DS-Lite - VPN (Einrichtung LANCOM Router)
Hi zusammen,
bedingt durch die aktuelle Situation haben auch wir einige Mitarbeiter ins Home Office verbannt.
Die meisten besitzen einen Laptop und loggen sich von dort aus per VPN aufs Netzwerk.
Für die Einwahl wird die Windows integrierte Verbindung genutzt.
Bei zwei der Kollegen funktioniert der VPN Zugriff nicht, sofern sie mit ihrem Heim W-LAN verbunden sind. Per UMTS-Stick kein Problem.
Beide haben eine Fritz Box & sind bei 1&1 und die stellen wohl nach und nach alle Kunden auf DS-Lite um.
https://www.borncity.com/blog/2019/09/17/11-dsl-kundschaft-wird-auf-dual ...
Ich gehe mal davon aus ein Anruf beim Provider mit Bitte um Umstellung auf IPv4 wird in dem Fall nicht möglich sein!?
Mit IPv6 hatten wir uns bisher nicht beschäftigt. War am Router (Lancom R883VAW) sogar deaktiviert.
Im Router habe ich folgende Konfigurationsmöglichkeiten gefunden:
IPv6 am Router wurde aktiviert und versucht, diverse Tunneleinstellungen hinzuzufügen. Allerdings bisher ohne Erfolg.
Die feste IPv6 Adresse einer der Mitarbeiter habe ich inzwischen erhalten. Wurde als Gateway-Adresse bzw. Remote IPv6-Adresse am Lancom hinterlegt.
Als IPv4 Gateway Adresse hatte ich die öffentliche IP unseres Netzwerk eingetragen.
Ich bin mir zum einen nicht sicher, welche Variante (DS-Lite Tunnel / 6in4-Tunnel?) ich nutzen muss und welche Eintragungen dort genau gemacht werden müssen?
Schnittstellen-TAG? IPv4-Routing-Tag? Delegiertes IPv6-Präfix??
Und falls die Variante und die Einstellungen an dieser Stelle korrekt wären, gibt es noch weitere Themen die man berücksichtigen und konfigurieren muss?
Beste Grüße
fc2011
bedingt durch die aktuelle Situation haben auch wir einige Mitarbeiter ins Home Office verbannt.
Die meisten besitzen einen Laptop und loggen sich von dort aus per VPN aufs Netzwerk.
Für die Einwahl wird die Windows integrierte Verbindung genutzt.
Bei zwei der Kollegen funktioniert der VPN Zugriff nicht, sofern sie mit ihrem Heim W-LAN verbunden sind. Per UMTS-Stick kein Problem.
Beide haben eine Fritz Box & sind bei 1&1 und die stellen wohl nach und nach alle Kunden auf DS-Lite um.
https://www.borncity.com/blog/2019/09/17/11-dsl-kundschaft-wird-auf-dual ...
Ich gehe mal davon aus ein Anruf beim Provider mit Bitte um Umstellung auf IPv4 wird in dem Fall nicht möglich sein!?
Mit IPv6 hatten wir uns bisher nicht beschäftigt. War am Router (Lancom R883VAW) sogar deaktiviert.
Im Router habe ich folgende Konfigurationsmöglichkeiten gefunden:
IPv6 am Router wurde aktiviert und versucht, diverse Tunneleinstellungen hinzuzufügen. Allerdings bisher ohne Erfolg.
Die feste IPv6 Adresse einer der Mitarbeiter habe ich inzwischen erhalten. Wurde als Gateway-Adresse bzw. Remote IPv6-Adresse am Lancom hinterlegt.
Als IPv4 Gateway Adresse hatte ich die öffentliche IP unseres Netzwerk eingetragen.
Ich bin mir zum einen nicht sicher, welche Variante (DS-Lite Tunnel / 6in4-Tunnel?) ich nutzen muss und welche Eintragungen dort genau gemacht werden müssen?
Schnittstellen-TAG? IPv4-Routing-Tag? Delegiertes IPv6-Präfix??
Und falls die Variante und die Einstellungen an dieser Stelle korrekt wären, gibt es noch weitere Themen die man berücksichtigen und konfigurieren muss?
Beste Grüße
fc2011
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 561387
Url: https://administrator.de/contentid/561387
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
8 Kommentare
Neuester Kommentar
Die Kollegen haben einen Router bei sich zuhause stehen oder haben die den VPN-Client drauf?
Wenn die mit dem VPN-Client arbeiten, schau mal, ob auf beiden Seiten NAT-Traversal aktiv ist.
Du brauchst auf der Firmenseite nichts ändern, auch nicht Richtung IPv6. Wäre gut, aber definitiv jetzt nicht notwendig. Ist ein Fall für das nächste Wartungsfenster und dann bitte nativ, kein Tunnel.
Edit: Gerade gesehen, dass du mit dem Windows-Client arbeitest. Über welches Protokoll?
Wenn die mit dem VPN-Client arbeiten, schau mal, ob auf beiden Seiten NAT-Traversal aktiv ist.
Du brauchst auf der Firmenseite nichts ändern, auch nicht Richtung IPv6. Wäre gut, aber definitiv jetzt nicht notwendig. Ist ein Fall für das nächste Wartungsfenster und dann bitte nativ, kein Tunnel.
Edit: Gerade gesehen, dass du mit dem Windows-Client arbeitest. Über welches Protokoll?
"Beide haben eine Fritz Box & sind bei 1&1 und die stellen wohl nach und nach alle Kunden auf DS-Lite um.
https://www.borncity.com/blog/2019/09/17/11-dsl-kundschaft-wird-auf-dual ...
Ich gehe mal davon aus ein Anruf beim Provider mit Bitte um Umstellung auf IPv4 wird in dem Fall nicht möglich sein!?"
Bin auch bei 1&1. Hast Du mal versucht auf den Fritzboxen den Haken für ipv6 Unterstützung rauszunehmen?
Bei mir habe ich dann eine ipv4 Adresse bekommen.
https://www.borncity.com/blog/2019/09/17/11-dsl-kundschaft-wird-auf-dual ...
Ich gehe mal davon aus ein Anruf beim Provider mit Bitte um Umstellung auf IPv4 wird in dem Fall nicht möglich sein!?"
Bin auch bei 1&1. Hast Du mal versucht auf den Fritzboxen den Haken für ipv6 Unterstützung rauszunehmen?
Bei mir habe ich dann eine ipv4 Adresse bekommen.
NAT-Traversal wird bei IPSec benötigt.
Ich glaube, dass Problem ist hier PPTP. Das besteht aus zwei Komponenten und eine Komponente davon macht arge Probleme in Verbindung mit NAT. Das ist der zwingend notwendige GRE-Tunnel, durch den die Daten bei PPTP laufen.
Bei IPSec gibt es was ähnliches, dafür wurde NAT-Traversal entwickelt, welches einfach den ganzen Spaß nochmal einkapselt, damit es NAT-fähig wird.
Du kannst da nichts ändern, außer du stellst die Kollegen auf IPSec-VPN um.
PPTP sollte man eh nicht mehr benutzen, da selbst der Urheber des PPTP-VPN, also Microsoft, es als Sicherheitsrisiko eingestuft hat.
Ich glaube, dass Problem ist hier PPTP. Das besteht aus zwei Komponenten und eine Komponente davon macht arge Probleme in Verbindung mit NAT. Das ist der zwingend notwendige GRE-Tunnel, durch den die Daten bei PPTP laufen.
Bei IPSec gibt es was ähnliches, dafür wurde NAT-Traversal entwickelt, welches einfach den ganzen Spaß nochmal einkapselt, damit es NAT-fähig wird.
Du kannst da nichts ändern, außer du stellst die Kollegen auf IPSec-VPN um.
PPTP sollte man eh nicht mehr benutzen, da selbst der Urheber des PPTP-VPN, also Microsoft, es als Sicherheitsrisiko eingestuft hat.
Ja, dass es nicht klappt, liegt daran, dass du L2TP/IPSec ausgewählt hast, LANCOM will aber IPSec pur, was auch zu bevorzugen ist.
Man kann problemlos jeden x-beliebigen IPSec-Client mit LANCOM zusammen betreiben, am Ende kommt es auf deine Fähigkeiten und deinen Zeitaufwand an. Da du aber Kollegen zuhause sitzen hast, die nicht arbeiten können, solltest du eventuell doch darüber nachdenken, einfach den LANCOM-Client zu erwerben. Der Client kostet zwischen 100 und 120€ brutto. Wenn ich jetzt einfach mal den internen Verrechnungssatz, den mein Arbeitgeber auf mich anwendet, wären das vier Stunden. Wenn ich einen halben Tag zuhause rumvegetiere, hätte ich genau das Geld verbrannt, was der Client kostet.
Und zum Testen kannst du ja erstmal die 30-Tage-Demo nehmen. Die Einrichtung kann über einen Einrichtungsassistenten im LANconfig laufen.
Es gibt auch andere Möglichkeiten (vielleicht findest du ja eine andere Bezugsquelle für den NCP VPN-Client, der LANCOM-Client ist einfach nur ein umgelabelter NCP), aber da bin ich raus. Früher gabs mal VPN-Clients von GreenBow, ShrewSoft, Netgear/Zyxel/WatchGuard hatte eine OEM-Version von wem auch immer. Gibt genug Möglichkeiten, auch kostenlose, am Ende ist es der Aufwand, der bedacht werden muss. Ich kann aber nicht genau sagen, was es da aktuell gibt, da ich vor langer Zeit beim Client-VPN in die sehr angenehme Cisco-Schiene gerutscht bin.
Man kann problemlos jeden x-beliebigen IPSec-Client mit LANCOM zusammen betreiben, am Ende kommt es auf deine Fähigkeiten und deinen Zeitaufwand an. Da du aber Kollegen zuhause sitzen hast, die nicht arbeiten können, solltest du eventuell doch darüber nachdenken, einfach den LANCOM-Client zu erwerben. Der Client kostet zwischen 100 und 120€ brutto. Wenn ich jetzt einfach mal den internen Verrechnungssatz, den mein Arbeitgeber auf mich anwendet, wären das vier Stunden. Wenn ich einen halben Tag zuhause rumvegetiere, hätte ich genau das Geld verbrannt, was der Client kostet.
Und zum Testen kannst du ja erstmal die 30-Tage-Demo nehmen. Die Einrichtung kann über einen Einrichtungsassistenten im LANconfig laufen.
Es gibt auch andere Möglichkeiten (vielleicht findest du ja eine andere Bezugsquelle für den NCP VPN-Client, der LANCOM-Client ist einfach nur ein umgelabelter NCP), aber da bin ich raus. Früher gabs mal VPN-Clients von GreenBow, ShrewSoft, Netgear/Zyxel/WatchGuard hatte eine OEM-Version von wem auch immer. Gibt genug Möglichkeiten, auch kostenlose, am Ende ist es der Aufwand, der bedacht werden muss. Ich kann aber nicht genau sagen, was es da aktuell gibt, da ich vor langer Zeit beim Client-VPN in die sehr angenehme Cisco-Schiene gerutscht bin.
Beide haben eine Fritz Box & sind bei 1&1 und die stellen wohl nach und nach alle Kunden auf DS-Lite um.
Ich persönlich habe kein Problem von einem DS-Lite Anschluss zu einem LANCOM-Router unter IPv4 zu tunneln. Ich nutze den Shrew Soft VPN Access Manager. Ich müsste auch keine Einstellungen unter IPv4 -> Tunnel vornehmen.
Bei zwei der Kollegen funktioniert der VPN Zugriff nicht, sofern sie mit ihrem Heim W-LAN verbunden sind. Per UMTS-Stick kein Problem.
Ich habe eine Idee, da es bei einigen deiner Kollegen funktioniert und bei anderen wiederum nur im W-LAN nicht. Ich habe bei uns folgende Beobachtung gemacht: Wenn das Heimnetzwerk gleich dem Firmennetzwerk ist, also z.B. beides sind 192.168.0.0/255.255.255.0 IPv4-Netzwerke, dann hat es bei mir nicht funktioniert. Vielleicht ist es das gleiche Problem bei dir.