Seit VPN Center Update 1.2-2423 (openvpn 2.3.4 nach 20 Minuten disconnect

[nicht ich]

Hallo,

seit dem VPN-Center Update auf Version: 1.2-2423 läuft mein bis dahin stabiles OpenVPN nicht mehr. Es kommt exakt nach 20 Minuten zu einem Disconnect des Client. Es gibt halt sowieso ein Autoreconnect Skript, das alle 30 Minuten am Client läuft, aber für Übertragungen > 20 Minuten ist so ein Disconnect doof.

Log:

Sun Sep 28 11:35:00 2014 Client_User/::ffff:Server_IP(1194) [User] Inactivity timeout (--ping-restart), restarting
Sun Sep 28 11:35:00 2014 Client_User/::ffff:Server_IP(1194) SIGUSR1[soft,ping-restart] received, client-instance restarting
Sun Sep 28 11:35:00 2014 RADIUS-PLUGIN: BACKGROUND ACCT: No accounting data was found for Client_User,::ffff:Server_IP:1194.
Sun Sep 28 11:35:00 2014 PLUGIN_CALL: POST /var/packages/VPNCenter/target/lib/radiusplugin.so/PLUGIN_CLIENT_DISCONNECT status=0

Auch wird seit dem Update am 23.09. das Log mit sowas vollgeschrieben

get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn

Hat das jemand auch?
Am liebsten würde ich wieder auf Version: 1.2-2416 umsteigen, weiß nur nicht, wo ich das Quellpaket herbekommen. Weiß das jemand?

Und ich habe festgestellt, dass ich mehrere Versionen von OpenVPN auf der Kiste habe:

 ./volume1/@appstore/VPNCenter/sbin/openvpn
OpenVPN 2.3.4 armle-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Sep  3 2014

/usr/sbin/openvpn --version
OpenVPN 2.1.4 armle-unknown-linux [SSL] [LZO2] [EPOLL] built on Apr 14 2014

Achos im Einsatz sind ein DS214 @ DSM 5 als OpenVPN Server und als Client ein DS213j @ DSM 5.

Ich sehe jetzte auch nicht, wo ich das Timeout vergrößern könnte, oder muss ich das am Client tun?
Server.conf:

push "route 192.168.3.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"

port 1194
proto udp
dev tun

management 127.0.0.1 1195

server 10.8.0.0 255.255.255.0

;route 192.168.0.0 255.255.255.0 # wird später mal benötigt.
route 192.168.2.0 255.255.255.0


client-config-dir ccd
client-to-client

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh1024.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5

comp-lzo

persist-tun
persist-key

verb 3

log-append /var/log/openvpn.log

keepalive 10 300
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf 
client-cert-not-required 
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6

Danke

PS: Also Reboot des NAS' und auch restart des VPN Dienstes wurde natürlich schon durchgeführt.

 

[fpo4711]

Hallo,

hab nirgends im produktiven Einsatz DSM5 weshalb ich hier nur erst einmal spekulieren kann. Für die Erkennung ob eine Verbindung noch steht schickt openVPN so etwas wie einen Ping. Kommt keine Antwort gilt die Verbindung als getrennt. Kann mich mal entfernt daran erinnern das es in einer älteren Version damit schon mal Probleme gab. Die Directive die das Timeout bestimmt ist:

keepalive 10 300

Eine älteres Paket kannst Du hier finden.

Gruß Frank

 

[Joesix]

Ich hab ein ähnliches Problemenn eine OpenVPN Verbindung besteht und die CPU Last extrem ansteigt. Dabei bricht mir gelegentlich die VPN Verbindung zusammen und kann auch solange, bis die CPU Last wieder gesunken ist, nicht mehr aufgebaut werden. Dabei bekomme ich dann auch Radius Fehler:

PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /var/packages/VPNCenter/target/lib/radiusplugin.so
TLS Auth Error: Auth Username/Password verification failed for peer

Natürlich sind Benutzername und Password korrekt. Seltsamerweise schlägt die automatische IP Sperre bei diesen Fehlern aber auch nicht an.

Da ich aber meine OpenVPN Einstellungen jenseits vom Standard (TCP statt UDP) fahre mache ich mir gar nicht erst die Mühe diesen Fehler zu melden...

Vielleicht prüfst Du mal ob im in Deinem "Intervall" auch eine Hochlast-Phase auftitt

 

[nicht ich]

Danke Frank für den Link. Leider gibt es meine Version dort nicht, aber ich testete mit einem Release, dass im Juni 14 veröffentlich wurde. Leider habe ich weiterhin das Problem. Merkwürdig ist halt, dass ich an der Konfig nichts geändert habe und es mit den Updates im Septemer nichts mehr ging und ein Downgrade hat so schnell nicht geholfen wie ich gehofft hatte.

Rein rechnerisch ist der Keepalive nicht der Grund für die Disconnects. Nur die Auswirkung auf's Logging. Werde wohl wieder einen Upgrade machen auf die aktuelle Version.
Auch die Firewallfreigabe am NAS ist natürlich nach dem Downgarde wieder drin (die Dienstallation bewirkt ja, dass die Regel rausgenommen wird und nach der Installation muss sie wieder konfiguriert werden).


@Joesix: Dein Problem hört sich ziemlich anders an. CPU Last ist nicht mein Problem. Die Authentifizierung funktioniert bei mir problemlos. Aber bei den Clients killt die Session nach kurzer Zeit, die VPN IP der Clients war bis zum Downgrade für 4-20 Sekunden erreichbar, also Tunnel stand kurz. Aber seit dem Downgrade kann der Synology-Client sich garnicht mehr anmelden (Konfig nach wie vor unverändert - seit Juli). So ein Problem hatte ich mal am Client. Hatte Konfig gelöscht und neu angelegt und alles war gut.

 

[Frogman]

Leider habe ich weiterhin das Problem. Merkwürdig ist halt, dass ich an der Konfig nichts geändert habe und es mit den Updates im Septemer nichts mehr ging und ein Downgrade hat so schnell nicht geholfen wie ich gehofft hatte.

Nun, wenn es mit der alten Version ebenfalls auftritt, klingt mir das eher nicht nach einem Problem mit der neuen Version. Bei mir (neueste Version) bleibt der Tunnel länger als 20 min offen.

 

[nicht ich]

Ich kann nur sagen bis zum 22.09. war alles ok. Dann kam das VPN Update.... Aber Spekulationen sind letztendlich mühsam und nicht hilfreich. Evtl. liegt es auch an der Kombination mit dem DSm 5 Update 5, dass die alte Version nicht rund läuft. Vielleicht ist auch was beim Udpate Prozess schief gelaufen. Versuche mich gerade an einer Xpenology Installation, um das Problem nachzuvollziehen, ohne dauernd am NAS rumspielen zu müssen.

Da ist irgendwas faul. Nach dem Update auf die aktuelle Version, nach dem ich das Downgrade machte, geht genauso wie beim Downgrade garnix. Vor dem Downgrade waren die Verbindungen wenigstens kurz da. Jetzt keine einzige mehr und wie gesagt. ich habe seit Juli die Konfig nicht verändert..... das gefällt mir garnicht.

Das wäre dann das zweite Mal, dass es Synology schafft mit einem Update meine DS lahm zu legen - wohl gemerkt ohne mein Zutun.

 

[Simiii]

Ich habe auch seit dem Update vom OpenVPN-Server mit Problemen zu kämpfen. Seit gestern Abend wird die Verbindung überhaupt nicht mehr aufgebaut. Vorher gab es regelmäßige Abbrüche. Gibt es eine Möglichkeit irgendwie das Update rückgängig zu machen?

Update: http://download.synology.com/ftp/spk/VPNCenter/1.2-2415/ Möglichkeit gefunden

 

[nicht ich]

s. Post #2. Frank hatte das schon gepostet.

 

[Simiii]

s. Post #2. Frank hatte das schon gepostet.

Okay übersehen

Ich habe nun das Downgrade hinter mir. Musste einen neuen Benutzer anlegen, da er sonst nicht erkannt worden ist. Außerdem wurde die Serverconfig. mit IP-Routen natürlich überschrieben. Nachdem anpassen läuft nun alles wieder wie früher. Trotzdem würde mich interessieren was geändert worden ist. Habe gerade mit den Leuten vom Synology Deutschland gesprochen. Die wollen nun den Sachverhalt auf meinem NAS mal auswerten. Ich bin gespannt.

 

[nicht ich]

Das finde ich gut! Also vor allem, dass es bei dir geholfen hat, bei mir hat das Downgrade bislang nichts gebracht. Habe aber auch gerade kaum Zeit mich intensiver damit zu beschäftigen, erwäge ein Neuaufsetzen des NAS, geht schneller als ewig rumdoktoren.

 

[Red M&M]

Hallo,

ich habe seit dem letzten Update das selbe Problem und die selbe Fehlermeldung im log des OpenVPN Servers:

get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn
get arguemnt prtl: openvpn

Ich habe eine DS214play, DSM5.0, alle Updates installiert.

Seit dem Update gehen meine Festplatten auch nicht mehr in den Ruhezustand, was ich momentan der Aktivität des OpenVPN zuschreibe, der ja recht fleißig das log file aktualisiert.

Ich werde heute abend auch mal ein Ticket an den Synology Support aufmachen, komme nur momentan nicht an meine Diskstation ran, um die nötigen Details zu sammeln. Hat hier zwischenzeitlich vielleicht jemand eine praktikable Lösung für das Problem gefunden?

Grüße,
Alex

 

[hhvsyn]

Hallo,

mein problem war auch die Meldung:

get arguemnt prtl: openvpn

seit die letzte Upgrade.

Ich habe ein email geschickt nach Synology und Sie haben es für mir gefixt (sagt mann das so in Deutsch?). Viellicht wirkt die fix auch für Sie.

Ich hätte mein openvpn.conf geändert so das es mit TCP funktionieren soll, statt UDP. "proto tcp" hat ich dabei geschrieben. Mit die letzte Update hat Synology ein commando hinzugefügt in openvpn.conf:

proto udp6

Diese Option hab' ich auskommentariert (?) wie so:

#proto udp6

und jetzt funktioniert alles wieder für mich, mit TCP.

Ich hoffe, das hilft

Huib Verweij.

 

[nicht ich]

Zu früh gefreut!

Hilft auch nicht :/

 

[hhvsyn]

Hallo,

wahrscheinlich soll ich das nicht sagen, und sehr wahrscheinlich werde es nichts fixen, aber haben Sie VPNServer gestoppt und gestartet? Natürlich haben Sie das gemacht, aber manchmal gibt es bei mir jedenfalls doch eind "Ach ja, natürlich!" moment.

Sonst können Sie auch noch vielleicht die ehemalige version vergleichen mit die heutige version.

Zum letzten gibt es noch die Möglichkeit ein Email nach die leute von Synology zu schicken. Ich hab' dafür die "Report Bugs" button gebraucht in die 5.1 Beta-version. Sie sind nicht SUPERSCHNELL, aber schnell.

Huib.

 

[nicht ich]

Habe ich schon alle probiert.
Ich habe mich an den Synology Support gewendet, mal schauen, ob und wenn ja was bei raus kommt.

 

[Red M&M]

Ich habe mich auch an den Synology Support gewandt. Sie wollten eine debug.dat haben, die ich ihnen auch geschickt habe. Seitdem habe ich nichts mehr gehört.
Wie dem auch sei, zumindest das Problem, dass das Protokoll mit "get arguemnt prtl: openvpn" vollgeschrieben wird, konnte ich lösen. Ich hatte dazu in meiner Server config folgende statements, die ich einfach auskommentiert habe:

status /tmp/ovpn_status_2_result 30
status-version 2

Sieht jetzt halt so aus:

#status /tmp/ovpn_status_2_result 30
#status-version 2

Ich habe mich dann mal mit meinem Handy zum VPN verbunden und die Verbindung hielt länger als 20 Minuten. Ob das eine mit dem anderen zusammenhängt, kann ich allerdings nicht sagen. Aber vielleicht hilft es ja...

Grüße,
Alex

 

[nicht ich]

Der Support hat mir folgendes geschrieben, nach dem ich denen das debug-file gegeben hatte:

Thank you for your message to us.

You installed a 3rd party software of "owncloud" which we don't support. We detectetd in the log files some database errors.

Further more the client presents false certificate for authentification.

Only way to solve the problem is to reinstall DSM.

Yeah, was haben MariaDB/Owncloud mit VPN zu tun? Mal voll am Problem vorbei.
Das falsche Zertifikat ist eine Auswirkung der Fehlersuche (Un/Install VPN Center), nicht die Ursache des Fehlers
Echt Helden! Habe mich dennoch an den Rat gehalten, alles neuzuinstallieren, weil ich echt keinen Bock hatte mich mit einem solchen "Support" rumzuschlagen, der pro Antwort 2-3 Tage auf sich warten lässt. Deren Strategie geht wohl auf - auch eine Art und Weise das Call-Aufkommen gering zu halten. Bin aber mit der Einrichtung noch nicht fertig. Ob das Problem weiterhin besteht oder nicht, kann ich noch nicht sagen.

 

[Red M&M]

Mir hat der Support auch geantwortet, meine VPNServer Installation wäre fehlerhaft und ich sollte das Paket de- und neuinstallieren. Zusätzlich haben sie noch festgestellt, dass meine DS nur mit 100MBit statt mit 1000MBit angeschlossen ist. Das lag allerdings an der Einstellung für den LAN Port meiner Fritzbox.
Wie dem auch sei, nachdem ich meine Server Config angepasst hatte (siehe mein vorheriger Post) und auf die 1000MBit umgestellt habe, läuft bei mir wieder alles. Verbindung bleibt länger als 20 Minuten bestehen und ich habe keine unnötigen Logeinträge mehr. Und das ohne Neuinstallation des VPN Server Packages.

Das hilft Dir jetzt wahrscheinlich nicht weiter, aber mehr Infos habe ich leider auch nicht.

 

[fpo4711]

Hallo,

erst einmal vorab ich möchte behaupten das ich mich mit OpenVPN relativ gut auskenne. Allerdings ist mir die vom TE beschriebene Fehlermeldung auch noch nie untergekommen.

Yeah, was haben MariaDB/Owncloud mit VPN zu tun? Mal voll am Problem vorbei.

Wieso kommst Du darauf? Beide nutzen sicherlich (ohne das im einzelnen geprüft zu haben) gleiche Libaries. Wenn jetzt beispielsweise eine Installation eine vorhandene Library überschreibt entstehen durchaus Wechselwirkungen die keiner vorhersagen kann. Deshalb für mich völlig verständlich wenn Synology hier dann den (übrigens kostenlosen Support) ablehnt wenn 3rdParty-Software installiert ist. Bei den vielfältigen Möglichkeiten kann man da einfach keinen halbwegs kostenlosen Support bieten.

@Red M&M

Deine Modifizierungen halte ich auch für ein wenig zweifelhaft. Gerade die directive "status" sorgt ja dafür das ein log mit den Clientverbindungen geschrieben wird. Wenn Du dieses änderst, so kann sicherlich die GUI der DS auch keine Clientverbindungen mehr anzeigen. (Wie gesagt ungeprüft - Könntest Du ja mal selbst prüfen). In Verbindung mit status kann ich nur sagen, das dies Schwierigkeiten gibt wenn mehrere Instanzen von OpenVPN laufen und auf das gleiche File zugreifen.

Ich möchte euch die Modifikation von Red M&M nicht mies reden, aber manchmal ist doch eine Neuinstallation der bessere Weg. Alternativ "verb 7" in die Config dann schreibt OpenVPN wie ein Weltmeister was gerade passiert.

Gruß Frank

 

[Red M&M]

Hi Frank,

das Log wird immer noch geschrieben. Ich habe immer noch die directive "log-append [filepath]" in meiner config, zusammen mit "verb 3". Was dort drin steht, reicht mir momentan aus, um nachzuvollziehen, was gerade passiert.
Es wird jetzt in der GUI der DS (Weboberfläche) im Widget für die aktiven Verbindungen keine VPN Verbindung angezeigt, wobei ich mir gerade nicht sicher bin, ob es das vorher gemacht hat, oder nicht. Im VPNCenter selbst werden aber die aktiven Verbindungen noch immer gelistet.
Da es bei mir momentan läuft, möchte ich den VPN Server auch nicht unbedingt deinstallieren und neu aufsetzen. Neben den schon genannten Problemen hat mir das update auch meine Config auf nicht nachvollziehbare Weise geändert. Ich arbeite mit Zertifikaten und habe diese in einem separaten Ordner abgelegt. Nach dem Update waren in der Config allerdings andere Pfade zu den Zertifikaten angegeben, wobei andere Teile der Config unberührt waren. Für mich etwas mysteriös, könnte allerdings mit der vom Support festgestellten fehlerhaften Installation zusammenhängen. Wer weiß, was da passiert ist....

Naja, wie gesagt, momentan läuft es. Eventuell setze ich es an einem Regentag mal neu auf...

Grüße,
Alex