Die OpenVPN-Verbindung wird häufig unterbrochen, in der
OpenVPN Logdatei erscheint bei jeder Unterbrechung die Fehlermeldung
...[xxx.mdex.de] Inactivity timeout (--ping-restart), restarting...
Mögliche Ursachen:
1. Mehrere OpenVPN Clients verwenden die Zugangsdaten gleichtzeitig
2. Die OpenVPN-Verbindung wird von einer Firewall unterbrochen
3. Unterbrechungen der Internetverbindung
4. Der OpenVPN-Parameter "Fragment" fehlt
5. Die OpenVPN-Verbindung wurde als Dienst und zusätzlich manuell hergestellt (nur OpenVPN GUI)
1. Mehrere OpenVPN Clients verwenden die Zugangsdaten gleichtzeitig
Fehlerbild:
Ursache:
- Die OpenVPN-Zugangsdaten (Username & Passwort) werden in mehreren OpenVPN-Clients (PCs) gleichzeitig verwendet.
- In diesem Fall werfen sich die beiden OpenVPN Clients immer gegenseitig raus.
- Daher wird die Verbindung regelmäßig nach ca. 30 Sekunden unterbrochen und nach ca. 90 Sekunden neu aufgebaut.
Abhilfemaßnahme:
- Die Verbindungsherstellung mit den OpenVPN-Zugangsdaten (Username & Passwort) darf immer nur von einem Client/PC zur Zeit erfolgen.
- Man kann die OpenVPN-Verbindung natürlich auch von verschiedenen Clients/PCs aufbauen, aber nicht gleichzeitig!
- Wenn mehrere Clients/PCs gleichzeitig eine Verbindung herstellen sollen, dann muss jeder Client/PC seine eigenen OpenVPN-Zugangsdaten verwenden.
Tipp zur Fehlereingrenzung
Sollten Sie das andere Gerät mit den gleichen OpenVPN-Zugangsdaten nicht ausfindig machen können, ändern Sie einfach im mdex Management Portal laut FAQ Wie kann ich meine mdex Passwörter ändern? das Passwort des betroffenen OpenVPN-Zugangs bzw. 'mdex Leitstellentunnel'. Nun werden alle Authentifizierungen mit dem alten Passwort abgelehnt und die OpenVPN-Verbindung kann nur noch mit dem neuen Passwort hergestellt werden.
2. Die OpenVPN-Verbindung wird von einer Firewall unterbrochen
Fehlerbild
Ursache:
- Die Firewall der Internetverbindung überwacht die UDP-Session der OpenVPN-Verbindung.
- Der "UDP-Session Timeout"-Timer dieser Firewall ist aber auf weniger als 27 Sekunden eingestellt.
- Die Firewall (UDP-Session-Überwachung) unterbricht die OpenVPN Verbindung, wenn im eingestellten Überwachunsgzeitraum keine Datenübertragung durch den OpenVPN-Tunnel Leitstellentunnel erkannt wurde.
Tipp zur Fehlereingrenzung
- Erzeugen Sie einen dauerhaften Datenstrom durch den OpenVPN-Tunnel.
- Senden Sie z.B. abgehend ein Dauerping auf ping.mdex.de
- Bei einer public.IP via OpenVPN können Sie ein Dauerping von einem beliebigen PC aus dem Internet auf die public.IP ausführen.
- Wenn die OpenVPN-Verbindung nun stabil ist, ist die Fehlerursache vermutlich eine "UDP-Session Überwachung" in der Firewall, die die Verbindung bei Inaktivität unterbricht.
Lösung
- Deaktivieren Sie in der Firewall (Internet-Router) die "UDP-Session-Überwachung" oder erhöhen Sie den "UDP-Session Timeout"-Timer auf mehr als 30 Sekunden.
(Bei Lancom-Routern wird diese Überwachung 'UDP-Aging' bezeichnet und ist auf 20 Sek. voreingestellt. Dieser Wert sollte auf 30 Sek. geändert werden.)
- Durch den OpenVPN-Tunnel wird spätestens alle 27 Sekunden ein Keep-Alive Datenpaket übertragen. Wenn die UDP-Session-Überwachung der Firewall einen längeren Zeitraum überwacht (z.B. 30 Sekunden), wird die OpenVPN-Verbindung nicht mehr aufgrund einer Inaktivität unterbrochen.
- Beachten Sie auch die FAQ Grundvoraussetzungen zum Aufbau einer OpenVPN Verbindung
- Alternativ bauen Sie die OpenVPN-Verbindung per TCP-Protokoll auf, um mögliche UDP Firewalleinstellungen zu umgehen. Eine Anleitung dazu finden Sie in der FAQ Wie stellt der Leitstellentunnel (OpenVPN Client) eine Verbindung per TCP her?
3. Unterbrechungen der Internetverbindung
Fehlerbild:
- Die OpenVPN-Verbindung wurde erfolgreich hergestellt und in der OpenVPN Logdatei erscheint die Meldung:
Initialization Sequence Completed
- Die Verbindung wird nun aber in unregelmäßigen Abständen unterbrochen. In der OpenVPN Logdatei erscheint die Fehlermeldung:
[xxx.mdex.de] Inactivity timeout (--ping-restart), restarting
Einige Minuten später dann der Eintrag: RESOLVE: Cannot resolve host address: xxx.mdex.de
- Bei Verwendung der OpenVPN GUI auf einem PC (z.B. als mdex Leitstellentunnel) wechselt die Statusanzeige auf gelb oder rot.
- Die Ursache 2. Die OpenVPN-Verbindung wird von einer Firewall unterbrochen kann ausgeschlossen werden.
Ursache:
- Unterbrechungen der Internetverbindung und/oder sehr langen Paketlaufzeiten wirken sich auf die Stabilität der OpenVPN-Verbindung aus.
- Bei Unterbrechungen ab ca. 90 Sekunden (oder sehr langsamen Paketlaufzeiten) bricht die OpenVPN-Verbindung ab.
Lösung:
- Sorgen Sie dafür, dass die OpenVPN-Verbindung über eine stabile Internetverbindung hergestellt wird.
- Sollte die OpenVPN-Verbindung z.B. über das Mobilfunknetz aufgebaut werden, veranlassen Sie einen Reboot des Mobilfunkrouters. Möglicherweise wird durch die Neu-Verbindung wieder eine stabile Internetverbindung hergestellt.
4. Der OpenVPN-Parameter "Fragment" fehlt
Fehlerbild:
Die UDP OpenVPN-Verbindung wird erfolgreich hergestellt, jedoch alle 60-70 Sekunden regelmäßig wieder unterbrochen.
Mögliche Ursache:
Möglicherweise wurde im OpenVPN-Client der Paramater
Fragment nicht eingestellt. Bei der UDP-Verbindungsherstellung muss Fragment zwingend eingestellt werden, ansonsten wird die Verbindung alle 60-70 Sekunden regelmäßig wieder unterbrochen.
Lösung:
Stellen Sie im OpenVPN-Client den Paramater
Fragment=1300 ein.
- Bei der TCP-Verbindungsherstellung ist Fragment nicht erforderlich
- Die erforderlichen OpenVPN-Einstellungen für eine UDP- und TCP-Verbindungsherstellung finden Sie unter mdex OpenVPN-Einstellungen.
5. Die OpenVPN-Verbindung wurde als Dienst und zusätzlich manuell hergestellt (nur OpenVPN GUI)
Fehlerbild:
Mögliche Ursache:
- Der OpenVPN-Client auf dem PC wurde laut FAQ OpenVPN-Verbindung beim Windows-PC Neustart automatisch als Dienst herstellen eingerichtet und hat bereits beim Startvorgang des PCs eine OpenVPN-Verbindung hergestellt.
- Parallel wird auf dem gleichen PC die OpenVPN GUI gestartet und darüber ebenfalls eine Verbindung mit den gleichen OpenVPN-Zugangsdaten aufgebaut.
- In diesem Fall werfen sich die beiden gestarteten OpenVPN Clients auf diesem PC (OpenVPN-Dienst und OpenVPN GUI) immer gegenseitig raus.
Lösung:
- Wenn der OpenVPN Client bereits als Dienst auf dem PC eingerichtet wurde (und somit automatisch eine Verbindung zu mdex herstellt), darf die OpenVPN GUI auf diesem PC nicht zusätzlich verwendet werden.
- Beenden Sie die OpenVPN GUI, so dass die OpenVPN-Verbindung ausschließlich als "OpenVPN Dienst" automatisch hergestellt wird.
- Alternativ beenden Sie den "OpenVPN Dienst" und stellen die Verbindung zukünftg nur noch manuell über die OpenVPN GUI her.