OpenVPN-Verbindung wird bei Last unterbrochen
Grüße, Admins!
Ich habe auf einer pfsense Installation den openVPN-Server aktiviert (mit Zertifikaten). Als Clients setze ich Windows 7 64bit ein. Meine Verbindung ist VDSL25, der Server steht "in der Nähe" (Deutschland) und hat eine Breitbandanbindung (Standleitung). Als Router / Firewall / VPN-Server läuft ein PCengines alix2 mit pfsense. Last durch andere Nutzer / Dienste ist auszuschließen.
Den Client habe ich zum Laufen bekommen und habe auch schon mehrmals problemlos VPN-Verbindungen mit viel "Last" herstellen können.
Nun tritt leider das Problem auf, dass die Verbindung plötzlich nicht mehr funktioniert, sobald ich irgend ein Protokoll einsetze, was etwas mehr Last als Ping & nslookup auf der VPN-Verbindung erzeugt. Konkret sind das bei mir Remotedesktop auf den Windows-Server hinter der Firewall und SCP auf einen Linux-Server.
Also: Verbindung mit openVPN herstellen klappt immer wunderbar und geht fix. Nslookup und ping sind auch kein Problem aber sobald ich eine RDP-Sitzung öffnen will oder einen SCP-Transfer initiiere, kommen keine ICMP-Antworten mehr (im Hintergrund ein ping -t).
Komisch daran: Weder im openVPN-Server noch im Client sagt das Logfile irgendetwas aus. Im Server steht gar nichts und im Client kommt irgendwann eine Timeout-Meldung und dann ein Reconnect welcher auch funktioniert. Allerdings bricht die Verbindung bei Last wieder zusammen. Das seh ich an den ICMP-Antworten, die versiegen sobald ich RDP oder SCP nutzen will.
Noch komischer: Auf meinem ersten Client hat es zunächst einwandfrei funktioniert. Plötzlich trat das Problem auf und ich richtete openVPN auf dem zweiten Client ein um das Problem einzukreisen. Da funktionierte es auch für einige Zeit problemlos, bis es dann auch nicht mehr ging. Auf beiden Clients habe ich bisher nie wieder eine fehlerfreie Verbindung bekommen. Ich könnte wetten, der 3. Client machts auf für ein paar Tage und dann ist Feierabend.
Wireshark auf dem Client bringt viele mit "TCP Window Full" markierte Pakete. Woran könnte das liegen?
Bin für sämtliche Ideen dankbar, ich bin mit meinem Latein am Ende (ist so ein blödes "ging doch mal und plötzlich nicht mehr"-Problem)
Ich habe auf einer pfsense Installation den openVPN-Server aktiviert (mit Zertifikaten). Als Clients setze ich Windows 7 64bit ein. Meine Verbindung ist VDSL25, der Server steht "in der Nähe" (Deutschland) und hat eine Breitbandanbindung (Standleitung). Als Router / Firewall / VPN-Server läuft ein PCengines alix2 mit pfsense. Last durch andere Nutzer / Dienste ist auszuschließen.
Den Client habe ich zum Laufen bekommen und habe auch schon mehrmals problemlos VPN-Verbindungen mit viel "Last" herstellen können.
Nun tritt leider das Problem auf, dass die Verbindung plötzlich nicht mehr funktioniert, sobald ich irgend ein Protokoll einsetze, was etwas mehr Last als Ping & nslookup auf der VPN-Verbindung erzeugt. Konkret sind das bei mir Remotedesktop auf den Windows-Server hinter der Firewall und SCP auf einen Linux-Server.
Also: Verbindung mit openVPN herstellen klappt immer wunderbar und geht fix. Nslookup und ping sind auch kein Problem aber sobald ich eine RDP-Sitzung öffnen will oder einen SCP-Transfer initiiere, kommen keine ICMP-Antworten mehr (im Hintergrund ein ping -t).
Komisch daran: Weder im openVPN-Server noch im Client sagt das Logfile irgendetwas aus. Im Server steht gar nichts und im Client kommt irgendwann eine Timeout-Meldung und dann ein Reconnect welcher auch funktioniert. Allerdings bricht die Verbindung bei Last wieder zusammen. Das seh ich an den ICMP-Antworten, die versiegen sobald ich RDP oder SCP nutzen will.
Noch komischer: Auf meinem ersten Client hat es zunächst einwandfrei funktioniert. Plötzlich trat das Problem auf und ich richtete openVPN auf dem zweiten Client ein um das Problem einzukreisen. Da funktionierte es auch für einige Zeit problemlos, bis es dann auch nicht mehr ging. Auf beiden Clients habe ich bisher nie wieder eine fehlerfreie Verbindung bekommen. Ich könnte wetten, der 3. Client machts auf für ein paar Tage und dann ist Feierabend.
Wireshark auf dem Client bringt viele mit "TCP Window Full" markierte Pakete. Woran könnte das liegen?
Bin für sämtliche Ideen dankbar, ich bin mit meinem Latein am Ende (ist so ein blödes "ging doch mal und plötzlich nicht mehr"-Problem)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158705
Url: https://administrator.de/forum/openvpn-verbindung-wird-bei-last-unterbrochen-158705.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
15 Kommentare
Neuester Kommentar
Das wäre einen Versuch wert in der Tat. Ebenso wäre einmal interessant was die CPU Last im ALIX sagt ??
Generell kann das ALIX solche Bandbreiten problemlos verkraften, nebenbei erzeugt RDP ja nun auch nur minimalen Traffic..generell also kein Problem.
Bist du nach folgender Anleitung vorgegangen: ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hast du ggf. noch einen Router VOR der pfSense ??
Generell kann das ALIX solche Bandbreiten problemlos verkraften, nebenbei erzeugt RDP ja nun auch nur minimalen Traffic..generell also kein Problem.
Bist du nach folgender Anleitung vorgegangen: ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hast du ggf. noch einen Router VOR der pfSense ??
OK, mit 1400 klappt es einwandfrei wie du sehen kannst:
15:06:41 2011 Control Channel MTU parms [ L(ength):1400... Hier hält er also die 1400 Byte ein.
Das 1327 schon nicht mehr ankommen ist schon merkwürdig. Kann es sein das der DFN Router irgendwo eine MTU konfiguriert hat ?? Sieh dir mal das WAN Interface dazu an und ermittle den max. MTU Wert !! Das ist dann natürlich fatal wenn dort eine kleinere MTU als bei dir im Tunnel konfiguriert ist...dann kommt es zu Problemen.
Du kannst die max. MTU auch ganz einfach ermitteln:
http://www.gschwarz.de/mtu-wert-ermitteln
Der kleineste Wert der da rauskommt ist dann auch der minimalwert deiner MTU. Wenn der Tunnel Pakete mit größerer MTU schickt als ein WAN Interface auf der Strecke hat dropt der Router diese zu großen Frames:
http://www.cisco.com/en/US/tech/tk175/tk15/technologies_tech_note09186a ...
TCP macht nicht wirklich Sinn da der Overhead noch erheblich größer wird und das die Performance deiner VPN Verbindung verschlechtert. Außerdem löst das das MTU Problem auch nicht ! Das bleibt ja. Es mag aber sein das mit TCP eine MTU Path Discovery ausgeführt wird, was eigentlich immer Standard ist.
Käme auf einen Versuch an... Ist ja schnel in der Konfig Datei geändert....
15:06:41 2011 Control Channel MTU parms [ L(ength):1400... Hier hält er also die 1400 Byte ein.
Das 1327 schon nicht mehr ankommen ist schon merkwürdig. Kann es sein das der DFN Router irgendwo eine MTU konfiguriert hat ?? Sieh dir mal das WAN Interface dazu an und ermittle den max. MTU Wert !! Das ist dann natürlich fatal wenn dort eine kleinere MTU als bei dir im Tunnel konfiguriert ist...dann kommt es zu Problemen.
Du kannst die max. MTU auch ganz einfach ermitteln:
http://www.gschwarz.de/mtu-wert-ermitteln
Der kleineste Wert der da rauskommt ist dann auch der minimalwert deiner MTU. Wenn der Tunnel Pakete mit größerer MTU schickt als ein WAN Interface auf der Strecke hat dropt der Router diese zu großen Frames:
http://www.cisco.com/en/US/tech/tk175/tk15/technologies_tech_note09186a ...
TCP macht nicht wirklich Sinn da der Overhead noch erheblich größer wird und das die Performance deiner VPN Verbindung verschlechtert. Außerdem löst das das MTU Problem auch nicht ! Das bleibt ja. Es mag aber sein das mit TCP eine MTU Path Discovery ausgeführt wird, was eigentlich immer Standard ist.
Käme auf einen Versuch an... Ist ja schnel in der Konfig Datei geändert....
Das ist richtig. Entweder hast du einen zu schwachen Billigrouter der einfach die Packet Forwarding Rate nicht schafft und/oder der kann nicht korrekt mit dem MTU Handling umgehen ?! Immerhin hast du VDSL 25 da spielt Paket Forwarding eine nicht unerhebliche Rolle. Hast du vor dem OpenVPN pfSense noch einen Router oder gehst du direkt ins VDSL ? http://www.heise.de/netze/artikel/pfSense-als-VDSL-Router-221500.html
Störungen auf dem DSL Link oder ein billiges Modem was damit nicht umgehen kann wären ein weiterer Grund.
Hast die die Firmware deines Zuhause Routers auf dem aktuellsten Stand ??
Ansonsten einmal testweise einen anderen Router oder Modem austesten.
Störungen auf dem DSL Link oder ein billiges Modem was damit nicht umgehen kann wären ein weiterer Grund.
Hast die die Firmware deines Zuhause Routers auf dem aktuellsten Stand ??
Ansonsten einmal testweise einen anderen Router oder Modem austesten.
Oha....und da wunderst du dich bei so einem wackeligen Router ?? Den solltest du dann als allererstes ersetzen. Scheinbar bist du nicht der einzige...es gibt dazu hunderte von Threads...
http://www.mac-tv.de/Forum/showthread.php?t=11204
http://www.mac-tv.de/Forum/showthread.php?t=11204
OK, wenn das parallel störungsfrei rennt ist das sicher nicht das Thema denn besonders ist das keineswegs..eher noch robuster als IPsec.
Dann liegt es an den speziellen Tunnelendpunkten bzw. Konfiguration der VPN Endgeräte.
Über ein Forum da jetzt aber detailiertes Troubleshooting zu machen sprengt den Rahmen, denn da müsste man mit Wireshark und anderen Tools ins eingemachte gehen.... Denn ein MTU Problem hast du, das ist nicht von der Hand zu weisen...
Dann liegt es an den speziellen Tunnelendpunkten bzw. Konfiguration der VPN Endgeräte.
Über ein Forum da jetzt aber detailiertes Troubleshooting zu machen sprengt den Rahmen, denn da müsste man mit Wireshark und anderen Tools ins eingemachte gehen.... Denn ein MTU Problem hast du, das ist nicht von der Hand zu weisen...