Ubiquiti VPN L2TP mit verschiedenen ISPs

[Chuck Norris123]

Hallo Community,

ich habe eine Frage bei der ich hoffe mir kann hier jemand weiterhelfen.
In dem Unternehmen für das ich arbeite haben wir eine Ubiquiti USG als Firewall mit statischer IP und darüber eine L2TP-VPN für ein bis 3 Homeofficer/innen (oder wie auch immer).
Nun habe ich aber das Phänomen, welches sich auch unser IT-Betreuer nicht erklären kann (weshalb ich hier nachfrage, da wahrscheinlich unter einigen 1000 einer schlauer sein wird), dass es bei einigen ISPs die L2TP nicht funktioniert.
Normalerweise haben wir A1 als Netzbetreiber für unsere Mobiltelefone, worüber dann auch die Geschichte mit Hotspot und Fernzugriff läuft und funktioniert.

Wenn ich nun aber z.B. mit einem Drei Telefon probiere, bekomme ich nur die Meldung:

"Die Verbindung wurde vom Remotecomputer beendet bevor sie vollständig hergestellt werden konnte"

Das Problem tritt auch bei einer Verbindung für einen Externen Dienstleister auf, weswegen wir das lösen sollten, jedoch wie oben beschrieben keine Lösung in Sicht ist.
Ich möchte natürlich nicht unserem Betreuer das Wasser abgraben, jedoch geht es hier darum das Problem zu lösen, wobei ich mir das nicht erklären kann und er genauso wenig eine Idee hat, woran das liegt...
Eventuell hat jemand hier einen Ansatz, wie wir das in den Griff bekommen oder wo das Problem eigentlich begraben liegt, sodass wir da nachhaken können.

Danke jedenfalls für die Hilfe hier im Voraus.

Fg

 

[Recharging]

Ich kann dir keine Lösung anbieten, aber dringend empfehlen, sofern noch nicht getan, das ganze auch in der Ubiquiti Community zu stellen. Die Wahrscheinlichkeit, hier gezielt seitens der Hardware ausschließen zu können, ist einfach viel höher.

Warum ich das so anmerke?
Ich hatte mit einer FW-Version einer UDM Pro Probleme VPN-Tunnel verlässlich aufzubauen - da diese nur selten benutzt wurden, war es nicht weiter tragisch.

2 Monate und 2 FW später funktioniert die Verbindung wieder einwandfrei (wie früher).
Soll heißen, es kann auch an diesem Punkt liegen bzw. mehr Konfiguration/Ausnahmen erfordern.

Daher mein Tipp, dies sicherheitshalber auch abzuklären.

 

[derchris]

wie sind die APNs am "drei" Telefon? Das Internet fand etwas in die Richtung:

Wenn der Handyvertrag ein ExOrange-Vertrag ist, einfach den APN auf fullspeed ändern.
Sonst musst du in der Kundenzone OpenInternet aktivieren können (ausgenommen bei SmartSims).

 

[Chuck Norris123]

Hallo,

vorab danke für die raschen Antworten!

Das mit der Community habe ich bereits gefragt, dort dauert es aber immer recht lange bis eine Antwort ankommt, daher habe ich parallel dazu hier das Ganze eingegeben.

Die APNs sind schon richtig, ich vermute inzwischen das das eher was mit IPv4 und IPv6 bzw. der Umsetzung dazwischen zu tun hat, genau sagen kann ich das aber momentan nicht... Speziell wie ich da was ändern könnte, da das ja alles ISP-Seitige Dinge sind auf die ich keinen Einfluss habe ...

Fg

 

[norKoeri]

L2TP-VPN

Muss es L2TP sein, ginge nicht was modernes über Web? UDP über Mobilfunk ist nie schön.

 

[Datax]

Hallo Community,

ich habe eine Frage bei der ich hoffe mir kann hier jemand weiterhelfen.
In dem Unternehmen für das ich arbeite haben wir eine Ubiquiti USG als Firewall mit statischer IP und darüber eine L2TP-VPN für ein bis 3 Homeofficer/innen (oder wie auch immer).

Kann es sein, dass es sich bei Eurer VPN-Lösung um "L2TP over IPsec" handelt?
"L2TP" selbst ist nur ein Tunnel-Protokoll, das keine Verschlüsselung bietet.
Die Verschlüsselung wird durch das IPsec-Protokoll hergestellt.

Frag' doch mal bei deinem Mobilfunkanbieter, ob Verbindungen zu folgenden Ports
freigeschaltet sind, also nicht blockiert werden:

UDP 500 = IKE (IPsec)
UDP 4500 = NAT-T (IPsec)
ESP-Protokoll (Protokoll-Nr. 50)

Die L2TP-Pakete werden durch das ESP-Protokoll verschlüsselt und über UDP 4500 übertragen.

 

[Chuck Norris123]

Hallo,

also leider muss es L2TP sein, es handelt sich aber genauer wie Datax schon festgestellt hat über L2TP/IPsec.
Ubiquiti bietet da nicht so viele Möglichkeiten (l2TP, PPTP und für Mobilgeräte Teleport, was aber nur für Mobilgeräte und in Verbindung mit der App "Wifiman" funktioniert...), doch das Problem scheint sich darauf eingrenzen zu lassen, dass die entsprechenden Ports bei gewissen ISPs nicht freigeschaltet sind.

Überhaupt da es sich bei meinem 2. ISP mit dem Handy um einen Privatanschluss handelt scheint es deswegen nicht zu funktionieren.

Jedenfalls wundert mich wieso das auch ein anderes Unternehmen nicht zustande bringt das durch ihre Firewall zu lassen...
Danke für die Hilfe inzwischen.

Fg

 

[norKoeri]

IPSec wird im Mobilfunk selbst hier und da benutzt (WLAN-Telefonie). Manchmal wird es auch einfach blockiert. Probier mal ohne WLAN-Telefonie (VoWiFi) und ohne VoLTE aber mit LTE. Wenn das nicht klappt, wäre mein Tipp ein Web-Forum aufzusuchen, das auf österreichische Mobilfunk-Betreiber oder sogar Drei-Austria spezialisiert ist. Vielleicht gibt es ein Zauberwort, um IPSec ent-zu-blockieren.