Open-VPN IpV4 Transport bricht nach ca. 2 Min. ab

Mitglied: zeroblue2005

zeroblue2005 (Level 2) - Jetzt verbinden

05.01.2021 um 17:10 Uhr, 530 Aufrufe, 8 Kommentare

Hallo Zusammen,

ein Windows Clientsystem mit Open-VPN (Aktuelle Version) bricht nach Herstellung der Verbindung den Transport von Daten einfach ab, so dass nichts auf der Serverseite zu erreichen ist. Nach einem Neustart der VPN-Verbindung geht es dann wieder für 2 Min.

Getestet habe ich das ganze mit einem Dauer Ping -t auf einen Server ist Remotenetzwerk. Das blöse an der Fehlersuche ist , dass alle anderen Clients eine stabile Verbindung hinbekommen und diese läuft. Auch der Client, der mir jetzt Sorgen macht, lief bis vor Weihnachten noch völlig normal! Irgendwas muss sich geändert haben, aber was? Windows-Updates wurden nicht eingespielt.

Der einzige Unterschied zwischen den den verschienden Clientnetzwerken ist, dass das Problem Netzwerk ans Internet angebuden ist über einen DS-Lite-Tunnel mit IpV6 bei 1und1 angebuden ist. Das war vorher aber auch schon so.

Was mir gerade noch aufgefallen ist, ist dass immer wenn der Transport nach 2 Min. abbricht auch keine Verbindung zu keiner Webseite mehr möglich ist... seltsam, in der Konfig VPN habe ich den Gatway nicht vorgegeben:

Hat jemand eine Idee? wo ich ansetzen kann? Ich denke, das Problem ist auf jeden Fall Clientseitig zu suchen!
Mitglied: Pjordorf
LÖSUNG 05.01.2021 um 17:23 Uhr
Hallo,

Zitat von @zeroblue2005:
ein Windows Clientsystem mit Open-VPN (Aktuelle Version) bricht nach Herstellung der Verbindung den Transport von Daten einfach ab, so dass nichts auf der Serverseite zu erreichen ist. Nach einem Neustart der VPN-Verbindung geht es dann wieder für 2 Min.
Und der VPN Server ist ein was, wo usw.? Genug Lizenzen frei? Was steht in den LOGs beim Client und beim VPN Server? Zertifikat abgelaufen?


Gruß,
Peter
Bitte warten ..
Mitglied: zeroblue2005
05.01.2021 um 17:34 Uhr
Hallo Peter,

sorry

ist ein IP-Fire aktuelle Version. Clientpaket habe ich schon zisch mal neu erstellt und Zertifikate auch. Logs sagen nichts aus, weder Server noch Client. Verbidnung steht ja auch (Ist grün) Nur nach zwei Minuten gehen keine Daten mehr durch von der Clientseite. Verbindung bleibt bestehen, lässt sich auch von Serverseite anpngen, kann den Client also erreichen, aber eben nicht von der Clientseite in Richtung Remotenetzwerk.
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.01.2021 um 17:48 Uhr
Den Parameter -mssfix auf 0 zu setzen ist recht kontraproduktiv. Im Default steht der auf 1450 und gibt die max. Tunnel MTU an. 1450 ist ein realistischer Wert der so gut wie alles abdeckt. Du erzwingst diesen Wert auf 0, sprich jegliche Session bekommt gesagt das man 0 Bytes im Tunnel übertragen kann. Recht sinnfrei sowas...zumal wenn man die Tunnel MTU auch manuell setzt.
Den Parameter solltest du also dringenst löschen damit der Default Wert gilt. Tunnel MTU ebenso. Normal muss man an diesen Default Werten nicht fummeln. Gleiches gilt für evtl. Settings in der Server Konfig.
Den Rest erklärt das hiesige OpenVPN Tutorial:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
Bitte warten ..
Mitglied: zeroblue2005
05.01.2021 um 19:07 Uhr
Hallo Zusammen,

ich habe das Problem gelöst, man will es nicht glauben, aber wenn ich der Client Konfig den Parameter: Redirect Gateway mit gebe, dann läuft es! Laut Tracert wird nun die VPN als Gateway benutzt. Ich vermute mal das es ein Probleme mit dem DS-Lite bzw. IpV6 bzw. Routen gab, auf der Clientseite. Danke euch trotzdem ür euere Ansätze.
Bitte warten ..
Mitglied: LordGurke
05.01.2021 um 19:15 Uhr
Das ergibt keinen Sinn.
Ob du nun selektiv einzelne Routen oder alles (Defaultgateway) durch den Tunnel routest hat mit DS-Lite nichts zu tun.
Könnte es sein, dass du den Client nicht mit erhöhten Rechten gestartet hast und deshalb die Routen nicht ordentlich gesetzt wurden?
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.01.2021, aktualisiert um 19:23 Uhr
Client Konfig den Parameter: Redirect Gateway mit gebe, dann läuft es!
Du hast Recht ! Diesen Riesen Fauxpas in deiner Client Konfig haben wir glatt übersehen im Eifer des Gefechts !
Ohne solche Routing Anweisung kannst du allein nur den OVPN Server erreichen bzw. das interne OpenVPN IP Netz. Alles andere ist dann unroutebar und damit unereichbar.
Kannst du auch am Client immer selber sehen wenn du dir bei aktivem VPN Client einmal mit route print dessen aktuelle Routing Tabelle ansiehst ! 😉

Ob du dir mit dem Gateway Redirect einen (Performance) Gefallen getan hast musst du selber beurteilen, denn damit routet man ALLES in den VPN Tunnel. Auch allen lokalen Internet Traffic !
Aus Performance Gründen immer so eine Sache, denn es belastet den Tunnel massiv und bei schacher Kryptografie Hardware geht der Durchsatz in die Knie. Wenn das gewollt ist um allen Verkehr des Clients zu schützen...OK.

Wenn nicht solltest du besser auf eine Split Tunneling Konfig gehen indem du mit push route... in der Server Konfig nur dediziert die remoten Netze in den VPN Tunnel routets die du erreichen willst. Dann geht auch einzig nur dieser Traffic in den Tunnel und alles andere bleibt lokal !
Das o.a. Tutorial erklärt das im Kapitel: "Konfiguration OpenVPN Server" im Detail:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
Bitte warten ..
Mitglied: zeroblue2005
06.01.2021 um 08:19 Uhr
Danke aqui,

das passt schon bei dem Client. Das ist nur ein Rechner im Clientnetzwerk.
Bitte warten ..
Mitglied: aqui
06.01.2021 um 10:36 Uhr
Dann können wir den Case ja ganz beruhigt schliessen... 😉
Bitte warten ..
Heiß diskutierte Inhalte
HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 15 StundenFrageHTML16 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
Wicky1Vor 1 TagFrageHardware15 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Netzwerke
Smarthome Heimnetzwerk absichern
hell.wienVor 1 TagFrageNetzwerke12 Kommentare

Hallo. Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache Überischthalber zur Hardware: Vorhanden: Modem APU4D4 Cisco SG250X-24P Mikrotik cAP ac ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...