VPN-Verbindung bricht immer wieder ab

[Alcarhon]

Moin zusammen,
ich wende mich nun an dieses Forum, nachdem der externe IT-Dienstleister meines Arbeitgebers das Problem seit Monaten nicht löst und auch nicht erkennbar zu lösen versucht. Sorry vorab: die Erklärung wird jetzt etwas langatmiger:

• Ich arbeite überwiegend im Home Office.
• Ich nutze ein Firmen Notebook (Lenovo Thinkpad) an einer Lenovo ThinkPad-Docking Station, welche per Ethernet-Kabel mit dem privaten Internet-Zugang verbunden ist.
• Wir haben zu Hause einen DSL-Anschluss der Telekom mit 100MBit.
• Wir nutzen eine Fritzbox 7690 (Kaufdatum November 2024)
• Von dieser Fritzbox führt ein LAN-Kabel über zwei neue 2,5GBit-Switches (TP-Link TL-SG105-M2, Kaufdatum April 2025) in mein Arbeitszimmer.
• Die Internetverbindung für mein Arbeits-Notebook habe ich in der Fritzbox vor allen anderen Geräten priorisiert.
• Für meine Arbeit baue ich per Cisco Anynet Client einen VPN-Tunnel zum Server meines Arbeitgebers auf.

Diese VPN-Verbindung wird nun seit einigen Monaten immer wieder unterbrochen. Das Phänomen tritt teilweise mehrmals täglich auf, manchmal mehrere Tage nicht, manchmal nur einmal am Tag. Zudem tritt es zu den unterschiedlichsten Uhrzeiten ein. Ein Muster irgend einer Art konnte ich bisher nicht erkennen, es lässt sich auch nicht reproduzieren.

Der Cisco Client zeigt mir in diesen Fällen weiterhin eine bestehende VPN-Verbindung an, aber ein Zugriff auf den Firmenserver oder auf irgendeine Website ist plötzlich nicht mehr möglich. Erst nach manuellem Trennen und erneutem Aufbau der VPN-Verbindung kann ich weiterarbeiten. Wie gesagt - mal ist es damit bis zum Feierabend erledigt, mal kann ich wenige Minuten oder Stunden später denselben Ritt erneut mitmachen.

IT-seitig wurde per Fernzugriff und auch vor Ort per physischem Zugriff "die Gruppenrichtlinie aktualisiert" - was auch immer das bedeutet. Geändert hat sich allerdings nichts. Zwischenzeitlich zeigte mir Windows die Fehlermeldung "Die Netzwerkkennung ist ausgeschaltet..." Die anschließende, windowsseitige Problembehandlung teilte mir daraufhin mit, "der Computer ist offenbar richtig konfiguriert, jedoch antwortet das Gerät bzw. die Ressource (www.microsoft.com) nicht". Diese Information habe ich an den IT-Dienstleister weitergeleitet. Dort empfahl man mir (nach inzwischen 3 Monaten) ich solle über das Selfservice Portal prüfen, ob alle verfügbaren Treiber aktualisiert worden seien. Das war allerdings so ziemlich das erste, was ich gemacht habe und ja, alle verfügbaren Treiber sind auf dem neusten Stand.

Das Notebook wurde von der IT bislang gar nicht richtig untersucht: vor Ort bei meinem Arbeitgeber wurde mal kurzzeitig (< 20 Minuten) das VPN aufgebaut und für stabil befunden. Danach sagte mir der IT-Mitarbeiter, das Problem "könnte an meinem Internet zu Hause liegen". Ja klar, kann natürlich sein. Dagegen spricht aber:

• Mehrere Speedtests ergaben einen Durchsatz von 102-104 MBit/s Down- bzw. 41 MBit/s Upload (auch mit dem Notebook im VPN)
• kein einziges privates Gerät in unserem Haushalt zeigt irgendwelche Verbindungsprobleme, weder über LAN noch übder WLAN (Smart TV, Notebooks, Smartphones, Tablet, Amazon Fire Stick usw...)
• das Problem habe ich ausschließlich mit dem Firmen-Notebook und auch nur dann, wenn eine VPN-Verbindung aufgebaut wurde

Die Aussage, es könne "an meinem Internet" liegen, liefert also keinen nennenswerten Informationsgehalt. Frei nach Helge Schneider "Kann sein, muss nicht, aber egal" hilft mir da wenig weiter.

Vielleicht habt Ihr eine Idee oder könnt mir gezielte Fragen stellen, mit denen sich der Fehler ggf. einkreisen lässt.

Entschuldigung nochmal für den langen Sermon, aber ich brauche hier wirklich Unterstützung und die "Profis" des externen Dienstleisters haben bisher nichts brauchbares geliefert.

Danke & Gruß
AL

 

[mytosh]

Also die Geschwindigkeit des Anschlusses sagt nichts über dessen Stabilität aus. Mach doch mal einen Ping test über mehrere Stunden, um zu sehen ob die Verbindung vielleicht doch immer mal wieder für Sekunden abbricht.

 

[Drewkev]

Das Notebook wurde von der IT bislang gar nicht richtig untersucht: vor Ort bei meinem Arbeitgeber wurde mal kurzzeitig (< 20 Minuten) das VPN aufgebaut und für stabil befunden.

Naja, du wirst nicht der einzige sein der den VPN nutzt und wahrscheinlich auch nicht der einzige, der genau diesen Laptop hat. Es müsste also schon mehrere Fälle geben die darauf hindeuten, dass es am Notebook selbst oder dem VPN generell liegen könnte.

Mehrere Speedtests ergaben einen Durchsatz von 102-104 MBit/s Down- bzw. 41 MBit/s Upload (auch mit dem Notebook im VPN)

kein einziges privates Gerät in unserem Haushalt zeigt irgendwelche Verbindungsprobleme, weder über LAN noch übder WLAN (Smart TV, Notebooks, Smartphones, Tablet, Amazon Fire Stick usw...)

Für mich spricht das nicht dagegen, dass es an deinem Internet liegen könnte. Ein schnelles Internet in einem kurzem Zeitraum bringt mir nichts, wenn die Verbindung immer wieder unterbrochen wird. Oft merkt man letzteres gar nicht weil eh gepuffert/cached wird oder in der Zeit der Datendurchsatz gedrosselt wird (Streaming ist da ein Beispiel).

Spannend wäre zu wissen, ob Split Tunneling genutzt wird und damit ob externe Websiten immer noch aufrufbar sind, sobald das passiert. Ping Plotter wäre vielleicht auch eine Idee.

 

[Scirca]

Hi,

also bzgl. der Konfiguration des VPN deines Arbeitgebers und dem Software Stand auf deinem Arbeitsnotebook können wir eigentlich nicht helfen. Das wird wahrscheinlich unter den Datenschutz deines Arbeitgebers fallen.

Womit wir dir halt helfen können ist auszuschließen ob es an deinem privaten Anschluss liegt. Perse klingt es in deinem Text schon danach das es nicht an dir liegt.
Was du mal machen kannst wäre wenn dein VPN aktiv ist mal einen ping auf google.de laufen zu lassen. Um zu sehen ob während deiner Störeffekte wirklich etwas bei dir blockt.
Am besten von 2 Geräten, also einmal auf deinem Gerät wo der VPN läuft und einmal von einem anderen Gerät.

ping google.de -t

 

[Alcarhon]

Hi, danke für die Antworten. Ich bin ja nun ein ziemlicher Laie was Netzwerk usw. betrifft, daher habe ich mit der Aussage, dass die Geschwindigkeit nichts über die Stabilität sagt, wieder was gelernt. Eigentlich ist es logisch, aber hey, ich bin nur User .

Tatsächlich habe ich auch schon vermutet, dass es in Richtung "kurzfristige mikro-Ausfälle" (oder sowas) geht. Ich habe aber keine Ahnung, wie man die Stabilität der Internetverbindung testet. Auf der Suche nach einem einfachen, softwarebasierten Test bin ich bei Wireshark gelandet, hab's bei Heise runtergeladen und ausprobiert. Aber ich habe ECHT KEINE AHNUNG was ich mit dem Programm machen soll oder auch nur, wie ich einen sinnvollen Test mache. Der Tip mit dem Ping-Test ist da ja hilfreich. Ich mach mich mal schlau, wie ich den durchführe und melde mich dann. Danke euch!

 

[Drewkev]

Ich mach mich mal schlau, wie ich den durchführe und melde mich dann. Danke euch!

PingPlotter ist da relativ ausführlich (gibt auch Videos): https://www.pingplotter.com/manual/

Vorab. Egal welche Software du nutzt, es wird etwas Zeit in Anspruch nehmen. Wir reden da von paar Tagen.

 

[aluis]

IT-Dienstleister

Dann hat er sich, wenn das Problem auftritt, sich aufzuschalten und das Problem zu lösen. Da gibt es gar keine Diskussion. Das du dir als nicht Sysadmin da Gedanken machen musst, geht garnicht. Wenn die es nicht zeitnah lösen, dann würde ich das Problem sofort eskalieren.

 

[derChemnitzer]

was sagen die LOG Daten auf deiner Fritzbox
sind da zu den Zeiten irgendwelche Einträge mit Disconnect oder ähnlichem vorhanden

 

[Kapsler]

Auf der Suche nach einem einfachen, softwarebasierten Test bin ich bei Wireshark gelandet, hab's bei Heise runtergeladen und ausprobiert. Aber ich habe ECHT KEINE AHNUNG was ich mit dem Programm machen soll oder auch nur, wie ich einen sinnvollen Test mache.

Moin,
Wireshark ist ein Tool zur Erstellung und Analyse von Paketmitschnitten. Ist sehr mächtig, wird Dir mit fehlender Erfahrung und speziell im vorliegenden Fall aber nur wenig weiterhelfen.

Wie bereits von anderer Seite vorgeschlagen, ist ein Konnektivitätstest zu einem alternativen Ziel während des Fehlerzustands eine gute Idee.

Mich würde interessieren, ob Du tatsächlich noch den (legacy) Anyconnect Client nutzt (Verison 4.x). Dieser ist nämlich seit 31.03.2024 EoL und wird nicht mehr von Cisco gepflegt. Nachfolger ist der Cisco Secure Client (welcher wiederum ein Anyconnect-VPN-Modul besitzt).

Ansonsten sollte die IT das Problem auf beiden Seiten prüfen, also Firewall und VPN Client. Der Cisco Secure Client hat zur Analyse und Fehlerbehebung ein passendes Tool integriert (DART).

 

[Scirca]

Also mit Wireshark wirst du überfordert sein. Das Tool ist zwar extrem stark was Netzwerk Informationen angeht aber bringt dir nichts.

mach lieber über die cmd mit ping. Das enthält viel relevanter Informationen für dich als welche Datenpakete bei dir am Netzwerkadapter ankommen. Beispiel (du willst gerade wissen warum dein Auto nicht gut fährt und nicht die Materialzusammensetzung der Muttern erfahren.)
PingPlotter sieht auch gut aus.

 

[Joe Dalton]

In der Übertragungskette sind doch mehrere wichtige Komponenten:

• Notebook & Dockingstation
• privater Router
• div. Provider
• Firewall/VPN-Gateway beim Arbeitgeber
• Server beim Arbeitgeber

Wie schon von mehreren geschrieben:

• ping auf eine öffentliche ÍP-Adresse, die zuverlässig antwortet
• ping auf eine interne IP-Adresse, die zuverlässig antwortet[1]

Prüfen, ob die Aussetzer beim Arbeiten mit Aussetzern in den ping-Verläufen zusammenpassen.

Wireshark hilft Dir nur, wenn die Unterbrechungen sich reproduzieren lassen und Du im richtigen Moment die Pakete bzw. die Kommunikation aufzeichnen kannst.

Die interne Priorisierung auf der eigenen Fritz!Box ist wahrscheinlich unnötig: "viel hilft viel" stimmt nicht immer.

Der Hinweis von @Kapsler ist absolut berechtigt: Der VPN-Client sollte jetzt "Cisco Secure Client" heißen. Wenn nicht, dann wirft es auch ein Licht auf eure IT-Strukturen.


[1] immer in der Hoffnung, dass ICMP nicht gefiltert wird

 

[iamahumanbeing]

Welchen ISP hat dein Arbeitgeber/der VPN-Endpunkt? Sind es evtl. Peering Probleme?

Hast du es schonmal per WLAN probiert?

 

[Alcarhon]

Also per cmd und ping -t auf heise.de habe ich 2778 Pakete gesendet und davon 2776 erhalten (verloren 2). Das Minimum lag bei 18ms, Maximum bei 54ms und der Mittelwert bei 19ms. Soweit ich das beurteilen kann, sind diese Werte gut bis sehr gut. Laut Speedtest via Ookla lag der Ping bei 20 ms (46 beim Download, 28 beim Upload).

Ich werde das die nächsten Tage mal ab Rechnerstart nebenbei laufen lassen und warten, bis sich das VPN wieder verabschiedet. Vielleicht sieht man dann mehr.

Hast du es schonmal per WLAN probiert?

Yup, gleiches Ergebnis.

Mich würde interessieren, ob Du tatsächlich noch den (legacy) Anyconnect Client nutzt (Verison 4.x). Dieser ist nämlich seit 31.03.2024 EoL und wird nicht mehr von Cisco gepflegt. Nachfolger ist der Cisco Secure Client (welcher wiederum ein Anyconnect-VPN-Modul besitzt).

Ich habe gerade noch einmal nachgesehen: Es ist tatsächlich der Cisco AnyConnect Secure Mobility Client

Der Hinweis von @Kapsler ist absolut berechtigt: Der VPN-Client sollte jetzt "Cisco Secure Client" heißen. Wenn nicht, dann wirft es auch ein Licht auf eure IT-Strukturen.

Das ist leider richtig. Dass das Problem seit Anfang Februar besteht, inzwischen zwei Ticketnummern erhalten hat und genau ZERO Lösungen angeboten wurden, ist wirklich schwach. Aber ich will mich hier gar nicht weiter darüber auskotzen. Ich möchte eigentlich "nur" ausschließen, dass es nicht an meinem heimischen Netzwerk liegt.

 

[Drewkev]

Ich habe gerade noch einmal nachgesehen: Es ist tatsächlich der Cisco AnyConnect Secure Mobility Client

Hm, das ist interessant, nichtmal wir haben den noch im Einsatz. Und wir schleppen Software sehr lange mit.

Eigentlich sollte es der Cisco Secure Client sein.

 

[redjack1000]

Das ist leider richtig. Dass das Problem seit Anfang Februar besteht, inzwischen zwei Ticketnummern erhalten hat und genau ZERO Lösungen angeboten wurden, ist wirklich schwach.

Sicher ist das schwach, ändert aber nichts an der Tatsache, das Du nichts unternehmen kannst, außer die Schwachstelle in deinem Netzwerk zu suchen, alles andere kann nur der VPN Gegenpart also die IT.

Jeder Verbindungabbruch wird in einem Logfile dokumentiert, sowohl auf Client, als auch auf Serverseite. Diese Logfiles sind für die Fehlersuche sehr wichtig, alles andere ist nur raten.

Beginne damit, dein Netzwerk genau zu beschreiben, beginne mit einem Screenshot der MESH-/Netzwerkübersicht der Fritzbox.

CU
redjack

 

[-->fReAkShOw<--]

Ich würde die MTU für den virtuellen Ethernetadapter vom VPN Client mal auf 1300 setzen lassen. Wir haben manchmal auch damit Probleme und damit ist es idR gelöst.

 

[Alcarhon]

Kleiner Zwischenstand: Ich habe die letzten Tage sofort nach Aufbau der VPN-Verbindung über die Befehlszeile einen Dauer-Ping auf heise.de bzw. mal tagesschau.de gestartet und den ganzen Tag laufen lassen. Nach Feierabend habe ich dann mit Strg + C abgebrochen. Durch die Bank lag der Mittelwert bei 19ms. Dabei wurde das VPN nicht ein einziges Mal unterbrochen. Jetzt vermute ich als Laie natürlich, dass das ständige "anpingen" irgendwie die Verbindung aufrecht erhalten hat, was im Umkehrschluss bedeuten würde, dass da sowas wie ein Time out gesetzt wurde, der ggf. zu knapp bemessen ist. Aber vielleicht ist das auch Quatsch - ist wie gesagt nicht mein Fachgebiet.

Ich würde die MTU für den virtuellen Ethernetadapter vom VPN Client mal auf 1300 setzen lassen. Wir haben manchmal auch damit Probleme und damit ist es idR gelöst.

klingt gut - was bedeutet MTU? Ich nehme an, das müsste unsere IT vornehmen, richtig?

 

[Drewkev]

@Alcarhon
Warte ab bis VPN erneut die Verbindung verliert und schaue dann, was währenddessen beim Ping rauskommt.

Dass dein Arbeitgeber einen Timeout setzt und dich damit bewusst während der Arbeitszeit aus dem VPN schmeißt, ist tatsächlich eher Quatsch.

 

[redjack1000]

was bedeutet MTU?

Das bedeutet Maximum Transmission Unit.

Cu
redjack

 

[Alcarhon]

Kurzer Statusbericht: unsere IT scheint es hinbekommen zu haben - es wurden nun direkt von Lenovo die neusten Treiber installiert. Seit dem läuft alles mehr oder weniger rund. Danke in die Runde, der Thread kann geschlossen werden.