Toggle sidebar

openVPN Client verliert Verbindung

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Q

Qhiliqq

Benutzer
Registriert
14. Juli 2021
Beiträge
11
Reaktionspunkte
2
Punkte
3
Hi zusammen,

nach rund drei Jahren kann ich keine stabile VPN Verbindung mehr aufbauen...

Folgendes Szenario:
Ich habe zwei Synology NAS Geräte an unterschiedlichen Standorten am laufen.
Um hier per Hyperbackup eine Verbindung zu bekommen, läuft auf einem NAS der VPN-Server und auf dem anderen habe ich die VPN Verbindung als Client eingerichtet.
Das ganze lief jetzt ca. drei Jahre problemlos.

Vor ca. einem Monat haben wir zur Deutschen Glasfaser gewechselt, wobei auch hier alles problemlos lief, bis letzten Freitag.
Seit da habe ich das Problem, dass die VPN Verbindung alle 2-5 Minuten abreißt und danach baut er die Verbindung wieder auf.

In meiner FritzBox ist alles soweit passend eingestellt und die NAS-Geräte von der Firewall her eigentlich auch (hat sich ja nichts geändert).
Das komische ist jedoch, auch per openVPN APP (Android) passiert das selbe, auch hier fliege ich runter.
Habe schon von UDP auf TCP gewechselt, selbes Phänomen.

Als Fehlermeldung in der APP erhalte ich: "Session invalidated: KEEPALIVE_TIMEOUT"
Zertifikate sind alle aktuell, Firewall passt auch.
Wo kann ich bspw. die Keep-Alive Einstellungen am Synology VPN Server anpassen?
Könnte jetzt noch an DeutscheGlasfaser liegen, wobei ich mir hier nicht sicher bin.

Jemand noch ne Idee?
 
Zuletzt bearbeitet:
Deutsche Glasfaser verwendet m.W. DS-Lite bzw. CG-Nat, d.h. du hast vermutlich keine öffentlich erreichbare IPv4 mehr.
Ich könnte mir vorstellen, dass dein DDNS-Dienst neben der IPv6 auch noch die IPv4 auflöst und es deshalb zu diesen Aussetzern kommt.
Welchen DDNS-Namen verwendest du da, und was löst ein "nslookup" dazu auf?
 
In Ergänzung zu den Fragen von @Benares könntest Du uns noch mitteilen, ob der Wechsel zur Glasfaser beide Standorte betrifft bzw. wie die Anbindung an den beiden Standorten hinsichtlich DS-Lite aussieht.
Den Timeout anzupassen macht m.E. keinen Sinn, die Verbindungsüberwachung braucht man ja. Kannst Du denn vor Auftreten des Timeouts über den Tunnel kommunizieren?
 
Hatte ich vergessen zu erwähnen, wir hatten schon DS-Lite vorher in Betrieb.
Also es ist alles IPv6 basierend, auch die DDNS von Synology gibt nur die IPv6 frei.

Wenn es tatsächlich an DG liegen würde, warum hat es dann drei Wochen auch problemlos funktioniert?

Benares schrieb:
Welchen DDNS-Namen verwendest du da, und was löst ein "nslookup" dazu auf?
Zum Vergrößern anklicken....
NSLOOKUP gibt mir die richtige IPv6 zurück und keine IPv4.

Hagen2000 schrieb:
Kannst Du denn vor Auftreten des Timeouts über den Tunnel kommunizieren?
Zum Vergrößern anklicken....
Ja ich kann in dem Zeitraum von 2-5 Minuten kommunizieren.
 
Ich würde als erste Maßnahme mal den OpenVPN-Server neu starten bzw. das ganze NAS, auf dem der OpenVPN-Server läuft.
 
Hab ich mit beiden NAS schon gemacht.
Neu gestartet, von UDP auf TCP geändert und wieder zurück, MSSFIX niedriger eingestellt oder mehr...
 
Zuletzt bearbeitet von einem Moderator:
Ich weiß auch nicht, was diese Keepalive-Prüfung genau macht, aber ich denke, da ist Hund begraben. Google mal nach "openvpn Session invalidated: KEEPALIVE_TIMEOUT"
Evtl. ist es nur ein normaler ping und ping6 ist bei der Portfreigaben nicht freigeschaltet oder sowas in der Art.
Das erklärt aber alles nicht, wieso das erst jetzt auftritt.
 
Ich kopiere hier mal aus meiner server.conf den relevanten Teil rein:
Code: 
# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 10 120
Mein OpenVPN-Server läuft allerdings nicht auf einem Synology-NAS, Du müsstest also nach deiner server.conf suchen (z.B. unter /usr/syno/etc/...).
Aus dem Gelesenen würde ich jetzt schließen, dass das keine normalen ICMP-pings sind, sondern Pakete, die insbesondere im Tunnel laufen (in der Doku wird hier von einem "control channel" gesprochen).

Was mir noch einfällt wären Firewall-Einstellungen.
 
Habe das ganze jetzt als Ticket bei Synology eingereicht, da es egal wie bei mir nicht mehr funktionieren will...
Halte euch auf dem laufenden.
 
Also...

Was genau das Problem ist, ist noch nicht ganz raus.
Aber der Support teilte mir mit, ich solle das Protokoll auf UDP stellen, die Verschlüsselung auf AUTO und die Authentifizierung auf SHA512 stellen.
Jetzt verlieren wir keine Verbindung und sind seit bereits einer Stunde verbunden... ;)
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten