OVPN bricht alle 30 Minuten ab

Status
Für weitere Antworten geschlossen.

Tom H

Benutzer
Mitglied seit
21. Apr 2016
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe zwei Wohnorte und dort jeweils eine etwas betagte DS215j. Seit etwa 1 1/2 Jahren nutze ich den VPN-Server, im speziellen OpenVPN. Bislang fungierte die Diskstation an Wohnort 2 als VPN-Server und tat dies auch einwandfrei. Da nun zusätzlich aus dem Elternhaus meiner besseren Hälfte auf den VPN-Server zugegriffen wird und hierbei gewisse Probleme in der Bandbreite auftraten, die ich (bislang) auf die Peering-Policy der Telekom schiebe, betreibe ich nun die Diskstation an Wohnort 1 als VPN-Server, da dies im Gegensatz zu Wohnort 2 ebenso ein Telekom-Anschluss ist.

Die Herstellung der OVPN-Verbindung klappt soweit einwandfrei von allen Geräten und Wohnorten. Jedoch bricht diese ziemlich genau alle 30 Minuten gleichzeitig bei allen verbundenen Clients gleichzeitig ab, egal ob diese sich in einem Mobilfunknetz, im Telekom-Festnetz oder Vodafone-Kabelnetz verbinden. Laut dem Traffic-Monitor der OVPN-App kommen dann überhaupt keinerlei Pakete mehr Seitens der VPN-Servers am Client mehr an und nach 5 Sekunden wird die Verbindung als getrennt angesehen. Dann dauert es einige Sekunden und die Clients stellen automatisch und ohne Problem wieder die Verbindung her. Nach weiteren 30 Minuten wieder das Gleiche. Zu der Zeit der Trennung und Reconnects geht auch immer im Ressourcenmonitor von DSM die CPU-Auslastung auf Anschlag, was nicht der Fall ist, wenn ich einfach so eine neue VPN-Verbindung von einem Client herstelle.

Ich habe bereits mehrfach komplett den VPN-Server von der Diskstationen deinstalliert und wieder neu installiert. Auch den Clients eine feste IP zugewiesen, IPv4- und IPv6-Verbindungen ausprobiert und sonst noch allerlei Zeugs was ich als Tipps gefunden habe. Es half bislang alles nichts. Hat denn vielleicht jemand eine Idee was ich noch tun kann?

Hier mal die openvpn.conf
Rich (BBCode):
push "route 192.168.200.0 255.255.255.0"
push "route 192.168.202.0 255.255.255.0"
push "dhcp-option DNS 9.9.9.9"
push "route-ipv6 2000::/3"
push tun-ipv6
tun-ipv6
server-ipv6 xxxxxxxxx/64
dev tun

management 127.0.0.1 1195

server 192.168.202.0 255.255.255.0

user nobody
group nobody


dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5


persist-tun
persist-key

verb 5

log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 56789
cipher AES-128-CBC
auth SHA256

Hier noch was das Server-Log dann auswirft:
Code:
Wed Nov 13 13:18:24 2019 us=331170 Diskstation2/::ffff:188.193.xxx.xx(1194) SENT CONTROL [Diskstation2]: 'PUSH_REPLY,ifconfig-ipv6 2003:cd:xxxx:xxxx::1000/64 2003:cd:xxxx:xxxx::1,route 192.168.200.0 255.255.255.0,route 192.168.202.0 255.255.255.0,dhcp-option DNS 9.9.9.9,route-ipv6 2000::/3,tun-ipv6,tun-ipv6,route 192.168.202.1,topology net30,ping 10,ping-restart 60,ifconfig 192.168.202.6 192.168.202.5' (status=1)
WWWWWRR....RWRWRWRWWed Nov 13 13:47:12 2019 us=929271 event_wait : Interrupted system call (code=4)
Wed Nov 13 13:47:12 2019 

RADIUS-PLUGIN: FOREGROUND: OPENVPN_PLUGIN_CLIENT_DISCONNECT is called.
Wed Nov 13 13:47:12 2019 RADIUS-PLUGIN: FOREGROUND: Delete user for accounting: commonname: ::ffff:188.193.xxx.xxx:1194
Wed Nov 13 13:47:12 2019 RADIUS-PLUGIN: BACKGROUND ACCT: Get a command.
Wed Nov 13 13:47:12 2019 RADIUS-PLUGIN: BACKGROUND-ACCT: Delete user from accounting.
Wed Nov 13 13:47:12 2019 RADIUS-PLUGIN: BACKGROUND ACCT: Stop acct: username: Diskstation2, calling station: ::ffff:188.193.xxx.xxx, commonname: Diskstation2.
Wed Nov 13 13:47:12 2019 RADIUS-PLUGIN: BACKGROUND-ACCT:  No routes for user in AccessAcceptPacket.
Wed Nov 13 13:47:12 2019 RADIUS-PLUGIN: BACKGROUND ACCT: Scheduler: Read Statusfile.
Wed Nov 13 13:47:12 2019 RADIUS-PLUGIN: BACKGROUND ACCT: No accounting data was found for Diskstation2,::ffff:188.193.xxx.xxx:1194.
Wed Nov 13 13:47:12 2019 RADIUS-PLUGIN: BACKGROUND-ACCT: Got accouting data from file, CN: Diskstation2 in: 0 out: 0.
Wed Nov 13 13:47:13 2019 RADIUS-PLUGIN: BACKGROUND-ACCT:  Get ACCOUNTING_RESPONSE-Packet.
Wed Nov 13 13:47:13 2019 RADIUS-PLUGIN: BACKGROUND-ACCT: Stop packet was sent. CN: Diskstation2.
Wed Nov 13 13:47:13 2019 RADIUS-PLUGIN: BACKGROUND ACCT: User with key: ::ffff:188.193.xxx.xxx:1194 was deleted from accouting.
Wed Nov 13 13:47:13 2019 RADIUS-PLUGIN: FOREGROUND: Accouting for user with key::ffff:188.193.xxx.xxx:1194 stopped!
 
Zuletzt bearbeitet:

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
ich bin nun wirklich kein VPN Experte, das voraus geschickt...

Wenn du eh schon oft neuinstallierst: probier doch als Versuch mal, nur IPv4 Adressen und schalte v6 ganz ab. Wie läuft es dann?

Grüßle
the other
 
Zuletzt bearbeitet:

Tom H

Benutzer
Mitglied seit
21. Apr 2016
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
War eine gute Idee. Nach einigem Testen mit WAN- und LAN-seitig deaktiviertem IPv6 habe ich mich langsam an die Fehlerursache rangetastet. Der aktivierte IPv6-Servermodus ist scheinbar an dem Verhalten schuld.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
na, das sind ja erstmal gute Nachrichten.

Wenn du dich gerade eh damit beschäftigst: dein NAS als VPN zu nutzen und somit per PFW ja auch im Router freizugeben ist aus Sicherheitsgründen keine gute Idee. Besser du nutzt zB einen Raspberry Pi als VPN Server. Kostet nicht viel, bietet AFAIK mehr Konfigurationen und die Wahrscheinlichkeit, dass sowohl IPv4 als auch 6 problemlos funktionieren steigt damit.

Zusätzlich entlastet es dein NAS und du kannst dein neues Raspi gleich noch für PIHole einrichten und Werbung und Malware Sites komplett rausfiltern auf DNS Ebene. Lies dich in die Themen mal ein, es lohnt sich sehr!

Themen Raspberry als VPN Server und PiHole...

Schön dass es jetzt besser zu laufen scheint...

Grüßle
the other
 

Tom H

Benutzer
Mitglied seit
21. Apr 2016
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
Danke für den Tipp. Hat jetzt eine Weile gedauert (die Anschaffung als Weihnachtsgeschenk), aber es läuft nun je Wohnort ein Pi4.
Das PiHole läuft schon länger. Das VPN für die LAN-LAN-Koppelung, als auch für Road Warrior Clients, läuft nun auf Wireguard-Basis auf je zwei Interfaces.

Den Datenbankserver auf einer DS möchte ich noch auf den deutlich performanteren PI umziehen und vielleicht findet sich auch sonst noch eine interessante Spielerei.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
na, das hört sich nach einer super Aufwertung deiner Netzwerke an. Gut, dass alles läuft und wireguard ist sicher auch spannend. Ich nutze erstmal weiter openVPN und warte auf neue Implementierungen von wg, vielleicht mal auf der pfsense...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat