Frage
Antwort
Lösung
am 14.03.2019 11:52
Hallo.
Seit der Umstellung auf die 200MBit/s Leitung, mit welcher es auch eine neue FritzBox gab, habe ich Probleme per IPSec Remote Access mich beim Kunden/Arbeitgeber anzumelden. Die Authentifzierung funktioniert aber ich krieg keinen Traffic durch den Tunnel. Die Gegenstellen haben jeweils statische IPv4 Adressen (nein, kein v6 vorhanden).
Ich vermute daß auf der Datenstrecke durchd as DS-Lite Pakete im Nirvana verschwinden. Wenn ich an einen anderen Internet Anschuluß gehe (Hotspot, Handy-Hotspot, Telekom etc, je mit IPv4 am WAN Anschluß) geht das ohne Probleme. Rechner ist Windows 10 und der Cisco AnyConnect wird genutzt.
Hat jemand eine Idee wie ich das Problem umgehen kann? Eine IPv4 Adresse oder DualStack wird mir Vodafone sicherlich ungern geben. Gibt es Anbieter welche ich direkt per IPv6 erreiche und diese den Traffic an die IPv4 "NATen" so daß ich mit einem Umweg dem Problem aus dem Weg gehen kann? Bin leider mit IPv6 nicht so belesen.
Gelöst! Gehe zu Lösung.
am 14.03.2019 17:54
am 14.03.2019 14:03
Hallo @Callaway1983
Wenn ich mich recht erinnere verwendet Cisco AnyConnect gar kein ipsec sondern eine Form von ssl. Deshalb wundert es mich um so mehr, dass es bei dir nicht funktioniert.
Nutzt du irgenwelche "exotischen" IP-Adresse-Bereiche an der Fritzbox?
Die Symptome, die du beschreibtst, habe ich nämlich in (IPv4-)Netzen z.B. beim BayernWLAN, bei dem es zur Addressüberlappung zwischen Zugangsnetz und Firmennetz vorkommt.
Da Smartphones bei Hotspot/Tethering auch einen relativ unpopulären Adressbereich verwenden, wäre es eine Erklärung dafür, warum es dort funktioniert.
Daher mein Vorschlag, überprüfe mal welche Adressbereiche/Routen (die du im funktionierenden Fall zugewiesen bekommst) und vergleiche die mit denen der Fritzbox.
Weiche dann mit der Fritzbox entsprechend aus.
Mit freundlichen Grüßen
Thomas Schäfer
am 14.03.2019 17:02
Der AnyConnect kann auch IKEv2/IPSec was in diesem Fall leider zum Einsatz kommt. Ich konnte feststellen daß ich manche Dienste im Remote Netz erreiche (RDP auf Server z.b. geht) aber nichts was den Internet Proxy benutzt (Port 8080). Da es aber kein Split-Tunnel ist sondern alles in den Tunnel geht, verstehe ich das ehrlich gesagt nicht. An einem "andere" Internet Anschluß ist das kein Problem.
Die IP-Range der FritzBox sind 192.168.178.x/24 und im Zielnetz haben wir alles im Bereich 10.x/8. Routing Table von windows sieht gut aus inkl. Metrik.
am 14.03.2019 17:54
am 14.03.2019 18:17
Ich habe einen neuen Helden!! seelo2010
Tatsächlich hat eine Reduktion der MTU das Problem gelöst. Vielen Dank.
Für alle mit einem ähnlichen Problem, hier mal die nötigen Schritte um das anzupassen.
cmd.exe ausführen (am besten als Admin)
netsh interface ipv4 show interfaces
Wenn man das Interface weiß (die ID), mit folgendem Befehl die MTU setzen - ich hab sie auf 1100 gesetzt.
netsh interface ipv4 set subinterface "13" mtu=1100 store=persistent
Mega - dankeschön
am 17.03.2019 10:19
Moin @seelo2010 ,
auf die Idee zu kommen das die MTU zu groß ist muß man erst einmal kommen ... RESPEKT !!! ...