- Anzeige -

Portsperren bei UM

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Was haltet Ihr von den Sperren?

Voll in Ordnung. Sicherheit ist ein wichtiges Thema und beeinträchtigt mich ja auch nicht
16
19%
Voll in Ordnung. Aber warum weiss ich nichts davon? Sollte man schon *irgendwo* mitteilen
16
19%
Unverschämtheit. Ich brauche die Ports für xxx (bitte ein Beispiel posten bzw. erklären)
9
11%
Unverschämtheit. Brauche die Ports nicht, aber finde es aus Prinzip nicht in Ordnung.
39
46%
Kenne Ports und die Bedeutung nicht. Kann mich darum nicht äussern
1
1%
Kenne nur Port-Wein, also mir egal. *Prost*
3
4%
Ist mir egal / Keine Meinung zu
1
1%
 
Abstimmungen insgesamt : 85

Re: Portsperren bei UM

Beitragvon Andreas1969 » 02.09.2016, 07:42

Das Problem scheint mir eher hier zu liegen:

Dual-Stack Lite: VPN-Probleme via MTU-Wert lösen
Dienstag, 25. Aug. 2015 15:24 - [ar] - Quelle:Eigene
Viele Anwender mit Internetanschlüssen die auf Dual-Stack Lite setzen haben Probleme mit VPN-Verbindungen. Oftmals reicht die Reduzierung des MTU-Wertes für eine stabile Verbindung jedoch aus.
Viele Kabel- und Internet-Anbieter setzten derzeit auf das Dual-Stack-Lite-System, um nicht mehr jedem Anwender eine eindeutige IPv4-Adresse zuordnen zu müssen. Mittels geteilten IPv4-Adressen und eindeutigen IPv6-Adressen ist die Nutzung des Internets quasi genauso möglich wie mit einer herkömmlichen eindeutigen IPv4-Adresse.
Etwas schwieriger ist das Unterfangen, wenn der Anwender auf speziellere Lösungen wie eine VPN-Verbindung zurückgreifen muss. VPN-Verbindungen werden genutzt um sichere Verbindungen zwischen zwei Punkten im Netzwerk zu erstellen. Häufigster Einsatzzweck ist das klassische Home Office mit einer sicheren Verbindung zum Arbeitgeber oder auch eine sichere Verbindung in ein Universitäts-Netzwerk, um auf interne Ressource zurückgreifen zu können.
Mittels teuren Business-Paketen können die Internetanbieter die Kunden, welche auf VPN-Verbindungen angewiesen sind, zusätzliche Gebühren abverlangen. In vielen Fällen reicht allerdings bereits die Reduzierung des MTU-Werts bei der VPN-Verbindung, um diese stabil zum Laufen zu bringen.
Der MTU-Wert (Maximum Transmission Unit) bestimmt, wie groß das genutzte Protokoll der Vermittlungsschicht inklusive des Sicherungsthreads ausfallen darf. Der Standardwert bei Ethernet-Verbindungen liegt bei 1.500, bei PPPoE-Verbindungen bei 1492.
Das Problem bei der Verwendung von IPv6-Adressen ist, dass die Header der Vermittlungsschicht 40 Bytes groß sind, durch das Dual-Stack-Lite-System die VPN-Verbindung allerdings von einer IPv4-Adresse mit nur 20 Bytes ausgeht. Dies führt dazu, dass 20 Bytes verloren gehen. Dies wiederum hat zur Folge, dass eine VPN-Verbindung in einigen Fällen zwar aufgebaut werden kann, Daten allerdings nicht komplett bei der Gegenstelle ankommen oder nicht interpretiert werden können.
Mittels der Begrenzung des MTU-Wertes auf einen manuell festgelegten Wert unterhalb des maximalen MTU-Wertes des eigenen Anschlusses lässt sich dieses Problem einfach umgehen.
Einen ersten Eindruck ob der MTU-Wert reduziert werden muss, gibt der TPC-Analyser der Website SpeedGuide.net.
Sollte der MTU-Wert nicht für Breitband optimiert sein, hat sich bei uns ein MTU-Wert von 1.300 bis 1.432 als nutzbar herausgestellt. Mit einem MTU-Wert von 1.300 sollten auch Dual-Stack-Lite-Nutzer eine vernünftige VPN-Verbindung realisiert bekommen.
Bei der Verbindung via OpenVPN lässt sich der MTU-Wert mittels Befehl in der Konfigurationsdatei einfach selbst einstellen:
Dies dürfte bei den meisten Anwendern das Problem einer nicht funktionierenden VPN-Verbindung beheben, ganz ohne teuren Business-Anschluss. Das Problem der nicht Erreichbarkeit von einzelnen Ports über die IPv4-Adresse wird mit dem MTU-Wert bei Dual-Stack-Lite-Anschlüssen allerdings nicht behoben.


Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1698
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon Andreas1969 » 02.09.2016, 08:11

Wie bekomme ich jetzt den beim VPN Verbindungsaufbau max. ermittelten MTU Wert (der wird beim Verbindungsaufbau in Phase 1 automatisch ermittelt) um die fehlenden 20 Byte reduziert?

Kann man das irgendwie in der vpn config einstellen?

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1698
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon Andreas1969 » 02.09.2016, 08:23

Und dann gibt es ja auch noch den MTU Bug bei den Fritten mit FW < 6.50 welcher ja auch für den nicht laufenden SIXXS Tunnel verantwortlich war.
Die 6360 hat nämlich noch OS 6.33 drauf.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1698
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon tq1199 » 02.09.2016, 08:35

Andreas1969 hat geschrieben:Wie bekomme ich jetzt den beim VPN Verbindungsaufbau max. ermittelten MTU Wert ...?


Erstelle mit deiner FB6360 (mit konfiguriertem VPN) eine support- und export-Datei und suche in diesen Textdateien, nach dem String "mtu".
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: Portsperren bei UM

Beitragvon Andreas1969 » 02.09.2016, 09:21

Aber es reicht doch nicht, einfach den MTU Wert der Box um 20 Byte zu reduzieren.
Die Differenz bleibt ja dann trotzdem bestehen, da IPV4 ja weiterhin über IPV6 getunneltes wird, nur mit 20 Byte weniger.
Es müsste ja der MTU Wert des VPN Tunnels selbst reduziert werden.

MTU Wert Tunnel = MTU Wert Box - 20 Byte

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1698
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon tq1199 » 02.09.2016, 09:25

Andreas1969 hat geschrieben:Es müsste ja der MTU Wert des VPN Tunnels selbst reduziert werden.


Hast Du den (aktuellen, d. h. standard-) MTU-Wert des VPN-Tunnels, gefunden?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: Portsperren bei UM

Beitragvon Andreas1969 » 02.09.2016, 09:37

Der wird doch bei jedem Tunnelaufbau zwischen den Boxen ausgehandelt.
Ich hatte eben auch einen Knoten im Kopf.
Die Lösung wäre doch, den MTU Wert der 6490 (IPV4) zu verändern, nämlich genau 20 Byte weniger, als der MTU Wert des AFTR'S über welches die 6360 (DSLITE) angebunden ist. Dann sollte der Tunnelaufbau auch klappen.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1698
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon Andreas1969 » 02.09.2016, 13:35

Ich habe mir das jetzt mal genauer angeschaut.
Beide Boxen haben einen MTU Wert von 1500.
Das IP4- AFTR hat allerdings nur eine MTU von 1460.
Das ist ja auch logisch, da IP4 von der 6360 in IP6 getunnelte ist (IP6 Protokoll = 40 Byte).
Da aber VPN eine Paküetgröße von 1500 - 20 (IP4 Protokoll) = 1480 Byte aushandelt, werden die Pakete fragmentiert und sind unbrauchbar.
Über das AFTR können ja nur 1460-20 = 1440 Byte Pakete unfragmetiert übertragen werden.
Um das zu umgehen, gibt es nur 2 Lösungen :
Entweder configuriert man die Tunnel MTU fest auf 1440 Byte, aber wie geht das?
Oder man passt den MTU Wert in der 6490 (IPV4 only) auf 1460 an, wie kann man das machen?

Dann sollte der Tunnel laufen.

Gruß Andreas
Andreas1969
Glasfaserstrecke
 
Beiträge: 1698
Registriert: 05.03.2015, 08:50
Wohnort: Unitymedia NRW

Re: Portsperren bei UM

Beitragvon tq1199 » 02.09.2016, 14:04

Andreas1969 hat geschrieben:Entweder configuriert man die Tunnel MTU fest auf 1440 Byte, aber wie geht das?
Oder man passt den MTU Wert in der 6490 (IPV4 only) auf 1460 an, wie kann man das machen?


Wenn das mit dem WEB-IF bzw. der VPN-config-Datei der FB nicht möglich ist, wäre es evtl. hilfreich, wenn Du anhand einer Sicherungsdatei (*.export-Datei) nachschauen würdest, wie bzw. wo der MTU-Wert für das VPN festgelegt ist.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: Portsperren bei UM

Beitragvon F-orced-customer » 02.09.2016, 17:10

F-orced-customer
Übergeordneter Verstärkerpunkt
 
Beiträge: 531
Registriert: 11.09.2012, 12:54

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 50 Gäste