[Eplus] E-Plus sperrt/blockiert VPN - immer noch?!

[fibco]

Hallo Forum,
diese Postings ff. aus dem Jahr 2011 kenne ich, doch ist das noch immer so?
Mir scheint, :-( ja!
(edit 26.02.16: der Schein trug, siehe Posting #10)

Geben ist eine Kurzzeitpflege-Konstellation, bei der gewünscht ist auf telefonischen Zuruf auch mal etwas remote einzustellen (Haustechnik, nix medizinisches). Im Hintergrund ist Internetzugang über eine E-Plus Prepaid SIM mit hohem monatlichen Datenvolumen in einem Stick an einer Fritz!Box 7490 mit Fritz!OS 06.51 am Start. Dies funktioniert fein. Private IPv4 im 10er Netz auf dieser Seite sollte kein Problem sein (kein myfritz o.ä., Tunnel kann nur einseitig inititiert werden) für eine "LAN-LAN Kopplung" zu einer zweiten 7490 F!OS 06.51 mit öffentlich erreichbarer IPv4, doch es scheint, als ob EPlus auch heute noch VPN-Pakete blockt/sperrt/was-auch-immer, so dass überhaupt kein Tunnel zu stande kommt.

Ehe ich demnächst detaillierter (ggf. vergeblich) auf Ursachensuche geht:
Könnt Ihr mir Eure aktuellen Erfahrungen mit Eplus und VPN sagen, bitte?

Grüße
Fib

 

[thtomate12]

Damals eine Statistik aus zwei Vorfällen, der du immer noch glaubst?

Ich habe schon ein paar Mal VPN von Android aus dem E-Plus-Netz nach Hause per IPSec gemacht, es ging. Gerade ist mein VPN sowieso kaputt, daher kann ich es nicht testen.

 

[fibco]

Ich habe das damalig angeführt, weil meine Suche zu Eplus und VPN sonst nicht relevant was ergeben hat. Okay, noch ein paar Postings mit Vermutungen zu Deep Packet Inspection, aber defintiv nichts, was mir beim scheitern der Fritz LAN-LAN Kopplung Hoffnung gemacht hätte. Und ja, eine andere LAN-LAN Kopplung zu der selben Gegenstelle mit öffentlicher IPv4 ist funktionierend am Start.

 

[Frank-DD]

Hallo, bis Ende Januar 2016 hatte ich VPN von einem Handy aus dem E-Plus-/O2-Netz zu einer Fritz-Box regelmäßig kurzzeitig in Nutzung. Aktuell verwende ich einen anderen Provider.

 

[HabNeFritzbox]

Das o2/Eplus Netz nutzt das 10er Netz, wenn es auch zuhause hast, gibt es auch kein funktionierendes VPN, da es an unterschiedlichen Subnetzen fehlt und damit kein Routing durch Tunnel.

 

[fibco]

@Frank-DD: Dank.

@HabNeFritzbox: Dank. Den Fehler hab ich nicht gemacht.

Kann denn evtl. jemand von einem erfolgreichen VPN zwischen Fritz!Box(EPlus/priv. Adresse)<->Fritz!Box(öffentliche IPv4-Adresse) ggf. per LAN-LAN- berichten, bitte?

(ja, ich weiss, dass der Tunnel von der Box mit der priv. Adresse aus aufgebaut und gehalten werden muss)

 

[HabNeFritzbox]

Also über das o2/Eplus Netz komme ich ohne auf meine VPN Server.

Also du verwendest selbst nicht das 10er Netz?

Welcher APN ist denn angegeben beim Smartphone/Modem?

 

[thtomate12]

Bitte unterscheidet deutlich! E-Plus und o2 sind kein bisschen ein Netz.

 

[HabNeFritzbox]

Sind beides Marken der Telefonica, und die Netze sind gebündelt.

Unterschiede gibt es also nur noch in der Hotline, und Optionen was aktiv.

Wenn Eplus/Base VPN sperrt, muss dieses auch entsprechend kommuniziert werden im Kleingedruckten.

 

[fibco]

Nun kann ich sagen, dass VPN mit einem E-Plus-Endpunkt in dieser Konstallation:
- Fritz!Box 7490 F!OS 06.51 (lokales Netz 192.168.67.0) mit öffentlich erreichbarer IPv4 (=hier funktioniert ein anderes VPN einwandfrei)
- Fritz!Box 7490 F!OS 06.51 (lokales Netz 192.168.68.0) mit privater 10.x.x.x IP hinter GCN-NAT von E-Plus (Mobilfunk-SIM in USB-Stick, ehemaliger Base-Tarif)

funktioniert. Mit den im Fritz!OS 06.51 integrierten Assistenten ist nichts zu holen, aber mittels "FRITZ!Box-Fernzuggang einrichten" und der Option "Nur eingehende Verbindungen zur dieser FRITZ!Box..." kommen vpncofigs heraus, die jene hinter dem Carrier Grade NAT liegende Box erreichbar machen. Leider nicht deren Subnetz. Mit der entsprechenden händischen Anpassung der Dateien bin ich noch nicht voran gekommen, dazu braucht es demnächt wohl einen fokussierten Thread.

 

[marobo]

Also für mich sieht es schon so aus als wenn E-Plus da etwas sperrt. Im Prinzip habe ich die gleiche Konstellation wie hier beschrieben:

Eine FRITZ!Box 7270 mit Internetverbindung über E-Plus (Netz 192.168.1.x intern, extern private IP)
Eine FRITZ!Box 7170 mit Internetverbindung über Telekom-DSL (Netz 192.168.2.x intern, extern öffentliche IPv4)

Die Koppelung der Anlagen ist seit einigen Jahren unverändert eingerichtet. Früher kam so problemlos eine Verbindung zustande; alles funktionierte wie es sollte. Seit längerer Zeit funktioniert die Verbindung allerdings nicht mehr; die FRITZ!Box an der E-Plus-Leitung (von der ja die Verbindung ausgehen muss) kann sich nicht mit der anderen FRITZ!Box verbinden. Ersetze ich jedoch die E-Plus-SIM mit einer von o2 (Netzclub) klappt die VPN-Verbindung ganz normal. Das Ganze ist 100%ig reproduzierbar: Mit E-Plus scheitert es immer, mit o2 nie. Insofern muss E-Plus da schon irgendwas blocken.

Andererseits: Ich habe an der FRITZ!Box mit Telekom-DSL auch eine Client-Einwahl eingerichtet, um mich von unterwegs per Notebook mit der Box verbinden zu können. Und diese Client-Verbindung klappt wiederum sowohl von der E-Plus- als auch von der o2-Verbindung aus.

Insofern wird VPN offensichtlich nicht generell von E-Plus geblockt, sondern nur irgendwie teilweise. Das würde ja auch zu den Beobachtungen von fibco passen, soweit ich es sehe. Ich habe das Ganze allerdings auch noch nicht eingehender analysiert. Allerdings sieht es so aus als ob die FRITZ!Box in beiden Fällen evtl. unterschiedliche Protokolle/Ports nutzt, von denen eines gesperrt ist und das andere nicht.

 

[mannebk]

mit dem thema ärgere ich mich auch schon seit stunden rum... :-(

und mein surfstick bucht sich leider immer in das e-plus netzt ein, obwohls eigentlich simplytel o2 ist.

na morgen nochmal vor ort testen, eventuell ist es ja da dann o2


EDIT:
Luschtig, mitm Handy im W-Lan von der Box am E-PLUS Stick funzt das VPN via OpenVPN auf nen Asterisk hinter der anderen Fritze problemlos.

Nur die beiden Fritzen connectieren sich nicht. egal ob lan-lan oder user zu firmen netz config.

Einfach toll, 7490 mit 6.80 firmware beidseitig. Einfach klasse wenn die Firmware nix taugt.

EDIT2:
das tolle ist, das nicht mal was im Ereigniss Protokoll auftaucht. Ach käst mich das wieder an.

 

[Loman]

Ich habe aus meiner langjährigen Mobilfunkpraxis da ein paar Ansätze. Gilt für Deutschland, als auch für Österreich:

Die Anbieter haben, abhängig von den Funkzellen, oft massive MTU-Probleme (selbst ohne VPN!) - Einige +10 Jahre alten BTS von Ericsson (UMTS-Stationen) können in Senderichtung
nur eine MTU bis 1498(!). Dummerweise betrifft das speziell Stationen, für die es keine Updates mehr gibt, da die Hardware für die Verschrottung vorgesehen ist.
Dieses Problem ist in Deutschland noch gravierender als in Österreich - da in Deutschland die Netzbetreiber im direkten Ländervergleich mit der Technik
da über 10 Jahre nur für EDGE kassiert haben und sich bis heute noch um einen anständigen Ausbau herumdrücken.

Beim Thema LTE wiederum sind leider viele Telekom-Sender betroffen, die noch auf Cat5 Standard sind. Wie immer: Die unattraktiven Dorfstandorte haben auch hier
oft die alte Hardware. "LTE Max" gibts immer nur in den üblichen 43 größeren Standardgroßstädten. Dort gehts dann natürlich problemlos, dank neuster Hardware...


Lange Rede, kurzer Sinn: Bei allen 3 Anbietern hilft bei VPN oft eine ein- & ausgehende Reduktion der MTU auf 1200-1300 gegen so ziemlich jegliche Provider-Fehlconfig.
Und ja: Deep-Paket bei VoIP und manchen VPN-Sachen sind tatsächlich aktiv. Gerade o2 will ja kein VoIP. Die Telekom filtert auch wie wild - hängt aber vom Vertrag ab,
ob offiziell VoIP "erlaubt" ist - oder nicht.

Da Du Prepaid-Karte schreibst: Da hast Du unter Garantie DeepPaket-Inspection. Keiner der Deutschen Anbieter will auf Prepaid-Basis VoIP-Dienste haben.
Ja VoiP! - Denn VPN wird eben genau auch deshalb genutzt, um bei derartigen Verträgen doch wieder VoIP nutzen zu können.

Das kann man wunderbar testen: Mal ein VoIP-Gespräch mit und ohne VPN führen. Das geht einige Sekunden gut, dann wird die Sprachqualität immer
schlechter - bis es zusammenbricht.


Einer meiner Standardtricks: Keine "GENORMTEN" VPN-Ports von irgendwelchen fertigen Binarys verwenden
Man nimmt für vpn sinnvollerweise die Ports 25,110,113,143,993 usw. - ja ganz bewusst email-ports. Denn das wird nicht
gefiltert. Denn damit müssen die Werbefritzen ja "schnelles Surfen" auch glaubhaft vorzeigen. 80,443+8080
geht sowieso seit Jahren ueber die Zwangsproxys, bei 21/ftp wird die p2p-regel gern angewendet - damit die Sauger
besser geärgert werden können.

Ich selber nutze gerne "vtun", linux auf linux, ist einfach, kein Massenprodukt, und Deep-Packet ist nicht darauf ausgerichtet.
alle Tunnelwerte sind vollständig frei einstellbar. Und eben diesen daemon dann auf die email-ports legen,
wohlgemerkt: AUSGEHEND UND EINGEHEND - Es wird derselbe Port verwendet. Die Lösung ist so einfach, wie auch
genial. Volle Bandbreite und keine Shapings der Anbieter mehr im Hintergrund. Wenns mal langsamer wird:
einfach man nen anderen email-Port verwenden

...vtun gibts übrigens auch für die fritzbox seit Jahren.