Dual Stack Lite und VPN

Benutzer blumenwiese schrieb:

Ja, aber was genau meinst du bitte mit "richtiger Implementierung"? Das VPN meines Arbeitgebers ist, wie fast alle VPN, rein IPv4-basiert. Meine Kollegen, die einen Vodafone-Kabelanschluss incl. DS-Lite nutzen haben damit immer Probleme, die Verbindung stabil zu halten.

Benutzer hotte70 schrieb:

Die von mir privat genutzten VPN Verbindungen sind sowohl per IPv4 als auch IPv6 erreichbar. Mein dienstlich genutztes VPN ist ausschließlich über IPv4 erreichbar. Mit beiden gibt es in meinem Fall keinerlei Probleme.

Ich kann dir nicht sagen, was genau schiefläuft, wenn du oder deine Kollegen Probleme haben. Das müsste man natürlich fein säuberlich an deinem Beispiel analysieren. Und ich bin kein Hellseher.

Ich kann dir halt nur sagen, dass dies bei mir kein Problem darstellt. Was für mich wiederum heißt, dass wenn ein Anbieter es richtig macht, die Kunden auch keine Probleme haben müssen.

Ich bin bei 1&1 und bekomme nur noch eine IPv6 Adresse zugewiesen. Die Implementierung erfolgt über Dual Stack Lite

Also, "richtige Implementierung" heisst im Zweifel halt "in Übereinstimmung mit den relevanten Standards", diese Standards sind insgesamt relativ umfangreich, von daher kann man das jetzt schlecht hier in ein paar Sätzen zusammenfassen.

Ein relativ häufiges Problem im Vodafone-Kabel-Netz ist fehlerhafte MTU-Konfiguration bzw. fehlerhafter Umgang mit Paketen über MTU-Größe, sodass PMTUD nicht funktioniert. Characteristisch ist, wenn sehr einfaches Zeug funktioniert, aber z.B. ein größerer Download oder auch das Laden einer größeren Webseite über das VPN einfach hängen bleibt.

Vergleichbare Probleme sind auch bei inkompetenten IT-Abteilungen in Unternehmen nicht unüblich, aber kann im konkreten Fall auch an Vodafone liegen und muss man dann im Grunde dort reklamieren. Workaround kann sein, irgendwie anders die VPN-Endpunkte dazu zu bringen, keine "zu großen" Pakete zu senden, ggf. gibt es eine Option, Pakete oberhalb einer bestimmten Grenze in kleinere Teile zu zerteilen.

Allerdings würde ich auch sagen, dass einigermassen absurd ist, dass Unternehmen, die Homeoffice anbieten, keinen VPN-Zugang per IPv6 bereitstellen. Wenn ein Unternehmen sein internes Netz nicht umstellen will, OK, das mag oft ein nicht unerheblicher Aufwand mit wenig unmittelbarem Nutzen sein. Aber einfach nur den externen VPN-Endpunkt auch per IPv6 erreichbar zu machen sollte ja eine eher triviale Angelegenheit sein, und schon wäre man die ganzen Probleme, die VPN über IPv4 über DS-Lite oft verursacht, los, was bei der zunehmenden Verbreitung solcher Anschlüsse unter den Mitarbeitern vermutlich eine Menge Kopfschmerzen vermeiden würde.

Benutzer gs33Z5JOQRCtwMfPGcp2 schrieb:.

Wie gesagt, es ist technisch vollkommen unerheblich ob eine Internetseite oder eben ein VPN Einwahl Gateway über IPv6 oder IPv4 zu erreichen ist. Ein Provider muss problemlos die Verbindung zu allen Servern garantieren können. Und das funktioniert auch, sofern das eigene Netz und die eigene Technik korrekt konfiguriert sind.

Anscheinend habe ich mich unklar ausgedrückt, daher nochmal: Nein, tut es nicht.

Natürlich *sollte* es im Prinzip funktionieren, aber praktisch tut es das halt häufiger nicht. Und natürlich kannst Du dann versuchen, Vodafone davon zu überzeugen, dass ihre Leistung mangelhaft ist und versuchen, sie dazu zu bewegen, das zu fixen ... oder Du benutzt halt einfach IPv6 und umschiffst so das Problem.

Zumal neben den expliziten Defekten halt immer noch das CGNAT-Gateway (bzw. "AFTR" in DS-Lite-Lingo) ein potentielles Bottleneck bildet, das man so auch vermeidet.

Benutzer gs33Z5JOQRCtwMfPGcp2 schrieb:

Bei Vodafone kann das ja so sein. Da kenne ich mich nicht aus. Ich meinte meine Aussage generell. Ich habe wie gesagt 1&1 mit Dual Stack Lite und habe null Probleme.

Benutzer blumenwiese schrieb:


Wenn ich das richtig sehe hast Du lediglich Erfahrungen mit einer einzigen VPN-Instanz, die nur über IPv4 erreichbar ist und bei Dir über DS-Lite gut funktioniert. Das lässt sich aber nicht so einfach verallgemeinern.

Unter den zahlreichen VPN-Protokollen gibt es meines Wissens durchaus welche, die durch ihr Design grundsätzliche Probleme mit Techniken wie NAT und DS-Lite haben, auch wenn sie korrekt konfiguriert sind. Man könnte versucht sein, das als Designefehler oder -schwächen abzutun, und für einige Fälle mag das auch zutreffen, aber es zeigt vor allem auch die Grenzen von NAT und DS-Lite auf, die eben nicht in der Lage sind, alle Fälle von (an sich korrekter) IP-Kommunikation abzubilden.

Benutzer rmax schrieb:

Nein, ich habe Erfahrungen mit verschiedenen VPN Gateways und Anbietern. Beruflich verwende ich natürlich das Gateway meines Arbeitgebers. Und ich verwende auch eine entsprechende VPN Software. Da dies ein proprietäres Produkt ist, kann ich nicht beantworten, auf welchen Protokollen diese basiert. Das Gateway selbst ist aber definitiv nur über IPv4 erreichbar.

Private verwende ich ein VPN auf Basis von Wireguard. Hierbei nutze ich verschiedene Gateways, die aber auch grundsätzlich alle nur per IPv4 erreichbar sind.


Okay, dann würde ich das aber als grundsätzlichen Design Fehler der Protokolle bezeichnen.


Wenn auf Seiten des VPN Gateways beziehungsweise in den verwendeten Protokollen das Handling von IP Adressen und Protokollen richtig implementiert ist, dürfte es keine Probleme geben. Wenn es stimmt, was du schreibst, dass es dennoch aus den von dir genannten Gründen zu Problemen kommen kann, dann muss das halt adressiert und repariert werden. Denn IPv4 und IPv6 Adressen werden noch lange, sehr sehr lange parallel nebeneinander existieren.

Um zumindest eine Ahnung zu kriegen, sollte ein Packetsniffer reichen, auch bei proprietären Lösungen.


Also, steht Dir natürlich frei, Dinge ganz nach Belieben zu bezeichnen, aber Unsinn ist es trotzdem: Es gibt Standards dafür, wie IP funktioniert, und ein Setup, das NAT benutzt, verletzt unvermeidlich einige der Vorschriften dieser Standards - und Protokolle, die auf den betreffenden Festlegungen aufbauen, funktionieren entsprechend nicht im Zusammenspiel mit NAT, weil die vom Standard eigentlich garantierten Verhaltensweisen eben durch NAT gebrochen werden.

NAT ist ein Hack, der ~ 20 Jahre nach IP(v4) erfunden wurde, als Workaround für die Adressknappheit, und der halt so konstruiert ist, dass er für die meisten von Endbenutzern üblicherweise eingesetzen Protokolle keine allzu großen Probleme bereitet - und mit der großen Verbreitung von NAT, gerade bei Endnutzern, hat sich diese Situation auch noch selbst verstärkt, weil natürlich heute neue Endkundenprodukte idR. darauf ausgelegt werden, dass sie möglichst problemlos mit üblichen NAT-Setups klarkommen.

Das ändert aber alles nichts daran, dass ein großer Teil dessen, was über das Internet vollkommen standardkonform möglich ist, sich nicht mit NAT verträgt. Im Kern kann man das vereinfacht so zusammenfassen, dass nur TCP und UDP i.A. zuverlässig durch NAT hindurch funktionieren, sowie eingeschränkt ICMP. IPv4 unterstützt aber bis zu 256 verschiedene Protokolltypen, wovon TCP, UDP und ICMP eben nur drei sind - und in NAT-freien Umgebungen werden viele andere Protokolle ganz alltäglich, vollkommen standardkonform, und ohne jegliche Probleme eingesetzt: Von GRE über UDP-Lite, SCTP, DCCP bis IPIP, und etliche mehr.

Nur weil ein Protokoll in Deinem Heimnetzwerk nicht funktioniert, heisst das nicht, dass es irgendwie einen Designfehler hätte.


Das ist kein sinnvoller Schluss.

Ja, wenn es zu Problemen kommt, dann sollte man diese vermutlich "adressieren und reparieren", weil man halt im Allgemeinen Probleme möglichst loswerden will. Aber offensichtlich ist halt eine Möglichkeit , bestimmte Probleme zu lösen, ibs. solche, die durch NAT verursacht werden, dass man auf ein Setup ohne NAT umstellt - und in der heutigen Welt ist tendentiell der einfachste Weg, auf ein Setup ohne NAT umzustellen, IPv6 zu nutzen, weil da mehr als genug Adressen verfügbar sind, man also einfach kein NAT braucht.

Dass in irgendeiner Weise IPv4 noch lange parallel existieren wird, ist kein sinnvoller Grund, immer alle Lösungen nur im Rahmen von IPv4 zu suchen. Gerade, wenn man entweder beide Enden selber kontrolliert, oder wenn IPv6 sowieso schon verfügbar oder trivial zuschaltbar ist, ist es geradezu irrsinnig, sich zusätzlichen Aufwand zu schaffen, indem man sich künstlich auf IPv4 beschränkt, wenn das vorliegende Problem trivial durch Nutzung von IPv6 zu lösen wäre.

Und außerdem heißt die prinzipielle parallele Existenz natürlich mitnichten, dass IPv4 noch lange eine große Relevanz in der Breite haben wird, und vor allem nicht, dass die Service-Qualität von IPv4 für Endkunden-ISPs noch einen hohen Stellenwert haben wird. Wenn die meistgenutzen Dienste alle per IPv6 erreichbar sind und entsprechend der Großteil des Traffics per IPv6 abgewickelt wird, ist damit zu rechnen, dass ISPs IPv4 nur noch als Legacy-Leistung halbherzig am Leben halten - halt so, dass die Leute keine harten Fehler sehen, dass prinzipiell reine v4-Dienste schon immernoch funktionieren, aber im Zweifel halt mit erhöhter Latenz, Überlastung in den Hochlastzeiten, ...

Gleichzeitig wird kein ISP die Service-Qualität von IPv6 schleifen lassen, denn die Bedeutung nimmt stetig zu, sehr viel Traffic läuft auch heute schon über IPv6, und außerdem ist es für den ISP billiger als IPv4 - auch insofern ist man schön blöd, wenn man unnötig in die Lösung von Problemen spezifisch mit IPv4 investiert statt auf IPv6 umzusteigen wo es möglich ist.

Im Prinzip alles richtig - ich halte es aber für ziemlich unwahrscheinlich, dass Protokolle, die nicht mit NAT kompatibel sind, von Unternehmen für die Anbindung von Leuten im Home-Offfice eingesetzt wird, weil ja auch unabhängg von DS-Lite die allermeisten Leute zu Hause ein Netzwerk haben, das hinter einem NAT-Gateway hängt.

Sofern der lokale Router das NAT macht, kann man das zwar ggf. konfigurieren, aber zum einen geht das auch nicht unbedingt mit allen Routern, zum anderen verursacht das halt erheblichen Aufwand, wenn man jedem Mitarbeiter dabei helfen muss, seinen Router zu konfigurieren, und außerdem scheitert das dann tendentiell sowieso, wenn in einem Haushalt zwei Personen solch ein Protokoll nutzen wollen, erst recht, wenn sie noch eine Verbindung zum gleichen Unternehmen aufbauen wollen ... oder einfach, wenn eine Person aus irgendeinem Grund zwei Geräte betreiben will/muss.