- Anzeige -

Probleme mit Unitymedia und IPv6

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Probleme mit Unitymedia und IPv6

Beitragvon Torpedo64 » 16.06.2014, 14:58

Zum Surfen reicht es, aber mit VPN und Einloggen in die Firmen-Domäne meines Arbeitgebers geht überhaupt nicht. Entweder sind bei Unitymedia gesperrte Ports dafür verantwortlich oder das IPv6-Protokoll. Leider kann mir darüber überhaupt niemand Bescheid geben. Zwangsweise kann ich momentan dadurch bedingt nur Remote in das Firmennetz gehen :wand:
UM 2play 120MBit
Bild
Torpedo64
Kabelexperte
 
Beiträge: 157
Registriert: 03.09.2008, 09:40

Re: Probleme mit Unitymedia und IPv6

Beitragvon Knifte » 16.06.2014, 15:03

Das wird daran liegen, dass wahrscheinlich das VPN deines Arbeitgebers nicht über IPv6 läuft (bzw. unterstützt - das sollte die IT-Abteilung wissen) und das vermutlich das TC 7200 die IPv6-Umsetzung auch nur recht schlecht auf die Reihe kriegt.
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4
Knifte
Kabelkopfstation
 
Beiträge: 2573
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: Probleme mit Unitymedia und IPv6

Beitragvon Egalus » 16.06.2014, 15:11

Torpedo64 hat geschrieben:Zum Surfen reicht es, aber mit VPN und Einloggen in die Firmen-Domäne meines Arbeitgebers geht überhaupt nicht. Entweder sind bei Unitymedia gesperrte Ports dafür verantwortlich oder das IPv6-Protokoll. Leider kann mir darüber überhaupt niemand Bescheid geben. Zwangsweise kann ich momentan dadurch bedingt nur Remote in das Firmennetz gehen :wand:


Warum das Firmenvpn (wenn es nur über IPv4 erreichbar ist) über einen DSLite Anschluss nicht richtig funktioniert kann ich dir sagen:
- Dein Rechner weiss nicht, dass deine Anbindung in Wirklichkeit über IPv6 stattfindet und deine IPv4 nur "getürkt" ist und über einen Tunnel läuft.
- Daher schickt dein Rechner die Tunnelpakete als IPv4 Pakete raus. Da jedes Paket eine konstante Menge von Headerdaten enthält versucht dein Rechner dabei natürlich so wenig Pakete wie möglich zu verschicken. Statt 3*500 Byte macht er also ein 1500Byte Paket, weil dann nur einmal Header anfallen, also 33% weniger Headerdaten. Dein Rechner versucht in der Regel das Maximum, die MTU voll auszuschöpfen.
- Dummerweise werden diese IPv4 Pakete aber von deinem Router in IPv6 Pakete verpackt. Dabei kommt wierder ein Header oben drauf. Jetzt ist dein IPv6 Paket aber größer als eine MTU.
- Wo auf der Strecke nun genau deine Pakete verloren gehen (ob schon beim Fragmentieren durch den Router oder ob das CGN kein Defragmentieren unterstützt) weiss ich nicht, Fakt ist aber, dass die mangelnde MTU Anpassung das Problem ist.
Damit bei mir über DS-Lite OpenVPN an einen IPv4 Endpunkt funktionierte musste ich die MTU für den Tunnel (das geht in der Konfiguration für die OpenVPN Verbindung) auf 1380 Bytes begrenzen. Dann funktioniert auch VPN über DSLite, nur geht halt deutlich weniger Nutzlast durch die Leitung (von deinem Router zum CGN) weil dort pro Paket noch der IPv6 Header drum rum ist.

Änder mal die MTU für deine VPN Verbindung auf 1380 Bytes.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.
Egalus
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 11.12.2013, 07:38

Re: Probleme mit Unitymedia und IPv6

Beitragvon Egalus » 16.06.2014, 15:13

Knifte hat geschrieben:Das wird daran liegen, dass wahrscheinlich das VPN deines Arbeitgebers nicht über IPv6 läuft (bzw. unterstützt - das sollte die IT-Abteilung wissen) und das vermutlich das TC 7200 die IPv6-Umsetzung auch nur recht schlecht auf die Reihe kriegt.


Da kann das TC7200 ausnahmsweise mal nix für, das geht mit der Fritte 6360 genau so schlecht --- bis man die MTU für den Tunnel anpasst.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.
Egalus
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 11.12.2013, 07:38

Re: Probleme mit Unitymedia und IPv6

Beitragvon Torpedo64 » 16.06.2014, 15:23

Vielen Dank für die umfangreiche Info :smile: Reicht es aus auf dem Rechner die MTU zu setzen, oder wo sonst muss der Wert geändert werden? OpenVPN kann ich ja nicht benutzen, da das VPN von unserem Firmennetzwerk laufen muss.
UM 2play 120MBit
Bild
Torpedo64
Kabelexperte
 
Beiträge: 157
Registriert: 03.09.2008, 09:40

Re: Probleme mit Unitymedia und IPv6

Beitragvon Egalus » 16.06.2014, 15:30

Torpedo64 hat geschrieben:Vielen Dank für die umfangreiche Info :smile: Reicht es aus auf dem Rechner die MTU zu setzen, oder wo sonst muss der Wert geändert werden? OpenVPN kann ich ja nicht benutzen, da das VPN von unserem Firmennetzwerk laufen muss.


Du musst die MTU für den VPN Tunnel konfigurieren. Da ich nicht weiss welche VPN Lösung dein Arbeitgeber einsetzt (und auch bei weitem nicht jede auf jedem Betriebssystem kenne) kann ich dir nicht sagen wo du das an deinem Rechner einstellen kannst. Es würde mich aber wundern wenn es dafür keine Option gäbe. Wenn du der IT Abteilung deines Arbeitgebers mein Posting zeigst müsste denen ein Licht aufgehen. Ansonsten finde den Namen des VPN Clients auf deinem Rechner heraus und google nach selbigem mit MTU als Zusatz.
Die 1380 Bytes gelten übrigens für OpenVPN, vielleicht sind das bei dem VPN was du nutzt 1340 oder 1420 Bytes (oder irgendwas dazwischen), das hängt davon ab wie groß der VPN Header der Pakete ist. Wenn du aber einmal weisst wo die Stellschraube ist reichen ja ein paar Versuche um rauszufinden ab welcher MTU VPN bei dir funktioniert.
In der Regel reicht es aus das auf Clientseite zu konfigurieren. Der Server glaubt da in der Regel dem Client.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.
Egalus
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 11.12.2013, 07:38

Re: Probleme mit Unitymedia und IPv6

Beitragvon SpaceRat » 16.06.2014, 15:50

Torpedo64 hat geschrieben:Reicht es aus auf dem Rechner die MTU zu setzen, oder wo sonst muss der Wert geändert werden? OpenVPN kann ich ja nicht benutzen,

Nein, nirgendwo.
Egalus schmeißt da mehrere Sachen durcheinander.

Also:
Torpedo64 hat geschrieben:Entweder sind bei Unitymedia gesperrte Ports dafür verantwortlich oder das IPv6-Protokoll.

Weder, noch.
Ursächlich ist das IPv4-Protokoll bzw. dessen Implementierung.

Es wurde hier schon an anderer Stelle erläutert, aber durch CGN (Carrier-Grade-NAT) funktioniert ein IPSec-over-GRE basierendes VPN eben nicht, da kannst Du Dich auf den Kopp stellen und mit dem 4rsch Fliegen fangen, es geht nicht.
OpenVPN hingegen funktioniert und zwar sowohl über IPv6 als auch über IPv4, da es eben kein IPSec-over-GRE nutzt.

Würde man nun OpenVPN über IPv4 an einem DS-lite-Anschluß nutzen, dann - und nur dann - macht es Sinn, die MTU für diesen Tunnel anzupassen. In diesem Bezug ist die Erklärung von Egalus auch - von den blöden Zahlenwerten abgesehen - korrekt:
Eine normale Internetverbindung hat eine MTU von 1480 oder 1500 Bytes.
Da aber bei einem DS-lite-Anschluß die IPv4-Anbindung selber bereits durch einen Tunnel erfolgt, geht der Tunnel-Overhead noch ab, so daß max. 1420 Bytes MTU verbleiben. Packt nun ein Programm - egal welches - Pakete von 1480 Bytes Größe, dann werden diese ab dem Router in zwei Pakete aufgeteilt, da sie ja nicht mehr in ein einzelnes Paket zu 1420 Bytes passen. Dies nennt man Fragmentierung.
Der Schaden ist aber - bei einer sauberen Verbindung - allein Durchsatz. Für die lediglich 60 Bytes (1480 angenommene MTU minus 1420 Bytes tatsächliche MTU) Nutzdaten des zweiten Paketes wird trotzdem derselbe absolute Overhead für den Header, das Tunneln via IPv6 und die Bestätigung (ACK) von der Gegenseite fällig. Teilt man OpenVPN hingegen mit, daß die MTU lediglich 1420 Bytes beträgt, würde OpenVPN "komplette" Pakete a 1420 Bytes schnüren, so daß das Verhältnis von Overhead zu Nutzdaten besser wird.
Geht aber eines der beiden Fragmente verloren, was eigentlich nicht passieren sollte, dann ist für den Empfänger auch das andere Fragment wertlos.

Nutzt man also OpenVPN mit IPv4 über DS-lite, dann sollte man die MTU entsprechend anpassen. Bei OpenVPN mit IPv6 steht hingegen die normale MTU zur Verfügung, da ja in diesem Fall kein Tunnel-Overhead abgeht (Wobei man in diesem Fall auch berücksichtigen sollte, ob evtl. die Gegenseite eine Tunnelanbindung für IPv6 nutzt, dann wäre die MTU an diese anzupassen.

Da Du aber kein OpenVPN nutzt und auch nicht nutzen kannst (Es sei denn, Deine Firmen-IT stellt darauf um), haben diese Infos für Dich keinen größeren Wert.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Probleme mit Unitymedia und IPv6

Beitragvon Torpedo64 » 16.06.2014, 16:14

Super Erklärung - vielen Dank :super:
Wenn ich das richtig verstehe, wird es mir mit meinem derzeitigen Unitymedia-Anschluss nicht gelingen eine Verbindung mit dem Domain-Server meines Arbeitgebers zu verbinden. Bleibt das Problem immer noch bestehen, wenn der UM Business-Tarif gewählt werden würde?
UM 2play 120MBit
Bild
Torpedo64
Kabelexperte
 
Beiträge: 157
Registriert: 03.09.2008, 09:40

Re: Probleme mit Unitymedia und IPv6

Beitragvon SpaceRat » 16.06.2014, 16:17

Torpedo64 hat geschrieben:Bleibt das Problem immer noch bestehen, wenn der UM Business-Tarif gewählt werden würde?

Nein.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Probleme mit Unitymedia und IPv6

Beitragvon Egalus » 16.06.2014, 16:18

SpaceRat hat geschrieben:Würde man nun OpenVPN über IPv4 an einem DS-lite-Anschluß nutzen, dann - und nur dann - macht es Sinn, die MTU für diesen Tunnel anzupassen. In diesem Bezug ist die Erklärung von Egalus auch - von den blöden Zahlenwerten abgesehen - korrekt:

Glaube mir, rein rechnerisch kam ich auch auf andere Zahlenwerte, aber erst mit 1380 bekam ich eine stabile Verbindung über DSLite zum IPv4 OpenVPN hin.
Nachdem 1420 Bytes (zufällig ohne rechnen auch mein erster Versuch) nicht fluppten und auch 1400 nicht wollten habe ich dann 1300 probiert und es ging. Danach habe ich mich in 10er Schritten hoch gehangelt und bis heute nicht verstanden warum es über 1380 nicht ging.
Glücklicherweise kann ich das jetzt nicht mehr ausprobieren da ich endlich DSLite los bin.

An IPSec over GRE habe ich allerdings zugegebenermaßen gar nicht gedacht - könnte dran liegen dass ich eigentlich nur von OpenVPNs umgeben bin.

Bei Unitymedia glaube ich aber, dass nicht nur das eine Fragment verloren geht, ich glaube eher das z.B. aus Performancegründen der CGN keine Defragmentation durchführt. Zumindest brach bei mir immer alles zusammen (über VPN mit zu großer MTU) sobald das erste größer MTU Paket durch die Leitung wollte. Sehr unwahrscheinlich das danach bei den Retransmissions immer wieder der gleiche Fehler auftrat wenn es nicht ein systematischer war. Wie dem auch sei, ich bins los. Warum man als Business Kunde nun auf der anderen Seite abgehangen wird (nur IPv4 und kein Dual Stack) ist mir zwar schleierhaft, aber aktuell ist IPv4 noch das wichtigere Protokoll und nen Tunnel für IPv6 kriege ich wohl hin.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.
Egalus
erfahrener Kabelkunde
 
Beiträge: 67
Registriert: 11.12.2013, 07:38

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 37 Gäste