Unitymedia Home Office und VPN mit 2Play

[BlueCuracao87]

Hallo zusammen,

seit kurzem arbeite ich nun aus dem Home Office heraus.
Erforderlich ist es, dass ich mich per VPN mit dem Firmennetzwerk verbinde um beispielsweise GoogleDocs und andere Seite des Unternehemens zu besuchen.

Per JUNO Pulse verbinde ich mich mit VPN.

Nun ist es so, dass die Verbindung mit dem VPN auch klappt, ich auch Seiten wie Twitter oder diese hier öffnen kann. Jedoch kann ich keine "https:" Seiten meiner Firma öffnen. Die Seite lädt und lädt und nichts passiert, bis irgendwann die Fehlermeldung kommt, dass keine Verbindung aufgebaut werden kann.
Verbinde ich mich per Hotspot mit meiner mobilen Datenverbindung, funktioniert der Zugriff über VPN tadellos!

Jezt habe ich gesehen, dass UM spezielle Office Tarife anbietet und vermute, dass UM den Zugriff blockiert, da ich nur 2 Play im Einsatz habe...

Ist das korrekt? Was kann ich tun?

lieben Dank und Grüße
Philipp

 

[GoaSkin]

Unitymedia blockt nichts, was Junos Pulse betrifft. Hier scheint es eher ein Routing-Problem zu geben. Du solltest zunächst folgende Sachen auf der DOS-Eingabeaufforderung abklären:

1.) wird der Datenverkehr wirklich durch das VPN geschickt?

-> tracert www.twitter.com

In der Ausgabe kannst du dann erkennen, ob der Datenverkehr wirklich durch das VPN wandert oder den direkten Weg nimmt (sollten Firmen IPs/Hostnamen drin auftauchen). Falls unsicher: Vergleichen, ob es bei getrennter VPN-Verbindung dasselbe ist.

2.) sind Firmen-IP-Adressen erreichbar:

-> ping irgendeine-firmen-ip

Falls eine Antwort kommt, dann sieht es danach aus, als ob das VPN prinzipiell funktioniert, aber die Namensauflösung scheitert.

3.) tracert irgendeine-firmen-ip

Zur Feststellung, ob der Datenverkehr zu den Firmen-IPs direkt ins Internet statt durch das VPN geschickt wird

4.) route print

Nachschauen, ob in der Routing-Tabelle überhaupt Einträge für Firmen-Ziele vorhanden sind.

Dann ggf. mal mit dem Admin der Firma reden.

 

[BlueCuracao87]

hi Goaskin,

vielen Dank für deine Antwort. Ich nutze übrigens einen Mac.
Deshalb ist das Tracerrouten etwas anders...

Ich habe mich zum Testen mit Juno Pulse mit dem VPN verbunden.

zu 1.)

„Traceroute“ wurde gestartet …

traceroute: Warning: www.twitter.com has multiple addresses; using 199.59.148.10
traceroute to twitter.com (199.59.148.10), 64 hops max, 72 byte packets
1 84.116.198.84 (84.116.198.84) 8.874 ms 10.415 ms 15.718 ms
2 84.116.197.141 (84.116.197.141) 9.552 ms 9.235 ms 9.823 ms
3 84.116.196.17 (84.116.196.17) 9.895 ms 10.392 ms 9.547 ms
4 84.116.197.245 (84.116.197.245) 9.732 ms 9.384 ms 9.482 ms
5 de-fra03b-ri1-ae5-0.aorta.net (84.116.133.118) 9.984 ms 8.670 ms 9.478 ms
6 cr1-fra1.twttr.com (80.81.192.10) 8.939 ms * 8.885 ms
7 * * *
8 r-199-59-148-10.twttr.com (199.59.148.10) 162.231 ms 161.455 ms 161.875 ms

->Eine Firmenadresse kann ich hier nicht erkennen...


zu 2)

„Ping“ wurde gestartet …

ping: cannot resolve https://XXX.okta.com/app/UserHome: Unknown host

XXX=(zensiert, meine Firma)

->Gleiche Meldung auch bei anderen Firmenseiten


Twitter kann ich anpingen:

„Ping“ wurde gestartet …

PING twitter.com (199.59.148.82): 56 data bytes
64 bytes from 199.59.148.82: icmp_seq=0 ttl=54 time=161.287 ms
64 bytes from 199.59.148.82: icmp_seq=1 ttl=54 time=162.522 ms
64 bytes from 199.59.148.82: icmp_seq=2 ttl=54 time=162.797 ms
64 bytes from 199.59.148.82: icmp_seq=3 ttl=54 time=162.022 ms
64 bytes from 199.59.148.82: icmp_seq=4 ttl=54 time=162.183 ms
64 bytes from 199.59.148.82: icmp_seq=5 ttl=54 time=162.431 ms
64 bytes from 199.59.148.82: icmp_seq=6 ttl=54 time=161.925 ms
64 bytes from 199.59.148.82: icmp_seq=7 ttl=54 time=163.454 ms
64 bytes from 199.59.148.82: icmp_seq=8 ttl=54 time=163.100 ms
64 bytes from 199.59.148.82: icmp_seq=9 ttl=54 time=162.018 ms

--- twitter.com ping statistics ---
10 packets transmitted, 10 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 161.287/162.374/163.454/0.597 ms

zu 3)

„Traceroute“ wurde gestartet …

traceroute: unknown host https://XXX.okta.com/app/UserHome

XXX=(zensiert, meine Firma)

->Gleiche Meldung auch bei anderen Firmenseiten

zu 4) Beim Netroute kann ich nicht erkennen, ob irgendwelche Firmenziele vorhanden sind, da mir die IP's nichts sagen.

Beispielauszug:

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.0.1 UGSc 30 43 en0
10 10.70.200.39 UGCS 3 0 utun0
10.40.50.11 10.70.200.39 UGHWIi 1 143 utun0
10.70.1.10 10.70.200.39 UGHCS 1 0 utun0
10.70.1.10 10.70.200.39 UGHWIi 9 634 utun0
10.70.1.12 10.70.200.39 UGHCS 1 0 utun0
10.70.1.12 10.70.200.39 UGHWIi 3 462 utun0
10.70.1.45 10.70.200.39 UGHWIi 1 27 utun0
---


Internet6:
Destination Gateway Flags Netif Expire
default fe80::5a23:8cff:fe21:76f3%en0 UGc en0
::1 ::1 UHL lo0
2a02:908:dc31:420::/64 link#4 UC en0
2a02:908:dc31:420:589e:fad5:2983:3987 e0:ac:cb:7d:ab:3c UHL lo0
2a02:908:dc31:420:e2ac:cbff:fe7d:ab3c e0:ac:cb:7d:ab:3c UHL lo0
fe80::%lo0/64 fe80::1%lo0 UcI lo0
fe80::1%lo0 link#1 UHLI lo0
fe80::%en0/64 link#4 UCI
...



Ich würde jetzt denken, dass mit der VPN Verbindung etwas nicht stimmt, da ich auf die Firmenseiten nicht komme. Jedoch funktioniert die VPN Einwahl und das Öffnen der FIrmenseiten, wenn ich im Mobilnetz beispielsweise eingeloggt bin.

 

[Herzallerliebst7]

Und genau wegen diesem Hickhack, hab ich mir den Office 50 Business geholt und hab kein lästiges gefummel und Einstellungsnirvana.
Fritte sogar noch ohne feste statische IP. Ab und an mal nach der IP geguckt und alles funzt per VPN.
Hast Du IPV6,dann schau mal ins Board, da gibts nen Ratgeber.

Gruß Herzallerliebst

 

[Leseratte10]

Zu Ping und Tracert auf die Firmen-Adresse:

Das sind URLs, keine IPs oder Domains. Versuch das bitte nochmal mit "ping XXX.okta.com" und "tracert XXX.okta.com"

 

[GoaSkin]

Die Routen-Ausgabe listet Routen zu 10er IP-Bereichen (private IP-Adressen). Zugleich wird "unknown Host" zurück gemeldet, wenn man einen Traceroute oder Ping auf einen Firmen-Rechner Namen machst.

Wenn ein Traceroute oder Ping auf eine 10er IP-Adresse (IP, nicht Hostname) in der Firma funktioniert, die erreichbar sein muss, ist das Problem klar: Der Computer bekommt keinen Nameserver mitgeteilt, der in der Lage ist, die Rechnernamen in der Firma aufzulösen oder konfiguriert diesen aus irgend einem Grund nicht. Wenn es ein Nameserver-Problem ist, dann einfach mal Spaßeshalber die Firmen-DNS-Server bei aufgebauter VPN-Verbindung in den Systemeinstellungen manuell festlegen!

 

[BlueCuracao87]

Hi und vielen Dank für eure Antworten bis hierhin!

Ich habe nun die IP der Domain freigegeben bei laufender VPN Verbindung eingegeben:

PING:

„Ping“ wurde gestartet …

PING 54.197.192.178 (54.197.192.178): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
Request timeout for icmp_seq 6
Request timeout for icmp_seq 7
Request timeout for icmp_seq 8

--- 54.197.192.178 ping statistics ---
10 packets transmitted, 0 packets received, 100.0% packet loss




Trace:

„Traceroute“ wurde gestartet …

traceroute to 54.197.192.178 (54.197.192.178), 64 hops max, 72 byte packets
1 10.200.200.200 (10.200.200.200) 331.966 ms 284.992 ms 194.635 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *

 

[Patze1980]

Hi,

ich hatte ein ähnliches Problem. Habe auch 2Play und IPv6.

Für die Home Office Arbeit brauche ich Juniper VPN mittels Network Connect 8.0.
Ich kam zwar in den VPN und auf manche SAP Systeme, jedoch dann weder in Outlook, MS Skype for Business noch auf irgendeine Internetseite.

Nun wurde eine Möglichkeit gefunden. Im habe meine MTU Size reduziert.
Das zum einen über REGEDIT:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\

Da drin den Schlüssel mit den mehreren Unterpunkten einen neuen DWORD oder QWORD Key einträgen (Je nach OS Bit Version [Windows 32 bzw. 64 Bit]).
Key Name = MTU und Wert z.B. 1400.

Anschließend die cmd.exe als Admin aufrufen und folgendes eingeben:

netsh.exe interface ipv6 show interfaces

Damit werden dann alle Netzwerk Adapter mit Index angegeben.
z.B.:

Idx Met MTU State Name
--- ---------- ---------- ------------ ---------------------------
12 40 1500 connected Wireless Network Connection

Danach das hier eingeben:

C:\windows\system32>netsh interface ipv6 set subinterface 12 mtu=1400

Damit wurde die MTU Size auf 1400 reduziert.

Seitdem klappt alles.

Was damit bewirkt wurde ist, dass ich meine Paketgröße von 1500 auf 1400 reduziert habe.
Damit ist mehr Platz für den IPv6 Header, der etwas größer ist als der von IPv4.
Wenn das nicht gemacht wird, werden meine Pakete zerteilt, damit der IPv6 Header wieder reinpasst. Sprich: Aus einem Paket mache 2.

Sicherheitssysteme sehen, dass ein Paket gesendet wurde, jedoch 2 zurückkommen. Es hat den Anschein, als hätte sich da jemand reingehakt und es passiert nichts.
Ergo: Verbindungsabbrüche, oder keine Reaktion von Internetseiten etc.

Würde mich interessieren, ob das bei dir auch klappt, ober ob du ein ganz anderes Problem hast.

Ps.: Ich bin kein Netzwerk Experte. Ich hatte diverse Hilfen und habe seit September letzten Jahres an dem Thema getüftelt und getestet.

Gruß

Patze

 

[BlueCuracao87]

Hallo Patze,

Herzlichen Dank für deine Antwort. WUndaber, dass es bei dir klappt. Ich würde es gerne sofort bei mir testen, nutze jedoch ausschließlich MAC für die Arbeit. Deshalb muss ich mich erst einmal schlau machen, wie ich hier die MTU Size reduzieren kann. Dennoch ein guter Tipp und Anhaltspunkt.

Ich melde mich hier wieder, sobald ich was herausgefunden habe.

Grüße,
Blue

 

[M@rtin]

...
Ich melde mich hier wieder, sobald ich was herausgefunden habe.

Grüße,
Blue

Das ist in den gleichen Systemeinstellungen (Netzwerk) wie oben schon im Screenshot zu sehen, nur letzter Reiter "Hardware"!

 

[Patze1980]

@BlueCuracao87:

Gibt es schon neue Erkenntnisse?
Hatte gestern wieder Home Office gemacht. Funktionierte ohne Probleme. Würde mich schwer interessieren, ob es bei Dir auch funktioniert hat, oder ob es auch andere Probleme gibt.

 

[MartinP_Do]

Ich ziehe hier dieses Thema noch einmal hoch.

Ich nutze auch meinen 2Play Privatkunden-Anschluss gelegentlich für Home-Office und Rufbereitschaft mit VPN.

Nun fand ich in "Besondere Geschäftsbedingungen Internet und Telefonie" unter 1.1 " ... nicht zu kommerziellen, freiberuflichen oder gewerblichen Zwecken genutzt werden ..."

Ist nicht Home Office so etwas?

 

[johnripper]

Du bietest ja keine freiberuflichen oder gewerblichen Dienste über den Anschluss an.

Ansonsten würde dies ja zu einer uferlosen Auslegung führen, da du sonst mit dem Telefon nicht mal im Büro anrufen dürftest und über geschäftliche Dinge sprechen dürftest, da es "gewerblich" ist.

ME geht es hier um ein aktives Gewerbe und nicht um eine Angestelltentätigkeit von zu Hause aus (wenn es da ist; steht nicht im Post).