Internet-Geräte

DS-Lite und IPSec Remote Access
GELÖST
Gehe zu Lösung
Smart-Analyzer

Hallo.

Seit der Umstellung auf die 200MBit/s Leitung, mit welcher es auch eine neue FritzBox gab, habe ich Probleme per IPSec Remote Access mich beim Kunden/Arbeitgeber anzumelden. Die Authentifzierung funktioniert aber ich krieg keinen Traffic durch den Tunnel. Die Gegenstellen haben jeweils statische IPv4 Adressen (nein, kein v6 vorhanden).

 

Ich vermute daß auf der Datenstrecke durchd as DS-Lite Pakete im Nirvana verschwinden. Wenn ich an einen anderen Internet Anschuluß gehe (Hotspot, Handy-Hotspot, Telekom etc, je mit IPv4 am WAN Anschluß) geht das ohne Probleme. Rechner ist Windows 10 und der Cisco AnyConnect wird genutzt.

 

Hat jemand eine Idee wie ich das Problem umgehen kann? Eine IPv4 Adresse oder DualStack wird mir Vodafone sicherlich ungern geben. Gibt es Anbieter welche ich direkt per IPv6 erreiche und diese den Traffic an die IPv4 "NATen" so daß ich mit einem Umweg dem Problem aus dem Weg gehen kann? Bin leider mit IPv6 nicht so belesen. 

Mehr anzeigen
1 Akzeptierte Lösung

Akzeptierte Lösungen
SuperUser
Ungünstig, denn IKEv2/IPSec kann meiner Meinung nach kein IPv6 sondern nur IPv4, somit werden alle Pakete übern Tunnel geschickt.

Ich vermute daher, dass die MTU Size zu groß gewählt ist und deswegen einiges auf der Strecke bleibt.
Mehr anzeigen
5 Antworten 5
Highlighted
Royal-Techie

Hallo @Callaway1983 

 

Wenn ich mich recht erinnere verwendet Cisco AnyConnect gar kein ipsec sondern eine Form von ssl. Deshalb wundert es mich um so mehr, dass es bei dir nicht funktioniert.

Nutzt du irgenwelche "exotischen" IP-Adresse-Bereiche an der Fritzbox?

Die Symptome, die du beschreibtst, habe ich nämlich in (IPv4-)Netzen z.B. beim BayernWLAN, bei dem es zur Addressüberlappung zwischen Zugangsnetz und Firmennetz vorkommt.

Da Smartphones bei Hotspot/Tethering auch einen relativ unpopulären Adressbereich verwenden, wäre es eine Erklärung dafür, warum es dort funktioniert.

 

Daher mein Vorschlag, überprüfe mal welche Adressbereiche/Routen (die du im funktionierenden Fall zugewiesen bekommst) und vergleiche die mit denen der Fritzbox.

 

Weiche dann mit der Fritzbox entsprechend aus.

 

Mit freundlichen Grüßen

Thomas Schäfer

 

 

 

 

 

Mehr anzeigen
Smart-Analyzer

Der AnyConnect kann auch IKEv2/IPSec was in diesem Fall leider zum Einsatz kommt. Ich konnte feststellen daß ich manche Dienste im Remote Netz erreiche (RDP auf Server z.b. geht) aber nichts was den Internet Proxy benutzt (Port 8080). Da es aber kein Split-Tunnel ist sondern alles in den Tunnel geht, verstehe ich das ehrlich gesagt nicht. An einem "andere" Internet Anschluß ist das kein Problem.

 

Die IP-Range der FritzBox sind 192.168.178.x/24 und im Zielnetz haben wir alles im Bereich 10.x/8. Routing Table von windows sieht gut aus inkl. Metrik. 

Mehr anzeigen
SuperUser
Ungünstig, denn IKEv2/IPSec kann meiner Meinung nach kein IPv6 sondern nur IPv4, somit werden alle Pakete übern Tunnel geschickt.

Ich vermute daher, dass die MTU Size zu groß gewählt ist und deswegen einiges auf der Strecke bleibt.
Mehr anzeigen
Smart-Analyzer

Ich habe einen neuen Helden!! seelo2010

Tatsächlich hat eine Reduktion der MTU das Problem gelöst. Vielen Dank.

 

Für alle mit einem ähnlichen Problem, hier mal die nötigen Schritte um das anzupassen.

cmd.exe ausführen (am besten als Admin)

netsh interface ipv4 show interfaces

Wenn man das Interface weiß (die ID), mit folgendem Befehl die MTU setzen - ich hab sie auf 1100 gesetzt.

netsh interface ipv4 set subinterface "13" mtu=1100 store=persistent

 

Mega - dankeschön

Herz

Mehr anzeigen
Giga-Genie

Moin @seelo2010 ,

 

auf die Idee zu kommen das die MTU zu groß ist muß man erst einmal kommen ... RESPEKT !!! ... 


Grüße an das Community-Universum
Ein Klick auf "Gefällt mir" tut nicht weh
MCT | MCSA | MCSE | MCITP | MCP | MCTS
Mehr anzeigen