzdem extrem nervig, da ich durch den Abbruch aus Videocalls usw. fliege.

Folgende Rahmenbedingungen:
- Das Problem besteht NICHT für meine privaten Geräte. Diese funktionieren ohne Abbrüche sowohl per LAN als auch per WLAN.
- Sowohl mein Mann als auch ich haben das Problem an unseren Arbeitslaptops (beide verwenden VPN, aber unterschiedliche Software). Das Problem bestand noch nicht vor dem Umzug, als wir eine andere Fritzbox (7530) verwendet haben.
- Das Problem besteht sowohl über LAN, WLAN und auch unter Verwendung eines Hotspots vom Smartphone. Das Smartphone hat dabei durchgehend eine Internetverbindung, aber am Laptop bricht die ab.
- Ich habe den Router bereits auf die Werkseinstellungen zurückgesetzt, hat nichts gebracht.
- Ich habe meinen Arbeitslaptop in den Einstellungen des Routers priorisiert, hat nichts gebracht.
- Ich habe das Problem meinem Arbeitgeber vorgestellt. Die VPN Software wurde neu auf meinem Laptop installiert. Die Fehlerprotokolle wurden ausgewertet. Das Problem liegt wohl auf meiner Seite, von Seiten des Arbeitgebers gibt es keine Probleme.

Hat hier irgendjemand schon mal von so einem Problem gehört? Gibt es Ideen zur Lösung?
Wenn weitere Infos benötigt werden, stelle ich diese natürlich gerne bereit.

Ich freue mich auf eine Rückmeldung!

 

[Barungar]

Spekulativ! Ich gehe davon aus, mit dem Umzug hat sich nicht nur die FritzBox sondern auch der Internet-Anschluß geändert. Ich mutmaße nun, dass ihr vorher vernünftiges Internet mit IPv4 bzw. Dual-Stack hattet und nun vermutlich einen IPv6 bzw. DS-Lite Anschluß habt. Dies in Kombination, dass 95% der deutschen Firmen ihr Firmen-VPN noch rein auf IPv4-Basis betreiben könnte die Abbrüche erklären. Das trifft in diesen Fällen häufig einfach nur den IPv4-Tunnel bzw. den AFTR-Dienst beim Provider.

Es wäre mal interessant ein paar Angaben (DS oder DS-Lite) zur Internet-Verbindung zu erhalten. Vielleicht ein Screenshot aus der FritzBox von Internet --> Online-Monitor (IPs kannst Du schwärzen; wobei im Zweifel kann man an der IPv4 auch erkennen, ob sie echt ist. Wenn es Dich nicht stört, wäre es cool, wenn Du bei der IPv4 nur die letzten beiden Blöcke schwärzst.)

Beispiel:


Das mit dem "Problem" beim AFTR (bzw. IPv4-Tunnel) heißt nämlich auch, dass die Internet-Verbindung nicht weg ist. Nur der veraltete IPv4-Teil, der bei DS-Lite simuliert wird, ist dann gestört. Normale Geräte und Dienste, die IPv6 "sprechen" sind davon total unbeeindruckt und funktionieren weiterhin. Nur halt eben das IPv4 dann nicht mehr... und leider sind Firmen bzw. deren VPN fast nie modern.

 

[haezzii]

Danke für die Rückmeldung!

Ich hoffe, ich nenne hier die richtigen Infos:
Ich habe auf der Benutzeroberfläche der Fritzbox nachgeschaut, da finde ich nur eine IPv4-Adresse. Auch über eine Onlineabfrage wird mir nur eine IPv4-Adresse angezeigt, bei IPv6 steht "nicht gefunden".

Aber du hast recht, es handelt sich um einen komplett neuen Internetanschluss (neues Haus), aber direkt gegenüber vom Haus mit dem alten Anschluss (falls relevant).

 

[Barungar]

Von welchem Gerät aus wurde das getestet? Einem der betroffenen Dienstnotebooks oder von einem privaten Gerät?
Der vergleichbare (siehe oben) Screenshot aus der FritzBox wäre aussagekräftiger.

So würde es danach klingen, dass es "nur" IPv4 gäbe. Was zwar theoretisch möglich ist, aber doch eher ungewöhnlich.
Bzw. wäre es auch denkbar, dass am Client einfach kein IPv6 aktiv ist, was z.B. für viele Firmen-Laptops auch nicht unüblich ist.

 

[mkonline]

Welche Software wird für die VPN Verbindungen genutzt?

 

[haezzii]

Oh sorry, den Screenshot hat es mir vorhin noch nicht angezeigt.
Ich füge meinen hier mal ein, den ich gerade von meinem privaten Laptop generiert habe:


Falls relevant, ist hier noch ein Screenshot aus den Netzwerkeinstellungen des Dienstlaptops:


Die genutzte VPN Software bei meiner Firma ist "GlobalProtect", bei meinem Mann weiß ich es nicht. Ich kann ihn später fragen, aber es ist definitiv eine andere Software.

 

[Barungar]

Oha!!! Sowas hab ich ja noch nie gesehen! Das ist ja ein ganz mieser Internet-Anschluss. Das IPv4 wird hier über CG-NAT realisiert. An der IPv4 100.64.xxx.xxx erkennt man, dass es sich um CG-NAT (Carrier Grade Network Adress Translation) handelt.
Dieser Internet-Anschluss stellt also kein IPv6 und auch kein "echtes" IPv4 zur Verfügung.

Aus der Ferne kann ich es natürlich nur schwer mit absoluter Sicherheit sagen; aber dieses "fake" IPv4 wird meiner Auffassung nach die Ursache für die regelmäßigen VPN-Abbrüche sein. Diese Erkenntnis hilft Dir/Euch natürlich jetzt leider bei Eurem "Problem" nicht weiter.

Ohne weiterführende Untersuchungen zur IPv4-Stabilität durch Traces, Mitschnitte oder zumindest PINGs auf dem Anschluß, lässt sich nicht viel mehr sagen. Eine "Lösung" oder ein mach dies oder mach das kann ich da auch nicht liefern. Meine spontane (persönliche) Reaktion wäre, den Internet-Anschluß wechseln...

"no IPv6 and no real IPv4" - das es sowas gibt?!

 

[mkonline]

Also bei uns funktioniert die ganze VPN Geschichte über CG-Nat

Ist ja ähnlich wie bei LTE manchmal - z.T. bekommt man da ja RFC-1918 Adressen

 

[blurrrr]

- Das Problem besteht sowohl über LAN, WLAN und auch unter Verwendung eines Hotspots vom Smartphone. Das Smartphone hat dabei durchgehend eine Internetverbindung, aber am Laptop bricht die ab.

Smartphone-Vertrag auch über den gleichen Anbieter abgeschlossen, oder doch eher etwas eigenständiges? Sicher, dass ggf. nicht einfach nur das WLAN kurzzeitig weg ist? Ich mein... (sofern nicht beim gleichen Anbieter) sind Festnetz-Internet und Mobilfunk-Internet zwei völlig voneinander unabhängige Konstellationen, da ist es schon sehr merkwürdig, wenn genau das gleiche Verhalten bei beiden Zugängen zu beobachten ist.

Die VPN Software wurde neu auf meinem Laptop installiert. Die Fehlerprotokolle wurden ausgewertet. Das Problem liegt wohl auf meiner Seite, von Seiten des Arbeitgebers gibt es keine Probleme.

Naja, das ist meist recht einfach geklärt: Wenn von 100 Personen 1 Person Probleme hat, wird es nicht an der Zentrale liegen Wurden denn die "Fehlerprotokolle" auf "Deiner" Seite (sprich: die Protokolle auf Deinem Dienstgerät) ausgewertet?

Da Du bzgl. LAN so einen USB-Adapter benutzt, kann es eigentlich auch nicht am (integrierten) WLAN-Adapter des Laptops liegen. Ist aber eigentlich auch nicht Deine Aufgabe Dich um sowas zu kümmern, sowas muss eigentlich die IT-Abteilung Deiner Firma regeln. Wenn alle anderen Geräte problemlos funktionieren und nur der dienstliche Laptop so ein Verhalten zeigt (und das auch über 2 völlig unabhängige Internet-Strecken (DSL/Cable/Glasfaser bzw. LTE)), in der Zentrale auch nichts zu finden ist, dann wird es schlussendlich am Client liegen und das ist normalerweise ein Fall für die Firmen-eigene IT-Abteilung.

Ersatzgerät ranschaffen, für Dich einrichten, Dir übergeben, Zuhause testen

 

[Stationary]

Also die Stadtwerke Merseburg geben in der Leistungsbeschreibung schon an, daß nicht so alles funktioniert:
https://www.stadtwerke-merseburg.de/cdn/pdf-dokumente/Internet_Telefon/leistungsbeschreibung.pdf

 

[Stationary]

Ist das ein VPN über IPSec? Da reicht es nämlich unter Umständen, wenn ein anderer Kunde der Stadtwerke Merseburg, dem zufällig dieselbe öffentliche IP-Adresse des CGNAT-Routers zugewiesen wurde, auch ein IPSecVPN verwendet. Solange zufällig nur ein Kunde pro öffentlicher IP-Adresse IPSec verwendet, kann das auch ohne NAT-traversal funktionieren. Anders als bei UDP und TCP gibt es bei IPSec (ESP, IP Protokoll 50) aber keine Portnummern, anhand derer der Datenverkehr für mehrere Clients hinter CGNAT auseinandergehalten werden könnte. Um auch in solchen Situationen mehrere Clients bedienen zu können, gibt es NAT-traversal per UDP encapsulation. Die ESP-Pakete von IPSEC werden dann nochmal in UDP eingepackt. Damit kann der NAT-Router die Pakete verschiedenen Clients zuordnen. Das müßte die IT-Abteilung aber eigentlich wissen. Da muß ein Registry-Eintrag gesetzt werden, das kann bei großen Firmen mit zentral verwalteten Rechnern der Endnutzer nicht machen, weil ihm die Admin-Rechte fehlen.
Hier steht, wie das mit dem Registry-Eintrag funktioniert: https://www.ugg.li/windows-rras-vpn-l2tp-ipsec-server-und-clients-jeweils-hinter-nat/

 

[Barungar]

Also bei uns funktioniert die ganze VPN Geschichte über CG-Nat

Ist ja ähnlich wie bei LTE manchmal - z.T. bekommt man da ja RFC-1918 Adressen

Das hängt aber auch immer damit zusammen, wie stabil die AFTR- bzw. CG-NAT-Gateways bei den jeweiligen Providern sind. Und es wurde ja auch nicht gesagt, dass es nicht nicht geht. Sondern "nur" das es 10-mal am Tag zusammenbricht. Und das ist für mich das typische wacklige Verhalten von AFTR bzw. CG-NAT.

 

[mkonline]

Bei mir lag das Problem an der Fritzbox: 7490 Abbrüche, mehrmals pro Tag. Neue Fritzbox 5590 - keine Abbrüche mehr. Wobei der AnyConnect wesentlich unempfindlicher ist als ZScaler.

 

[haezzii]

Danke erst einmal für all eure Antworten! Kam gestern nicht mehr dazu.

Ohne weiterführende Untersuchungen zur IPv4-Stabilität durch Traces, Mitschnitte oder zumindest PINGs auf dem Anschluß, lässt sich nicht viel mehr sagen. Eine "Lösung" oder ein mach dies oder mach das kann ich da auch nicht liefern. Meine spontane (persönliche) Reaktion wäre, den Internet-Anschluß wechseln...

Würde es helfen, wenn ich irgendwelche Tests durchführe? Was genau wäre das beste? Kenne mich da nicht so gut aus.
Zum Thema Internet-Anschluss wechseln: Das ist hier auf dem Dorf leider nicht so einfach. Wir waren vor Jahren schon mal bei der Telekom, die können hier aber lediglich einen Anschluss mit max. 6 Mbit/s bereitstellen. Damit sind Streaming, Home Office etc. natürlich nicht wirklich realisierbar. Die Merseburger Stadtwerke sind hier in der Gegend die einzigen, die Anschlüsse mit bis zu 50 Mbit/s bereitstellen. Wie das über die alten Kupferleitungen, die in der Erde liegen, machbar ist - keine Ahnung. Auf allen privaten Geräten ohne VPN funktioniert es aber tatsächlich super.
Es scheint also nur die Wahl zu geben zwischen miesen Geschwindigkeiten oder guten Geschwindigkeiten aber Problemen mit VPN. Na toll.

Smartphone-Vertrag auch über den gleichen Anbieter abgeschlossen, oder doch eher etwas eigenständiges? Sicher, dass ggf. nicht einfach nur das WLAN kurzzeitig weg ist? Ich mein... (sofern nicht beim gleichen Anbieter) sind Festnetz-Internet und Mobilfunk-Internet zwei völlig voneinander unabhängige Konstellationen, da ist es schon sehr merkwürdig, wenn genau das gleiche Verhalten bei beiden Zugängen zu beobachten ist.

Das Smartphone war mit dem WLAN verbunden. Über Hotspot war mein Laptop mit VPN mit dem Smartphone verbunden. Das Smartphone hatte die ganze Zeit Netz, das WLAN war nicht weg. Aber der Laptop hatte die gleichen Internetabbrüche wie immer.

Naja, das ist meist recht einfach geklärt: Wenn von 100 Personen 1 Person Probleme hat, wird es nicht an der Zentrale liegen Wurden denn die "Fehlerprotokolle" auf "Deiner" Seite (sprich: die Protokolle auf Deinem Dienstgerät) ausgewertet?

Ja, es wurden speziell meine Fehlerprotokolle von meinem Dienstgerät ausgewertet. Ich habe diese aber nie gesehen, und hätte da wahrscheinlich sowieso nichts rauslesen können.
Und mehr wird die Firma wohl auch nicht tun, um mir zu helfen. Die sagen dann, dass ich halt ins Büro kommen muss, wenn es zuhause nicht klappt. Und in anderen Netzwerken funktioniert das Gerät ja ohne Probleme.

Also die Stadtwerke Merseburg geben in der Leistungsbeschreibung schon an, daß nicht so alles funktioniert:
https://www.stadtwerke-merseburg.de/cdn/pdf-dokumente/Internet_Telefon/leistungsbeschreibung.pdf

Stimmt, das hatte ich mir nicht so genau angeguckt. Danke für den Hinweis.
Hier steht ja folgendes:
"Die Erreichbarkeit von Ressourcen und Anwendungen im lokalen Netz(LAN) des Kunden über das Internet (z.B. Fernzugriff auf eine IP-Kamera,PC-Fernwartung, VPN, etc.) ist bei CGN gegebenenfalls nur eingeschränktmöglich. Gegen gesondertes, monatliches Entgelt ist auch die Zuweisungvon statischen, öffentlichen IPv4-Adressen möglich. In jedem Fall der Zuweisung einer IP-Adresse verbleiben die Rechte bei den SWM. Die Vergabeder IP-Adressen erfolgt auf der Grundlage der RIPE-Vergabe-Richtlinien."

Würde denn möglicherweise diese statische IPv4-Adresse bei meinem Problem helfen?

Ist das ein VPN über IPSec? Da reicht es nämlich unter Umständen, wenn ein anderer Kunde der Stadtwerke Merseburg, dem zufällig dieselbe öffentliche IP-Adresse des CGNAT-Routers zugewiesen wurde, auch ein IPSecVPN verwendet. Solange zufällig nur ein Kunde pro öffentlicher IP-Adresse IPSec verwendet, kann das auch ohne NAT-traversal funktionieren. Anders als bei UDP und TCP gibt es bei IPSec (ESP, IP Protokoll 50) aber keine Portnummern, anhand derer der Datenverkehr für mehrere Clients hinter CGNAT auseinandergehalten werden könnte. Um auch in solchen Situationen mehrere Clients bedienen zu können, gibt es NAT-traversal per UDP encapsulation. Die ESP-Pakete von IPSEC werden dann nochmal in UDP eingepackt. Damit kann der NAT-Router die Pakete verschiedenen Clients zuordnen. Das müßte die IT-Abteilung aber eigentlich wissen. Da muß ein Registry-Eintrag gesetzt werden, das kann bei großen Firmen mit zentral verwalteten Rechnern der Endnutzer nicht machen, weil ihm die Admin-Rechte fehlen.
Hier steht, wie das mit dem Registry-Eintrag funktioniert: https://www.ugg.li/windows-rras-vpn-l2tp-ipsec-server-und-clients-jeweils-hinter-nat/

Ich denke ja, es ist ein VPN über IPSec, zumindest habe ich den Begriff schon öfter gelesen/gehört, als ich mit der IT-Abteilung meiner Firma über das Problem in Kontakt stand.
Das mit dem Registry-Eintrag ist ein guter Hinweis. Ich weiß aber nicht, ob die das so umsetzen werden. Ist eine riesige Firma mit tausenden Compliance-Richtlinien, keine Ahnung ob die da für eine Person extra irgendwelche Dinge abändern.

 

[Stationary]

riesige Firma

Dow Leuna…?

 

[blurrrr]

Ich weiß aber nicht, ob die das so umsetzen werden. Ist eine riesige Firma mit tausenden Compliance-Richtlinien, keine Ahnung ob die da für eine Person extra irgendwelche Dinge abändern.

In Konzernen hat sich die IT-Abteilung um eine Problemlösung zu kümmern, ggf. wird Dir ein LTE-Stick zur Verfügung gestellt (man Dir ja schlecht Deinen Provider vorschreiben, ausser der Anschluss wird von der Firma bezahlt), das ist auch keineswegs unüblich bei Konzernen und schlussendlich auch Aufgabe der Konzern-eigenen IT-Abteilung.

 

[Stationary]

Da es keine Pflicht gibt, Homeoffice anzubieten, kann der Vorgesetzte sich durchaus einfach auf den Standpunkt stellen, daß die Arbeit dann eben am vertragsgemäß vereinbarten Beschäftigungsort zu machen, sprich im Büro. Nicht jeder Arbeitgeber ist da so wie meiner, der versucht, möglichst viele Leute aus den Büros fernzuhalten, da so Bürofläche eingespart werden kann.

 

[blurrrr]

Kenn es halt nur aus dem Konzernwesen, wo man auch keine Lust hat sich mit irgendwelchen örtlichen Problemen zu beschäftigen, da wird dann einfach im Volumenvertrag kurzerhand eine SIM + Stick bestellt und fertig.

 

[Confluencer]

Würde denn möglicherweise diese statische IPv4-Adresse bei meinem Problem helfen?

Ein statische ipv4-Adresse alleine nicht, aber zum Glück stand im Text etwas von einer öffentlichen ipv4-Adresse.
Mit einer öffentlich ipv4-Adresse sollte es ein vollwertiger Internetzugang sein.

Bevor man mit LTE und Co hantiert, würde ich die öffentlich ipv4-Adresse bestellen.
Ist sicherlich ökologisch und ökonomisch sinnvoller, als täglich zu einer Geschäftsstelle zu fahren

 

[Stationary]

Ja, ist bei uns recht speziell…wir haben zwar Bürofläche für 7000 Mitarbeiter, aber wenn man ganze Gebäude zusperren kann…da muß dann eben 60% der Belegschaft sich ein Büro-für-einen-Tag suchen. Das spart Heizkosten, zwei Kantinen etc… Aber ich komme vom Thema ab.