Problemen met thuiswerken na introductie FortiClient bij 4G Buitengebied en V10

Beste ​@Kandelaar85 internet via buitengebied met aanvullende 4G router kan theoretisch bekabeld maximaal een snelheid leveren van ongeveer 50Mbit/s.

Heb jij je laptop bekabeld aangesloten of werk je draadloos?

Verder snoept VPN ook vaak snelheid af van je bestaande verbinding.

Als je zonder VPN een speedtest doet wat haal je dan?

En als je met VPN een speedtest doet, wat haal je dan?

Beste ​@JanD,

Bedankt voor je reactie!

Zie bijlagen. Ik heb een jaar geleden mijn internet laten upgraden naar max 100Mbit/s dat kan tegenwoordig bij 4G buitengebied.

Ik werk met mijn laptop altijd bekabeld. Moet er wel bij zeggen dat wij hier thuis 5 routers hebben die als accespoints fungeren. En daar zit ook een switch tussen/bij. Alle accesspoints zijn bekabeld via de switch! De switch wordt voorzien van ‘internet’ via 1 accespoint en dat accespoint wordt voorzien van internet van de Experiabox en de experiabox staat bekabeld in contact met de 4g (zie plaatje)

​@Kandelaar85 Je moet een VPN protocol kiezen, wat geen UDP gebruikt. UDP gaat over vast internet (langzaam).

Nee. KPN gebruikt geen CGNAT op de vaste aansluiting. 

​@Marlon92 ik heb ADSL icm met 4G buitengebied. Dus zowel vast (als ondersteuning) als een 4G aansluiting (hoofdaansluting) die mij samen hier ineternet bezorgen thuis (bij ons ligt alleen ADSL kabel in de grond verder niks, ook geen tv etc). 

Ik zie nu jouw plaatje. Jij hebt zelf dubbel NAT. Wat dus neerkomt op CGNAT. Dat is bijna hetzelfde. 

Dat komt doordat jij een 2de router achter de Experiabox hebt. Deze zou je er tussenuit kunnen gooien.

Maar ik weet niet of het wat uit haalt. Ik betwijfel het eigenlijk. 

Maar sluit je laptop/eens rechtstreeks op de Experiabox aan. Dan weet je het zo.

​@TDN en waar moet ik dat kiezen? In mijn Experiabox, in mijn 4g (Sagecom) router van KPN of in mijn asus router die de switch bedient en dus ook mijn bekabelde laptop aansluiting voorziet van internet.

Even voor de duidelijkheid, ik werk al 5 jaar meerdere keren per week thuis (zelfde werkgever zelfde provider, zelfe manier van internet aanbieden en gebruik en zelfde huis). Voorheen met SonicWall nu met Forticlient. Verder is er niks (recent) veranderd aan mijn thuisnetwerk of mijn werk. Nooit problemen gehad, nu sinds nieuwe lapopt met FortiClient constant problemen

EN ben ook al weken met mijn IT team bezig, maar hun kennis is erg beperkt als het om een 4G internet thuis aansluiting gaat. 

Zie ik het nu goed dat je een router achter een router aangesloten hebt? Dus de experiabox is een router en je hebt daarachter nog een eigen router (die dhcp en NAT doet?). Heb je dat ook tegen de IT afdeling gezegd? 

Als je alle routers achter de experiabox in access mode zet zonder dhcp en nat, dan krijgen alle apparaten een ip binnen diezelfde 192.168.2.x range en heb je kans dat het beter gaat. 

Daarna kun je kijken of cgnat (als dat al op 4G gegaan wordt) een probleem is. Maar als je zelf al nat achter nat hebt in je netwerk dan moet dat uiteraard eerst opgelost worden.

In FortiClient. Standaard is IPSec Auto, dus grote kans IPSec UDP, je kan kiezen voor IPSec over TCP of SSL VPN. Het moet natuurlijk van je werkgever (server) ondersteund worden. Het 4G Modem ondersteunt geen UDP, daarom alle UDP verkeerd wordt over vaste internet geroutet.

Het 4G modem doet iets raars met UDP verkeer. Dat is bekend. Er is wel in de laatste firmware nog iets veranderd. Lees hier:

Daar staat iets geschreven over UDP verkeer. Welke firmware versie heb jij op de Experiabox staan?

SonicWall werkte waarschijnlijk via TCP. Dat werkt gewoon prima bij Sneller Internet Buitengebied. 

Goedemorgen ​@Kandelaar85, welkom op de KPN Community. Zoals je merkt denkt iedereen graag even mee, dank daarvoor. Mijn ervaring op dit vlak is zeer beperkt maar mijn eerste ingeving zou ook zijn om het aantal variabelen te beperken door die tweede router buiten spel te zetten. Desnoods alleen om te testen.

Beste ​@Remco van KPN 

Ik heb alle bovenstaande adviezen inmiddels geprobeerd, al dan niet al zelf met hulp van mensen die veel kijk op netwerken hebben al dan niet naar aanleiding van deze antworden. Geen van alle lost mijn probleem op. Zodra ik thuis werk gaat na meestal een uurtje mijn netwerk plat. 

Het advies is nu toch echt om met KPN te praten over het al dan niet mogelijk ‘uitzetten’ van CGNAT op onze KPN 4G (SageCom) router, want het lijkt er sterk op dat mijn huidige FortiClient versie het hier niet mee eens is en ik heb geen andere keuze dan KPN 4G hier thuis te gebruiken (of de concurrent Odidio klik en klaar zonder CGNAT) aangezien wij geen vaste aansluiting voor andere soorten internetaabieders hebben op ons adres. Een minder populair antwoord op dit forum op bovenstaande CGNAT verzoek is dat ik bij KPN weg ga. Maar dat gaat niet want ik heb nog een lopend contract ;) 

Wellicht kan jij mij in contact brengen met iemand die wel verstand heeft van mijn casus en mij kan helpen rondom de CGNAT kwestie i.c.m FortiClient?

Heb je zelf die eigen router er al tussen uit gehaald?

Er is geen CGNAT. Dus vergeet dat gewoon.

Bovendien denk ik niet dat da überhaupt een probleem zou zijn. Heb je wel eens gewerkt op de mobiele hotspot van je smartfoon? Daar is namelijk wel CGNAT.

Heb jij een alternatief dan? Is Ziggo beschikbaar?

Ook niet bij KPN 4G waar TS op zit?

Wel moeten al die routers op het interne netwerk (ik tel er 2 in routermode) er tussenuit gehaald worden. Ik weet (en lees) niet of dat al gedaan was.

Eerst moet je een TCP protocol (SSL of IPSec over TCP) gebruiken. Van mobiel KPN netwerk hebt je 3 mogelijkheid

1. Echte IPv4 (APN=portalmmm.nl), geen verdere instelling nodig
2. Gedeelde IPv4 (CGNAT), hier moet je SSL gebruiken en op server volgende instelling toepassen

   config vpn ssl settings
     set auth-session-check-source-ip disable
   end

    
3.  IPv6 DS-Lite, je krijgt een IPv4 via IPv4-in-IPv6-tunnel, het probleem kan opgelost worden door ondersteuning van Port Control Protocol (PCP) in router, ik weet niet zeker, maar de kans is bijna nihil dat de KPN modem dit ondersteunt. De tweede oplossing is het gebruiken van IPv6 ipv IPv4.

Wat ik niet in de discussie zie: Hoe wordt de situatie hersteld? Wachten tot de storm voorbij is?   VPN uit?  Router reset? 

IPsec is standaard UDP over poorten 500 en 4500, mits “encapsulatie” is ingeschakeld.  Dat vereist mogelijk aanpassing in de firewall.

IPsec over TCP is iets speciaals, TCP over ADSL+4G is ook iets speciaals, dus als dat na een tijd tot een complete chaos op de verbinding leidt zou me dat niet verbazen. Geven de LED’S op de switch of router continue verkeer aan, ook als er verder niets actief is? 

Als het bedrijf het ondersteunt, zou het te proberen zijn om toch UDP te gebruiken ondanks de traagheid van DSL. Loopt het netwerk dan ook vast? 

Beste Marlon, 

Ik waardeer het meedenken, maar geloof mij wij maken gebruik van 4G voor onze thuis internetverbinding en jaar daar is wel CGNAT op aanwezig zie 

Dus nee dat kan ik helaas niet loslaten. En alleen op de ADSL werken is geen optie met 4 mBit download. Ik heb alle routers ertussen uitgehaald. Zelfs mijn laptop direct verbonden met de ADSL modem (die zelf weer met UTP verbonden is met de 4g modem en nee dit kan ik niet aanpassen anders werkt het het niet meer die twee hebben elkaar nodig). Maar zelfs het direct verbinden van mijn computer met de ADSL modem mocht niet baten.

Hotspot maken van mijn telefoon kan niet, is kpn netwerk en FortiClient accepteerd geen hotspot via KPN netwerk. Wel met mijn werktelefoon geprobeerd, vodafone. Die combinitie werkt wel en lijkt stabiel te blijven, geen netwerk down.

Alternatief heb ik niet, behalve Odidio klik en klaar (maar heb nog een contract lopen met KPN) want wij hebben hier geen vaste aansluitingen in de grond liggen, ik woon in een buitengebied. Vandaar dat ik ook KPN 4G voor buitengebied afneem. Als ik een abonnement zonder 4G kon afnemen, dan was dit probleem nooit onstaant zoals mijn andere 799 collega's waarbij het wel gewoon werkt na overgang van SonicWall naar FortiClient ;)

Ik ga dit eens even bij mijn IT afdeling voorleggen, dank je. 

Helaas als het eenmaal stormt gaat deze eigenlijk niet meer voorbij tenzij ik FortiClient uitschakel. Meteen komt mijn thuis netwerk dan weer in de lucht (zie ik op o.a. mijn mobiel). 

De poorten die jij noemt kloppen en ook hebben we deze al geprobeerd uit te schakelen via de firewall, maar dat accepteerd mijn (werk)netwerk niet dan kan ik niet meer verbinden via FortiClient en dus niet meer werken :)

De leds op de switch geven (en gaven altijd al) altijd continue verkeer aan. Er zitten namelijk nog al wat apparten op ons netwerk (lees warmtpomp cv, airco's, vloerverwarmingen, zonnepanelen etc. die altijd ‘aan staan'. En die zitten niet allemaal op de router/accespoint die in mijn huis staat, dit is de hele reden dat we er meer hebben...we hebben een groot eigen terrein dus meer dekking nodit etc. )

Dat laatste zal ik (UDP) nagaan bij mijn IT afdeling.

En ja ADSL+4G is bijzonder, maar nooit onwerkbaar geweest tot dat mijn werk over ging op een andere VPN soort :) Want ook echt alleen dan treedt de ellende op verder nooit en met niks :)

Dank voor het meedenken. 

Wat wil je met die link zeggen? Dat topic gaat niet over Sneller Internet Buitengebied.

Log in op de Experiabox. Daar zie je je WAN ip staan.

Kijk vervolgens op een ip website zoals https://watismijnip.nl/ naar wat jouw WAN ip is.

Als dat ip hetzelfde is, dan heb je geen CGNAT.

Vodafone maakt op het mobiele netwerk ook gebruik van CGNAT.

Zou het verschil tussen Vodafone en KPN verklaard kunnen worden doordat KPN met de “internet” APN volledig gebruikt maakt van de modernste technologie, IPv6?    IPv4 verbindingen moeten dan als IPv6 vermomd door de ether, om bij KPN weer omgezet te worden naar IPv4?  Aangezien IPv6 per pakket minder data kan vervoeren, zouden er problemen kunnen ontstaan als de VPN software daar geen rekening mee houdt. De APN “portalmmm.nl” is (nog) beschikbaar en geeft een natief IPv4 adres.  Wel met CGNAT, maar dat hindert niet voor IPsec. 

Wat de VPN software precies uitspookt op het netwerk, geen idee. Er is dus geen VPN verbinding meer als de UDP poorten 500 en 4500 in de firewall dichtgezet worden, dus blijkbaar kan de software niet overschakelen naar TCP en blijft normale UDP IPsec gebruiken ??   

Met APN=internet heeft men 2 opties, allebei met beperking CGNAT of DS-Lite

Met APN=internet IPv4/IPv6 krijgt men een DS-Lite contructie