openVPN Client verliert Verbindung

Qhiliqq

Benutzer
Mitglied seit
14. Jul 2021
Beiträge
11
Punkte für Reaktionen
2
Punkte
3
Hi zusammen,

nach rund drei Jahren kann ich keine stabile VPN Verbindung mehr aufbauen...

Folgendes Szenario:
Ich habe zwei Synology NAS Geräte an unterschiedlichen Standorten am laufen.
Um hier per Hyperbackup eine Verbindung zu bekommen, läuft auf einem NAS der VPN-Server und auf dem anderen habe ich die VPN Verbindung als Client eingerichtet.
Das ganze lief jetzt ca. drei Jahre problemlos.

Vor ca. einem Monat haben wir zur Deutschen Glasfaser gewechselt, wobei auch hier alles problemlos lief, bis letzten Freitag.
Seit da habe ich das Problem, dass die VPN Verbindung alle 2-5 Minuten abreißt und danach baut er die Verbindung wieder auf.

In meiner FritzBox ist alles soweit passend eingestellt und die NAS-Geräte von der Firewall her eigentlich auch (hat sich ja nichts geändert).
Das komische ist jedoch, auch per openVPN APP (Android) passiert das selbe, auch hier fliege ich runter.
Habe schon von UDP auf TCP gewechselt, selbes Phänomen.

Als Fehlermeldung in der APP erhalte ich: "Session invalidated: KEEPALIVE_TIMEOUT"
Zertifikate sind alle aktuell, Firewall passt auch.
Wo kann ich bspw. die Keep-Alive Einstellungen am Synology VPN Server anpassen?
Könnte jetzt noch an DeutscheGlasfaser liegen, wobei ich mir hier nicht sicher bin.

Jemand noch ne Idee?
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.870
Punkte
488
Deutsche Glasfaser verwendet m.W. DS-Lite bzw. CG-Nat, d.h. du hast vermutlich keine öffentlich erreichbare IPv4 mehr.
Ich könnte mir vorstellen, dass dein DDNS-Dienst neben der IPv6 auch noch die IPv4 auflöst und es deshalb zu diesen Aussetzern kommt.
Welchen DDNS-Namen verwendest du da, und was löst ein "nslookup" dazu auf?
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
368
Punkte für Reaktionen
133
Punkte
43
In Ergänzung zu den Fragen von @Benares könntest Du uns noch mitteilen, ob der Wechsel zur Glasfaser beide Standorte betrifft bzw. wie die Anbindung an den beiden Standorten hinsichtlich DS-Lite aussieht.
Den Timeout anzupassen macht m.E. keinen Sinn, die Verbindungsüberwachung braucht man ja. Kannst Du denn vor Auftreten des Timeouts über den Tunnel kommunizieren?
 

Qhiliqq

Benutzer
Mitglied seit
14. Jul 2021
Beiträge
11
Punkte für Reaktionen
2
Punkte
3
Hatte ich vergessen zu erwähnen, wir hatten schon DS-Lite vorher in Betrieb.
Also es ist alles IPv6 basierend, auch die DDNS von Synology gibt nur die IPv6 frei.

Wenn es tatsächlich an DG liegen würde, warum hat es dann drei Wochen auch problemlos funktioniert?

Welchen DDNS-Namen verwendest du da, und was löst ein "nslookup" dazu auf?
NSLOOKUP gibt mir die richtige IPv6 zurück und keine IPv4.

Kannst Du denn vor Auftreten des Timeouts über den Tunnel kommunizieren?
Ja ich kann in dem Zeitraum von 2-5 Minuten kommunizieren.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
368
Punkte für Reaktionen
133
Punkte
43
Ich würde als erste Maßnahme mal den OpenVPN-Server neu starten bzw. das ganze NAS, auf dem der OpenVPN-Server läuft.
 

Qhiliqq

Benutzer
Mitglied seit
14. Jul 2021
Beiträge
11
Punkte für Reaktionen
2
Punkte
3
Hab ich mit beiden NAS schon gemacht.
Neu gestartet, von UDP auf TCP geändert und wieder zurück, MSSFIX niedriger eingestellt oder mehr...
 
Zuletzt bearbeitet von einem Moderator:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.870
Punkte
488
Ich weiß auch nicht, was diese Keepalive-Prüfung genau macht, aber ich denke, da ist Hund begraben. Google mal nach "openvpn Session invalidated: KEEPALIVE_TIMEOUT"
Evtl. ist es nur ein normaler ping und ping6 ist bei der Portfreigaben nicht freigeschaltet oder sowas in der Art.
Das erklärt aber alles nicht, wieso das erst jetzt auftritt.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
368
Punkte für Reaktionen
133
Punkte
43
Ich kopiere hier mal aus meiner server.conf den relevanten Teil rein:
Code:
# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 10 120
Mein OpenVPN-Server läuft allerdings nicht auf einem Synology-NAS, Du müsstest also nach deiner server.conf suchen (z.B. unter /usr/syno/etc/...).
Aus dem Gelesenen würde ich jetzt schließen, dass das keine normalen ICMP-pings sind, sondern Pakete, die insbesondere im Tunnel laufen (in der Doku wird hier von einem "control channel" gesprochen).

Was mir noch einfällt wären Firewall-Einstellungen.
 

Qhiliqq

Benutzer
Mitglied seit
14. Jul 2021
Beiträge
11
Punkte für Reaktionen
2
Punkte
3
Habe das ganze jetzt als Ticket bei Synology eingereicht, da es egal wie bei mir nicht mehr funktionieren will...
Halte euch auf dem laufenden.
 

Qhiliqq

Benutzer
Mitglied seit
14. Jul 2021
Beiträge
11
Punkte für Reaktionen
2
Punkte
3
Also...

Was genau das Problem ist, ist noch nicht ganz raus.
Aber der Support teilte mir mit, ich solle das Protokoll auf UDP stellen, die Verschlüsselung auf AUTO und die Authentifizierung auf SHA512 stellen.
Jetzt verlieren wir keine Verbindung und sind seit bereits einer Stunde verbunden... ;)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat