Glasfaser - VPN vom Arbeitgeber

RobKeith · ‎27.05.2025

Seit dieser Woche wurde an meinem neuen Wohnort der Glasfaseranschluss der Telekom bzw. Line-Sharing über Vodafone freigeschaltet. Funktioniert soweit auch 1A im privaten Umfeld.

Da ich Hauptsächlich im Home Office arbeite, muss auch hier der Anschluss performen. Leider habe ich nun Probleme mit dem VPN seitens des AGs. Ich las bereits viel zu Dualstack (IPV4/IPV6) etc. fand jedoch heraus, dass die Anschlüsse der Telekom via 4 und 6 erreichbar sind. Entsprechende Tests werden ohne VPN bestanden. Bei Einsatz des VPN geht gar nichts mehr am Arbeitsrechner. Ich hatte dazu dann ein IT-Ticket bei meinem AG eröffnet und bekam folgende Antwort.

"

Lösung

Der Nutzer muss Vodafone kontaktieren und mitteilen, dass die VPN-Verbindung über L2TP und IKEv2 nicht funktioniert. Das Problem ist, dass dies nicht die einzigen Ports sind, die geöffnet werden müssen.

Hier ist die vollständige Liste:

Zuerst muss der Nutzer die Ansicht im Expertenmodus aktivieren. Anschließend muss er zum Bereich „Internet“ wechseln. Unter „Portzuordnung“ muss er NAT-Traversal aktivieren und die Portauslösung wie folgt einstellen:

80 TCP und UDP
10700 TCP und UDP
443 TCP und UDP
445 TCP und UDP
500 TCP und UDP
4500 TCP und UDP
1701 TCP und UDP
1723 TCP und UDP
3389 TCP und UDP"

Die Ports gab ich auf meiner Fritzbox 5590 bereits frei, darauf stellte sich allerdings keine Besserung ein. Zu L2TP und IKEv2 konnte ich via Google herausfinden, dass das wohl auch standardmäßig gehen sollte.

Weiß hier jemand eine Lösung für das Problem? Oder kann VF intern Ports freischalten bei Glasfaseranschlüssen was ich Clientseitig nicht kann?

Vielen Dank

reneromann · ‎27.05.2025

Das Problem ist, dass die VPN-Lösung deines Arbeitgebers technisch veraltet ist und kein IPv6 unterstützt.

Schöne Grüße an die IT, die das über 25 Jahre alte IPv6-Protokoll offenbar komplett verschlafen hat und vor allem auch veraltete Technik einsetzt, die kein IPv6 unterstützt.

Und was die Liste an Ports anbetrifft: Wenn die IT dir das wirklich so zugeschickt hat, dann sollten die Personen dort DRINGEND entlassen werden. Port 445 (aka Windows-Dateifreigaben) hat NICHTS im Internet zu suchen...

Entweder dein Arbeitgeber stellt also endlich mal auch eine IPv6-fähige Einwahl bereit oder du wirst damit leben müssen, dass du den Aufpreis für einen Business-Tarif bezahlen darfst, weil es die IT deines Arbeitgebers verpennt hat.

seelo2010 · ‎02.07.2025

Ich würde die Portfreigaben dringend aus deinem Router wieder löschen.

Die eingehenden Ports werden für eine funktionierende VPN Verbindung nicht benötigt.

RobertP · ‎02.07.2025

@RobKeith schrieb:
Ich las bereits viel zu Dualstack (IPV4/IPV6) etc. fand jedoch heraus, dass die Anschlüsse der Telekom via 4 und 6 erreichbar sind.

was steht denn im Online-Monitor der Fritzbox zu DS Lite?

@RobKeith schrieb:
Bei Einsatz des VPN geht gar nichts mehr am Arbeitsrechner.

was heißt das genau?

Verbindung wird hergestellt aber kein Zugriff auf Ressourcen im Firmennetzwerk?

seelo2010 · ‎02.07.2025

Klingt ein wenig nach falscher MTU im VPN.

reneromann · ‎02.07.2025

@seelo2010 schrieb:

Klingt ein wenig nach falscher MTU im VPN.

Das dürfte eines der Probleme sein -- leider funktioniert nämlich die PMTUD (Path MTU Discovery) über DS-Lite-Anschlüsse für IPv4-Pakete nicht vernünftig. Alles unterhalb von 1424 bzw. 1432 Byte (DS-Lite via PPPoE bei DSL -oder- DS-Lite via Kabel) funktioniert, zwischen 1424 und 1492 respektive 1432 und 1500 Byte hat man dann "Black Hole"-Verhalten und ab 1493 bzw. 1501 Byte gibt's die klassische DF-Rückmeldung, weil Pakete zwischen 1424 / 1432 Byte und 1492 / 1500 Byte aufgrund des zusätzlichen IPv6-Headers um das eigentliche Datenpaket herum dann zu groß werden und vom Router auf IPv6-Seite und damit "unsichtbar" für den IPv4-Client verworfen werden.