VPN-Client-Verbindung zum Arbeitgeber

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Moses
Network Operation Center
Beiträge: 7019
Registriert: 06.03.2007, 15:49
Wohnort: Bonn

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von Moses » 29.10.2007, 20:41

Die möglichen MTUs kann man mit "ping -f -l XXXX http://www.unitymedia.de" ermitteln. Die Maximale MTU im Ethernet ist 1500, davon müssen noch ein paar Header abgezogen werden... ich würd mal 1400 oder ähnliches ausprobieren.

Achja, oben hab ich die Nummer der technischen Hotline angegeben. (Falls du es bei meiner Editierorgie übersehen haben solltest)

manu26
Übergeordneter Verstärkerpunkt
Beiträge: 647
Registriert: 23.07.2007, 16:57
Wohnort: Recklinghausen

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von manu26 » 29.10.2007, 21:31

falls es irgendwie hilft: bei mir läuft der cisco client wunderbar, kann ne verbindung zur uni über unitymedia aufbauen, ich benutze übrigens einen router...

Jolander
Übergeordneter Verstärkerpunkt
Beiträge: 764
Registriert: 07.06.2007, 06:04
Wohnort: Düsseldorf-Gerresheim

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von Jolander » 29.10.2007, 22:27

Angabe von Protokollen und Ports wäre schön gewesen :smile:
Ab Januar 2011 Netcologne auch in Düsseldorf. Schau' mer mal.

"Du hast zwar recht, aber ich finde meine Meinung besser"

frcasyl
Kabelneuling
Beiträge: 11
Registriert: 29.10.2007, 12:49

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von frcasyl » 29.10.2007, 22:58

@moses: Hab die Tel.Nr. tatsächlich übersehen und da auch jemanden erreicht. Die Dame kann leider auch nix an dem Kabelmodem mehr richten. Muss ein Techniker rauskommen und sich das anschauen. Ob das allerdings morgen, übermorgen oder nächste Woche wäre, könnte sie mir nicht sagen. Toll.

Falls ich morgen eine Verlängerung meines Rücktrittsrechts schriftlich von denen kriege, lasse ich es nochmal auf den Techniker ankommen. Würde nämlich gerne die MTU-Geschichte ausprobieren (*grrrr*). Aber ich gehe nicht davon aus, dass ich diese bekomme. Dann gehe ich lieber auf Nummer sicher, und verlasse das sinkende Schiff bevor ich selber mit untergehe.

@jolander: Die benötigten Ports und Protokolle habe ich weiter oben genannt (falls Du mich damit meintest :-) )
frcasyl hat geschrieben:...
Als weitere Infos hat er mir gesagt, dass das Modem bzw. UM zwingend die Protokolle IPsec über UDP, PPTP, L2TP (dies ist das Protokoll vom Cisco VPN Client) aktiviert haben muss und dass die UDP Ports 500 und 1000 sowie IP Port 50 (ESP) nicht geblockt werden dürfen.
...

Jolander
Übergeordneter Verstärkerpunkt
Beiträge: 764
Registriert: 07.06.2007, 06:04
Wohnort: Düsseldorf-Gerresheim

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von Jolander » 29.10.2007, 23:11

Meinte manu26, da ja dort anscheinend alles funktioniert :zwinker:
Ab Januar 2011 Netcologne auch in Düsseldorf. Schau' mer mal.

"Du hast zwar recht, aber ich finde meine Meinung besser"

Moses
Network Operation Center
Beiträge: 7019
Registriert: 06.03.2007, 15:49
Wohnort: Bonn

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von Moses » 30.10.2007, 01:14

Naja, aber von den Ports wird ja (zumindest laut den bekannten Listen) nichts gesperrt... und bei mir funktioniert's mit dem Cisco Client auch ganz gut... Welche Ports da involviert sind.. *schulterzuck* für mich ist der blöde Cisco Client ein Buch mit sieben Sigeln... im Moment lässt er sich sogar nicht mal mehr installieren. -> Feine Software. Egal ;)

Naja, ich würd an deiner Stelle eher vom Vertrag zurücktreten. Das mit der MTU muss auch nicht unbedingt zum Erfolg führen...

marlur
Kabelneuling
Beiträge: 9
Registriert: 01.10.2007, 23:25

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von marlur » 30.10.2007, 09:55

Bei mir läuft der cisco vpn client auch ohne probleme wenn du nen router hast schalte da drin mal l2tp und ipsec und gre passthrough an.
Und stell das profil im vpn client auf udp statt tcp das is schneller und macht weniger probleme, wenn deine firma den vpn konzentrator entsprechend konfiguriert hat.
Und sollte ich feststellen, dass UM irgendwelche Protokolltypen sei es GRE oder protocoll 89 oder was auch immer sein oder gar ports blockt, werde ich kündigen, ich habe keinen kastrierten Internetzugang bestellt. Ich habe beruflich mit dem Thema zu tun und möchte nicht unnötig troubleshooten, nur weil mein Provider etwas blockt, was ich nicht weiss.

frcasyl
Kabelneuling
Beiträge: 11
Registriert: 29.10.2007, 12:49

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von frcasyl » 30.10.2007, 10:30

im moment ist kein router (wlan oder so) dazwischen geschaltet, sondern mein laptop ist direkt per kabel an das gelieferte motorola kabelmodem angeschlossen.

auf das kabelmodem habe ich keinen zugriff, um es zu überprüfen oder zu konfigurieren (was laut UM auch so gewollt wäre).

der vpn-client ist bereits auf ipsec over UDP eingestellt (auch vor UM schon).

bisher konnte mir bei UM keiner sagen, ob l2tp oder ipsec etc. in dem kabelmodem freigeschaltet sind.

zusätzlich kommt dazu, dass das kabelmodem im moment nicht funktioniert (siehe weiter oben) und sich auch kein UM-Techniker anscheinend dafür verantwortlich fühlt. auf die störungsmeldung von gestern abend folgte nur funkstille seitens UM (ebenso wie bei allen versprochenen rückrufen)

marlur
Kabelneuling
Beiträge: 9
Registriert: 01.10.2007, 23:25

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von marlur » 30.10.2007, 10:54

sowas kann man auf dem kabelmodem auch nicht konfigurieren, kann man auf einem dsl modem ja auch nicht, das sollte keine rolle spielen.
wichtig wäre nur ein router aber wenn du keinen hast hmmm vielleihct verwendest du ja einen port der ebefnalls von denne gesperrt wird oder es liegt einfahc an was ganz anderem zum beispiel desktop firewall oder so.

frcasyl
Kabelneuling
Beiträge: 11
Registriert: 29.10.2007, 12:49

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von frcasyl » 30.10.2007, 11:21

hmm, wie gesagt, bin da nicht so firm drin. bin eher der anwender als der fachmann. deshalb sitz ich ja zwischen den stühlen.

die mir von meinem arbeitgeber genannten ports stehen auch weiter oben aufgeführt. aber da verhält es sich leider genauso wie mit den protokollen: von UM kann mir keiner was dazu sagen.

firewall und virenscanner auf dem laptop sind auch schon deaktiviert (wobei bei eingeschalteter firewall und virenscanner es über den alten zugangsweg - also dsl der telekom - ohne probleme funktioniert - gleiches laptop). klappte trotzdem nicht

der connect des vpn-clients klappt ja auch meistens. nur danach hört es dann auf. keine seiten im intranet aufrufbar oder nur sehr sehr langsam oder nur teilweiser seitenaufbau. deshalb würde ich ja gerne die mtu-geschichte von moses austesten (wenn das kabelmodem mal wieder geht)

wie gesagt: gehe ich gleichzeitig über den alten zugangsweg (t-dsl 1000) rein, klappt alles schnell und wie immer.

zur zeit geht aber gar nichts, da das kabelmodem out-of-order ist und sich keiner von UM meldet.

dafür habe ich tatsächlich eine mail von UM bekommen, in der in einem satz kurz und knapp steht, dass mein 14-tägiges widerrufsrecht erst mit der installation (also gestern) startet. das verschafft mir zuwenigstens ein klein wenig luft. hoffe und verlasse mich jetzt darauf, dass die mail mir im zweifelsfall ausreicht, um später (bei nicht funktionierendem arbeitgeberzugang) vom vertrag zurückzutreten.

Moses
Network Operation Center
Beiträge: 7019
Registriert: 06.03.2007, 15:49
Wohnort: Bonn

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von Moses » 30.10.2007, 13:09

Ja, ne das stimmt. Der Vertrag beginnt erst mit der Installation des Modems. :)

Auf das Modem kann man übrigens zugreifen, einfach mal in den Browser als Adresse http://192.168.100.1 eintippen und als Username/Passwort: admin/motorola
Aber einstellen kann man da halt nichts in der Richtung und auch am Rest sollte man nicht unbedingt rumspielen...

frcasyl
Kabelneuling
Beiträge: 11
Registriert: 29.10.2007, 12:49

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von frcasyl » 30.10.2007, 13:32

ah, okay, wenn das kabelmodem irgendwann mal wieder gehen sollte, werde ich das probieren.

was das widerrufsrecht angeht, steht das leider nirgends schriftlich, dass es erst mit installation des modem beginnt.

dagegen steht schriftlich (schwarz auf weiß) in der auftragsbestätigung von UM:

"Bei telefonischem Vertragsabschluss ..." - was ich ja gemacht haben - "können Sie den Vertrag innerhalb von zwei Wochen ab Zugang dieses Schreibens ohne Angabe von Gründen in Textform gegenüber der Unitymedia .... widerrufen".

Tja, und das wäre halt heute gewesen.

aber ich vertraue jetzt auf die mail von denen - hoffe, dass ich nicht zu blauäugig bin

frcasyl
Kabelneuling
Beiträge: 11
Registriert: 29.10.2007, 12:49

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von frcasyl » 30.10.2007, 13:41

@moses: danke, das mit dem zugriff auf das kabelmodem klappt sogar, wenn das modem an sich out-of-order bin

hab mal einfach alle bildschirme durchgeblättert. hast recht, viel kann man nicht ändern und bezüglich irgendwelcher protokolle oder ports habe ich da leider auch nix gefunden. aber zumindest konnte ich wieder irgendwas überprüfen. damit habe ich in dem forum bisher zig-mehr lösungsansätze bekommen, als von irgendeiner der UM-Hotlines.

frcasyl
Kabelneuling
Beiträge: 11
Registriert: 29.10.2007, 12:49

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von frcasyl » 31.10.2007, 15:08

hallo,

nach nun unzähligen anrufen bei diversen nummern von UM reicht es mir nun.

seit montag bin bzw. war ich kunde bei dieser unfähigen firma. das kabelmodem hat ganze 8 stunden gearbeitet (wenn auch mit den beschriebenen problemen, weshalb ich ja überhaupt erst einen eintrag in dieses forum gesetzt habe), seit dem geht aber nun gar nix mehr (siehe weiter oben). nach über 36 stunden und weiteren unzähligen anrufen bei UM, hat sich tatsächlich jemand herabgelassen und mich wegen der störung zurückgerufen und wollte einen termin für freitag nachmittag zur behebung vereinbaren.

das ist nicht nur ein witz, dass ist eine bodenlose unverschämtheit. die wollen echt keine neukunden, denen geht es echt zu gut. von 5 tagen als neukunde hätte ich dann ganze 8 stunden 3play 6000 nutzen können (oder auch nicht, wenn ich meine arbeitgebergeschichte hier so anschaue).

und keiner - egal von welcher hotline-stelle - ist auch nur daran interessiert, mich als neukunden zu halten.

somit werde ich nach absetzen dieses postings meine schriftliche kündigung im kundenservice (LOL) - center in bochum vorbeibringen.

so stümperhaft und wirklich unfähig ist nicht einmal der große telekomunikationsriese.

so, genug dampf abgelassen.

zum schluß wollte ich aber nochmal allen hier ganz herzlichen dank sagen, für die zahlreichen hilfen und tips, die ihr mir hier gegeben habt.

ich wünsche euch allen, dass ihr wirkich nie nie nie nie irgendwelche probleme mit euren UM-anschlüssen bekommt und somit in den fängen der UM-mühle gefangen seid.

in diesem sinne

tschüüüüß

blutfink
Kabelneuling
Beiträge: 1
Registriert: 18.12.2007, 10:42

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von blutfink » 18.12.2007, 10:49

Hallo,

ich kann das VPN-/IPSec-Problem bei Unitymedia bestätigen. Siehe auch diese Diskussion im Heise-Forum:

http://www.heise.de/foren/go.shtml?read ... um_id=7303

Vielleicht tut sich ja was, wenn genügend Leute bei der Hotline anrufen. Die tun jedesmal so, als hätten sie noch nie davon gehört.

Gruß

giezet
Kabelneuling
Beiträge: 2
Registriert: 25.09.2008, 16:11

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von giezet » 25.09.2008, 22:35

Ich grabe mal diesen alten Thread wieder aus. Möchte mal meine Erfahrungen hier teilen:

Habe hier 1play2000, am Kabelmodem hängt eine Soekris net5501 mit OpenBSD 4.3. Logischerweise fungiert sie nicht nur als VPN-Endpunkt (wenn's denn mal mit Unitymedia gehen würde), sondern auch als Router. Innerhalb der letzten zwei Monate habe ich - bis auf eine kurze Ausnahme - vergeblich versucht, ein IPsec-Tunnel zum Arbeitgeber aufzubauen. Die gleiche Box, mit gleicher Konfiguration und Software an einem anderen Internetprovider baute den Tunnel ohne wenn und aber auf.

Vor ca. 3-4 Wochen habe ich dann mal aus Langeweile noch einmal versucht, einen Tunnel aufzubauen - und plötzlich ging es! Ich war erleichtert und froh, doch die Freude währte nur wenige Tage. 4-5 Tage später funktionierte schon wieder NICHTS mehr. Wohlgemerkt, an der Software und Konfiguration wurde nicht ein Bit geändert.

Ich habe mich mal hingesetzt, und das Ganze ordentlich unter die Lupe genommen. Habe mir mal beide Tunnelendpunkte vorgenommen und mittels tcpdump die verschickten und empfangenen Pakete angeschaut. Es folgen jetzt zwei tcpdump-Auszüge, die dies demonstrieren:

Meine Soekris schickt Folgendes durch das Kabelmodem:

Code: Alles auswählen

22:05:14.205157 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 744 len 196 (ttl 64, id 46015, len 216)
22:05:15.205395 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 745 len 196 (ttl 64, id 51478, len 216)
22:05:19.206734 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 746 len 196 (ttl 64, id 63037, len 216)
22:05:20.216041 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 747 len 196 (ttl 64, id 42776, len 216)
22:05:21.207021 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 748 len 196 (ttl 64, id 35166, len 216)
Dies entspricht 5 icmp-echo-Paketen die über den Tunnel geschickt werden.

Am Tunnelendpunkt jedoch kommt Folgendes an:

Code: Alles auswählen

22:05:14.228068 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 744 len 196 [tos 0x3 (EC)] (ttl 55, id 46015, len 216)
22:05:15.231171 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 745 len 196 [tos 0x3 (EC)] (ttl 55, id 51478, len 216)
22:05:19.229810 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 746 len 196 [tos 0x3 (EC)] (ttl 55, id 63037, len 216)
22:05:20.239777 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 747 len 196 [tos 0x3 (EC)] (ttl 55, id 42776, len 216)
22:05:21.229816 esp x.x.x.x > y.y.y.y spi 0xB0AD3687 seq 748 len 196 [tos 0x3 (EC)] (ttl 55, id 35166, len 216)
Es ist ersichtlich, dass das Paket unterwegs verändert wurde. Das ankommende ESP-Paket wird verworfen, da wahrscheinlich die Prüfsumme des Pakets nicht mehr übereinstimmt. Also so etwas ist mir noch nie unter die Augen gekommen. In der kurzen Zeit, in der der Tunnel funktionierte, hatten die pakete das ToS-Bit NICHT gesetzt, die gesendete Version entsprach in 100% der, die auch tatsächlich am anderen Tunnelendpunkt ankam.

Ich habe keine Ahnung, wo diese Änderung auftritt. Der ToS-Code 0x3 bedeutet "Experienced Congestion", was normalerweise darauf hindeutet, dass der Router (nicht mein Router, sondern irgendwo auf dem Weg zum Tunnelendpunkt) eine auf gut Deutsch "Verstopfung" erfahren hat - hier tritt also ECN (Explicit Congestion Notification) in Kraft. Ist dieses Flag gesetzt, wird das ESP-Paket verworfen. Wohlgemerkt, der Aufbau des Tunnels (IKE Phase 1 und 2) klappt wie am Schnürchen, SAs werden korrekt aufgebaut.

Wird etwa damit bezweckt, VPN-Betrieb generell zu unterdrücken? Ich empfinde jedenfalls, dass dies nicht meinen Erwartungen an einen vernünftigen Internetanschluss entspricht. Der Vertrag ist sowieso schon gekündigt und ein Wechsel zu Netcologne steht an.

Trotzdem, wenn sich jemand findet, der vielleicht wüßte was hier läuft, dann wäre ich für Hilfe bzw. Inspirationen sehr dankbar. Eine Möglichkeit bietet sich noch, am 1. November kommt OpenBSD 4.4 raus, und die dortige Firewall wurde um die Möglichkeit erweitert, ToS-Flags von ankommenden Paketen "wegzuschrubben". Bin mal gespannt, was mich dann erwartet. Wenn der Tunnel läuft, wird es wenigstens eine "Notlösung" bis April, denn so lange klebt mir UM noch an der Backe.

Schade eigentlich, denn ich war immer von der Überlegenheit der Kabeltechnologie gegenüber DSL überzeugt. Man kann sich aber selbst die eigene Suppe versalzen, so wie es scheint.

Moses
Network Operation Center
Beiträge: 7019
Registriert: 06.03.2007, 15:49
Wohnort: Bonn

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von Moses » 25.09.2008, 23:23

Also mein VPN Tunnel in die Uni funktioniert immer noch wie am Schnürchen. Der läuft über Cisco Server & Client (welcher ziemlich miserabel ist, geht aber leider nicht anders).

giezet
Kabelneuling
Beiträge: 2
Registriert: 25.09.2008, 16:11

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von giezet » 25.09.2008, 23:27

Es ist möglich, dass der VPN-Konzentrator Deiner Uni womöglich die ECN-Flags ignoriert (oder explizit dazu durch entspr. Konfiguration gezwungen wurde). Das könnte abhängig sein von der verwendeten IPsec-Implementation. Ich habe hier auch einen Cisco-Client der sich zur FH Köln verbindet - wohlgemerkt nur der Tunnelaufbau, der Rest ist wie in meinem letzten Beitrag.

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von piotr » 25.09.2008, 23:43

@giezet:
Dein Log zeigt leider nicht, wo es moeglicherweise im UM-Netz passiert.
Denn dazu fehlt ein traceroute zwischen den oeffentlichen IPs der beiden VPN-Endpunkte.

Es zeigt aber, dass ECN-Bits gesetzt wurden.

Anmerkungen zum TOS-Feld im IP-Header:

Das TOS-Feld gibt es seit Dez 1998(!) nicht mehr.
Seit Dez 1998 ersetzt DSCP die ersten 6 Bits und zusaetzlich seit Sept 2001 ECN die letzten beiden Bit des ehem. TOS-Feldes. Zwischen Dez 1998 und Sept 2001 waren die ECN-Bits als reserviert gekennzeichnet.

Kann Deine OpenBSD-Kiste NAT-T (NAT-Traversal)?
NAT-T kapselt ESP-Pakete in UDP ein und versendet diese dann auf dem UDP-Port 4500 (anstelle eines reinen ESP-Paketes).

Mit dem Einsatz von NAT-T koennen Probleme mit ESP-Paketen behoben werden.

Benutzeravatar
Dinniz
Carrier
Beiträge: 10294
Registriert: 21.01.2008, 22:43
Wohnort: NRW

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von Dinniz » 26.09.2008, 08:14

Früher gab es damal probleme auf einem routingpunkt bei UM soweit ich weiss.
Hatte mal einen Kunden mit dem gleichen Problem - ist allerdings schon bald nen Jahr her.
technician with over 15 years experience

Salamihawk
Kabelneuling
Beiträge: 19
Registriert: 24.06.2013, 16:14

Re: VPN-Client-Verbindung zum Arbeitgeber

Beitrag von Salamihawk » 24.09.2015, 11:58

Es tut mir furchtbar leid, ein Thema aus 2007 aufzugraben, aber das ECN 0x03 Thema scheint wieder Problemen zu verursachen.

Ich vermute, dass iOS 9 Geräten irgendwie nicht mit VPN Pakete umgehen können, die mit ECN 0x03 versehen worden sind, und Unitymedia blast immer noch alle Pakete im Internet mit ECN 0x03 raus, daher die Problemen mit iOS 9 und VPN Verbindungen über UM Anschlüsse:

http://www.ip-phone-forum.de/showthread.php?t=281439
http://www.unitymediaforum.de/viewtopic ... 90&t=31888
https://forums.developer.apple.com/thread/16699

Ich habe Tickets bei UM und Apple diesbezüglich aufgemacht, hoffentlich reagiert jemand...

Antworten

Wer ist online?

Mitglieder in diesem Forum: Leseratte10 und 5 Gäste