Hallo miteinander Ich habe ein VPN in einem unifi Netzwerk eingerichtet und dies funktioniert eigentlich ganz gut. Nur ein User hat Probleme, sich damit zu verbinden. Einen Adresskonflikt kann ich ausschliessen und die Rechner haben mittlerweile auch die Windows Updates drauf damit alles wieder läuft. Alle anderen User können sich verbinden und der besagte Problem-User über seinen Handy Hotspot auch. Nur wenn er über sein Heim-WLan geht funzt es nicht. Neu hat er eine IB3 von Swisscom. Kann es sein dass sein steinaltes Abo (vivo xs) zu lahm ist? Oder habt ihr noch andere Ideen? Vielen Dank und Gruass Armin

Gut möglich, dass der VPN-Server oder die Firewall in der Firma des Users den Zugang aus Sicherheitsgründen geblockt hat, weil es zuviele Verbindungsversuche in einer bestimmten Zeit gab. Das müsste aber die IT-Abteilung der Firma beantworten können wenn sie die Logfiles auswerten. Weiter stellt sich die Frage, weshalb es zu viele Verbindunsgversuche vom Client des Users beim VPN-Server gab. Um das alles abzuklären kommt der User nicht darum herum, die IT-Abteilung der Firma wo er sich per VPN verbinden will mit einzubeziehen.

@"Chaujeve29"#1109715 Schick mir doch die Adresse oder genaueres des Kunden per PM, damit ich mal die Leitung anschauen kann. Ist ev. nicht das Abo (XS=20mbps), sondern, die Leitung oder inHouse Verkabelung.

Der User kann in seiner Internet Büchse 3 mal die Firewall Einstellung von strikt zu standard umstellen. Falls das hilft, müsste man mal prüfen was da nicht in Ordnung ist. Also ganz vieles aber jetzt mal bezogen auf dieses Thema 😅

Was nicht in Ordnung ist? Da fallen mir spontan doch einige Dinge ein, die eher mit anderen Dingen zu tun haben …🙈 (ein Brett vor Kopf Smiley wäre auch notwendig)

Aber zum Problem selber hast du keinen spontanen Einfall? Schade, dann interessiert es mich nicht.

Es gibt mehr als 1.x Mio Internet-Boxen 2,3 und 4 mit der selben Firmware. Viele Menschen sind immer noch im Home-Office und bauen täglich x VPN-Verbindungen auf. Wenn es also ein grundsätzliches Problem geben würde, dass VPN-Verbindungen, z.B. Firewalleinstellungen, behindern oder verhindern würden, dann gäbe es wohl einen recht grossen Aufschrei. Denke auch nicht, dass es an der Leitungs- oder Abogeschwindigkeit liegt. Der User sollte mal mehr Infos geben. Mit welchen Geräten versucht er das VPN zu nutzen, welche Software nutzt er dafür. Kommt eine Verbindung zustande und ist nur langsam oder kommt keine Verbindung zustande. Was ist die Meldung von VPN-Programm und was weiss ich noch. Ansonsten ist es einfach Glaskugel.

> * * * > > @"Chaujeve29"#1109715 schrieb: > >.... > Alle anderen User können sich verbinden und der besagte Problem-User über seinen Handy Hotspot auch. Nur wenn er über sein Heim-WLan geht funzt es nicht. Neu hat er eine IB3 von Swisscom... > > * * * Also das klingt jetzt für mich aber schon erst Mal nach einem Adresskonflikt...

Danke für eure Antworten. Am Anfang meiner Nachricht schreibe ich, dass ich einen Adresskonflikt ausschliessen kann! Andere WLan's mit Swisscom-Anschluss und dem gleichen IP-Adressraum (192.168.1.0) bereiten keine Probleme und er kann sich von dort aus auch problemlos verbinden! Langsam ist die Verbindung auch nicht, den er hat Mühe sich mit dem VPN zu verbinden, was heisst dass keine Verbindung zustande kommt. An der Software, bzw. Firewall kann es nicht liegen, da er mit dem Handy eine Verbindung herstellen kann. Ausserdem sind die Updates drauf, weshalb ich auch das Januar Update von Windows ausschliessen kann. Der User nutzt somit Win10 oder 11, einen extra VPN-Client habe ich nicht erwähnt. Eigentlich stehen da schon ziemlich viele Informationen in der ersten Nachricht. Was ich nicht weiss, ob er sein Home-WLan als öffentlich oder privat deklariert hat. Vielleicht liegt es daran? Bitte nur noch konstruktive Antworten. Danke.

Ich möchte auf die Marketingaussagen in diesem Thread, die auf mangelndes Verständnis von VPN im Allgemeinen und in der Umsetzung im speziellen, schliessen lässt, nicht eingehen, verweise aber nochmals auf meinen Hinweis, dass der User doch bei seinem Router in den Einstellungen den Firewall Level von Strikt auf Standard umstellen soll. Methodenkompetenz... Dass ist ein einfacher Test um das mal auszuschliessen, bevor man sich um andere Dinge kümmern kann. Sollte der User sein Gerät im Gast Netzwerk verbunden haben, wäre da sein IP Range 10.128.0.0/16. Also ein recht grosser aber auch ein ziemlich grosser Zufall würde das so überschneiden.

Das mit dem Gästenetzwerk habe ich bereits angesprochen, leider ist der User nicht bereit dies zu versuchen..... Der User kann aus einem anderen WLan die Verbindung erfolgreich herstellen. Beide haben den gleichen Adressbereich 192.168.1.0, aber nicht die gleichen Router. Eines einen Centro Business und das andere neu eine IB3. Beim letzteren klappt die Verbindung nicht. Auch das mit der Firewall habe ich mit dem User besprochen. Da er bereits mit dem Swisscom-Support telefonischen Kontakt hatte, gehe ich davon aus dass sie dem Beachtung geschenkt haben. Swisscom meint dass seine IP geblockt sei, was jedoch nicht der Fall ist.

> * * * > > @"Chaujeve29"#1109715 schrieb: > > Das mit dem Gästenetzwerk habe ich bereits angesprochen, leider ist der User nicht bereit dies zu versuchen..... > > > * * * @"Chaujeve29"#1109715 Wenn der User tatsächlich an einer Unterstützung interessiert ist oder der Leidensdruck genug hoch ist, so wird er sicher bereit sein, es ist ja nur für einen temporären Test. Und wenn er weiterhin bockig tut, so würde ich ihn nicht weiter unterstützen. Troubleshooting ist ein Geben und ein Nehmen wo beide (Kunde und Supporter) am gleichen Strang ziehen müssen.

VPN/L2TP mit unifi - Abo zu langsam?

GrandDixence

Die veröffentlichten Auszüge aus den Logdateien machen mir den Eindruck, als werde in diesem Unify-Produkt als VPN-Server StrongSwan eingesetzt. StrongSwan ist ein kostenloses Open Source-Produkt, ein Schweizer Produkt und wird mit Schweizer Steuergeld mitfinanziert.

https://de.wikipedia.org/wiki/StrongSwan

StrongSwan gilt als "die" Referenzimplementierung von VPN-Tunneln mit IKEv2/IPSec.

Beginnen wir mit der Fragerunde mit den "bösen" Fragen:

a) Wird IKEv2 oder das veraltete IKEv1 eingesetzt? "Main Mode" stinkt nach IKEv1!

b) DPD (Dead Peer Detection) korrekt auf dem VPN-Server konfiguriert?

c) Weshalb wird IKE(v2)/L2TP und nicht IKE(v2)/IPSec eingesetzt?

https://de.wikipedia.org/wiki/Layer_2_Tunneling_Protocol

https://en.wikipedia.org/wiki/IPsec

d) Verfügbarkeit des Internetanschluss des Problem-Users mit dem "Broadband Quality Monitor" kontrolliert? Keine rote Paketverlustkurve in den 24 Stunden-Aufzeichnungen vom Broadband Quality Monitor sichtbar? Siehe dazu:

https://community.upc.ch/d/8569-gigaconnect-aussetzer/25

e) Welcher VPN-Client wird eingesetzt?

f) Netzwerkdatenverkehr des problematischen VPN-Tunnels aufgezeichnet und mit Wireshark ausgewertet?

https://community.upc.ch/d/8569-gigaconnect-aussetzer/25

L2TP sollte nur für Spezialanwendungen eingesetzt werden! L2TP arbeitet auf OSI Layer 2. IPSec auf OSI Layer 3. In 80% aller Einsatzfällen von VPN-Tunneln ist eine auf OSI Layer 3 basierende VPN-Tunnellösung die bessere Wahl und somit IKEv2/IPSec die besser geeignete Lösung.

Es sollte klar sein, dass hier keine kompetente und tiefgreifende Hilfestellung zu StrongSwan erwartet werden darf.

Chaujeve29

@GrandDixence: Vielen Dank:

a,b,c) Bisher habe ich mit der WebGUI von unifi gearbeitet (7.0.23) und dort kann ich IKE nicht wählen. Ausser bei einer Site-to-Site Konfiguration, was hier nicht der Fall ist, oder? Von einem Eingriff über das Terminal wird abgeraten und ich müsste mich erst schlau machen, habe auch etwas Respekt davor.

d+f) Schau ich mir noch an, muss mich aber erst noch einlesen.

e) Windows 10 oder 11 mit "Bordmitteln", also kein extra VPN-Client.

Eigentlich wollte ich nur ein einfaches VPN für maximal 10 User einrichten und dachte es gibt eine einfache Lösung. Nun bewahrheitet sich meine Befürchtung, dass dem nicht so ist.

P.S. Gestern hat die Verbindung wieder einmal geklappt.

Vielen Dank euch allen für die Inputs

Chaujeve29

Mittlerweile denke ich, dass es der Leitung/Hausanschluss liegt.
Der User hat mir einige Daten notiert, wann es nicht geht und wann es funktioniert. Aus den angegebenen Zeiten lässt sich kein Muster ableiten.

Deshalb werde ich einmal openVPN auf unifi einsetzen und schauen, ob dieses zuverlässiger ist.

Nochmals vielen Dank allen, welche mir so Geduld geholfen haben.

hed

@Chaujeve29

Wenn es ein Problem mit der Installation/Hausanschluss gibt, so sollte man das beheben und nicht zur Symptombekämpfung mit einem andern VPN versuchen.

kaetho

Der Ansatz, die Leitung richtig zu stellen, bevor man mit einem anderen VPN-Tool, ist in einer perfekten Welt sicher richtig.

In der realen Welt wird der Aufwand für @Chaujeve29 aber vermutlich geringer sein, das mit dem anderen VPN-Tool zuerst zu versuchen.

Ich habe da aber grundsätzlich mit UDM und VPN meine Bedenken, das scheint laut diversen Forenbeiträgen zielich tricky/zickig zu funktionieren (ich habs auch nicht sauber hinbekommen 😞). Ein Raspi mit Wireguard, ins UDM-Netz eingebunden ist für mich stressfreier.

Wenn dann auch das nicht sauber funktioniert, gibt es ein Argument mehr, die andere Hausinstallation richtig stellen zu lassen.

hed

@kaetho

Ein sauberes Fundament zu legen bevor man ein Haus darauf baut, ist auch in der realen Welt die übliche Vorgehensweise. Aber manche Leute bauen halt lieber auf Sand.

Chaujeve29

Ihr habt ja Recht mit dem Fundament!

Nur wenn ein zeitgemäßes Abo dem User zu teuer ist, dann wird das mit dem Hausanschluss in Ordnung bringen wohl nix😉

Deshalb die Idee mit openVPN...

Trotzdem danke

hed

Nun ja, eine Lösung ist am Ende nur so gut und stark, wie das schwächste Glied in der Kette.

GrandDixence

Fundament des Internetanschlusses kontrollieren:

- Verfügbarkeit des Internetanschlusses mit einem 24h/7 Tage-Leitungstest per ICMP-Polling (Ping-Test) kontrollieren. Zum Beispiel: Broadband Quality Monitor.

- und Paketverlustrate des Internetanschlusses messen. Zum Beispiel: CNLab-Geschwindigkeitstest

Siehe dazu die entsprechenden Hinweise und Links unter:

https://community.upc.ch/d/8569-gigaconnect-aussetzer/25

hed

@GrandDixence

Man kann bei Problemen mit dem Anschluss die Leitung auch von Swisscom messen lassen. Dabei werden auch Installationsmängel wie z.B. BridgeTaps erkannt.

GrandDixence

Nach dem Motto "Vertrauen ist gut, Kontrolle ist besser" sollte man als zahlender Kunde selber prüfen, ob die Dienstleistung (hier: Internetanschluss) vollständig und einwandfrei erbracht wird. Die beschriebenen Werkzeuge können vom Endkunde selbstständig und unabhängig eingesetzt werden und erlauben eine regelmässige Kontrolle des Internetanschlusses.

Ich empfehle die regelmässige Kontrolle des Internetanschlusses mit diesen Werkzeugen. So kann der Kunde technische Mängel frühzeitig erkennen und beheben lassen. Die Mechanismen "Sendewiederholung" (TCP-Retransmissions) und "Vorwärtsfehlerkorrektur" (FEC) "bügeln" weniger gravierende technische Mängel des Internetanschlusses oder des eigenen Netzwerks einfach aus, so dass der Kunde keine Performance- und Verfügbarkeitseinbussen feststellt.

Erst wenn der technische Mangel so gravierendem Ausmass annimmt, dass diese Mechanismen den Mangel nicht mehr "wegbügeln" können, spürt es der Kunde als Performance- oder Verfügbarkeitseinbusse.

Aber wie immer haben meine Aussagen empfehlenden Charakter. Jeder Endkunde, jede Endkundin muss selber für sich entscheiden, was er/sie benötigt und umsetzen will. Siehe dazu auch meine Empfehlungen zur Realisierung des Internetanschlusses:

https://community.swisscom.ch/t5/Internet-Allgemein/Internet-Anschluss-m%C3%B6glich-bei-Kabel-und-T-T-Anschl%C3%BCssen/m-p/703744#M64991

https://community.swisscom.ch/t5/Internet-Allgemein/Swisscom-vs-Cablecom-vs/m-p/690413#M63874

kaetho

Alles richtig, schön und gut. Wenn ich aber die Posts von @Chaujeve29 richtig interpretiere, ist es nicht sein Anschluss, sondern ein Anschluss eines Mitarbeiters. Und wenn ich weiter richtig interpretiere, interssiert es diesen Mitarbeiter genau 0,0% was die Ursache ist, er "bockt" einfach und ist nicht bereit, an der Installation was zu verändern.

Wie würdet ihr da reagieren? Auch mit Binsenweisheiten?

Chaujeve29

@kaetho, @GrandDixence, @hed

Ihr habt ja alle recht, aber leider will der User nicht begreifen dass es ohne seine Mitarbeit nicht geht. Jeglicher Aufwand seinerseits ist ihm zuviel.

Deshalb habe ich ihm nun noch ein ovpn File gemacht. Nun hat er eine Alternative wenn's wieder einmal mit L2TP/IPsec nicht läuft.

Und ich habe wieder meine Ruhe, hoffentlich.....

hed

@kaetho

Wenn sich ein Mitarbeiter renitent verhält so sollte man sich allenfalls überlegen, ob er für die Firma noch tragbar ist.

hed

@GrandDixence

Mit solchen Tools misst du die Leitung nachdem die IB die FCS ausgebügelt hat und du siehst letztendlich auch nur die Auswirkung von nicht korrigierbaren Fehlern auf der Applikationsebene resp. Layer 3 oder 4. Die Messungen von Swisscom sind da sehr viel näher am Layer 1 dran.

Wie auch immer, meiner Meinung nach ist es für den technisch nicht affinen Kunden völlig ausreichend, wenn man ab und zu einen Speedtest macht und einen Blick auf die Diagnoseseite des Routers wirft.

Ein guter Indikator für eine gute Verbindung ist oft auch eine Real-Time-Applikation (Telefonie) oder TV. Da schlagen Störungen relativ schnell durch d.h. sie sind hörbar oder sichtbar.

« Vorherige Seite Nächste Seite »