expertenaustausch > comm.provider.* > comm.provider.t-online

Frank Schletz (27.01.2019, 17:12)
Hallo allerseits,

nachdem ich nun Tagelang gelesen, gesucht, gelesen, mit Bekannten darüber gesprochen
habe sowie Tickets bei der Telekom aufgemacht hatte (haha) wollte ich mal hier fragen.

Situation:

Magenta VDSL 50 Anschluss (20m vom Verteilerkasten, ab da Glasfaser)
Router: Speedport W 925V
Anbindung Rechner per Ethernet-Leitung
VPN-Client: Cisco VPN
Protokoll IKEv2/IPsec NAT-T
Cipher AES_256_SHA1

Gegenseite: Firma, irgendein Cisco Teil
Leider komm ich da nicht so ran, um da auf Netzwerkebene
nachsehen zu können.

Problem:

Ab und an (1-nmal die Woche) bricht die Verbindung (der VPN-Tunnel) zusammen,
der Client versucht diesen wieder aufzubauen, er hält jedoch nur Minuten,
oft auch unter einer Minute.

Das geht dann den ganzen Tag so :(

Versucht habe ich "Fehleranalyse bei der Telekom", "Neustart Router",
"Neustart DSL-Verbindung" (was auch immer das ist, wird als "Lösung" angeboten),
Neustart Rechner usw..

Zu diesen Tagen nehme ich dann eine Internetverbindung per Mobiltelefon,
Hotspot aufm Handy an und Rechner damit verbunden. Dann kann ich weiter arbeiten.

Nun frage ich mich, ob der Router evtl. ein Problempunkt ist. Also ob die
Wahl eines Routers, welcher für IPSec "geeignet" ist (also wo es in der Doku steht)
evtl. eine stabiliere Verbindung herstellen könnte.

Also statt dem Standard-Speedport eine "Digitalisierungsbox Premium" (BinTec) oder
eine Fritzbox 7490 nehmen.

Hat da jemand praktische Erfahrung mit dem Szenarien VPN über "Standard-Customer-Router"
und abbrüchen?

Nen Ticket bei der Firma würd nichts nutzen, da ich da nicht über das
Call-Center hinauskommen würde :( Iss halt so.

Vielen Dank für jegliche Anregung und Erfahrungsbericht.

Frank
Thomas Einzel (27.01.2019, 17:51)
Am 27.01.2019 um 16:12 schrieb Frank Schletz:
....
> Situation:
> Magenta VDSL 50 Anschluss (20m vom Verteilerkasten, ab da Glasfaser)
> Router: Speedport W 925V
> Anbindung Rechner per Ethernet-Leitung
> VPN-Client: Cisco VPN
> Protokoll IKEv2/IPsec NAT-T
> Cipher AES_256_SHA1
> Gegenseite: Firma, irgendein Cisco Teil


also VPN Passthrough mit IPsec

[..]
> Zu diesen Tagen nehme ich dann eine Internetverbindung per Mobiltelefon,
> Hotspot aufm Handy an und Rechner damit verbunden. Dann kann ich weiter arbeiten.
> Nun frage ich mich, ob der Router evtl. ein Problempunkt ist.


Kann sein, mach doch mal in der Firma ein Ticket auf, dass sich jemand
die logs ansieht, ob man den Grund für den Abbruch eingrenzen kann.

> Also ob die
> Wahl eines Routers, welcher für IPSec "geeignet" ist (also wo es in der Doku steht)
> evtl. eine stabiliere Verbindung herstellen könnte.


Aus Kollegenkreisen weiß ich, dass Speedport + Telekom DSL + VPN
Passthrough mit IPsec prinzipiell gut funktioniert.

Im meinem eigenen Umfeld steht nur was von AVM und Lancom - auch an
Magenta S+M Anschlüssen, keine VPN Probleme, weder untereinander noch zu
mehreren Firmennetzen.

Du allein durch einen neuen Router keine Garantie, dass es keine
Probleme mehr gibt.
Noch oben empfohlenen Ticket und der nachfolgenden Analyse würde ich,
falls es zu einem neuen Router tendiert, zu einer _aktuellen_ Fritzbox
raten (7590, 7530 oder so).
Frank Schletz (27.01.2019, 18:35)
On Sun, 27 Jan 2019 16:51:28 +0100, Thomas Einzel wrote:

> Am 27.01.2019 um 16:12 schrieb Frank Schletz:
> ... <snip>
>> Nun frage ich mich, ob der Router evtl. ein Problempunkt ist.

> Kann sein, mach doch mal in der Firma ein Ticket auf, dass sich jemand
> die logs ansieht, ob man den Grund für den Abbruch eingrenzen kann.


Hm, bei der einen Firma geht das nicht. Da werd ich mit "Diese Kombination
unterstützen wir nicht" abgewimmelt.
Bei der anderen Firma, in welche ich mich einlogge müsste ich mal mit
den Netzwerkern reden. Nen Ticket allein bringt da keinen zu solch einer
"tiefen" Analyse.

>> Also ob die
>> Wahl eines Routers, welcher für IPSec "geeignet" ist (also wo es in der Doku steht)
>> evtl. eine stabiliere Verbindung herstellen könnte.

> Aus Kollegenkreisen weiß ich, dass Speedport + Telekom DSL + VPN
> Passthrough mit IPsec prinzipiell gut funktioniert.


Hm, das bedeutet "noch nie Abbrüche" oder "nichts, was einen störte"?
Wenn ersteres, könnte es immerhin hier evtl. ein "Provider-HW" Problem sein.

> Im meinem eigenen Umfeld steht nur was von AVM und Lancom - auch an
> Magenta S+M Anschlüssen, keine VPN Probleme, weder untereinander noch zu
> mehreren Firmennetzen. Gut zu wissen


> Du allein durch einen neuen Router keine Garantie, dass es keine
> Probleme mehr gibt.


Ja, seufz.

> Noch oben empfohlenen Ticket und der nachfolgenden Analyse würde ich,
> falls es zu einem neuen Router tendiert, zu einer _aktuellen_ Fritzbox
> raten (7590, 7530 oder so).


Danke. Ich schau mal, was noch an Infos reinkommt.

Frank
Frank Schletz (27.01.2019, 18:51)
On Sun, 27 Jan 2019 16:12:34 +0100, Frank Schletz wrote:

[..]
> Call-Center hinauskommen würde :( Iss halt so.
> Vielen Dank für jegliche Anregung und Erfahrungsbericht.
> Frank


Nachtrag:
Hab was evtl. wichtiges vergessen:

Das Problem bestand nicht, als mein Internetzugang noch ein LTE-Zugang (Funk) war.
Erst mit "Magenta" kam das Problem auf.

Frank
Thomas Einzel (27.01.2019, 19:08)
Am 27.01.2019 um 17:35 schrieb Frank Schletz:
> On Sun, 27 Jan 2019 16:51:28 +0100, Thomas Einzel wrote: ....
>> Aus Kollegenkreisen weiß ich, dass Speedport + Telekom DSL + VPN
>> Passthrough mit IPsec prinzipiell gut funktioniert.

> Hm, das bedeutet "noch nie Abbrüche" oder "nichts, was einen störte"?
> Wenn ersteres, könnte es immerhin hier evtl. ein "Provider-HW" Problem sein.


Es gab keine Auffälligkeiten, Homeoffice, es funktionierte. Es hat AFAIK
keiner ausschließlich wochenlang+ so von zu Hause gearbeitet, aber öfter
ganze Tage.

nur *BTW* : ich bin nicht selbstständig und arbeite nur selten im
Homeoffice, aber ich habe einen konfigurierten und getesteten
Ersatzrouter (eine Fritzbox 7430) im Regal, falls mein eigentlicher
Router (Lancom) ausfallen sollte. Auf diesen IADs läuft mittlerweile zu
viel, die gesamte heimische voice und non-voice Kommunikation außerhalb
Mobilfunk, das geht auch 1 bis 2 Tage Ausfall gar nicht. Mogelfunk ist
dafür hier keine Alternative. Mit der kalten Redundanz in Form der
Fritzbox kann ich aber auch einen Quertest "liegt es am Router?" machen
falls mal etwas komisch ist/wäre. Die 97? waren es mir wert.
Andreas Hartmann (28.01.2019, 09:16)
On 27.01.19 at 17:51 Frank Schletz wrote:
> On Sun, 27 Jan 2019 16:12:34 +0100, Frank Schletz wrote:


Kann man das auf bestimmte Uhrzeiten / Tage eingrenzen? Irgendwann geht
es ja scheinbar wieder?

>> Versucht habe ich "Fehleranalyse bei der Telekom", "Neustart Router",
>> "Neustart DSL-Verbindung" (was auch immer das ist, wird als "Lösung" angeboten),
>> Neustart Rechner usw..


Bei VPN führt oft diese dämliche Standardeinstellung der Telekom zu
Problemen: Die "Navigationshilfe" abschalten (im Kundencenter unter
Interneteinstellungen zu finden). Glaube aber nicht wirklich, dass die
an dieser Stelle das Problem sein sollte.


Deine Beschreibung hört sich nach Paketverlusten an. Geht zur gleichen
Zeit noch irgendwas anderes über die Leitung, was wg. hoher Auslastung
evtl. zu Paketverlusten führen könnte? VPN geht ja meistens über UDP und
da gilt fire and forget (anders als bei TCP, wo verloren gegangene
Pakete auf jeden Fall erkannt und nochmal angefordert werden).

>> Hat da jemand praktische Erfahrung mit dem Szenarien VPN über "Standard-Customer-Router"
>> und abbrüchen?


VPN ist wg. UDP zumindest neben Telefonie / Fax (Realtime und auch UDP)
eine der kritischsten Anwendungen via Netz. Potentielle Probleme zeigen
sich daher bei diesen Anwendung am Ehesten. Hast Du evtl. auch mit der
Telefonie Probleme? Um das zu testen kannst Du Dir, falls möglich, mal
selbst ein Fax über 100 Seiten zuschicken (Protokoll: Fax Passthrough -
kein T.38), sobald das Problem auftritt (aber keine leeren Seiten).
Allerdings solltest Du das auch schonmal im Vorfeld getestet haben, um
sicher zu sein, dass es grundsätzlich funktioniert.
Das geht dann ca. > 1h. Wenn das fehlerfrei durchgeht, kannst Du Deinen
Anschluss im Sinne von TAL/Router schonmal weitestgehend ausschließen.
Dann bleiben eigentlich nur noch zusätzliche Netzbelastungen auf Deiner
Seite über den Router bzw. evtl. Verluste bei Routern der Telekom, an
denen Du nicht vorbeikommst, wenn Du per Voice unterwegs bist.

> Nachtrag:
> Hab was evtl. wichtiges vergessen:
> Das Problem bestand nicht, als mein Internetzugang noch ein LTE-Zugang (Funk) war.
> Erst mit "Magenta" kam das Problem auf.


Ist das sofort danach aufgetreten oder erst Wochen später?

Über welchen Provider wird denn der VPN-Zugang realisiert? Welcher
Provider ist im Boot, wenn Du LTE nutzt? Welcher Provider war relevant
vor dem Wechsel zu VDSL 50? Ein anderer oder der gleiche?

Wenn Du via LTE reingehst, kannst ja mal ein Traceroute machen, um zu
sehen, welchen Weg Du dann gehst - im Vergleich zu DSL? Gewisse
Differenzen sollten da ja zu sehen sein!

Andreas
Frank Schletz (28.01.2019, 18:15)
On Mon, 28 Jan 2019 08:16:34 +0100, Andreas Hartmann wrote:

> On 27.01.19 at 17:51 Frank Schletz wrote:
> Kann man das auf bestimmte Uhrzeiten / Tage eingrenzen? Irgendwann geht
> es ja scheinbar wieder?


Ich werde mal ab nun Buch führen. Das nervte immer so, das ich es nicht aufgeschrieben habe,
sondern eine schnelle Lösung angestrebt hatte. Musste ja arbeiten.

> Bei VPN führt oft diese dämliche Standardeinstellung der Telekom zu
> Problemen: Die "Navigationshilfe" abschalten (im Kundencenter unter
> Interneteinstellungen zu finden). Glaube aber nicht wirklich, dass die
> an dieser Stelle das Problem sein sollte.

Ach Gott. Den Kram hatte ich schon vor Jahren abgeschaltet. Und ist es wohl beim
Tarif- und Technologiewechsel auch geblieben.
Erinnere einen doch nicht an solch schrecklichkeiten!

> Deine Beschreibung hört sich nach Paketverlusten an. Geht zur gleichen
> Zeit noch irgendwas anderes über die Leitung, was wg. hoher Auslastung
> evtl. zu Paketverlusten führen könnte? VPN geht ja meistens über UDP und
> da gilt fire and forget (anders als bei TCP, wo verloren gegangene
> Pakete auf jeden Fall erkannt und nochmal angefordert werden).


Es geht eigentlich immer das gleiche übers Netzt. Nebenbei läuft zwar noch eine (1ne!) Maschine,
die macht jedoch nicht viel außer stündlich Newsserver pollen und Mails abholen.
Also was das Netzwerk betrifft. Und die Maschine läuft 24/7. Also auch an Tagen, an
denen das Problem nicht auftritt.

An Paketverlust dachte ich auch. Nur bin ich in dem Bereich (IPsec/VPN) (noch) nicht
so fit, um das beurteilen zu können. Deswegen frage ich hier.

[..]
> Dann bleiben eigentlich nur noch zusätzliche Netzbelastungen auf Deiner
> Seite über den Router bzw. evtl. Verluste bei Routern der Telekom, an
> denen Du nicht vorbeikommst, wenn Du per Voice unterwegs bist.


Overkill? Beim Telefon habe ich noch keine Probleme bemerkt. Der Telefonverkehr
ist hier auch nicht so hoch, als das es auffallen würde. Evtl. mach ich mal
ne "Standverbindung" zwischen Handy und Telefon an einen "Störungstag".

Beim Protokoll Fax Passthrough frage ich mich gerade: Hä?
Gefunden habe ich da "FreeSWITCH" und da denke ich: Ich hab gar keine computerbasierte
Faxanwendungen.
Und sage nur: pse -v

> Ist das sofort danach aufgetreten oder erst Wochen später?


Tarif- und Technologiewechsel. Genau weis ich es nicht mehr, aber mehr
als nen Monat hat es nicht gedauert, bis das Problem das erste mal auftrat.

> Über welchen Provider wird denn der VPN-Zugang realisiert? Welcher
> Provider ist im Boot, wenn Du LTE nutzt? Welcher Provider war relevant
> vor dem Wechsel zu VDSL 50? Ein anderer oder der gleiche?


Der LTE-Zugang war Telekom Call&Surf Comfort via Funk L
Umstellung auf "Magenta Zuhause M" im Juli 2018.
Also beides mal Telekome
Und da begann es dann :(

Der VPN-Zugang wird über einen Cisco-VPN-Client auf dem jeweilgen Laptop (Firma, Kunde)
zur jeweiligen Firma realisiert.

> Wenn Du via LTE reingehst, kannst ja mal ein Traceroute machen, um zu
> sehen, welchen Weg Du dann gehst - im Vergleich zu DSL? Gewisse
> Differenzen sollten da ja zu sehen sein!


Na, jetzt hab ich kein LTE mehr.

Frank
Andreas Hartmann (28.01.2019, 21:09)
Am 28.01.19 um 17:15 schrieb Frank Schletz:
> On Mon, 28 Jan 2019 08:16:34 +0100, Andreas Hartmann wrote: [...]
>> Wenn Du via LTE reingehst, kannst ja mal ein Traceroute machen, um zu
>> sehen, welchen Weg Du dann gehst - im Vergleich zu DSL? Gewisse
>> Differenzen sollten da ja zu sehen sein!

> Na, jetzt hab ich kein LTE mehr.


Du hast mal geschrieben:

"Zu diesen Tagen nehme ich dann eine Internetverbindung per Mobiltelefon
Hotspot aufm Handy an und Rechner damit verbunden. Dann kann ich weiter
arbeiten."

=> Ich bin davon ausgegangen, dass das LTE ist ...

Andreas
Frank Schletz (28.01.2019, 21:49)
On Mon, 28 Jan 2019 20:09:26 +0100, Andreas Hartmann wrote:

> Am 28.01.19 um 17:15 schrieb Frank Schletz:
> [...]
> Du hast mal geschrieben:
> "Zu diesen Tagen nehme ich dann eine Internetverbindung per Mobiltelefon
> Hotspot aufm Handy an und Rechner damit verbunden. Dann kann ich weiter
> arbeiten."
> => Ich bin davon ausgegangen, dass das LTE ist ...


Ah, das. Die "Notverbindung".
Die ist hier im Keller nur 4G. Langt jedoch für die Aufgabe.
Für LTE müsste ich das Teil nach "oben" tragen.

Frank
Frank Schletz (28.01.2019, 21:51)
On Mon, 28 Jan 2019 20:49:23 +0100, Frank Schletz wrote:

> On Mon, 28 Jan 2019 20:09:26 +0100, Andreas Hartmann wrote:
> Ah, das. Die "Notverbindung".
> Die ist hier im Keller nur 4G. Langt jedoch für die Aufgabe.
> Für LTE müsste ich das Teil nach "oben" tragen.
> Frank


<mode=Ingrid>
Ganz vergessen. 4G ist ja LTE.
Andreas Hartmann (29.01.2019, 09:03)
On 28.01.19 at 17:15 Frank Schletz wrote:
> On Mon, 28 Jan 2019 08:16:34 +0100, Andreas Hartmann wrote:
> <snip>
> Ich werde mal ab nun Buch führen. Das nervte immer so, das ich es nicht aufgeschrieben habe,
> sondern eine schnelle Lösung angestrebt hatte. Musste ja arbeiten.


Im Prinzip geht es darum, herauszubekommen, wann das Problem auftritt
bzw. es reproduzierbar zu machen. Am Besten, Du lässt da auf den
relevanten Ports einen tcpdump für den Rechner mitlaufen und schneidest
alles mit. Ich habe da auch schon Probleme mitbekommen, allein nur wegen
der Paketgröße (war allerdings nicht Telekom im Spiel). Alles größer als
n bytes ist hängen geblieben. Musste dann wegen einiger MA serverseitig
entsprechend eingestellt werden.
Weil es ja via LTE funktioniert: Wird evtl. einmal IPv4 und einmal IPv6
verwendet?
Wie gesagt, die traceroutes wären hier eben mal wichtig im Gut-Fall bzw.
Schlecht-Fall. Evtl. wird ja im Schlecht-Fall anders geroutet als im
Gut-Fall (auch bei DSL-only)?
Du wirst nicht umhinkommen, das Problemszenario reproduzierbar zu
machen, im Sinne von z.B.: wenn ich einen Down- oder Upload einer
größeren Datei mache, hängt sich VPN weg - solange ich "nur" ssh mache
(ohne Massenausgaben auf dem TTY), ist alles gut (weil es dann nur
kleine Pakete zu übertragen gilt).

Noch was: IPSec "geeignet"er Router:
Einfach die IP des Rechners komplett durchnatten - fertig ist die Laube.
Nichts spezielles verwenden!

[...]

> An Paketverlust dachte ich auch. Nur bin ich in dem Bereich (IPsec/VPN) (noch) nicht
> so fit, um das beurteilen zu können. Deswegen frage ich hier.


Ganz sicher kannst Du das nur sagen, wenn beidseitig ein Trace
aufgesetzt wird. Da Du aber serverseitig auf wenig Support hoffen kannst
- so habe ich das zumindest verstanden - wirst Du nicht umhin kommen,
das so gut wie möglich selbst reproduzierbar zu machen - wie ich es oben
beschriebe habe.

> Overkill? Beim Telefon habe ich noch keine Probleme bemerkt. Der Telefonverkehr
> ist hier auch nicht so hoch, als das es auffallen würde. Evtl. mach ich mal
> ne "Standverbindung" zwischen Handy und Telefon an einen "Störungstag".


Voice ist gegenüber Fax Passthrough ziemlich unkritisch. Aber wenn Du
parallel einen Trace mitlaufen lässt, geht das natürlich genauso! Dann
kannst Du hinterher den Trace auswerten (aber darauf achten, dass der
Puffer groß genug ist (64 MByte z.B.), so dass es nicht deswegen zu
Drops kommt).

> Beim Protokoll Fax Passthrough frage ich mich gerade: Hä?
> Gefunden habe ich da "FreeSWITCH" und da denke ich: Ich hab gar keine computerbasierte
> Faxanwendungen.
> Und sage nur: pse -v


Fax Passthrough ist Fax via G.711 und nicht via T.38.

Gruß,
Andreas
Ähnliche Themen