VPN mit Hybrid-Anschluss (IPSec)

twimax · ‎08.12.2014

Hallo,

in unserer Firma arbeiten viele Teleworker von zu Hause aus. Dazu bauen alle einen VPN-Tunnel zu unserer Firma auf, um auf das Firmennetzwerk zuzugreifen. Einige Teleworker verwenden zum Verbindungsaufbau einen auf dem Laptop installiereten IPSec-Software-Client für temporäre Verbindungen. Andere bekommen jedoch einen VPN-Router gestellt, der einen permanenten VPN-Tunnel zum Firmennetzwerk aufrecht hält (quasi eine Standleitung) und an diesem befinden sich dann mehrere Rechner für den Zugriff. In beiden Fällen stellt ein Speedport-Router die Verbindung zum Internet her, woran dann entweder der Laptop mit seinem Software-Client oder der VPN-Router angeschlossen ist.

In Gebieten wo LTE schneller als DSL und die Vorraussetzungen für Hybrid gegeben sind, könnte man die Bandbreite dadurch deutlich nach oben schrauben, worüber sich sicherlich alle Teleworker freuen würden. Auch im Falle eines Ausfalls von DSL, stünde nach meinem bisherigen Verständnis zu dieser Technologie, LTE auch als quasi Internetbackup für DSL zur Verfügung.

Fragen:

Ist der Hybrid-Zugang und der Speedport Hybrid grundsätzlich für VPN (speziell IPSec und wie oben beschrieben) geeignet
Was passiert, sobald die Lastverteilung aktiv oder inaktiv (DSL auf LTE oder LTE auf DSL) wird - bricht der VPN-Tunnel jedes Mal zusammen (bspw. weil sich die öffentliche IP-Adresse ändert)
Wird die DSL-Verbindung (bspw. durch einen Bagger) getrennt, kann dann über LTE ganz normal weitergearbeitet werden (Backup für DSL)
Ist der Hybrid-Router standortgebunden, oder könnte ich diesen beispielsweise auch mit in den Urlaub an einen anderen Standort in Deutschland mit LTE Empfang mitnehmen und betreiben, sofern er einmalig an einem DSL-Anschluss angebunden war

Vielen Dank für die Beantwortung der Fragen

Stefan D. · ‎10.12.2014

Hallo twimax,

hallo und herzlich willkommen hier in der Telekom hilft Community!

Ein großes DANKESCHÖN an buenni, denn die tollen Antworten treffen den Nagel gut auf den Kopf. Viel mehr kann ich auch gar nicht ergänzen, es sei denn, Sie haben noch die eine oder andere Frage für mich. Wenn dem so ist: Dann nur zu, ich laufe nicht weg.

Viele Grüße

Stefan

Lösung in ursprünglichem Beitrag anzeigen

buenni · ‎08.12.2014

Ist der Hybrid-Zugang und der Speedport Hybrid grundsätzlich für VPN (speziell IPSec und wie oben beschrieben) geeignet

Grundsätzlich geht VPN (selber getestet) . Ob im Speziellen IP Sec geht, kann ich nicht beantworten.

Was passiert, sobald die Lastverteilung aktiv oder inaktiv (DSL auf LTE oder LTE auf DSL) wird - bricht der VPN-Tunnel jedes Mal zusammen (bspw. weil sich die öffentliche IP-Adresse ändert)

Bei meinem Beobachtungen in der Praxis hat es keine Abbrüche gegeben. Das mag aber sicherlich auch von der Gegenseite abhängen. Eigentlich dürfte sich die öffentliche IP-Adresse allerdings nicht ändern.

Wird die DSL-Verbindung (bspw. durch einen Bagger) getrennt, kann dann über LTE ganz normal weitergearbeitet werden (Backup für DSL).

so sollte es sein. Ausfallsicherheit ist auf jeden Fall gegeben.

Ist der Hybrid-Router standortgebunden, oder könnte ich diesen beispielsweise auch mit in den Urlaub an einen anderen Standort in Deutschland mit LTE Empfang mitnehmen und betreiben, sofern er einmalig an einem DSL-Anschluss angebunden war

Das sind standortgebundene Festnetztarife. Also JA, keine Nutzung im Ferienhaus.

Lösung in ursprünglichem Beitrag anzeigen

vincent.veldman · ‎07.08.2015

dass mit dem Speedport Hybrid grundsätzlich kein VPN möglich wäre.

Das ist mit 100% Sicherheit absoluter Schwachsinn!

Das Speedport Modem als VPN Server oder Client einrichten kann "grundsaetzlich" von der Telekom verboten werden.

Einfach einen Port weiterleiten zu einem anderen Geraet welches einen VPN Server oder Client installiert hat ist "grundsaetzlich" schon moeglich.

Weiss nicht wie ein Mitarbeiter der Telekom sagen kann: die Telekom sperrt natuerlich grundsaetzlich jeder einzelne Port und das Internet ist 100% unmoeglich und blokkiert und klar bekommen unsere Kunden keine einzige Verbindung im NEtz zustande.

Kann mir wirklich nicht vorstellen, dass dies ein Telekommitarbeiter sagen wuerde, denn genau das sagt er wenn "grundsaetzlich" benutzt wird. Grundsaetzlich unmoeglich, waere es naemlich nur dann, wenn ich alle Ports in alle Richtungen zumachen, bzw. den Kunden das Internet komplett sperren.

Seien Sie sich getrost, bei mir habe ich vieles mit oVPN herumgespielt. Tuts wunderbar mit einem Hybrid-Anschluss.

Und mittlerweile kann ich dank neuere Hardware auch bestaetigen: LTE+DSL wird beides verwendet fuer VPN!

Effektiv bekomme ich um die 22Mbps raus, per oVPN und 256Bit verschluesselt mit Certs und alle moeglichen Security eingeschaltet.

Top Verbindungsgeschwindigkeiten liegen bei 35Mbps, aber nur fuer sehr grosse Dateien bekomme ich solche Werte.

bichtemann · ‎08.08.2015

Hallo und vielen Dank,

das klingt ja erstmal viel besser als die Auskunft des Telekom-Servicemitarbeiters.

Nun erhebt sich aber trotzdem für mich die Frage, was ich denn tun muss, um dem Speedport Hybrid die Durchleitung des VPN-Tunnels beizubringen?

Könnt Ihr mir da helfen? Ist das mit dem einfachen Freischalten einnes Ports (welcher?) getan?

drahcir900 · ‎08.08.2015

Hallo,

also ich hab VPN zum Laufen bekommen, du musst dir eigentlich nur die Ports je nachdem welchen VPN Server du benutzt die entsprechenden Ports am SP Hybrid freischalten. dann funktionierts, zumindest prinzipiel.

Ich habe allerdings die Feststellung bei mir gemacht das z.B. der VPN Services auf einer nachgelagerten Fritz box bei mir zwar funktioniert. Der Datendurchsatz liegt bei mir allerdings in bereich von 0,1 bis 1 Mbit, was unterhalb jeglicher Normalität liegt. An der Fritz Liegts prinzipiell nicht, da ich diese (7490) auch schon am alten Anschluss mit > 7 Mbit betrieben habe.

Bei machen hier Im Forum funktionierts aber anscheinend, allerdings habe ich auch schon ein paar Beiträge gelesen bei denen es auch am Datendurchsatz hapert.

Eine Lösung habe ich dazu bisher nicht gefunden.

Was ich dann gemacht haben auf ein kleines Linux Board (Beaglebone Black) einen OVPN Server aufgesetzt -> jetzt bekomme ich je nachdem zwischen 7- 10 Mbit zusammen, was aber eher an der Mangelnden Leistung des kleinen Boards liegt. -> für meine Zwecke ist das allerdings völlig ausreichend.

Wie gesagt, am SP Hybrid musst du nur die Ports freischalten dann sollte es funktinieren. Wegen dem Fritzbox "Phänomen" konnte mir weder das Forum hier noch die Telekom noch AVM weiterhelfen...

Viele Grüße,

Richard

vincent.veldman · ‎08.08.2015

An der Fritz Liegts prinzipiell nicht, da ich diese (7490) auch schon am alten Anschluss mit > 7 Mbit betrieben habe.

Sie meinen vielleicht die Transferrate ins Internet war 7Mbps, aber ueber die verschluesselte oVPN Leitung?

Da ist ja nur eine 0,6Ghz PSB 80920 EL drinne, die haette ich meiner Erfahrung mit Lantiq CPU's um die 600Mhz auf hoechstens 2 bis 2,5Mbps geschaetzt, eher positive Schaetzung.

Vielleicht sind die ja fuer bestimmte Verschluesselungen optimiert, das weiss ich nicht, aber ansonsten kann ich mir Geschwindigkeiten von 3Mbps und hoeher ueber eine 256Bit verschluesselte oVPN (Single Core Betrieb) kaum vorstellen.

vincent.veldman · ‎08.08.2015

Ja geht ganz einfach.

Wenn du deinen oVPN server auf einem Windows, RaspPi, oder aehnliches auf Port 10.000 laufen laesst, musste nur die 10.000 weiterleiten. Nutzt du den Port 20.000, dann nur 20.000 weiterleiten.

Mehr ist nicht dabei.

grundsaetzlich kannste alles nehmen was man haben moechte als Port, aber kurz Googlen was in deinem Fall am guenstigen ist wuerde ich schon, denn viele Software nutzt ja die eigene Ports.

Also kurz Googlen was du persoenlich brauchst fuer andere Software, sonst gibts Aerger

Standard oVPN ist 1194 glaube ich, die tuts bei der Telekom auf jedem Fall.

Ich habe dennoch 1196 gewaehlt, damit ich nicht "zu standard" bin

aber wie gesagt, kannst auch 998, 11034, und denke es dir aus nehmen

drahcir900 · ‎08.08.2015

@vincent.veldmanSie meinen vielleicht die Transferrate ins Internet war 7Mbps, aber ueber die verschluesselte oVPN Leitung?

nein, ich hatte an meinen früherem Wohnort VDSL 50 /10 ... da hab ich über VPN (nicht oVPN , sonder die Fritz macht meines Wissens IPsec), up und downloadraten von bis zu 10 Mbit/s mit der auf der Fritz voreingestellten Verschlüsselung hinbekommen.

am Speedport Hybrid bekomme ich über die Fritz nur 0,2 Mbit im Mittel. wenn man hier im Forum sucht findet man weitere die das problem haben.

das kleine Beaglebone Board schafft mit oVPN + verschlüsselung ja auch so um die 7 Mbit...

und nochmal, auch die Fritzbox schafft mehr als 1 mbit über verschlüsseltem VPN ! Wers nicht glaubt, kann gerne bei mir vorbeikommen, dann kann ich beweisen das die Fritz am DSL meine volle DSL geschwindigkeit überträgt und wenn ich den Speedport Hybrid dazwisch hänge dann sinkt die Geschwindigkeit auf 0,2 Mbit im Durchschnitt!

vincent.veldman · ‎08.08.2015

Ich glaube Ihnen schon

IPSec habe ich nie mit herumgespielt.

Wollte nur fuer die Verdeutlichung nachfragen, denn ich ging davon aus Sie meinten oVPN.
Und mit oVPN standard 256Bit Verschluesslung, mit dem Chipsatz, da wuerde 7Mbps nicht passen im Bereich der Geschwindigkeiten die ich bisher erzielt habe. Und ich habe viele Router, Desktop CPU, Xeon CPU, RaspPi versucht um zu schauen was man rausholen kann.

oVPN scheint also nicht von Bugs ueber Hybrid betroffen zu sein. IPSec schon, wenn man den Teilnehmern hier im Forum glauben kann, und das tue ich.

Mit oVPN habe ich einfach, wie schon erwaehnt, erfahren dass die einzelleistung eines Cores ausschlaggebend ist fuer die Bandbreite die man erzielen kann, und nicht ob ich DSL oder Hybrid habe.

Fuer 40-50Mbps braucht man schon sehr dicke CPU's. Mit einem i3770k kam ich auch auf 65Mbps effektiv, mit Spitzenwerten deutlich darueber! Aber ich werde kein i3770k rundum die Uhr fuer oVPN laufen lassen, denn A waechst mir das Geld nicht am Ruecken und B denke ich das ist Umweltverschmutzung.

Aber mit 400-600Mhz Routerchen bin ich mit oVPN eigentlich nie ueber 4Mbps gekommen.
Mit einem RT-AC56U kam ich auf 8-10Mbps..
RaspPi 2 etwa 14-16Mbps (war aber noch nicht sonderlich gut getuned fuer diese Aufgabe und die GUI lief noch dazu, bedeutet da waere noch viel Potenziel einiges zu verbessern)
R7000 kam ich auf 20Mbps
kleineren Xeon CPU schaffen schon 30-40Mbps
dickere CPU's verdoppeln diese Werte schon.

Das sind so meine reelle Verbindungswerte.

Aber ich verstehe, viel haengt davon ab: LAtenzzeiten, Verschluesselungstechnik, hat die CPU sonderbefehle hardwaremaessig integriert fuer Verschluesselungen...

Es gibt ja auch Router die fuer Verschluesselungen spezialisiert sind. Die schaffen auch locker 50Mbps aber fuer die 500EUR und nach oben was die kosten, kaufe ich mir lieber noch ein Xeon CPU samt Mobo dazu.

Pitter Flick · ‎02.11.2015

@drahcir900 schrieb:
Hallo Vincent,

danke für die Schnelle Rückmeldung.
wie gesagt war ja nur eine Vermutung weil meine Werte so zur DSL Geschwindigkeit passen.
Ok dann wird es die Bündelung nicht sein .

Hat sonst noch jemand eine Idee wieso die Verbindung so langsam ist ?
Kann es an der Fritzbox liegen ? in anderen Foren lese ich aber das die 7490 schon VPN Verbindungen mit ca. 10 mbit schafft ....

bin um jeden Hilfe dankbar.

Grüße,
Richard

Hallo,

und sie ist es DOCH (die fehlende (oder absichtlich gestoppte !) Bündelung)

Ich habe hinter meinem SP-H einen weiteren Router mit einem VPN unter Openvpn installiert.
VPN funktioniert wunderbar in beiden Richtungen, aber nur mit ca 6Mbit.
Das ist zufällig ?? mein DSL Anteil !
Nachdem ich mal das DSL Kabel abgezogen habe und feststellen musste,
das KEIN Internetzugang mehr bestand, war klar, dass bei einem VPN der LTE Teil geblockt wird.
Nach deaktivierung des VPN ist LTE, DSL und das Bonding wieder OK !
Nach Aktivierung des VPN ist der LTE Anteil wieder geblockt.
In diesem Zustand liefer der SP-H resp die Telekom nicht was ich bestellt und bezahlt habe.
Ein Trauespiel, fast ein Jahr nach der Einführung ....
Oder wird die Telekom das absichtlich nicht ändern wollen ?
Ich habe mir also nicht nur einen Zwangsrouter, sonder auch noch Zwangseinstellungen, wie ich ins Internet gehe, eingehandelt.

bye pit

borland · ‎02.11.2015

Moin,

ich habe mir jetzt die 22 Seiten nicht durchgelesen muss ich gestehen.

Nachdem ich heute ein Gespräch mit der Telekom Hotline hatte in dem mir gesagt wurde von der netten Dame das mein Anliegen nur unter eine kostenpflichtigen Nummer bearbeitet werden kann bin ich ein wenig genervt

@Gelöschter Nutzer, falls jemend an dem Namen und dem Arbeitsort interessiert ist bitte kurz melden, wahrscheinlich aber wohl eher nicht.

Zu meinem Anliegen:

Ich möchte gerne den VPN Server meiner Synology über IPSec erreichen. Davor liegt der Speedport 724V Router. Das funktioniert nicht (wahrscheinlich, wenn ich es richtig gelesen habe, weil der Router den UDP Port 1701 für WLAN to Go das ich nicht nutze reserviert hat).

Über L2TP klappt es ohne weiteres.

Da ich eine App habe die ich unbedingt auf meinem Iphone nutzen will und in diese sich VPN leider nur mittels IPSec einrichten lässt.

Da ich zum 13.11 einen neuen Anschluss (DSL Hybrid, leider bekomme ich nur eine 16er Leitung) beauftragt habe und einen neuen Router bekomme (Speedport Hybrid), wollte ich nur wissn, ob dieser denn auch den UDP Port 1701 reserviert at und somit kein VPN über IPSec möglich ist.

Diese Frage wollte mir niemand beantworten und man hat mich an eine Kostenpflichtige Nummer verwiesen ...

Ich bin aber doch nur ein normaler Enduser, warum soll ich dafür zahlen?

Hat hier jemand eine Idee ob das mit dem Speedport Hybrid klappt?

Falls das nämlich nicht so ist, würde ich meinen Anschluss auch nicht auf Hybrid umstellen lassen, dann brauche ich auch den Router nicht und hole mir eine Fritzbox. Die kann das...

Danke und Gruß

B.

Pitter Flick · ‎04.11.2015

@Pitter Flick schrieb:

Hallo,
und sie ist es DOCH (die fehlende (oder absichtlich gestoppte !) Bündelung)
Ich habe hinter meinem SP-H einen weiteren Router mit einem VPN unter Openvpn installiert.
VPN funktioniert wunderbar in beiden Richtungen, aber nur mit ca 6Mbit.
Das ist zufällig ?? mein DSL Anteil !
Nachdem ich mal das DSL Kabel abgezogen habe und feststellen musste,
das KEIN Internetzugang mehr bestand, war klar, dass bei einem VPN der LTE Teil geblockt wird.
Nach deaktivierung des VPN ist LTE, DSL und das Bonding wieder OK !
Nach Aktivierung des VPN ist der LTE Anteil wieder geblockt.

Hallo,
tja, was soll ich sagen ....
Nach der dritten Störungsmeldung hat sich offensichtlich etwas getan. Ich habe heute vormittag umfangreiche Tests durchgeführt (keine Speedtests, das ist ohnehin nur Kaffeesatz lesen, sondern reale und umfangreiche Downloads) Das VPN Setup wurde nicht geändert !
Dabei hatte ich konstante Downloadraten mit VPN von über 20 MBit. Auffällig für mich war, dass die Rate bei NUR DSL und NUR LTE etwa gleich war und bei DSL UND LTE sich nicht erhöht hat. Das deutet vielleicht auf einen anderen Flaschenhals im System hin. Die Router selbst (SP-H und Netgear AC1450) scheinen nicht das Problem zu sein. Der Prozessor im Netgear (2x1GHz) war nur zwischen 60 und 70% ausgelastet. Da sollte bei Übertaktung und entsprechender Kühlung noch Luft sein ... Wie weit der SP-H bei VPN mit hoher Verschlüsselung mitmacht, wäre noch zu klären.
bye pit

Marita S. · ‎08.11.2015

Guten Abend @borland,

@borland schrieb:
Da ich zum 13.11 einen neuen Anschluss (DSL Hybrid, leider bekomme ich nur eine 16er Leitung) beauftragt habe und einen neuen Router bekomme (Speedport Hybrid), wollte ich nur wissn, ob dieser denn auch den UDP Port 1701 reserviert at und somit kein VPN über IPSec möglich ist.

Der Speedport Hybrid hat den UDP Port 1701 für WLAN TO GO reserviert.
Laut den Kollegen der Fachabteilung sollte aber die Nutzung eines anderen Ports in der Regel möglich sein, wenn Sie einen VPN Server hinter dem Speedport Hybrid betreiben wollen.
Für abgehende VPN Verbindungen ist in der Regel keine Weiterleitung nötig.

Viele Grüße
Marita S.

borland · ‎15.11.2015

Gut das ich mir mittlerweile eine Fritzbox zugelegt habe.

Nix für ungut liebe Frau S. Aber Sie disqualifizieren sich mit Ihrer Antwort selber...

Schönen Gruß an Ihre " Fachabteilung " aber jeder Laie der sich mit der Thematik auch nur ein wenig beschäftigt weiß, dass natives IPSec den UDP Port 1701 benötigt. Und dieser - das haben Sie ja jetzt auch schon erkannt- ist für dieses unsinnige WLAN to go reserviert...

Ich kann nur jedem raten der schon mit einem T-Kom Anschluss gestraft ist, wenigstens sowas wie Speedport, Speedphone etc. los zu werden und sich vernünftige Sachen -z.B. Von AVM- zu besorgen.

Dann brauch man sich auch nicht über den T-Kom Support so oft ärgern...

FelixKruemel · ‎09.12.2015

Kann mir das jemand jetzt noch einmal bitte zusammenfassen. Geht VPN über IPsec? Unterstützt der Router jetzt die Protokolle grp und esp?

Steffi B. · ‎12.12.2015

Hallo Felix,

ich kläre das gerade nochmal über die Fachabteilung was nun genau stimmt und gebe Rückmeldung, wenn ich eine Antwort habe.

Liebe Grüße Steffi B.

Kompetenzzentrum · ‎21.12.2015

Hi Steffi

Und? Was herausgefunden?

Steffi B. · ‎28.12.2015

Hi Felix,

noch nichts Neues leider, liegt wahrscheinlich an den Feiertagen.

Liebe Grüße Steffi B.

Captain99 · ‎07.01.2016

Die Telekom hat aber schienbar sehr sehr lange "Feiertage", gibt es jetzt eine eineindeutige und vorallem belastbare Aussage zum Thema VPN beim SP Hybrid?

Steffi B. · ‎07.01.2016

Hi Captain99,

ich habe den Fall eskaliert, weil ich noch keine Antwort bekommen habe. Sollte hoffentlich in den nächsten Tagen passieren.

Liebe Grüße Steffi B.

Captain99 · ‎16.01.2016

Was machen die "Feiertage" in der Technik? Langsam sollten diese doch vorbei sein... Aus meiner Sicht wird es für das Unternehmen langsam peinlich nach fünf!!! Wochen immernoch keine Antwort auf eine doch recht einfache Frage geben zu können.

Steffi B. · ‎18.01.2016

Hallo Captain99,

ich habe nun eine Antwort der Kollegen bekommen.

Die Protokolle GRE und ESP werden Seitens des Speedport Hybrid nicht unterstützt. Wir geben keine Funktionsgarantie für jede VPN-Art. Bei aktiven WLAN To Go wird der UDP Port 1701 für diesen Dienst benötigt

Liebe Grüße Steffi B.

Captain99 · ‎18.01.2016

Besten Dank für die Antwort, mir wird dennoch nie klar sein, warum man einen offiziellen UDP Standardport für L2F und L2TP für dieses WLAN To Go blockiert, anstelle auf unbelegte Ports zurück zugreifen (z.B. 1702-1706).

Steffi B. · ‎18.01.2016

@Captain99

Ich kann mir vorstellen, dass wir den einfach festgelegt haben, tut mir leid.

Liebe Grüße Steffi B.

Captain99 · ‎18.01.2016

Muss Ihnen ja nicht leid tun, er der Fachgruppe die dies festgelegt hat

c.hirschberg · ‎18.02.2016

VPN per openvpn geht - PPTP und L2TP/ IPSec gehen nicht.

Hintergrund: Die Telekom benötigt bestimmte Ports, um Hybrid-Lösung zu bieten. Es kann sogar passieren, dass per PPTP und L2TP ein Tunnel zu stande kommt, es geht aber nicht hindurch.

Nun haben wir auf OpenVPN per Port 1194 eingerichtet und funktioniert in beide Richtungen.

verklixt · ‎19.06.2016

Irgendwie geht bei mir weder oVPN noch IPSec,L2TP

Ich habe die Portweiterleitung von 500,4500,53 UPD auf die Fritzbox VPN und auch den VPN Server der NAS versucht

Ich kriege VPN einfach nicht hin.

Ich komme über die weitergeleitete DynDNS und port 443 auf meine Fritzbox, also Portweiterleitung funktioniert.

Auch bin ich diverse Anleitungen durch gegangen, nichts hat geholfen, bin seit 3 Tagen am verzweifeln, da ich VPN dringend benötige zu hause

VPN mit Hybrid-Anschluss (IPSec)

Social Media