FAQ Warum wird die OpenVPN-Verbindung häufig unterbrochen?

Problem

Die OpenVPN-Verbindung wird häufig unterbrochen, in der OpenVPN Logdatei erscheint bei jeder Unterbrechung die Fehlermeldung
...[fixedip.mdex.de] Inactivity timeout (--ping-restart), restarting....

Mögliche Ursachen:
1. Mehrere OpenVPN Clients verwenden die Zugangsdaten gleichtzeitig
2. Die OpenVPN-Verbindung wird von einer Firewall unterbrochen
3. Unterbrechungen der Internetverbindung
4. Der OpenVPN-Parameter "Fragment" fehlt
5. Die OpenVPN-Verbindung wurde als Dienst und zusätzlich manuell hergestellt (nur OpenVPN GUI)

1. Mehrere OpenVPN Clients verwenden die Zugangsdaten gleichtzeitig

Fehlerbild:
  • Die OpenVPN-Verbindung wurde erfolgreich hergestellt und in der OpenVPN Logdatei erscheint die Meldung Initialization Sequence Completed:
    Initialization Sequence Completed
  • Die Verbindung wird nun aber alle paar Minuten unterbrochen und in der OpenVPN Logdatei erscheint die Fehlermeldung:
     [fixedip.mdex.de] Inactivity timeout (--ping-restart), restarting
  • Dieser Vorgang wiederholt sich regelmäßig alle 60-90 Sekunden.
    Im mdex Management Portal kann man in der Nutzungsübersicht sehen, dass die Verbindung alle paar Minuten unterbrochen wird.
    Portal_häufige-Unterbrechungen.png
  • Bei Verwendung der OpenVPN GUI (z.B. als mdex Leitstelletunnel) wechselt die Statusanzeige in der Taskleiste ständig von grün auf gelb.

Ursache:
  • Die OpenVPN-Zugangsdaten (Username & Passwort) werden in mehreren OpenVPN-Clients (PCs) gleichzeitig verwendet.
  • In diesem Fall werfen sich die beiden OpenVPN Clients immer gegenseitig raus.
  • Daher wird die Verbindung regelmäßig nach ca. 30 Sekunden unterbrochen und nach ca. 90 Sekunden neu aufgebaut.

Abhilfemaßnahme:
  • Die Verbindungsherstellung mit den OpenVPN-Zugangsdaten (Username & Passwort) darf immer nur von einem Client/PC zur Zeit erfolgen.
  • Man kann die OpenVPN-Verbindung natürlich auch von verschiedenen Clients/PCs aufbauen, aber nicht gleichzeitig!
  • Wenn mehrere Clients/PCs gleichzeitig eine Verbindung herstellen sollen, dann muss jeder Client/PC seine eigenen OpenVPN-Zugangsdaten verwenden.

TIP Tipp zur Fehlereingrenzung

Sollten Sie das andere Gerät mit den gleichen OpenVPN-Zugangsdaten nicht ausfindig machen können, ändern Sie einfach im mdex Management Portal laut FAQ Wie kann ich meine mdex Passwörter ändern? das Passwort des betroffenen OpenVPN-Zugangs bzw. 'mdex Leitstellentunnel'. Nun werden alle Authentifizierungen mit dem alten Passwort abgelehnt und die OpenVPN-Verbindung kann nur noch mit dem neuen Passwort hergestellt werden.


2. Die OpenVPN-Verbindung wird von einer Firewall unterbrochen

Fehlerbild
  • Die OpenVPN-Verbindung wurde erfolgreich hergestellt und in der OpenVPN Logdatei erscheint die Meldung:
    Initialization Sequence Completed
  • In unregelmäßigen Abständen wird die OpenVPN-Verbindung aber nun unterbrochen, speziell wenn keine Datenübertragung erfolgt. In der OpenVPN Logdatei erscheint bei jeder Unterbrechung die Fehlermeldung:
     [fixedip.mdex.de] Inactivity timeout (--ping-restart), restarting
  • Bei Verwendung der OpenVPN GUI auf einem PC (z.B. als mdex Leitstellentunnel) wechselt die Statusanzeige von grün auf gelb oder rot.

Ursache:
  • Die Firewall der Internetverbindung überwacht die UDP-Session der OpenVPN-Verbindung.
  • Der "UDP-Session Timeout"-Timer dieser Firewall ist aber auf weniger als 27 Sekunden eingestellt.
  • Die Firewall (UDP-Session-Überwachung) unterbricht die OpenVPN Verbindung, wenn im eingestellten Überwachunsgzeitraum keine Datenübertragung durch den OpenVPN-Tunnel Leitstellentunnel erkannt wurde.

TIP Tipp zur Fehlereingrenzung
  1. Erzeugen Sie einen dauerhaften Datenstrom durch den OpenVPN-Tunnel.
    • Senden Sie z.B. abgehend ein Dauerpring auf ping.mdex.de
    • Bei einer public.IP via OpenVPN können Sie ein Dauerping von einem beliebigen PC aus dem Internet auf die public.IP ausführen.
  2. Wenn die OpenVPN-Verbindung nun stabil ist, ist die Fehlerursache vermutlich eine "UDP-Session Überwachung" in der Firewall, die die Verbindung bei Inaktivität unterbricht.

Lösung
  • Deaktivieren Sie in der Firewall (Internet-Router) die "UDP-Session-Überwachung" oder erhöhen Sie den "UDP-Session Timeout"-Timer auf mehr als 30 Sekunden.
    (Bei Lancom-Routern wird diese Überwachung 'UDP-Aging' bezeichnet und ist auf 20 Sek. voreingestellt. Dieser Wert sollte auf 30 Sek. geändert werden.)
  • Durch den OpenVPN-Tunnel wird spätestens alle 27 Sekunden ein Keep-Alive Datenpaket übertragen. Wenn die UDP-Session-Überwachung der Firewall einen längeren Zeitraum überwacht (z.B. 30 Sekunden), wird die OpenVPN-Verbindung nicht mehr aufgrund einer Inaktivität unterbrochen.
  • ALERT! Beachten Sie auch die FAQ Grundvoraussetzungen zum Aufbau einer OpenVPN Verbindung
  • Alternativ bauen Sie die OpenVPN-Verbindung per TCP-Protokoll auf, um mögliche UDP Firewalleinstellungen zu umgehen. Eine Anleitung dazu finden Sie in der FAQ Wie stellt der Leitstellentunnel (OpenVPN Client) eine Verbindung per TCP her?


3. Unterbrechungen der Internetverbindung

Fehlerbild:
  • Die OpenVPN-Verbindung wurde erfolgreich hergestellt und in der OpenVPN Logdatei erscheint die Meldung:
    Initialization Sequence Completed
  • Die Verbindung wird nun aber in unregelmäßigen Abständen unterbrochen. In der OpenVPN Logdatei erscheint die Fehlermeldung:
     [fixedip.mdex.de] Inactivity timeout (--ping-restart), restarting
    Einige Minuten später dann der Eintrag:
    RESOLVE: Cannot resolve host address: fixedip.mdex.de
  • Bei Verwendung der OpenVPN GUI auf einem PC (z.B. als mdex Leitstellentunnel) wechselt die Statusanzeige auf gelb oder rot.
  • Die Ursache 2. Die OpenVPN-Verbindung wird von einer Firewall unterbrochen kann ausgeschlossen werden.

Ursache:
  • Unterbrechungen der Internetverbindung und/oder sehr langen Paketlaufzeiten wirken sich auf die Stabilität der OpenVPN-Verbindung aus.
  • Bei Unterbrechungen ab ca. 90 Sekunden (oder sehr langsamen Paketlaufzeiten) bricht die OpenVPN-Verbindung ab.

Lösung:
  • Sorgen Sie dafür, dass die OpenVPN-Verbindung über eine stabile Internetverbindung hergestellt wird.
  • Sollte die OpenVPN-Verbindung z.B. über das Mobilfunknetz aufgebaut werden, veranlassen Sie einen Reboot des Mobilfunkrouters. Möglicherweise wird durch die Neu-Verbindung wieder eine stabile Internetverbindung hergestellt.

4. Der OpenVPN-Parameter "Fragment" fehlt

Fehlerbild:
Die UDP OpenVPN-Verbindung wird erfolgreich hergestellt, jedoch alle 60-70 Sekunden regelmäßig wieder unterbrochen.

Mögliche Ursache:
Möglicherweise wurde im OpenVPN-Client der Paramater Fragment nicht eingestellt. Bei der UDP-Verbindungsherstellung muss Fragment zwingend eingestellt werden, ansonsten wird die Verbindung alle 60-70 Sekunden regelmäßig wieder unterbrochen.

Lösung:
Stellen Sie im OpenVPN-Client den Paramater Fragment=1300 ein.


5. Die OpenVPN-Verbindung wurde als Dienst und zusätzlich manuell hergestellt (nur OpenVPN GUI)

Fehlerbild:
  • Es wird die OpenVPN GUI auf einem Windows-PC z.B. als 'mdex Leitstellentunnel' verwendet.
  • Die OpenVPN GUI wurde auf dem PC gestartet und eine Verbindung hergestellt. In der OpenVPN Logdatei erscheint die Meldung:
    Initialization Sequence Completed
  • Die Statusanzeige der OpenVPN GUI wechselt von rot auf grün (verbunden).
  • Die Verbindung wird nun aber alle paar Minuten unterbrochen und iIn der OpenVPN Logdatei erscheint die Fehlermeldung:
     [fixedip.mdex.de] Inactivity timeout (--ping-restart), restarting
  • Die Statusanzeige der OpenVPN GUI wechselt ständig von grün auf gelb.
  • Dieser Vorgang wiederholt sich regelmäßig alle 60-90 Sekunden.
    Im mdex Management Portal kann man in der Nutzungsübersicht sehen, dass die Verbindung alle paar Minuten unterbrochen wird.
    Portal_häufige-Unterbrechungen.png
  • Es kann ausgeschlossen werden, dass ein anderes Gerät die gleichen Zugangsdaten (Username & Passwort) laut 1. Mehrere OpenVPN Clients verwenden die Zugangsdaten gleichtzeitig verwendet.

Mögliche Ursache:
  • Der OpenVPN-Client auf dem PC wurde laut FAQ Wie baut der Leitstellentunnel automatisch (als Dienst) beim PC-Start eine Verbindung auf? eingerichtet und hat bereits beim Startvorgang des PCs eine OpenVPN-Verbindung hergestellt.
  • Parallel wird auf dem gleichen PC die OpenVPN GUI gestartet und darüber ebenfalls eine Verbindung mit den gleichen OpenVPN-Zugangsdaten aufgebaut.
  • In diesem Fall werfen sich die beiden gestarteten OpenVPN Clients auf diesem PC (OpenVPN-Dienst und OpenVPN GUI) immer gegenseitig raus.

Lösung:
  • Wenn der OpenVPN Client bereits als Dienst auf dem PC eingerichtet wurde (und somit automatisch eine Verbindung zu mdex herstellt), darf die OpenVPN GUI auf diesem PC nicht zusätzlich verwendet werden.
  • Beenden Sie die OpenVPN GUI, so dass die OpenVPN-Verbindung ausschließlich als "OpenVPN Dienst" automatisch hergestellt wird.
  • Alternativ beenden Sie den "OpenVPN Dienst" und stellen die Verbindung zukünftg nur noch manuell über die OpenVPN GUI her.