mibbio schrieb:
Man kann jede technische Frage auch recht allgemein beantworten, ohne einen speziellen Kontext zu berücksichtigen.
Bei Informatik-Themen eben oft nicht, weil das keine physikalische Gegenstände sondern bereits selbst Gedanken-Konstrukte sind. Ich habe Dir oben drei mögliche Perspektiven aufgemalt. Du hast jetzt die Eine rausgepickt … die dann wieder Folgefragen aufwerfen. Und wie Du an der eigentlichen Frage des Thread-Ersteller siehst, kam er sogar aus einer Perspektive, die hier noch gar keiner auf den Schirm hatte.
Auf jeden Fall zeigt das, dass ChatGPT für solche Fragen unbrauchbar ist, denn es legt einfach drauf los und sieht dann toll aus (und erschlägt so die Vielfalt oder vielleicht sogar Nachfragen). Du selbst hast es durch eingehende/ausgehende Verbindungen ergänzt. Was in einer anderen Perspektive dann Web-Surfen versus Server-Dienste sind.
Chibi88 schrieb:
Mein Tipp: Das in einem Forum zentriert auf „Strata“ bzw. „Palo Alto Networks“ oder wenigstens VPNs fragen, also welche möglichen Ursachen das sein könnten. Kaum jemand hier dürfte Admin für GlobalProtect sein. Auch gehört der Thread eigentlich ins
dieses Unterforum … jedenfalls soweit ich ComputerBase bisher verstehe. Auch dort dürften Admins für GlobalProtect rar sein.
Chibi88 schrieb:
versuche das noch irgendwie zu verknüpfen
Ich würde anders herum herangehen, also was GlobalProtect nutzt,
- IPv6 oder IPv4
- UDP oder TCP
Falls Ihr IPv4/udp konfiguriert habt, könnte mein erwähntes
NAT-Timeout die Ursache sein. Wie Du an jenem Hyperlink siehst, muss das nicht Provider-spezifisch sein, sondern könnte sogar vom Router abhängen. Auch diese Info sammeln. Vielleicht musst Du auch mal vor Ort aufschlagen und es testen.
Dann würde ich die Konfiguration durchforsten (oder sogar die Verbindung aufsprengen und mittels Wireshark verfolgen) und so klären, wann GlobalProtect seine Heartbeats bzw. Keep-Alives macht. Kann aber auch sein, dass Dein VPN-Hersteller irgendwas in seiner Firewall macht, also jene IP-Adressen falsch klassifiziert oder ein anderes Konfigurations-Set nutzt.
Chibi88 schrieb:
Manche User haben eben keine öffentlich ipv4 Adresse und kommen via DSLITE auf das Gateway.
Gleichzeitig würde ich wild Herumprobieren, also einen Betroffenen mit 1&1 als Internet-Anbieter schnappen und ihn bitten, dass er seinen Internet-Anschluss auf Dual-Stack
umstellen lässt … wenn es überhaupt 1&1 betrifft. Ich würde an Deiner Stelle lieber mehr Informationen sammeln, also nicht nur ob es keine öffentliche IPv4-Adresse ist, sondern auch welchen Internet-Anbieter der Betroffene nutzt. Vielleicht ergeben sich sogar regionale Unterschiede.
1&1 hatte vor Jahren an meinem Dual-Stack-Anschluss die Port-Timeouts fehlerhaft konfiguriert. Ganz ohne DS-Lite-Tunnel oder CGNAT. Hat dann 1½ Jahre gekostet bis ich das durch hatte, mit viel Abwimmelei und am Ende musste ich mir sogar anhören, dass das nur ganz wenige Kunden betroffen hatte – ich war also nicht mal der Einzige. Auch Internet-Anbieter machen Fehler.
Chibi88 schrieb:
dass es ein 8 jähriger versteht?
Wenn Du der lokale Administrator für ein GlobalProtect VPN bist, dann sollte das nicht nötig sein.
Wenn Du selbst keinen Zugang zu den Support-Foren von Strata/GlobalProtect hast, geht der Weg über Dein ITK-Systemhaus. Jene müssten das Phänomen allein schon aus der Erfahrung heraus kennen und in der Konfiguration beheben könne. Falls es wider Erwarten sogar ein Software-Bug ist, wirst Du nur so ein Support-Ticket auf- bzw. durchbekommen.
Hier mal mehr offenlegen, in welche Situation bzw. Rolle Du festsitzt. Als mögliche Ursachen sehe ich, dass die Quell-IPv4 von Eurer Firewall falsch klassifiziert wird oder die Timeouts im VPN oder Firewall nicht sitzen. Möglich Auswege wären, einen Betroffenen bei 1&1 auf Dual-Stack umstellen zu lassen und/oder euren eigenen VPN-Endpunkt neben IPv4 auch über IPv6 anzubieten.
Welchen Internet-Anschluss (Anbieter) nutzt Du: Ist das Dein eigener Anschluss, eines Bekannten (für den Du fragst) oder ist das ein Anschluss, den Du unterwegs nutzt?
