Unitymedia VPN Probleme (IPv4 / IPv6) [gelöst]

Kurz vorab: es gibt hunderte verschiedene Möglichkeiten, warum ausgehende VPN Verbindungen von einem Unitymedia Anschluss gestört sein können. Diese Erklärung bezieht sich auf die Konstellation, dass das VPN Gateway auf der Gegenseite (nennen wir es einmal „Arbeitgeber“) schon natives IPv6 unterstützt, die Verbindung aber sehr langsam ist und wieder abbricht.

Bitte hinterlasse einen Kommentar, ob diese Lösung in Deinem Fall erfolgreich war bzw. ob Du andere Ansätze hast das Problem zu lösen.

Sollte die VPN Gegenseite keine VPN Verbindungen unterstützen, ist eine Umstellung auf IPv4 notwendig.

Ich, Niclas Roth, bin Unitymedia Technik- und Vertriebspartner. Für die hessischen Unitymedia Kunden: gerne kannst Du Dich bei dem Umstellwunsch auf IPv4 an mich wenden: 06127-999823 bzw. [email protected]

Diese Erklärung wurde mir von einem Mitarbeiter der Firma Symantec zukommen lassen, der nach eifriger Recherche diese Lösung entwickelt hat. Danke, A.S.! Sie sollte für alle von Unitymedia angebotenen Router / Modems / MTA identisch sein, also Technicolor TC 7200, Connect Box, Fritzbox 6360, Fritzbox 6490, Fritzbox 6320, Cisco etc.

 

[..] An dieser Stelle war bei mir das Problem das die VPN Verbindung in das Unternehmen zwar aufgebaut und auch gehalten wurde, dass allerdings keine Applikation eine brauchbare Verbindung aufbauen konnte und selbst ein Browsen im Intranet Minuten für eine Seitenaufbau benötigt hat. Nach einiger Calls mit unserer IT wurde mir mitgeteilt das ein native IPv6 Verbindung unterstützt wird und das Problem anderweitig zu suchen ist.

Lange rede kurzer Sinn Ich habe mich dann selber mal auf die Suche gemacht und habe herausgefunden das das Problem primär an der Fragmentierung der IP Pakete lag was dann typischerweise auf die falsche Größe der Jumbo Frames (MTU Setting) zurückzuführen ist.

Nachfolgend nun kurz die Befehle um das Client seitig zu prüfen und ggf. auch zu ändern (die Fritzbox lässt das nicht zu)

Auslesen der MTU Einstellungen:

netsh interface ipv4 show subinterface – zeigt die Einstellungen aller Adapter für IPv4
netsh interface ipv6 show subinterface – zeigt die Einstellungen aller Adapter für IPv6
netsh interface ipv4 show subinterface „Local Area Connection“ – zeigt die Einstellungen für eine speziellen Adapter

Setzten der Einstellungen für einen speziellen Adapter zum Beispiel dem virtuellen VPN Adapter, wichtig ist dabei das der VPN Tunnel vorab gestartet wird.

netsh interface ipv4 set subinterface „Local Area Connection* 15“ mtu=1280 – wobei Local Area Connection* 15“ der Name des virtuellen Adapters ist

netsh interface ipv6 set subinterface „Local Area Connection* 15“ mtu=1280 – 1280 ist dabei die Einstellung die das Gateway benötigt, will heissen das kann varieren.

Wenn mann den MTU wert permanent setzten möchte ist je nach Betriebsystem noch der paremeter – store=persistent – anzufügen.

Bsp.: netsh interface ipv6 set subinterface „$AdapterName“ mtu=1400 store=persistent

Hinweis: Bitte verwende diese Einstellungen nur, wenn Du weisst, was Du tust. Eine Datensicherung bzw. ein Wiederherstellungspunkt unter Windows hat noch nie geschadet! Bitte die Anleitung vorab durchlesen und verstehen, d.h. auch die notwendigen Konfigurationsdaten von der IT der Gegenseite (Arbeitgeber) im Vorfeld zu erfragen.

Garantien, Gewährleistung bzw. Support werden von mir bei diesem Thema nicht angeboten. Wenn Du nicht nicht sicher bist, was gemacht werden soll, kontaktiere bitte den IT Profi Deines Vertrauens.

32 Gedanken zu „Unitymedia VPN Probleme (IPv4 / IPv6) [gelöst]

  1. Thomas Schäfer

    Vielen Dank für die Veröffentlichung dieser Lösung.
    Allerdings doktert sie nur an den Symptomen herum. Der Beschreibung nach handelt es sich um ein handfestes Path-MTU-Discovery -Problem, welches sinnvollerweise gelöst werden sollte. Das tragische daran ist, das die Diagnose (genauer Verursacher) oft schwierig ist.
    Alle Beteiligten vom vpn-client, über den Heimrouter, den ISP bis zum VPN-Server sollten ihre Firewall überprüfen und nachschauen ob zum Leben von Path-MTU-Discovery notwendige icmpv6-Pakete gefiltert werden.
    Sich auf auf die minimale MTU von 1280 festzulegen ist meist ein funktionierender Workaround, aber nicht gut.
    Jumbo-frames spielen in einer ganz anderen Größenordnung und sind meist für Heimandwender mit Standardethernetkomponenten und SOHO-Router nicht nutzbar.

    Antworten
  2. Birgit

    hört sich ja gut an… bis zur Anmerkung „..nur wenn man weiß, was man tut“. Mal ehrlich, ich habe schon ein wenig Technikverständnis, bin aber kein Profi in dem Thema. Von daher ist schürft dieser Artikel nur Hoffnung, bringt aber leider keine Lösung.

    Antworten
  3. Mirel

    DANKE SEHR!

    Ich habe eine FB 6490 von UnityMedia vor paar monate bekommen und seit dem funkionierte der datenuebertragung zu dem Arbeit VPN nicht mehr.
    Verbindung war da. Ich wollte fast sonderkuendigung beim Unitymedia machen, aber mit deine Hilfe ist es nicht mehr notwending, jetzt laeuft alles!

    Beim Unitymedia support bekam ich eine Antwort, dass es grad stoerungen in meinem gebiet gibt, dann dass wass an dem VPN server von arbeit stimm was nicht..etc.

    Danke nochmal!

    Antworten
  4. Gerd-Willi

    Hallo Niclas,
    ich habe das Problem, das ich über die Connect Box nicht per remote auf den Firmenserver zugreifen kann um meine Mails abzurufen. Auch mit meinem Iphone6 nicht.
    Da ich z. Z. noch einen Vodafone Anschluß habe, kann ich darauf zurückgreifen und mir so weiterhelfen. Das ganze hängt wohl damit zusammen, das unser Firmenserver kein IPv6 kann. Wie stelle ich die Connect Box auf IPv4 um, oder liegt das an einer anderen Einstellung?

    MfG
    Gerd-Willi

    Antworten
  5. Pingback: [gelöst] Unitymedia Fernzugriff / Remote / VPN Probleme | Computer-Füchse Blog

  6. Christian

    Es wäre noch schön, wenn gezeigt worden wäre, wie man die Richtige MTU Size ermittelt, als sich einfach auf die minimalste für IPv6 festzulegen.
    Das geht nämlich sehr einfach mit einem Ping. Wenn es um die VPN-Verbindung zur Firma geht, nimmt man vorzugsweise dazu die IP vom VPN-Gateway der Firma. Da aber in der Regel die unitymedia-Router das Problem sind, geht auch jede andere öffentliche IP z.B. vom Google DNS:

    ping 8.8.8.8 -f -l 1500

    Wenn als Meldung kommt „Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt.“ ist die MTU zu groß. Dann einfach den letzten Wert nach unten korrigieren, solange bis es klappt: „Antwort von 8.8.8.8: Bytes=1432 Zeit=15ms TTL=57“
    Beim TC7200 ist das dann z.B. 1432

    Eine Umstellung auf IPv4 am eigenen Anschluss ist meines erachten nicht notwendig, solange die Gegenstelle über eine öffentlich IPv4 Adresse erreichbar ist, was beim „Arbeitgeber“ ja in der Regel gegeben ist. Ich habe bisher noch jede VPN-Verbindung über DS-Lite ans laufen bekommen, sogar IPSEC-S2S-Verbindungen. Knackpunkt war eigentlich immer die MTU und nicht DS-Lite. Aussagen wie „VPN über DS-Lite geht nicht“ sind also nicht korrekt, auch wenn das die unitymedia Hotline bis heute noch behauptet, direkt gefolgt von „Im privaten Bereich supporten wir das sowieso nicht“.

    Antworten
  7. Sven

    Hallo,
    wenn jetzt noch (jemand) erklärt wie es theoretisch im Linux (redhat) ausgelesen bzw eingestellt wirs wäre das super!
    DANKE!

    Antworten
  8. Johannes Schwefel

    Hallo,
    seit wir ein UPC haben kann meine Frau mit dem Notebook ihres Arbeitgebers mittels VPN keine Verbindung mehr aufbauen. Wir haben etliche Male mit Unitymedia telefoniert. Ständig erhalten wir eine andere Antwort. Mal sei ein bestimmter Port nicht frei, dann ist er doch frei, und dann sollen wir einen neuen Vertrag für ein Horizon-Paket abschließen, damit meine Frau mit dem Notebook mittels VPN wieder Homeoffice machen kann, etc.
    Meine Frau ist auf das Homeoffiice angewiesen. Als wir noch eine Fritzbox von Unitymedia hatten, hat alles geklappt. Wir wissen einfach nicht mehr weiter. Wer Ideen hat, der möge es uns bitte so darstellen, dass auch Laien verstehen, was man tun soll.
    Vielen Dank
    Johannes

    Antworten
  9. Markus

    Hallo ich hab folgendes Problem mit der Ds-lite das ich meine Opensim nicht erreichen kann, angeblich bräuchte ich auch hier eine Feste Ipv4.
    Das mit der MTU würde mich doch interssieren ob damit dies sich lösen lässt das ich IPv4 Daten empfangen kann??

    Antworten
  10. Rafael

    Guten Tag.
    Ich auch habe probleme mit UM 120comfort plan (cabel) – fritzbox 6490 – VPN oder myfritz.net – funktioniert nicht…
    wie Sie benötigen zum konfigurieren fritz box ?
    in der Lage sein, ohne Probleme von jedem beliebigen Ort auf der Erde zu verbinden?

    danke !

    Antworten
  11. Robert

    Ich habe zwei Standorte mit UM Business Anschlüssen (statische IPv4 Adressen) über VPN (Cisco ASAs) vernetzt. Der Tunnel steht auch sehr gut. Bisher immer stabil gewesen.
    Das Problem das ich habe ist folgendes:

    Ping von Standort A/B and Standort B/A: ~41ms
    Ping von Standort A/B an http://www.heise.de o.ä.: ~15ms

    Lässt sich dieses komplizierte und langsame Routing zu anderen UM Anschlüssen irgendwie verbessern? Vielleicht mit Hilfe der richtigen MTU Werte?

    Antworten
  12. Peter

    Ich habe auch Probleme mit einer VPN-Verbindung.

    Ich habe die Sache mit dem Ping ausprobiert, und der Ping der Google-Nameserver funktioniert nur mit einer MTU von 1252.
    In der Fritzbox 6490 / Unitymedia ist aber die minimal einstellbare MTU 1280…?

    In Windows eine MTU von 1250 einzustellen hat auch nix gebracht.
    Aber irgendwie ist das Internet sowieso nicht stabil bei mir und auch die SIP-Konfiguration ist nicht okay (Nummern sind alle als inaktiv markiert, obwohl man telefonieren kann); vielleicht ist also die Fritz-Box kaputt oder generell der Wurm drin bei mir.

    Unitymedia behauptet, die Leitung zur Fritz-Box sei in Ordnung und sie hätten nichts gefunden. Ich sehe mir das noch ein paar Tage an, im Schlecht-Fall muss ich halt sonder-kündigen und auf DSL/LTE umsteigen.

    Antworten
  13. Peter Arras

    Hallo,
    bin Unitymedia Kunde mit 150 /10 MBit und feste IPV4. 3-4 mal im Jahr bin in USA und dann auf VPN angewiesen. Bis im Juli 2016 lief die VPN immer mit 6-8 MBit/sec.
    Wegen einem Blitzschlag wurde die Fritzbox im Juli gegen eine Fritz 6490 Kabel ausgetauscht. Seit dem komme ich bei einer VPN Verbindung nur noch auf 500-600 KBit.
    Mit dieser Geschwindigkeit lauft die benötigte Anwendung nicht mehr. Es ist mehrfach getestet worden. Bei einer direkten Verbindung zum gleichen Server geht es mit 50 MBit . Über die VPN zum gleichen Server kommen durch die Box nur noch 500KBit. an . Bis zu 10 MBit könnten wegen dem Upload ja drin sein.
    Dieses liegt eindeutig an der Fritzbox. Unitymedia konnte mir auch nicht weiterhelfen.
    MFG
    Peter

    Antworten
  14. Musiclover

    Meine VPNs haben ohne spezielle Einstellungen problemlos fast zwei Jahre mit DS-Lite funktioniert … bis Unitymedia meine FritzBox auf 6.50 gebracht hat. Seither geht nichts mehr. Ein Tunnel bekommt schon keine wirkliche Verbindung, der andere scheint zu stehen, funktioniert aber nicht. Versuche mit der MTU haben mich nicht weiter gebracht.

    Ideen?

    Antworten
  15. Achim S.

    Hallo Herr Roth,

    vielen Dank für die Bereitstellung dieser Lösung. Durch die schrittweise Anpassung des MTU Size auf 1432 konnte ich erfolgreich eine VPN Verbindung mit unserem Firmen Gatway herstellen.

    Vielen Dank!

    Antworten
  16. Daniel

    Mega gut!! Wie lang hab ich mich damit rumgeärgert und auf einmal rennt es, wie es soll.

    Danke für deine Mühe!

    Antworten
  17. Balders

    Hallo,

    ich hab ejetzt mal einen ping ping 8.8.8.8 -f -l 1500 durchgeführt und den Wert 1400 ermittelt. Das habe ich dann auf DOS wie in der Anleitung beschrieben geändert. danach habe ich noch mal einen Ping mit ping 8.8.8.8 -f -l 1400 durchgeführt, da wurde der Wert 1200 als optimal ausgegeben. Wie erklärt sich das denn? Kann mir jemand helfen?

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.