Support:

Internet-Geräte

Antworten
Smart-Analyzer
Akzeptierte Lösung

DS-Lite und IPSec Remote Access

Hallo.

Seit der Umstellung auf die 200MBit/s Leitung, mit welcher es auch eine neue FritzBox gab, habe ich Probleme per IPSec Remote Access mich beim Kunden/Arbeitgeber anzumelden. Die Authentifzierung funktioniert aber ich krieg keinen Traffic durch den Tunnel. Die Gegenstellen haben jeweils statische IPv4 Adressen (nein, kein v6 vorhanden).

 

Ich vermute daß auf der Datenstrecke durchd as DS-Lite Pakete im Nirvana verschwinden. Wenn ich an einen anderen Internet Anschuluß gehe (Hotspot, Handy-Hotspot, Telekom etc, je mit IPv4 am WAN Anschluß) geht das ohne Probleme. Rechner ist Windows 10 und der Cisco AnyConnect wird genutzt.

 

Hat jemand eine Idee wie ich das Problem umgehen kann? Eine IPv4 Adresse oder DualStack wird mir Vodafone sicherlich ungern geben. Gibt es Anbieter welche ich direkt per IPv6 erreiche und diese den Traffic an die IPv4 "NATen" so daß ich mit einem Umweg dem Problem aus dem Weg gehen kann? Bin leider mit IPv6 nicht so belesen. 


Akzeptierte Lösungen
SuperUser

Betreff: DS-Lite und IPSec Remote Access

Ungünstig, denn IKEv2/IPSec kann meiner Meinung nach kein IPv6 sondern nur IPv4, somit werden alle Pakete übern Tunnel geschickt.

Ich vermute daher, dass die MTU Size zu groß gewählt ist und deswegen einiges auf der Strecke bleibt.

Lösung in ursprünglichem Beitrag anzeigen


Alle Antworten
Royal-Techie

Betreff: DS-Lite und IPSec Remote Access

Hallo @Callaway1983 

 

Wenn ich mich recht erinnere verwendet Cisco AnyConnect gar kein ipsec sondern eine Form von ssl. Deshalb wundert es mich um so mehr, dass es bei dir nicht funktioniert.

Nutzt du irgenwelche "exotischen" IP-Adresse-Bereiche an der Fritzbox?

Die Symptome, die du beschreibtst, habe ich nämlich in (IPv4-)Netzen z.B. beim BayernWLAN, bei dem es zur Addressüberlappung zwischen Zugangsnetz und Firmennetz vorkommt.

Da Smartphones bei Hotspot/Tethering auch einen relativ unpopulären Adressbereich verwenden, wäre es eine Erklärung dafür, warum es dort funktioniert.

 

Daher mein Vorschlag, überprüfe mal welche Adressbereiche/Routen (die du im funktionierenden Fall zugewiesen bekommst) und vergleiche die mit denen der Fritzbox.

 

Weiche dann mit der Fritzbox entsprechend aus.

 

Mit freundlichen Grüßen

Thomas Schäfer

 

 

 

 

 

Smart-Analyzer

Betreff: DS-Lite und IPSec Remote Access

Der AnyConnect kann auch IKEv2/IPSec was in diesem Fall leider zum Einsatz kommt. Ich konnte feststellen daß ich manche Dienste im Remote Netz erreiche (RDP auf Server z.b. geht) aber nichts was den Internet Proxy benutzt (Port 8080). Da es aber kein Split-Tunnel ist sondern alles in den Tunnel geht, verstehe ich das ehrlich gesagt nicht. An einem "andere" Internet Anschluß ist das kein Problem.

 

Die IP-Range der FritzBox sind 192.168.178.x/24 und im Zielnetz haben wir alles im Bereich 10.x/8. Routing Table von windows sieht gut aus inkl. Metrik. 

SuperUser

Betreff: DS-Lite und IPSec Remote Access

Ungünstig, denn IKEv2/IPSec kann meiner Meinung nach kein IPv6 sondern nur IPv4, somit werden alle Pakete übern Tunnel geschickt.

Ich vermute daher, dass die MTU Size zu groß gewählt ist und deswegen einiges auf der Strecke bleibt.
Highlighted
Smart-Analyzer

Betreff: DS-Lite und IPSec Remote Access

Ich habe einen neuen Helden!! seelo2010

Tatsächlich hat eine Reduktion der MTU das Problem gelöst. Vielen Dank.

 

Für alle mit einem ähnlichen Problem, hier mal die nötigen Schritte um das anzupassen.

cmd.exe ausführen (am besten als Admin)

netsh interface ipv4 show interfaces

Wenn man das Interface weiß (die ID), mit folgendem Befehl die MTU setzen - ich hab sie auf 1100 gesetzt.

netsh interface ipv4 set subinterface "13" mtu=1100 store=persistent

 

Mega - dankeschön

Herz

Host-Legende

Betreff: DS-Lite und IPSec Remote Access

Moin @seelo2010 ,

 

auf die Idee zu kommen das die MTU zu groß ist muß man erst einmal kommen ... RESPEKT !!! ... 

Grüße an das Community-Universum

Argantho
MCT | MCSA | MCSE | MCITP