Tipps zum Verbindungs-Debugging

Bei Netzwerkproblemen, egal ob mit Gardion VPN oder ohne, gibt es eine ganze Menge sinnvolle Tests. Die hier versammelten Werkzeuge dienen dazu, eine Verbindung die grundsätzlich läuft, oder bisher lief, zu testen. Sollte die VPN-Verbindung noch garnicht funktioniert haben, helfen andere Vorgehensweisen weiter.

Symptome

  • Die Verbindung ist langsam
  • Es lassen sich manche Websites ansurfen, andere wieder nicht
  • Die Verbindung ist „wackelig“, d.h. sie funktioniert meistens gut, hat aber zeitweise Aussetzer

Tests

Die hier beschriebenen Tests lassen sich auf allen Plattformen (Windows, Mac, iOS, Android, Linux etc.) unterschiedlich einfach durchführen. Vor allem auf den mobilen Plattformen bieten sich zum testen entsprechende Apps an, die mit den Schlagwörtern des gewünschten Tests auch im jeweiligen AppStore zu finden sind. Unter Linux, Windows und macOS bieten sich die meisten Tests direkt im Terminal/der PowerShell an.

Konnektivität - Hardware

Prüfen Sie ob Sie ohne Tunnel surfen können. Zeigt ihr Endgerät WLAN-/Funknetz-Empfang an? Ist das Ethernet-Kabel eingesteckt und blinkt die kleine LED am Ethernet-Port?

Konnektivität - ICMP

Ein einfacher Test ist der sogenannte „Ping“, dabei wird ein besonderes Paket vom eigenen Rechner an einen Zielrechner geschickt. Der Zielrechner wird aufgefordert seinerseits mit einem Paket zu antworten. Unter Linux und macOS sieht das etwa so aus:

Im Terminal eingeben und danach Enter drücken:

ping 1.1.1.1

Der Rechner antwortet im Idealfall mit:

➜ ~ ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
64 bytes from 1.1.1.1: icmp_seq=0 ttl=60 time=4.229 ms
64 bytes from 1.1.1.1: icmp_seq=1 ttl=60 time=3.830 ms
64 bytes from 1.1.1.1: icmp_seq=2 ttl=60 time=3.490 ms
64 bytes from 1.1.1.1: icmp_seq=3 ttl=60 time=3.568 ms
64 bytes from 1.1.1.1: icmp_seq=4 ttl=60 time=3.560 ms
64 bytes from 1.1.1.1: icmp_seq=5 ttl=60 time=3.894 ms
64 bytes from 1.1.1.1: icmp_seq=6 ttl=60 time=3.693 ms
^C
— 1.1.1.1 ping statistics —
7 packets transmitted, 7 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 3.490/3.752/4.229/0.238 ms

Er sagt uns damit dass die Gegenstelle antwortet, und das sogar ziemlich schnell (ca. 4ms roundtrip, hin- und zurück). Damit wissen wir, die Verbindung steht.

Gute Alternativen zu 1.1.1.1 sind auch 8.8.8.8 oder 9.9.9.9. Alle diese Server antworten auf einen Ping (das gilt nicht für alle Server im Internet).

Im Fehlerfalle sieht das so aus:

➜ ~ ping 1.2.3.4
PING 1.2.3.4 (1.2.3.4): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
^C
— 1.2.3.4 ping statistics —
5 packets transmitted, 0 packets received, 100.0% packet loss>

„0 packets received“ sagt uns, dass die Verbindung auf einer sehr fundamentalen Ebene nicht steht.

Sollte das Problem nur mit dem VPN Tunnel auftreten, mit deaktivierten Tunnel aber nicht, dann hat nur der Tunnel ein Problem. Wenn das Problem auch ohne VPN auftritt, dann hat ihr Endgerät grundsätzlich keine Netzwerkverbindung.

Konnektivität - DNS-Auflösung

Das DN-System (Domain name system) ist das Telefonbuch des Internets. Wenn Sie im Browser www.spiegel.de im Browser eingeben dann löst das DNS diese Anfrage in eine IP-Adresse wie 128.65.210.181 auf. Mit dieser IP-Adresse kann das Netzwerk dann arbeiten.

Der dazu passende Test lautet:

ping www.spiegel.de

Mit dem Resultat:

➜ ~ ping www.spiegel.de
PING aacfb9d106f4.link11.de (128.65.210.181): 56 data bytes
64 bytes from 128.65.210.181: icmp_seq=0 ttl=59 time=8.935 ms
64 bytes from 128.65.210.181: icmp_seq=1 ttl=59 time=8.908 ms
64 bytes from 128.65.210.181: icmp_seq=2 ttl=59 time=8.699 ms
64 bytes from 128.65.210.181: icmp_seq=3 ttl=59 time=8.852 ms
^C
aacfb9d106f4.link11.de ping statistics —
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 8.699/8.849/8.935/0.091 ms>

Wenn dort die Auflösung klappt, dann funktioniert das so wichtige DNS bei Ihnen auf dem Endgerät. Sollte dies nicht klappen, aber der ICMP-Test darüber, dann ist das DNS das Problem.

Weiter durchleuchten lassen sich auf manchen Betriebssystemen DNS Probleme etwa mit dem Befehl dig, mit etwa folgendem Ergebnis:

➜ ~ dig www.gardion.de

; <<>> DiG 9.10.6 <<>> www.gardion.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12353
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.gardion.de. IN A

;; ANSWER SECTION:
www.gardion.de. 3600 IN CNAME m01.gardion.de.
m01.gardion.de. 3600 IN A 116.202.176.121

;; Query time: 72 msec
;; SERVER: 172.16.0.1#53(172.16.0.1)
;; WHEN: Thu Feb 18 18:18:10 CET 2021
;; MSG SIZE rcvd: 77

Hierbei ist vor allem interessant 1. ob ein Antwort von dem für Ihr Gerät zuständigen DNS-Server (auch „Resolver“ genannt) kommt und 2. wer das eigentlich genau ist. Die Zeile „> ;; SERVER: 172.16.0.1#53“ sagt uns, dass das der Gardion eigene Resolver ist und die Auflösung problemlos funktioniert.

Konnektivität - Bandbreite

Manchmal funktionieren diese grundlegenden Tests gut, aber sporadische Aussetzer machen Ihnen das Leben schwer. Das lässt sich einfach testen. Am einfachsten nutzen Sie dafür den Webbrowser und surfen zu dieser Adresse: http://kabelspeed.telekom-dienste.de/ (Führen Sie den Test nicht im Mobilfunknetz aus, da dort möglicherweise Kosten verursacht werden.)

Dort startet der Speedtest automatisch, läuft einige Sekunden und zeigt Ihnen die aktuell verfügbare Hoch- und Runterlade-Bandbreite an. Bei einem gängigen 100Mbit-DSL Anschluss mit noch paralell laufendem Verkehr sieht das in etwa so aus:

Sollten die angegebenen Werte also etwas unter den vertraglich zugesicherten Werten liegen ist das ganz normal. Größere Abweichungen nach unten werden gerade in der Bundespolitik diskutiert…

Sollten sie dort aber nur ein Zehntel oder ein Hundertstel der vertraglich zugesicherten Bandbreite angezeigt bekommen, oder aber der graue Balken zeigt immer wieder „Sendepausen“ an, dann deutet das auf ein MTU-Problem hin, welches wir hier schon ausführlich abgehandelt haben: Unterbrechungen beim Einsatz von WireGuard – ein MTU-Problem

Grundsätzlich sollte sich der Durchsatz zwischen „mit und ohne VPN“ nicht viel unterscheiden.

Konnektivität - Einzelne Websites / einzelne Apps

Sollte bei der Nutzung des Gardion VPN alles oben genannte funktionieren, nur manche Apps oder Websiten nicht, dann liegt das mit ziemlicher Sicherheit an der in Gardion eingebauten Filterung. Um das zu testen am besten eine niedrigere Filterstufe einstellen. Dazu hier einloggen https://www.gardion.de/web/users/sign_in, das entsprechende Gerät bearbeiten und Filterstufe 1 einstellen. Wenn es dann geht, liegt es an der Filterung.

Dabei ist zu beachten, dass dadurch natürlich auch das Tracking zu- und Ihre Online-Sicherheit abnimmt. Kurzfristig zu Testzwecken sollte das aber kein Problem sein.

Desweiteren ist es wichtig, dass Sie verstehen dass Ihr Endgerät viele Online-Daten zwischenspeichert. Das heisst: Wenn Sie mit Filterstufe 1 beginnen, dann www.facebook.com besuchen und dann die Filterstufe auf „6“ erhöhen wir Facebook immer noch (wenigstens teilweise) funktionieren, da ihr Browser etwa die DNS-Auflösung für einige Zeit speichert. Nach einem Neustart des Geräts oder einigen Stunden löst sich das Problem dann aber auf.

Ein sinnvoller Filtertest beginnt also immer bei hohen Filterstufen und im Verlauf des Tests wird die Filterung kontinuierlich um eine Stufe gesenkt bis die benötigte Site/App funktioniert. Eine kontinuierliche Erhöhung der Filterstufe macht wenig Sinn.

Sollten Sie mit der eingestellten Filterstufe „leben können“ haben Sie Ihr Ziel erreicht. Sollte eine gängige App - ohne nennenswerte Tracking- oder Sicherheitsprobleme - in der von Ihnen gewünschten Stufe nicht funktionieren, nehmen Sie Kontakt zu uns auf. Oft setzt die App dann im Hintergrund andere Dienste ein, die in der von Ihnen gewünschten Filterstufe geblockt werden sollen, und dann können wir daran nichts ändern.
Manchmal handelt es sich aber auch um einen Fehler in unseren Filtersystemen und die beheben wir natürlich gerne.