08.07.2025
1853
24
0VPN (DNS?) Problem
Hallo,
seit Anfang Juli habe ich einen sehr mysteriösen Fall von einem "nicht funktionierenden" VPN Client.
Der Mitarbeiter hat sich Anfang Juli bei mir gemeldet, sein Wireguard VPN Client würde nicht mehr ordentlich funktionieren, weil er auf keine Netzwerkordner Zugriff hat. Da ich zu dem Zeitpunkt einige Server umgezogen habe und der Wireguard Server seit längerem Probleme gemacht hat, habe ich vor längerer Zeit bereits einen alternativen SSL VPN Client eingeführt, mit dem bisher alle Mitarbeiter zufrieden waren. Mittlerweile hat der SSL Client sogar Wireguard als Haupt-VPN abgelöst und 98% der Firma benutzt diesen Client.
Besagter Mitarbeiter hat also auch den Wireguard deinstalliert und den neuen SSL Client eingerichtet bekommen.
Nun zu seinen Problemen:
- Er kann sich am VPN anmelden, der VPN ist auch aktiv, bekommt eine IP-Adresse aus dem VPN Bereich und wird in der Firewall angezeigt.
- Er kann aber keine Netzwerkordner öffnen. Sobald er auf "Dieser PC" klickt, hängt sich sein Computer auf bzw der Explorer stürzt ab. Der Desktop wird schwarz, die Taskleiste verschwindet.
- Gebe ich die Freigabe in den Explorer ein \\SERVER findet er die Freigabe nicht. Gebe ich die IP Adresse ein, findet er die Freigabe sofort, er kommt dann 3-4 Ordner weiter, danach friert alles wieder ein. Danach lässt es sich auch nicht mehr über die IP erreichen.
- Laut seiner Aussage gibt es dann immer wieder die "5 Minuten" wo alles ohne Probleme funktioniert. Dann werden die Netzlaufwerke wieder verbunden und er kann ganz normal darüber arbeiten.
Denk ich mir natürlich, ist ein DNS Problem, also: nslookup SERVER.Domain.local --> Server wird sofort samt passender IP gefunden.
Ping auf Server und auf Server IP --> etwas langsam aber findet es ohne Probleme.
Denkt sich der Mitarbeiter, das liegt am PC, der ist kaputt!
Nein, weil VPN über die mobilen Daten seines Handys und in der Firma im Gast-Netzwerk ohne Probleme funktioniert.
Er hat "zum Glück" noch seinen alten Laptop aus der Firma. Ich installiere den VPN Client ebenfalls darauf, prüfen die Verbindung und der PC bekommt wirklich 1zu1 die gleichen Probleme wie der andere.
Also wird sein Netzwerk mal geprüft. Er hat irgendeinen Telekom Hybrid 5G Tarif mit dem "aller neusten Router der automatisch zwischen IPv4 und v6 wechseln kann und das erkennt" (Aussage vom Telekom Support, der ebenfalls deswegen schon kontaktiert wurde). Seine Frau arbeitet auch im HO und hat ein Cloudflare Warp VPN von der Firma, bei dem es keinerlei Probleme gibt.
Wir beide drehen uns also jetzt etwas im Kreis, da er meint, es wäre der VPN/Computer und ich bin der Meinung, es wäre sein Netzwerk. Habt ihr evtl noch einen Lösungsansatz?
seit Anfang Juli habe ich einen sehr mysteriösen Fall von einem "nicht funktionierenden" VPN Client.
Der Mitarbeiter hat sich Anfang Juli bei mir gemeldet, sein Wireguard VPN Client würde nicht mehr ordentlich funktionieren, weil er auf keine Netzwerkordner Zugriff hat. Da ich zu dem Zeitpunkt einige Server umgezogen habe und der Wireguard Server seit längerem Probleme gemacht hat, habe ich vor längerer Zeit bereits einen alternativen SSL VPN Client eingeführt, mit dem bisher alle Mitarbeiter zufrieden waren. Mittlerweile hat der SSL Client sogar Wireguard als Haupt-VPN abgelöst und 98% der Firma benutzt diesen Client.
Besagter Mitarbeiter hat also auch den Wireguard deinstalliert und den neuen SSL Client eingerichtet bekommen.
Nun zu seinen Problemen:
- Er kann sich am VPN anmelden, der VPN ist auch aktiv, bekommt eine IP-Adresse aus dem VPN Bereich und wird in der Firewall angezeigt.
- Er kann aber keine Netzwerkordner öffnen. Sobald er auf "Dieser PC" klickt, hängt sich sein Computer auf bzw der Explorer stürzt ab. Der Desktop wird schwarz, die Taskleiste verschwindet.
- Gebe ich die Freigabe in den Explorer ein \\SERVER findet er die Freigabe nicht. Gebe ich die IP Adresse ein, findet er die Freigabe sofort, er kommt dann 3-4 Ordner weiter, danach friert alles wieder ein. Danach lässt es sich auch nicht mehr über die IP erreichen.
- Laut seiner Aussage gibt es dann immer wieder die "5 Minuten" wo alles ohne Probleme funktioniert. Dann werden die Netzlaufwerke wieder verbunden und er kann ganz normal darüber arbeiten.
Denk ich mir natürlich, ist ein DNS Problem, also: nslookup SERVER.Domain.local --> Server wird sofort samt passender IP gefunden.
Ping auf Server und auf Server IP --> etwas langsam aber findet es ohne Probleme.
Denkt sich der Mitarbeiter, das liegt am PC, der ist kaputt!
Nein, weil VPN über die mobilen Daten seines Handys und in der Firma im Gast-Netzwerk ohne Probleme funktioniert.
Er hat "zum Glück" noch seinen alten Laptop aus der Firma. Ich installiere den VPN Client ebenfalls darauf, prüfen die Verbindung und der PC bekommt wirklich 1zu1 die gleichen Probleme wie der andere.
Also wird sein Netzwerk mal geprüft. Er hat irgendeinen Telekom Hybrid 5G Tarif mit dem "aller neusten Router der automatisch zwischen IPv4 und v6 wechseln kann und das erkennt" (Aussage vom Telekom Support, der ebenfalls deswegen schon kontaktiert wurde). Seine Frau arbeitet auch im HO und hat ein Cloudflare Warp VPN von der Firma, bei dem es keinerlei Probleme gibt.
Wir beide drehen uns also jetzt etwas im Kreis, da er meint, es wäre der VPN/Computer und ich bin der Meinung, es wäre sein Netzwerk. Habt ihr evtl noch einen Lösungsansatz?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673742
Url: https://administrator.de/forum/vpn-netzwerk-probleme-home-office-673742.html
Ausgedruckt am: 30.07.2025 um 11:07 Uhr
24 Kommentare
Neuester Kommentar
Für mich hört sich das nach einem IP-Konflikt an. Ich würde da auch eher an das lokale LAN denken.
Aber zur Sicherheit lass den Client VPN-seitig mal eine andere funktionierende IP zuweisen.
Aber zur Sicherheit lass den Client VPN-seitig mal eine andere funktionierende IP zuweisen.
Es läuft eigentlich alles über DHCP und seine Laptops (alt + neu) haben jeweils eine andere IP aus dem VPN Bereich bekommen. Wie es bei ihm lokal aussieht, konnte ich nicht sagen, aber da er seinen alten Laptop erst einschalten musste, würde ich einen IP Konflikt ausschließen. Er hat auch privat einen anderen IP Adressbereich, also ein Konflikt zwischen dem VPN, Firmennetzwerk und privatem Netzwerk ist ausgeschlossen.
Moin,
schon mal versucht am PC einfach mal IPv6 zu deaktivieren? Hier hatte ich mal Stress mit so nem Teledoof Teil....
Gruß
Looser
Edit: Alle 3 Netzwerke haben unterschiedliche IP-Netze?
schon mal versucht am PC einfach mal IPv6 zu deaktivieren? Hier hatte ich mal Stress mit so nem Teledoof Teil....
Gruß
Looser
Edit: Alle 3 Netzwerke haben unterschiedliche IP-Netze?
1Zitat von @Looser27:
Moin,
schon mal versucht am PC einfach mal IPv6 zu deaktivieren? Hier hatte ich mal Stress mit so nem Teledoof Teil....
Gruß
Looser
Moin,
schon mal versucht am PC einfach mal IPv6 zu deaktivieren? Hier hatte ich mal Stress mit so nem Teledoof Teil....
Gruß
Looser
Ja, das wurde bereits gemacht. Der PC ist auch mit IPv4 verbunden.
Das einzig seltsame ist, wenn man z.B. wieistmeineip.de aufruft. Seine Frau bekommt eine reine IPv4 Adresse angezeigt. Er bekommt eine v6 und eine v4 Adresse angezeigt.
Er kann sich aber mit einer V6 Adresse nicht bei uns am VPN anmelden. Das Problem hatte ein anderer Kollege mit seinem Vodafone Vertrag. Dieser musste dann umgestellt werden, damit VPN wieder funktioniert hat. Da der VPN Tunnel aktiv bleibt wird die Verbindung also über V4 geroutet.
Edit: Alle 3 Netzwerke haben unterschiedliche IP-Netze?
Ja, alle 3 Netzwerke haben verschiedene Bereiche die sich nicht überschneiden. Das dachte ich auch zuerst, dass der DNS evtl mit dem lokalen und den Firmen IPs durcheinander kommen würde, aber alles ist "sauber" getrennt.
Dann soll er als letzten Test in seinem Router mal IPv6 deaktivieren.
1
Vielleicht liegt es an der Intenet Verbindung. Schon mal den Laptop von einem anderen Internet Anschluss angeschlossen? (Smartphone)
1
ist ein DNS Problem, also: nslookup SERVER.Domain.local
Bei der (falschen) TLD ist es das auch!!imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Solche simplen Banalitäten sollte man als verantwortungsvoller Admin eigentlich kennen?!
in seinem Router mal IPv6 deaktivieren.
Keine gute Idee wenn man bei einem modernen Dual Stack Anschluss nicht in die IP Steinzeit zurückkehren will. Sowas kaschiert wieder nur andere Konfig Fehler löst das eigentlich Problem aber nicht....es wäre sein Netzwerk.
Ohne seine und auch deine (VPN) IP Adressierung und Details zum SSL Setup nur ansatzweise zu kennen ist das doch alles Kristallkugelei im freien Fall. Was erwartest du denn da für eine Antwort ohne diese in der Tat wichtigen Infos? 🤔Zitat von @Starmanager:
Vielleicht liegt es an der Intenet Verbindung. Schon mal den Laptop von einem anderen Internet Anschluss angeschlossen? (Smartphone)
Vielleicht liegt es an der Intenet Verbindung. Schon mal den Laptop von einem anderen Internet Anschluss angeschlossen? (Smartphone)
Ja, hatte ich geschrieben. Im externen Netzwerk der Firma und über mobile Daten funktioniert die VPN Verbindung ohne Probleme.
Zitat von @aqui:
imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Solche simplen Banalitäten sollte man als verantwortungsvoller Admin eigentlich kennen?!
ist ein DNS Problem, also: nslookup SERVER.Domain.local
Bei der (falschen) TLD ist es das auch!!imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Solche simplen Banalitäten sollte man als verantwortungsvoller Admin eigentlich kennen?!
in seinem Router mal IPv6 deaktivieren.
Keine gute Idee wenn man beiu einem modernen Dual Stack Anschluss nicht in die IP Steinzeit zurückkehren will. Sowas kaschiert wieder nur andere Konfig Fehler löst das eigentlich Problem aber nicht.es wäre sein Netzwerk.
Ohne seine und deine IP Adressierung und Details zum SSL Setup nur ansatzweise zu kennen ist das doch alles Kristallkugelei im freien Fall. Was erwartest du denn da für eine Antwort ohne diese in der Tat wichtigen Infos? 🤔Ich wusste, das die Aussage kommt!
Das sind Altlasten von vor meiner Zeit, die ich aktuell nicht weg bekomme, weil dank verpfuschter Hybridstellung mit O365 sonst wirklich alles knallen würde. Ich habe leider auch genug andere Baustellen um mich darum zu kümmern. Steh auf meiner To-Do-Liste, dauert aber noch.
Aber, kein anderer Mitarbeiter hat DNS Probleme oder Probleme über VPN, es betrifft nur eine Person.
Glaskugel sagt aus eigener Erfahrung: Der ISP macht nun bei dir CGN und durch die ganze Kapselungen passt die "MTU des Tunnels nicht mehr in das Datenpaket."
Am besten den VPN noch IPv6 fähig machen oder die MTU des Tunnelinterfaces runterschraubem
Am besten den VPN noch IPv6 fähig machen oder die MTU des Tunnelinterfaces runterschraubem
Wenn es doch mit dem Smartphone funktioniert liegt es an der Internetverbindung. Mehr kann man dazu nicht sagen. Testhalber mal einen Tag ueber das Smartphone arbeiten.. und sonst die Sim Karte vom Router in ein Smartphone stecken und testen.
Neue Infos:
Er hat mit seinem Telekom Techniker gestritten. Der Techniker behauptet es wurde von Seiten der Telekom nichts geändert. Remote wurde jetzt trotzdem der Router auf Werkseinstellungen zurückgesetzt (Wie ich finde komplett unnötig, er hat ja 3 Jahre ohne Probleme funktioniert).
Danach ging es immer noch nicht, dafür ist jetzt sein Smart Home kaputt (nicht mein Problem).
Aktuell ist sein 5G auch noch ausgefallen, er nutzt nur noch seine schwache 3 Mbit Leitung. Er hat testweise sein Laptop per LAN angeschlossen.
Auf einmal funktioniert wieder alles ohne Probleme. Er kommt auf die Ordner drauf und kann sämtliche Dateien und Netzwerkpfade öffnen. Die Frage ist jetzt nur, ob das 5G oder das WLAN Probleme gemacht hat.
Das muss der Mitarbeiter jetzt noch testen und klären, er hängt aber gerade wieder in der Störungshotline von der Telekom...
Er hat mit seinem Telekom Techniker gestritten. Der Techniker behauptet es wurde von Seiten der Telekom nichts geändert. Remote wurde jetzt trotzdem der Router auf Werkseinstellungen zurückgesetzt (Wie ich finde komplett unnötig, er hat ja 3 Jahre ohne Probleme funktioniert).
Danach ging es immer noch nicht, dafür ist jetzt sein Smart Home kaputt (nicht mein Problem).
Aktuell ist sein 5G auch noch ausgefallen, er nutzt nur noch seine schwache 3 Mbit Leitung. Er hat testweise sein Laptop per LAN angeschlossen.
Auf einmal funktioniert wieder alles ohne Probleme. Er kommt auf die Ordner drauf und kann sämtliche Dateien und Netzwerkpfade öffnen. Die Frage ist jetzt nur, ob das 5G oder das WLAN Probleme gemacht hat.
Das muss der Mitarbeiter jetzt noch testen und klären, er hängt aber gerade wieder in der Störungshotline von der Telekom...
Ohne Worte.
Klingt für mich nach einem IPv6 Problem - dann geht aber meist nix - evtl. schaltet er also zwischendurch die Route um auf IPv6 - also IPv6 am besten einfach aus machen - Latenzen sind im IPv4 meist sowieso noch besser.
ODER
Es ist ein MTU Problem - viele Ähnliche Fälle hatten wir schon wegen MTU Problematiken - Am besten mal auf was sehr kleines ~1200 stellen - auf der Clientseite für das Interface.
ODER
Es ist ein MTU Problem - viele Ähnliche Fälle hatten wir schon wegen MTU Problematiken - Am besten mal auf was sehr kleines ~1200 stellen - auf der Clientseite für das Interface.
MTU bzw. MSS wohl eher. Ist ja meist der Klassiker bei VPN. IPv6 kann man so gut wie ausschliessen...
Das mit den Latenzen im IPv6 ist mit heutigem Silizium Unsinn. Das passiert in den Forwarding ASICs der Router ebenso in Wirespeed wie bei IPv4. Wäre dem so würde z.B. in den ganzen Mobilfunknetzen, die bekanntlich vollständig auf IPv6 basieren, Audio und Video Konsum eine Qual sein.
Die korrekte MTU ermittelt man, wie immer, mit einem Ping unterschiedlicher Frame Größe:
blog.boll.ch/basic-stuff-mtu-groesse-mit-ping-testen/
kb.netgear.com/de/19863/Ping-Test-zur-Ermittlung-der-optimalen-M ...
Usw.
Das mit den Latenzen im IPv6 ist mit heutigem Silizium Unsinn. Das passiert in den Forwarding ASICs der Router ebenso in Wirespeed wie bei IPv4. Wäre dem so würde z.B. in den ganzen Mobilfunknetzen, die bekanntlich vollständig auf IPv6 basieren, Audio und Video Konsum eine Qual sein.
Die korrekte MTU ermittelt man, wie immer, mit einem Ping unterschiedlicher Frame Größe:
blog.boll.ch/basic-stuff-mtu-groesse-mit-ping-testen/
kb.netgear.com/de/19863/Ping-Test-zur-Ermittlung-der-optimalen-M ...
Usw.
Moin,
Seine Frau hängt auch sicher im (W)LAN des heimischen Anschlusses und hat nicht von ihrem Arbeitgeber einen (ins Endgerät integrierten) 5G-Zugang mitbekommen?
Sprich: sie nutzt den selben WAN-Anschluss wie ihr Mann und geht nicht via eigenem 5G-Zugang ins WAN!?
Das einzig seltsame ist, wenn man z.B. wieistmeineip.de aufruft. Seine Frau bekommt eine reine IPv4 Adresse angezeigt. Er bekommt eine v6 und eine v4 Adresse angezeigt.
Ich will mal auf diesen Punkt nachfragend eingehen:Seine Frau hängt auch sicher im (W)LAN des heimischen Anschlusses und hat nicht von ihrem Arbeitgeber einen (ins Endgerät integrierten) 5G-Zugang mitbekommen?
Sprich: sie nutzt den selben WAN-Anschluss wie ihr Mann und geht nicht via eigenem 5G-Zugang ins WAN!?
Zitat von @em-pie:
Moin,
Seine Frau hängt auch sicher im (W)LAN des heimischen Anschlusses und hat nicht von ihrem Arbeitgeber einen (ins Endgerät integrierten) 5G-Zugang mitbekommen?
Sprich: sie nutzt den selben WAN-Anschluss wie ihr Mann und geht nicht via eigenem 5G-Zugang ins WAN!?
Moin,
Das einzig seltsame ist, wenn man z.B. wieistmeineip.de aufruft. Seine Frau bekommt eine reine IPv4 Adresse angezeigt. Er bekommt eine v6 und eine v4 Adresse angezeigt.
Ich will mal auf diesen Punkt nachfragend eingehen:Seine Frau hängt auch sicher im (W)LAN des heimischen Anschlusses und hat nicht von ihrem Arbeitgeber einen (ins Endgerät integrierten) 5G-Zugang mitbekommen?
Sprich: sie nutzt den selben WAN-Anschluss wie ihr Mann und geht nicht via eigenem 5G-Zugang ins WAN!?
Ja, sie hängt am gleichen Wlan wie ihr Mann. Würde auch nicht mit 5G funktionieren, weil die in einem Funkloch sitzen. Die haben ihre Antenne von der Telekom extra auf einem Mast am Haus, damit genügend Empfang vorhanden ist.
Ich warte jetzt noch auf eine Rückmeldung.
Ich vermute mal, dass bei seiner Frau IPv6 am Client deaktiviert ist (egal ob wissentlich oder unwissentlich).
Aber das ist nur Glaskugel-Lesen.....
Aber das ist nur Glaskugel-Lesen.....
Lösung gefunden.
LAN war es nicht, es liegt am 5G Anschluss. Wir haben jetzt mit der MTU gespielt und bei 1300 hat es letztendlich funktioniert.
Vielen Dank für eure Hilfe!
LAN war es nicht, es liegt am 5G Anschluss. Wir haben jetzt mit der MTU gespielt und bei 1300 hat es letztendlich funktioniert.
Vielen Dank für eure Hilfe!
Das erklärt aber nicht, warum es bei seiner Frau funktioniert hat und bei ihm nicht.....
1Zitat von @Looser27:
Das erklärt aber nicht, warum es bei seiner Frau funktioniert hat und bei ihm nicht.....
Das erklärt aber nicht, warum es bei seiner Frau funktioniert hat und bei ihm nicht.....
Warum nicht?
Der AG der Frau war pfiffig genug, die MTU direkt korrekt einzustellen!?
Dann liegt es an der Config des TO, der das ja eingerichtet hat.... 
Ach> Zitat von @Seekuhritty:
Lösung gefunden.
LAN war es nicht, es liegt am 5G Anschluss. Wir haben jetzt mit der MTU gespielt und bei 1300 hat es letztendlich funktioniert.
Vielen Dank für eure Hilfe!
Verständlich denn die Telekom macht mit ihrem neuen APN (internet.v6.telekom) IPv6 only mit NAT64 und DNS64 für IPv4 Kompatibilität, das ist der Killer für IPv4 und dessen Performance. Deswegen auch die niedrige MTU wegen dem massiven Overhead ...
Wenn man zum alten wechselt hat man die Misere mit IPv4 nicht.
telekomhilft.telekom.de/conversations/telekom-hilft-news/neuer-i ...
Gab hier vor einiger Zeit einen ähnlichen Thread, auch da gab's die Probleme aber mit Wireguard und der extrem niedrigen MTU ebenfalls wegen des Shit Telekom-APNs.
Lösung gefunden.
LAN war es nicht, es liegt am 5G Anschluss. Wir haben jetzt mit der MTU gespielt und bei 1300 hat es letztendlich funktioniert.
Vielen Dank für eure Hilfe!
Verständlich denn die Telekom macht mit ihrem neuen APN (internet.v6.telekom) IPv6 only mit NAT64 und DNS64 für IPv4 Kompatibilität, das ist der Killer für IPv4 und dessen Performance. Deswegen auch die niedrige MTU wegen dem massiven Overhead ...
Wenn man zum alten wechselt hat man die Misere mit IPv4 nicht.
telekomhilft.telekom.de/conversations/telekom-hilft-news/neuer-i ...
Gab hier vor einiger Zeit einen ähnlichen Thread, auch da gab's die Probleme aber mit Wireguard und der extrem niedrigen MTU ebenfalls wegen des Shit Telekom-APNs.
1wegen dem...
Autsch! Der Dativ ist dem Genitiv sein Tod! 😉
Autsch! Der Dativ ist dem Genitiv sein Tod! 😉
Je nachdem, wo man her kommt, gibt es keinen Genitiv 😅
