IPSec-VPN zum Arbeitgeber via DS-Lite Anschluss, d...

TP10 · ‎22.08.2023

Guten Tag!

Wir haben ein Problem nach dem Verbindungsaufbau eines durch den AG gestellten IPsec-VPN-Tunnels.

Zum Setup:
Ich arbeite im Homeoffice und pendle zwischen zwei Adressen hin und her.
An der "alten" Adresse haben wir einen "Red Internet & Phone 50 DSL".
Von hier aus klappt alles wunderbar.
In der Easybox (803) kann ich sehen, dass es ein IPv4-Anschluss ist, oder zumindest echtes dual-stack.
An der neuen Adresse haben wir ein "GigaZuhause 250 DSL" gebucht.
Hier haben wir eine EasyBox 805 und ich kann sehen, dass das ein DS-Lite-Anschluss ist.
Es ist keine IPv4-Adresse verfügbar.
Die VPN-Einwahl klappt hier zwar auch, allerdings besteht keine vollumfängliche Verbindung ins Netzwerk meines AG.

Zum Problem:
Der AG stellt mit dem VPN keine IPv6-Konnektivität, rein IPv4.
Keine Ahnung, ob das an dem DS-Lite liegt, aber die VPN ist an meiner zweiten Adresse so nicht nutzbar.
Manche Ports sind anscheinend geblockt, andere sind offen.

Beispielsweise ist Port 389 gesperrt:
Wenn VPN verbunden ist, kann die Domäne über SRV-Records/ LDAP nicht aufgelöst werden.
(Network location awareness klappt nicht)
ping ins Netzwerk funktioniert.
Netzwerkfreigaben werden auch blockiert: Port 139 und 445 sind auch tot.
RDP wiederrum (Port 3389) funktioniert.

Das ganze ist KEINE lokale Gegebenheit, denn wenn ich mit dem Laptop zurück an die alte Adresse gehe, klappt das alles sofort.
Es hängt auch nicht am WLAN/LAN oder sowas - alles getestet.
Ich habe mal mit der IT des AG viel probiert und wir kommen so nicht weiter.
Wir haben auch mal die FW des Easybox ausgeschaltet - hilft auch nicht.
Wir haben sogar mal eine FB 7590 anstatt der Easybox dran gehabt - eben so kein Erfolg.
(Als Gegentest haben wir dieselbe FB mal am alten Anschluss dran gehabt: VPN und alle nachgelagerten Protokollen funktionieren hier auch einwandfrei)

Der AG hat natürlich diverse Mitarbeiter im Homeoffice.
Ein weiterer davon hat jetzt ganz frisch nach einem Umzug (anderes Gebiet) ebenfalls einen Vodafone-DSL-Anschluss.
Auch der hat dieselben Probleme. (Vor dem Umzug nicht)
Wenn dieser MA zu wiederrum einem anderen MA mit Telekom-DSL-Anschluss ins Homeoffice wechselt, hat er dort diese Verbindungsproblematiken nicht.
Die IT hat die beiden Fälle verglichen ist dazu gekommen, bzgl. ist es gesunder Menschenverstand, das Problem nun auf den DS-Lite Anschluss fixieren.

Wie gesagt, ich selber habe das Problem auch nicht, wenn ich an meinem alten Anschluss mit gültiger IPv4 arbeite.
Es scheint so, als ließe sich das auf den DS-Lite mist eingrenzen.

Ich bitte hiermit freundlich, dass sich mal jemand von Vodafone mit uns in Kontakt setzt, damit ich die Adressen/Kundennummern durchgeben kann, damit sich das jemand anschaut.
Im Endeffekt bitten wir darum, echtes dual-stack geschaltet zu bekommen.

reneromann · ‎22.08.2023

Es wird bei Privatkunden kein DualStack mehr geschalten - es ist "nur" DS-Lite vereinbart, ergo wirst du damit leben müssen.

Hintergrund ist, dass seit 2011(!) alle IPv4-Adressblöcke weltweit vergeben sind, es also schlichtweg nicht mehr genug freie IPv4-Adressen gibt, um alle Kunden bedienen zu können. Ergo müssen die Provider Techniken wie DS-Lite oder CGNAT (meist im Mobilfunkbereich) einsetzen, um mehrere Kunden mit nur einer einzigen IPv4 in's Internet zu bringen.

Es liegt an deinem Arbeitgeber, sich endlich mal mit dem fast 25 Jahre alten IPv6-Protokoll auseinanderzusetzen - Aussitzen funktioniert halt nicht mehr. Zumal es in der Regel kein großes Ding ist, neben einer IPv4-Einwahl auch eine IPv6-Einwahl anzubieten.

TP10 · ‎23.08.2023

Es geht nicht um den AG, sondern schlichtweg darum, dass dieser Anschluss in gänze so nicht genutzt werden kann.
Der AG bezieht die Internetleitung von einem lokalen Anbieter aus der Region und es wird ein reiner IPv4-Anschluss bereitgestellt.
Dieser lokale Anbieter spießt mehrere Hundert Unternhemen in der Region, verbindet Standorte PtP und ist eine etablierte größe.

Sagen Sie mir mal, wo IPv6 im Geschäftsumfeld eine echte Relevanz hat.
Das rfc rauszukramen hat dabei keinen Einfluss auf die Lösung des Problems.

Es ist nicht sinnvoll, den Fehler hier außen zu suchen.
Es liegt ja beispielsweise gar nicht direkt an IPv6, sondern daran, dass anscheinend nicht alle Protokolle über die VPN Verbindng zugelassen werden.
Zumindest eine Erklärung wäre nett.

reneromann · ‎23.08.2023

@TP10 schrieb:

Es geht nicht um den AG, sondern schlichtweg darum, dass dieser Anschluss in gänze so nicht genutzt werden kann.

Sorry, aber die Aussage ist doch gelogen. Du kommst mit dem Anschluss in's Internet - und für mehr ist Vodafone vertraglich nicht zuständig. Ob darüber dann das VPN zu deinem Arbeitgeber vernünftig läuft, ist KEIN Vertragsbestandteil des Vertrages mit Vodafone, insbesondere schon gar nicht, wenn der AG irgendwelche Konfigurationen im VPN fährt, die dann ihrerseits Sachen blockieren.

@TP10 schrieb:

Der AG bezieht die Internetleitung von einem lokalen Anbieter aus der Region und es wird ein reiner IPv4-Anschluss bereitgestellt. Dieser lokale Anbieter spießt mehrere Hundert Unternhemen in der Region, verbindet Standorte PtP und ist eine etablierte größe.

Und dieser lokale Anbieter wird ziemlich sicher auch IPv6 anbieten - mir ist ehrlich gesagt kein Anbieter im Business-Umfeld bekannt, der heutzutage kein DualStack bereitstellt -- wenn dieser "lokale Anbieter aus der Region" kein IPv6 kann, dann sollte man eher da ansetzen, da die Problematik mit den ausgehenden IPv4-Adressen schon seit den 1990ern bekannt ist und sich dieser Tatsache zu verschließen einfach nur noch töricht ist.

@TP10 schrieb:

Sagen Sie mir mal, wo IPv6 im Geschäftsumfeld eine echte Relevanz hat.
Das rfc rauszukramen hat dabei keinen Einfluss auf die Lösung des Problems.

IPv6 wird von vielen Firmen mittlerweile für die Content-Bereitstellung im Internet und die Vernetzung genutzt - u.a. für die Telekom. Und gerade im ISP-Bereich wird zur Einsparung von IPv4-Adressen teils ein IPv6-only-Backbone genutzt, über den dann z.T. IPv4-Traffic komplett transparent geroutet wird (ohne die Hops dazwischen zu sehen).

@TP10 schrieb:

Es ist nicht sinnvoll, den Fehler hier außen zu suchen.

Doch, ist es! VPN-Probleme in Verbindung mit DS-Lite werden ausschließlich durch die Konfiguration des VPNs verursacht - in der Regel durch falsche Einstellungen zur MTU; durch die fehlerhafte Annahme, dass die IPv4 des Clients sich nicht verändern darf und durch die fehlerhafte Annahme, dass der Client auch Portfreigaben unterstützen muss sowie das Protokolle wie GRE abseits von TCP und UDP uneingeschränkt und überall genutzt werden können.

Denn warum funktionieren andere VPN-Lösungen (z.B. OpenVPN oder Wireshark) sauber auch über DS-Lite-Anschlüsse - und nur IPSec macht diese Probleme?

@TP10 schrieb:

Es liegt ja beispielsweise gar nicht direkt an IPv6, sondern daran, dass anscheinend nicht alle Protokolle über die VPN Verbindng zugelassen werden.

Was innerhalb des VPNs passiert, spielt für Vodafone keine Rolle -- Vodafone kann diesen Traffic innerhalb des VPN auch nicht sehen (außer das VPN ist so fehlerhaft konfiguriert, dass es keine Verschlüsselung der Daten vornimmt - nur dann kann man sich das auch gleich sparen).

Wenn hingegen Ports 139, 389 und 445 außerhalb des VPN-Tunnels geroutet werden, dann ist das ein grober Fehler in der VPN-Konfiguration! Diese Ports (LDAP, SMB und NetBIOS) haben im öffentlichen Internet NICHTS zu suchen und werden aufgrund diverser bekannter Sicherheitsprobleme mittlerweile bei den meisten Anbietern geblockt. Hier ist es Aufgabe der Firmen-IT sicherzustellen, dass diese Ports definitiv nur intern und nur via VPN erreichbar sind.

TP10 · ‎23.08.2023

Niemand hat gessagt, dass die Ports/Protokolle extern erreichbar sind - warum sprichst du das überhaupt an?
Ich habe das Gefühl, dass du nicht wirklich gewillt bist, Hilfestellung zu leisten sondern lediglich nur versuchst, das Problem abzuwenden.
Die Ports sind selbstverständlich nur über VPN erreichbar, aber es ist ja genau das, was schief läuft:
Alter Anschluss: Passt | Neuer Anschluss: Passt nicht.

Natürlich kümmert es Vodafone nicht, dass wenn etwas so diffiziles mit der (funktionierenden) Internetleitung nicht möglich ist.
Das speziell gewisse Dienste über VPN nicht Vertragsbestandteil sind, ist auch klar.
Das VPN an sich ist auch einfach ncht das Problem - es kommt zustande undzwar sauber und dauerhaft.

Wie gesagt, im Anschluss funktionieren gewisse Protokolle/Ports nicht, die mit demselben Endgerät an anderen Anschlüssen (kein DS-Lite) einwandfrei funktionieren.

Ich will keine Tiraden über die Relevanz von ipv6 führen, weil es darum einfach nicht geht.
Ich hätte mich gefreut, wenn ein konstruktiver Austausch hätte stattfinden können.
Du rechtfertigst dich aber nur und versuchst alles zu negieren.
Du schlachtest all diese Themen so aus, aber konzentrierst dich überhaupt nicht auf das Problem.
Es wäre schön zu sehen gewesen, wenn man bereit gewesen wäre, zB mal testweise dualstack zu schalten, einfach nur um zu sehen, ob das das Problem löst.

Wenn du dir nun einfach mal diese Konversation und Gegebenheiten wegdenkst, meinen ersten Beitrag neu durchließt und mir dann einfach die Frage beantworten würdest:
Warum sind manche Dienste/Protokolle/Ports über ein IPsec-basiertes VPN an diesem Anschluss nicht verfügbar und an meinem anderen Anschluss schon?

Glaub mir, ich verstehe, dass Vodafone irgendwo die Grenze ziehen muss und natürlich ist das hier der Fall.
Das Problem ist aber nicht so "diffus", wie wenn der Kunde sagen würde, dass irgendwo eine Website über euren Internetanschluss manchmal nicht aufrufbar wäre.
Anders als das ist das Problem klip und klar benennbar, eingrenzbar und reproduzierbar.

Schon klar, dass v4 knapp wird, aber hier muss der Internetanbieter eine gewisse flexibilität aufweisen.
Wenn DSLite üblicherweise für 98% der Kunden passt, es wie in diesem Fall Lösungsdienslich sein könnte, dualstack zu schalten, dann hätte ich es gern gesehen, wenn ein entgegenkommen, sei es nur als Teststellung, möglich gewesen wäre.

Wir hatten denselben Mist mit diversen 1&1-Anschlüssen.
Kurze Mail an den Kundensupport, keine 24h später war dual-stack geschaltet, problem solved.
(Vor wenigen Wochen, selbes PLZ-Gebeit)

Wenn du dich nun dabei erwischst, wieder nur gegen den Kunden zu wettern, dann las es bitte bleiben.
Wenn du Produktiv an der Lösung arbeiten willst, dann immer her damit.

reneromann · ‎23.08.2023

Wenn die Ports sauber über das VPN laufen würden, dann hat Vodafone da nichts mit zu tun -- in dem Fall kann Vodafone nicht eingreifen und blockiert auch nichts! Wenn hingegen die Ports nicht laufen, dann liegt es daran, dass das VPN eben NICHT sauber konfiguriert ist -- glaub es mir einfach (oder nimm Wireshark und schau es dir an, was mit dem Traffic passiert, wenn du mir nicht glaubst!).

Und wie gesagt - DS-Lite ist nicht das Problem, sondern IPSec ist das Problem, da IPSec einige Annahmen trifft, die bei Anschlüssen mit CGNAT (egal ob DS-Lite oder anderen CGNAT-Verfahren) nicht gegeben sind! Da wäre z.B. die fehlerhafte Bestimmung der Path-MTU, was dann dazu führt, das Teile des Traffics kommentarlos verworfen werden (wenn Pakete mit einem Not-Fragment-Flag versehen sind) oder fragmentiert werden, obwohl es das VPN nicht will (was wiederum zu Problemen im Datenstrom INNERHALB des VPNs führt.

Das sind aber wie gesagt Sachen, die an der VPN-Konfiguration als auch an IPSec an sich liegen - das hat nichts mit DS-Lite zu tun, sondern DS-Lite deckt diese "Fehler" in der Konfiguration bzw. im Grundaufbau von IPSec nur auf.

@TP10 schrieb:
Schon klar, dass v4 knapp wird, aber hier muss der Internetanbieter eine gewisse flexibilität aufweisen.
Wenn DSLite üblicherweise für 98% der Kunden passt, es wie in diesem Fall Lösungsdienslich sein könnte, dualstack zu schalten, dann hätte ich es gern gesehen, wenn ein entgegenkommen, sei es nur als Teststellung, möglich gewesen wäre.

DualStack ist vertraglich nicht vereinbart, ergo wird da auch nichts dran gedreht. Komm mit DS-Lite klar oder bezahle den Aufpreis zu einem Business-Tarif, bei dem dann DualStack geschalten wird.

@TP10 schrieb:
Wir hatten denselben Mist mit diversen 1&1-Anschlüssen.
Kurze Mail an den Kundensupport, keine 24h später war dual-stack geschaltet, problem solved.
(Vor wenigen Wochen, selbes PLZ-Gebeit)

Dann habt ihr dort Glück gehabt - aber Vodafone macht das halt schon seit Jahren nicht mehr.

@TP10 schrieb:
Wenn du dich nun dabei erwischst, wieder nur gegen den Kunden zu wettern, dann las es bitte bleiben.
Wenn du Produktiv an der Lösung arbeiten willst, dann immer her damit.

Ich wettere nicht gegen den Kunden, sondern ich schreibe dir hier schon mehrfach, wo die Probleme liegen.

Entweder ihr ändert die Konfiguration eurer IPSec-Einwahl entsprechend ab (Deaktivierung Path-MTU-Discovery und Einstellen eines Wertes < 1428 Byte; Deaktivierung der Prüfung der Client-IP-Adresse) -ODER- ihr richtet eine IPv6-fähige Einwahl ein -ODER- ihr verwendet ein VPN-Protokoll, was mit [CG]NAT klarkommt (eben KEIN IPSec, weil IPSec schon immer Probleme mit NAT hatte).

Eine Rückumstellung auf DualStack hingegen wird an einem Privatkundenanschluss nicht stattfinden

TP10 · ‎23.08.2023

Danke erstmal für die produktive Antwort.
Ich probiere es die Tage mal mit openvpn.

Ich habe übrigens jetzt gerade einfach mal versucht, testweise den DS-Lite meines Elternhauses (1&1) auf dualstack zu bekommen.
Ich habe einen Chat auf deren Website eröffnet, meine Vertragsnummer genannt und die Frage gestellt.
Ich wurde um eine Rückrufnummer geben. Ich erhielt dann sofort einen Anruf.

Im Hintergrund war sehr viel Geräuschkulisse, das war klassiches Callcenter.
Man teilte mir mit, dass man den Anschluss umstellen kann, wenn ein entsprechender Grund vorliegt.
Obwohl das first-level war, hat man mir schon gesagt, was Sache ist, was erstmal wunderbar ist.
Man hat mich zum technischen Support drchgestellt.
Hat 2 Minuten gedauert, bis ein junger Mann das Gespräch angenommen hat:

Er: "Mein Kollege sagte, Sie brauchen dual-stack?"
Ich: "Ja."
Er: "Für VPN, ne?"
Ich: "Ja."
Er: "Kein Problem, wird heute nacht geschaltet. Teilen Sie mir bitte noch das VPN-Programm mit."
Ich: "Warum?"
Er: "Wir treten mit den Herstellern in Kontakt um die technischen Details zu klären, etc."
Ich: "Alles klar."
Er: "Ist das ipsec?"
Ich: "Ja."
Er: "Alles klar."

(Ich habe dann von dieser Konversaiton erzählt)

Ich: "Aus Interesse, warum könnt ihr dualstack schalten und Vodafone nicht?"
Er: "ipv4 wird zwar knapp, aber jeder Anbieter hat seine reserven und wenn es sein muss, kann jeder dualstack schalten.
Vodafone will vmtl. nur nicht.
Ich selber bin privat bei Vodafone und habe DS-Lite bekommen.
Ich habe das gemacht wie bei uns, sonst hätte ich auch nicht im Homeoffice arbeiten können:
Ich habe denen das VPN-Programm genannt und gebeten auf DS umzuschalten, was die dann auch gemacht haben"
Ich: "Warum ging das dann bei mir nicht?"
Er: "Einfach druck machen."

Wir haben dann noch herrlich anekdoten über Kunden ausgetauscht.
Das wurde ganz entspannt gelöst und ich bin mit einem sehr guten Gefühl aus dem Gespräch gegangen.

Vergleichen Sie die Verhaltensweise des MA einfach mal mit Ihnen.
Ich will Sie nicht an den Pranger stellen, aber selbst wenn Vodafone wirklich kein dualstack schalten könnte, dann waren Sie in Ihrem Verhalten einfach Kundenunfreundlich.

Ich werde diese Konversation nun ruhen lassen.

reneromann · ‎23.08.2023

@TP10 schrieb:

Vergleichen Sie die Verhaltensweise des MA einfach mal mit Ihnen.
Ich will Sie nicht an den Pranger stellen, aber selbst wenn Vodafone wirklich kein dualstack schalten könnte, dann waren Sie in Ihrem Verhalten einfach Kundenunfreundlich.

Da du es offenbar nicht bemerkt hast:
Hier im Forum sind -mit Ausnahme der Moderatoren- ausschließlich Kunden unterwegs - ich bin KEIN Mitarbeiter von Vodafone, sondern kann nur sagen, wie sich die Situation bei Vodafone über die letzten Jahre entwickelt hat.

Und ich kann auch sagen, dass ich von DS-Lite selbst schon (leidlich) betroffen war - alledings war das schon in 2015, also vor etwas mehr als 8 Jahren - und kann daher auch mein Wissen über DS-Lite in Kombination mit VPN weitergeben. Allerdings weiß ich auch, dass sich im Verhalten von Vodafone seit 2015 einiges geändert hat -- während damals DualStack noch relativ einfach über die Hotline geschalten wurde, passiert dies seit Ende 2018 so nicht mehr, eben weil sich die Situation immer weiter zugespitzt hat.

Und dementsprechend hilft in 2023, nahezu 9 Jahre nachdem Vodafone mit DS-Lite angefangen hat, auch kein Rummeckern mehr -- schön wenn 1&1 noch Reserven an IPv4-Adressen hat, nur hat VF diese nicht (mehr). Und ehrlich gesagt bezweifele ich, dass sich 1&1 noch lange diese Art Gießkannenprinzip bei IPv4 wird leisten können - insbesondere dann, wenn die endlich mal mit ihrem Mobilfunknetz in die Pötte kommen -- weil dann denen die IPv4-Adressen auch sehr schnell ausgehen werden, wenn sie für alle möglichen (und unmöglichen) Geräte im Mobilfunknetz dann auf einmal IPv4-Adressen brauchen [wobei der größte Teil des Kernnetzes im Mobilfunkbereich bei allen Providern mittlerweile IPv6-only ist].

TP10 · ‎23.08.2023

Interessant - Sorry, ich dachte, dass sich hier auch Vodafone-MA herumtreiben, bzw. auch, dass ich hier mit einem schreibe.
Du machst dich für die Sache so stark, bzw. gibst definitive Aussagen, wie dass kein DS mehr auf Anfrage zu bekommen ist, dass es mich Wundert, dass du nur User bist.

Mit welcher Sicherheit kannst du im Namen von VF solche Aussagen treffen?
(allein Erfahrungshalber?)

reneromann · ‎23.08.2023

@TP10 schrieb:

Mit welcher Sicherheit kannst du im Namen von VF solche Aussagen treffen?
(allein Erfahrungshalber?)

Es gibt interne Anweisungen seit mindestens 2018, dass eine Schaltung von DualStack in Privatkundentarifen nicht mehr zu erfolgen hat -- und es gibt hier im Forum bis August '22 genug Aussagen der (damals noch hier tätigen) Mitarbeiter, die genau diese interne Anweisung bestätigen.