[Problem] Verhalten von Vigor2860n am Kabeldeutschland-Anschluss verhindert VPN. Brauche Hilfe!

helllo

Neuer User
Mitglied seit
3 Jun 2007
Beiträge
64
Punkte für Reaktionen
0
Punkte
0
Hallo,

bevor ich mich an den Support von Kabeldeutschland wende (oder irgendwo anders anfrage), versuch ich zunächst einmal hier Hilfe zu bekommen:

Serverseitig: Mein Vigor2860 wird betrieben an einem DSL- (WAN1) und Kabeldeutschlandanschluss (WAN2) betrieben.
Der DSL-Anschluss ist von Vodafone (als Backup konfiguriert), aber mit (echtem) ISDN, also kein NGN. Der Kabeldeutschlandanschluss wird mit einem Hitron-"Kabelmodem" betrieben im Bridge-Modus, also die öffentliche IPv4-Adresse wird direkt an den Vigor2680 durchgereicht. Es handelt sich um einen Business-Anschluss 100, der nur eine öffentliche IPv4-Adresse bekommt und nicht DSlite oder Dualstack hat.

Clientseitig: Hier habe ich verschiedene Kabeldeutschland-Anschlüsse getestet. Ein BusinessPhone100 mit FB6360, ein InternetPhone32privat mit FB7270 und ein Business100 wahlweise mit Hitron-Router oder gebridgetem Hitron-"Modem" und FB7490. Ihnen ist gemein, dass sie alle in der selben Stadt liegen und alle über den selben Hop (83.169.xxx.xxx) gehen, wenn man eine Traceroute von erreichbaren Seiten per "tracert" (cmd.exe) macht.

Der Vigor2860 reagiert auch auf Pings aus dem Internet (weil so eingestellt).

Pinge ich von zu Hause (FB7490, siehe oben) die Kabel-IP des Vigors in der Konsole mit "ping 31.xxx.yyy.zzz" bekomme ich:
Ping wird ausgeführt für 31.xxx.yyy.zzz mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 31.xxx.yyy.zzz:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),

Mache ich eine Traceroute in der Konsole mit "tracert 31.xxx.yyy.zzz" bekomme ich:
Routenverfolgung zu 31-xxx-yyy-zzz-dynip.superkabel.de [31.xxx.yyy.zzz] über maximal
30 Abschnitte:

1 <1 ms <1 ms <1 ms fritz.box [192.168.106.1]
2 7 ms 7 ms 7 ms 83-169-162-42-isp.superkabel.de [83.169.162.42]

3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * ^C

Ablaufverfolgung beendet.

Pinge ich hingegen dem im Vigor hinterlegten DynamicDNS-Eintrag (der auf WAN2, also mit dem Kabel-Anschluss verknüpft ist), der auch aktuell ist, bekomme ich:
Ping wird ausgeführt für abcdefg.ddns.net [31.xxx.yyy.zzz] mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 31.xxx.yyy.zzz:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),
Die Traceroute versandet auch....
Routenverfolgung zu abcdefg.ddns.net [31.xxx.yyy.zzz] über maximal 30 Abschnit
te:

1 <1 ms <1 ms <1 ms fritz.box [192.168.106.1]
2 7 ms 7 ms 7 ms 83-169-162-42-isp.superkabel.de [83.169.162.42]

3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 ^C

Und nun kommt das, wo ich dann nicht genau weiß, warum es so kommt, wie es kommt:

Trenne ich nun "den Client" vom Kabeldeutschland-Anschluss zu Hause und gehe per o2-UMTS/-LTE per Teathering online, kann ich sowohl die ddns pingen/routen, als natürlich auch die IP pingen/routen.
Routenverfolgung zu abcdefg.ddns.net [31.xxx.yyy.zzz] über maximal 30 Abschnitte:

1 8 ms 2 ms 1 ms 192.168.43.1
2 * * * Zeitüberschreitung der Anforderung.
3 65 ms 94 ms 67 ms 89.204.136.17
4 188 ms 130 ms 167 ms 89.204.136.2
5 183 ms 62 ms 66 ms 195.71.234.181
6 67 ms 55 ms 68 ms xmws-brln-de02-xe-0-3-1.nw.mediaways.net [62.53.
7.181]
7 78 ms 70 ms 61 ms kabeldeutschland2.ber.ecix.net [194.9.117.63]
8 79 ms 70 ms 70 ms 83-169-128-13.static.superkabel.de [83.169.128.1
3]
9 117 ms 106 ms 101 ms 88-134-234-42-dynip.superkabel.de [88.134.234.42
]
10 115 ms 77 ms 98 ms 88-134-205-138-dynip.superkabel.de [88.134.205.1
38]
11 71 ms 74 ms 79 ms 83-169-129-137.static.superkabel.de [83.169.129.
137]
12 80 ms 399 ms 100 ms 83-169-156-66.static.superkabel.de [83.169.156.6
6]
13 103 ms 99 ms 90 ms 31-xxx-yyy-zzz-dynip.superkabel.de [31.xxx.yyy.zzz]


Ablaufverfolgung beendet.
Pinge ich den dns-Namen ist es auch wieder alles gut:
Ping wird ausgeführt für abcdefg.ddns.net [31.xxx.yyy.zzz] mit 32 Bytes Daten:

Antwort von 31.xxx.yyy.zzz: Bytes=32 Zeit=103ms TTL=240
Antwort von 31.xxx.yyy.zzz: Bytes=32 Zeit=103ms TTL=238
Antwort von 31.xxx.yyy.zzz: Bytes=32 Zeit=151ms TTL=240
Antwort von 31.xxx.yyy.zzz: Bytes=32 Zeit=108ms TTL=238

Ping-Statistik für 31.xxx.yyy.zzz:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 103ms, Maximum = 151ms, Mittelwert = 116ms
Und sofort geht auch die VPN-Verbindung, die ich konform zu dieser Anleitung konfiguriert habe und den DDNS-Namen aus dem Vigor verwendet: https://www.draytek.com/index.php?option=com_k2&view=item&id=2771&Itemid=293&lang=en

Nun kann ich den Vigor so umkonfigurieren, dass der z.B. nur den DSL-Zugang nutzt (der DDNS-Eintrag ist nun mit der DSL-IP verknüpft.)
Nun kann ich auch aus dem Kabeldeutschlandnetz (Client-seitig) auf den Vigor per DNS absolut problemlos zugreifen. :mad:
 
Zuletzt bearbeitet:
Bist du sicher, dass das Problem an der Serverseite liegt? Ich vermute das Probleme her in der Anbindung des Clients, der ja offensichtlich über einen NAT Router geht. Vermutlich irgendwas im Umfeld VPN Passthrough.

Hast du mal alternative VPN Technologien versucht? PPTP, OpenVPN, IPSec?
 
Ich hab es jetzt (als Client) mal vom Kabelanschluss meiner Eltern versucht. (Fritzbox7270 mit Motorola-Kabelmodem davor):
Geht alles wunderbar.

Nun habe ich entdeckt, dass man in dem gebridgten Hitron CVE-30360 im UI unter "Debug" auch Ping/Traceroute ausführen kann.

Clientseitig (von zu Hause), wo es weiterhin nicht geht, Folgendes erhalten:
traceroute to abcdefg.ddns.net (31.xxx.yyy.zzz) from 10.133.84.214, 30 hops max, 38 byte packets
1 std-bahn-cmts-1.technik.kabel-deutschland.de (83.169.162.42) 10.001 ms, 10.000 ms, 10.001 ms, std-bahn-cmts-1.technik.kabel-deutschland.de (83.169.162.42)
2 * * * Request Timed Out.
3 * * * Request Timed Out.
4 * * * Request Timed Out.
5 * * * Request Timed Out.
6 * * * Request Timed Out.
7 * * * Request Timed Out.

Alles wie gehabt. Mit dem Unterschied, dass es den Anschein hat, dass ich(?) eine doch nicht so öffentliche IPv4 Adresse habe? Siehe 10.133.84.214 im Quote-Text.

unter http://www.ipv6-test.com/ bekomme ich aber angezeigt, was auch in meiner Fritz.Box steht: öffentliche IPv4 Adresse mit 31.xxx.yyy.zzz und keine IPv6-Adresse.

Jetzt habe ich versucht, den Spieß einmal umzudrehen:

  1. Einen DDNS-Eintrag in der FB7490 zu Hause hinterlegt und kontrolliert, dass der DNS-Eintrag auch aktuell ist (noip.com enhanced-DNS) [Check]
  2. Zu hause am Laptop eine Verbindung per UMTS-Stick (o2 HSPA+) aufgebaut. [Check]
  3. Nun die VPN-Verbindung zur Firma aufgebaut (über die o2-Verbindung).[Check]
  4. per Remote-Desktop-Verbindung auf einen PC im Firmennetzwerk zugegriffen.[Ckeck]
  5. von dort aus(!) remote cmd.exe aufgerufen und Traceroute zum DDNS-Eintrag von zu Hause angeworfen.[Fail]

Routenverfolgung zu blablabla.cable-modem.org [31.abc.def.ghi] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms Vigor.router [192.168.105.1]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 ^C

Also fassen wir zusammen, dass KDG nervt!
 
Zuletzt bearbeitet von einem Moderator:
Mit dem Unterschied, dass es den Anschein hat, dass ich(?) eine doch nicht so öffentliche IPv4 Adresse habe? Siehe 10.133.84.214 im Quote-Text.
Das dürfte die lokale Adresse des Modems sein.

unter http://www.ipv6-test.com/ bekomme ich aber angezeigt, was auch in meiner Fritz.Box steht: öffentliche IPv4 Adresse mit 31.xxx.yyy.zzz und keine IPv6-Adresse.
Solche Tests sind für dich natürlich nicht aussagekräftig. Auch wenn dein Equipment über NAT angebunden wird, steht da eine öffentliche IP, im Zweifel halt die IP des NAT Routers. Der kann auch irgendwo beim Provider stehen. Bei Kabelanschlüssen ist das meistens der Fall, vor allem bei Privatkunden.

Du musst schon lokal an deinem Equipment nachsehen, welche IP du bekommst.

Es bleibt bei meiner Einschätzung von oben.
 
Die IPv4-Adresse, die mir von den Routern und den Webseiten angezeigt werden sind identisch.
 
Wie gesagt, ich vermute ein Problem beim Internetzugang des Clients.
 
vpn.jpg
Die Frage ist halt, wie ich KD beikomme, dass es an ihnen liegt und nicht an mir. :confused:
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.