VPN Verbindung Begrenzung

Mitglied: Tooobi

Tooobi (Level 1) - Jetzt verbinden

12.02.2020, aktualisiert 14.02.2020, 1215 Aufrufe, 14 Kommentare, 1 Danke

Hallo zusammen,

ich habe mal eine Frage zu VPN.

Und zwar:

Ein Laptop baut eine VPN Verbindung zu einem externen VPN Server über einen Router ( FRITZ!Box ) auf.

Also die Fritzbox macht kein VPN Dienst sondern baut nur die Internetverbindung auf und das Laptop nutzt die Verbindung um einen VPN Tunnel aufzubauen zum externen VPN Server.

Wenn die VPN Verbindung jetzt nicht funktoniert an was liegt es?


Am Router weil der aufgrund zu vielen VPN Verbindingen von anderen Laptops keine mehr zulässt.

Oder am Server bzw. an was anderem?

Danke schon mal :) face-smile
Mitglied: Visucius
12.02.2020 um 11:08 Uhr
Nachdem sich niemand meldet haben vielleicht auch andere das Problem, den Inhalt zu verstehen.

Verbindest Du Dich vom Notebook auf die VPN-Fritze? Oder verbinden sich zwei Fritzen untereinander und Dein Laptop soll durch den Tunnel?
Bitte warten ..
Mitglied: itisnapanto
12.02.2020 um 11:11 Uhr
Zitat von Tooobi:

Hallo zusammen,

Moin

ich habe mal eine Frage zu VPN.

Und zwar:

Ein Laptop baut eine VPN Verbindung zu einem externen VPN Server über einen Router ( FRITZ!Box ) auf.

Ok

Also die Fritzbox macht kein VPN Dienst sondern baut nur die Internetverbindung auf und das Laptop nutzt die Verbindung um einen VPN Tunnel aufzubauen zum externen VPN Server.

OK

Wenn die VPN Verbindung jetzt nicht funktoniert an was liegt es?

An der fehlerhafte Konfiguration.


Am Router weil der aufgrund zu vielen VPN Verbindingen von anderen Laptops keine mehr zulässt.

Oder am Server bzw. an was anderem?

s.o.

Danke schon mal :) face-smile

Bitte

PS: Ohne konkrete Info über die Konfiguration/Hardware und was für ein VPN benutzt wird, ist eine Hilfestellung schwierig.
Bitte warten ..
Mitglied: Tooobi
12.02.2020 um 11:22 Uhr
Die Fritzbox tut also logischerweise keine Einschränkungen machen wie viele VPN Tunnel ins Internet aufgebaut werden also theoretisch könnten 100 Laptops sich jeweils per VPN in ein anderes (Firmen) Netz verbinden (die Gegenstelle muss natürlich dann ein performanter Server sein).

Die Fritzbox ist nur dafür da, damit eine Verbindung vom lokalen Netz ins WWW geht.

Es ging mir nur darum, mein Gedanke bestätigt zu wissen.


Wir haben hier ein ganz normales (DSL) Netzwerk das eine Fritzbox verwaltet.

Die Mitarbeiter können sich dort alle via WLAN oder LAN einwählen.
Manche Mitarbeiter haben einen VPN Zugang um sich mit dem Firmenmetz das im Rechenzentrum betrieben wird zu verbinden.

Aber oft schlägt das fehl. Und manche meinen die Fritzbox wäre der Grund weil die nur 12 VPN Tunnels durch lässt.
Aber die hat ja gar nichts mit VPN zu zun sondern routet nur durch. Ist das so halbwegs korrekt?
Bitte warten ..
Mitglied: 142970
142970 (Level 1)
12.02.2020, aktualisiert um 11:30 Uhr
Es hängt davon ab welche VPN Spielart du nutzt. Das veraltete PPTP z.B. nutzt GRE als Protokoll (Nr. 52) und viele dieser Home Plasterouter können eben beim VPN Passthrough nur eine einzige GRE Session einem internen Client zuordnen, deswegen ist hier bspw. schon ein schon ein Limit gegeben.
Bitte warten ..
Mitglied: brammer
12.02.2020 um 11:47 Uhr
Hallo,

das kann diverse Gründe haben.

Fritzbox ausgelastet.
Internetzugang ausgelastet
VPN Endpoint nicht erreichbar
Fehlerhafte Konfiguration

Generell stelle ich die Verwendung einer Fritzbox in einem Unternehmen und das aufbauen einzelner VPN Verbindung von einem Client in ein Rechenzentrum in Frage.

brammer
Bitte warten ..
Mitglied: aqui
12.02.2020, aktualisiert um 12:07 Uhr
Die Fritzbox tut also logischerweise keine Einschränkungen
Tuten tut nur der Nachtwächter....! ("tut ist ein Hilfswerb, dass man nicht brauchen tut !" Rechtschreibung, siehe auch deine Überschrift :-( face-sad Bearbeiten Button lässt grüßen...)
Ein Laptop baut eine VPN Verbindung zu einem externen VPN Server über einen Router ( FRITZ!Box ) auf. Also die Fritzbox macht kein VPN Dienst....
Diesen Widerspruch muss man erstmal genau verstehen....
  • Der Laptop ist im lokalen LAN der FritzBox, ist das so richtig ?
  • Der Laptop baut als VPN Client eine VPN Verbindung zu einem externen VPN Server auf, auch richtig ?
  • Welches VPN Protokoll nutzt dieser interne VPN Client ?
Letztere Frage ist sehr wichtig, weil das den VPN Aufbau beeinflussen könnte sofern die lokale FritzBox selber VPN Server ist für die private Einwahl ins Heimnetz und der VPN Client im lokalen FB Netz IPsec oder L2TP mit IPsec als VPN Protokoll nutzt um den externen VPN Server zu erreichen.
Leider fehlen diese Angaben in der etwas oberflächlichen und verwirrenden Beschreibung, so das eine zielführende Hilfe schwer fällt.
Bitte warten ..
Mitglied: Tooobi
14.02.2020 um 20:52 Uhr
Sorry, ja ich hab gemerkt dass das ganze ein wenig blöd Formuliert war... Beim nächsten mal wirds besser!

Ich lerne ITler, mir fehlen leider noch einige Hintergründe um alles zu verstehen und damit auch zu beschreiben bzw. zu erklären.


Ja, das Laptop hängt direkt an der FRITZ!Box.

Genau, der Laptop baut als VPN Client eine Verbindung in unser Rechenzentrum zum VPN Server auf.

Als Protokoll wird IPsec verwendet.


[Die Laptops werden mit einem vorgefertigten Betriebssystem von unserem Rechenzentrum bespielt, dort sind bereits die Einstellungen für das VPN fest hinterlegt und können nicht verändert werden.

Ein Kollege meint, es liegt daran dass die FRITZ!Box nicht mehr als 12 VPN Verbindungen zulässt. Kann das Stimmen, wenn ja warum?
Unsere Internetleitung ist in der Regel wenig ausgelastet.]
Bitte warten ..
Mitglied: Tooobi
14.02.2020 um 20:54 Uhr
Wir sind eine Firma wo alles vom Rechenzentrum bezogen werden muss (die geben alles vor und wir verwalten mehr...)
Daher haben wir auch einige Einschränkungen und können an das Netz nicht einfach Access Points hängen damit die Mitarbeiter drahtlos ins Firmennetz mit Ihren Laptops kommen.

Bestimmte Mitarbeiter (vorwiegend Führungskräfte) erhalten dafür die Berechtigung für VPN damit die Nutzer beispielsweise bei Besprechungen ohne LAN Kabel ins Firmennetz kommen und Daten / Mails abrufen können oder auch einfach von Zuhause oder Unterwegs arbeiten können. In unserer Firma haben wir dafür extra ein reines "DSL" Netz von der Telekom.

Manche Mitarbeiter haben auch ein Geschäftshandy mit dem auch die Mails abgerufen werden können, dort wird auch ein VPN Tunnel bei Synchronisierung zum Firmennetz aufgebaut (ich vermute mal, dass dort das gleiche Protokoll verwendet wird.

VPN Protokoll: IPsec



Fassen wir zusammen:

Die Mitarbeiter bauen über ihr Geschäftshandy und Ihren Laptop eine VPN Verbindung zu unserem Rechenzentrum (Firmennetz) auf.
Die VPN Konfiguration wird bereits von unserem Rechenzentrum festgelegt -> wir Installieren auf den Laptops ein "vorkonfiguriertes Windows" also passt dies auch bzw. sollte.

In letzter Zeit haben die Mitarbeiter öfters das Problem mit der Einwahl in das VPN via Laptop bei uns in der Firma über das DSL-Netz.
Windows zeigt beim Verbinden mit dem VPN über WLAN und direktem LAN Kabel zum DSL Anschluss nur: "Die Verbindung wird mit xxxx hergestellt" und verläuft dann ohne Erfolg.

Ob die Probleme Zuhause beim Mitarbeiter auch auftreten, kann ich nicht direkt sagen da wir da nicht dabei sind. Scheinbar gibt es dort aber auch ab und zu Probleme.


Unsere DSL-Netz von der Telekom:
Wir haben eine 50'000er Leitung die in der Regel wenig ausgelastet ist.
Wir haben eine FRITZ!Box 7490, die die Verbindung zum Internet herstellt und an der dann die Access Points hängen.

[Das DSL-Netz ist nicht der wichtigste Baustein sondern dient nur als "Komfort" um wie oben beschrieben mal in der Besprechung auch ohne lästiges LAN-Kabel Mails zu checken, daher auch nur SOHO Geräte]


Meine Kollegen meinen die FRITZ!Box ist die Ursache, da diese nur 12 VPN Verbindungen zu lässt.
Stimmt dass? Wenn ja, warum ist das so?


Vielleicht besser formuliert?
Bitte warten ..
Mitglied: aqui
LÖSUNG 15.02.2020, aktualisiert um 13:29 Uhr
FRITZ!Box nicht mehr als 12 VPN Verbindungen zulässt. Kann das Stimmen, wenn ja warum?
Diese Diskussion haben wir hier gefühlt täglich. Der Kollege hat da absolut recht. Es ist sogar noch viel schlimmer, denn der VPN Durchsatz der FritzBox ist grottenschlecht und liegt max. zwischen 3-6 Mbit/s. Du kannst dir dann ausrechnen was dann passiert wenn schon 2 oder 3 Mitarbeiter das VPN nutzen ! An 12 will man lieber gar nicht erst denken...
Man muss aber auch faiererweise sagen das die FritzBox primär eine billige Consumer Box ist die in einem Firmennetzwerk in der Regel gar nichts zu suchen hat. Sowas also im Firmenumfeld einzusetzen ist schon an sich eine völlige Fehlbesetzung der Hardware. Wenn du LKW Spediteur bist kaufst du ja auch nicht einen Dacia Kombi statt eines Daimler Actros. Ihr habt das aber gemacht und wundert euch warum ihr Pleite geht...

Hier ist also der erste Kardinalsfehler begangen worden ! Normal installiert man dort eine potente VPN Firewall wie z.B. diese_hier oder einen entsprechend performanten VPN Business Router und keine solche Plastikbox.
Diese Hardware Entscheidung haben vermutlich technisch völlig unkundige Kaufleute getroffen nach dem Motto was zu Hause rennt, rennt auch in der Company. Eine fatale Fehleinschätzung wie jeder Netzwerk Admin weiss. Man kann von Kaufleuten sicher fairerweise auch keine Kentnisse in der Richtung erwarten.
Der Gund ist übrgens der sehr schwachbrüstige SoC Chip auf der FB der für Crypto Anwendungen keine Hardware hat und das alles mit lahmar... Software erledigen muss. Wie gesagt...sie ist dafür nicht gemacht. Das VPN ist für Oma Grete gut die mal die Bilder der Enkel von remotre sehen will aber niemals eine Firmen geeignete HW ! Alles längst bekannte Binsenweisheiten...
Die 50Mbit Leitung ist als was das VPN anbetrifft sinnfrei, denn der Flaschenhals ist die FB und ihre schwache VPN Hardware !
Bitte warten ..
Mitglied: Tooobi
16.02.2020 um 16:09 Uhr
Leider hast du mich falsch verstanden.
Das die FRITZ!Box in einer "normalen" Firma nicht zu suchen hat ist mir bewusst.
Bei uns dient diese nur für ein zweites Netzwerk für Mitarbeiter Handys und eben bei Besprechungen damit man eine Möglichkeit hat sich per VPN ins Firmennetz einzuwählen.


Laptop (VPN Client) -> Router -> Internet -> VPN Server


Der Router ist die FRITZ!Box.
Auf der FRITZ!Box wählt sich kein Mitarbeiter per VPN rein und an der FRITZ!Box hängen keine Server!
Die FRITZ!Box ist nur der Router für unser zweites reines DSL Netzwerk.
Bitte warten ..
Mitglied: 142970
142970 (Level 1)
LÖSUNG 16.02.2020, aktualisiert um 16:27 Uhr
IPSec Passthrough ist für die Fritzbox kein Problem, so lange die Verbindungen NAT Traversal nutzen können. Tun sie das nicht, ist klar das es hier zu Problemen kommt. Problem ist oftmals auch die Konfiguration des IPSec Clients die wir hier nicht vorliegen haben.
Habe hier mal testweise 20 IPSec Client2Server Verbindungen über eine 7590 gefeuert die hier in der Ecke vor sich hin gammelt (von einem Kunden geschenkt bekommen der nun endlich auf Business Hardware umgestiegen ist). IPSec-Concentrator war ein vServer im Inet.

Man sollte sich aber klar sein das wenn man 5 oder mehr Leute hat die über den selben Zugang in ein und das selbe Firmennetz müssen, man effektiver gleich einen Site2Site Tunnel zwischen dem Router und dem Netz konfiguriert und entsprechend absichert. Eine Fritzbox ist und bleibt bei solchen Szenarien aber einfach nur Plaste-Consumer Spielzeug, hier rate ich dringend zu vernünftiger Hardware mit entsprechenden Business-Features.

Meine Kollegen meinen die FRITZ!Box ist die Ursache, da diese nur 12 VPN Verbindungen zu lässt.
Stimmt dass? Wenn ja, warum ist das so?
Nein, die Aussage ist in deinem Fall falsch! Die Limit-Aussage bezieht sich auf IPSec Verbindungen für die die Fritzbox selbst als Responder agiert oder selbst als Initiator die Verbindung aufbaut.Für IPSec Passthrough wie in deinem Fall gilt dieses Limit nicht, da die Verbindung nicht auf der Fritzbox terminiert wird!
Bitte warten ..
Mitglied: Tooobi
16.02.2020 um 17:28 Uhr
Vielen Dank, das hat mich sehr viel weitergebracht!
Mein Kollege ist kein gelernter ITler und erzählt manchmal nur Halb- oder wie hier Unwahrheiten.

Leider haben wir hier nicht die Möglichkeit sich direkt mit einem Router ins Netz zu verbinden, da wir ein Rechenzentrum haben und die das nicht erlauben.

Mit unserem normalen "Arbeitsnetz" hängen wir via WAN im Firmennetz. Können aber keine Access Points selbst betreiben sondern müssen hier für 30 € / Monat welche vom Rechenzentrum mieten. Wenn man das überall macht, entstehen hohe kosten und wir sollen aber immer kosten einsparen. Da aber nur die Führungspositionen (also eine überschaubare Zahl an Nutzern) dass in Besprechungen nutzen, lohnt es sich nicht bzw. können wir nicht ausreichend argumentieren damit es abgenickt wird.

Vielen Dank nochmal! :-) face-smile
Bitte warten ..
Mitglied: 142970
142970 (Level 1)
16.02.2020, aktualisiert um 17:46 Uhr
Zitat von Tooobi:

Vielen Dank, das hat mich sehr viel weitergebracht!
Immer gerne.
Mein Kollege ist kein gelernter ITler und erzählt manchmal nur Halb- oder wie hier Unwahrheiten.
Trau schau wem, glaube nur das was du selbst nachgeschlagen hast ;-) face-wink.
Leider haben wir hier nicht die Möglichkeit sich direkt mit einem Router ins Netz zu verbinden, da wir ein Rechenzentrum haben und die das nicht erlauben.
Verstehe jetzt nicht was das mit der Fritzbox zu tun hat aber OK.
Mit unserem normalen "Arbeitsnetz" hängen wir via WAN im Firmennetz. Können aber keine Access Points selbst betreiben sondern müssen hier für 30 € / Monat welche vom Rechenzentrum mieten. Wenn man das überall macht, entstehen hohe kosten und wir sollen aber immer kosten einsparen. Da aber nur die Führungspositionen (also eine überschaubare Zahl an Nutzern) dass in Besprechungen nutzen, lohnt es sich nicht bzw. können wir nicht ausreichend argumentieren damit es abgenickt wird.
Wenn ihr schon über das WAN im Firmennetz hängt warum müssen dann die User nochmal Client-Verbindungen nutzen, das wäre ja doppelt gemoppelt?? Irgendwie fehlt mir da jetzt der Zusammenhang bzw. die Netzstruktur...

Vielen Dank nochmal! :-) face-smile
Keine Ursache.
Bitte warten ..
Mitglied: Tooobi
16.02.2020 um 18:17 Uhr
Zitat von 142970:
Trau schau wem, glaube nur das was du selbst nachgeschlagen hast ;-) face-wink.
Ja, da haste recht. Gerade ich, wo das alles lernt und dann so viel Mist erzählt bekommt ist es echt ätzend..

Verstehe jetzt nicht was das mit der Fritzbox zu tun hat aber OK.
Sorry meinte das mit dem Site2Site Tunnel, das geht bei uns nicht.

Wenn ihr schon über das WAN im Firmennetz hängt warum müssen dann die User nochmal Client-Verbindungen nutzen, das wäre ja doppelt gemoppelt?? Irgendwie fehlt mir da jetzt der Zusammenhang bzw. die Netzstruktur...

Wir können nur direkt mit Kabel ins Firmennetz. Access Points wie bereits erwähnt müssen teuer vom RZ gemietet werden.
Damit bei Besprechungen nicht immer ein LAN Kabel verlegt werden muss bzw. man abseits von LAN Dosen arbeiten kann wählt man sich via VPN ins Netz. Entweder Kabel oder VPN, beides würde in der Tat keinen Sinn machen. War ein wenig ungünstig formuliert...
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 1 TagAllgemeinWünsch Dir was24 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Festplatten, SSD, Raid
SATA Treiber für HP
gelöst ben1300Vor 1 TagFrageFestplatten, SSD, Raid21 Kommentare

Hallo zusammen, ich habe einen PC von HP (Seriennummer: CZC3475D5D) Wollte hier Windows 7 Prof. installieren - es fehlt der SATA Treiber Leider kann ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 1 TagFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste14 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Sicherheitsgrundlagen
TI am Ende - Aus für Konnektor und elektronische Gesundheitskarte: Gematik stellt TI 2.0 vor
StefanKittelVor 1 TagInformationSicherheitsgrundlagen5 Kommentare

Hallo, nach der Großstörung in 2020 und allgemeinen Vorwürfen bezüglich der zweifelhaften Konnetktoren scheint die TI nun den Stecker ziehen zu wollen. Nachdem nun ...

Windows Systemdateien
Sql Server 2014 mit extrem vielen DBs auf neuen Server migrieren
gelöst itnirvanaVor 1 TagFrageWindows Systemdateien6 Kommentare

SQL DB Migration auf anderen Server eigentlich ok. Management Studio export . Anderer Server Imporr. Berevhtigung neu setzen SQL User ersteölen etc Jetzt habe ...

Outlook & Mail
Gibt es ein allgemeines Outlook senden Problem zur Zeit?
StefanKittelVor 1 TagFrageOutlook & Mail3 Kommentare

Hallo, habe gerade kurz hinterander 2 völlig getrennte Kunden mit dem gleichen Wirren Problem in Outlook. A) Outlook 2019, Exchange bei Busymouse24 (Hoster), Mit ...

Netzwerkgrundlagen
Cisco IOS: shut?
gelöst ral9004Vor 1 TagFrageNetzwerkgrundlagen15 Kommentare

Hallo Auf dem Cisco Switch läuft IOS XE Gibraltar (16.12) Die Dokumentation des Config Scripts enthält diese Anweisung "shut" wird die Abkürzung für "shutdown" ...