FAQ Grundvoraussetzungen zum Aufbau einer OpenVPN Verbindung

Stand: 09/2018

Frage

Welche Grundvoraussetzungen müssen erfüllt sein, damit der OpenVPN Client eines Leitstellentunnels oder eines Routers eine Verbindung zu mdex herstellen kann?

OpenVPN Router

Grundvoraussetzungen für Router mit OpenVPN Client

Sie haben einen OpenVPN fähigen Router (z.B. MX200, MRT150N, MX510), der via OpenVPN eine Verbindung über das Internet (z.B. DSL-Router oder LTE-Modem) zum mdex OpenVPN Server herstellt. Zum Aufbau des OpenVPN Tunnels sind folgende Grundvoraussetzungen erforderlich.

  • Der Router benötigt Internet-Zugriff
    Der OpenVPN Client des Routers baut den OpenVPN Tunnel über das Internet auf und muss somit auf das Internet zugreifen können. Beachten Sie hierfür, dass als Standardgateway (Default Gateway) die IP-Adresse des verwendeten Internet-Routers (z.B. DSL-Router, LTE-Modem, usw.) im Router eingerichtet werden muss.

  • Der Router muss DNS-Namen auflösen können
    Zur Verbindungsherstellung des OpenVPN Clients muss der Router auf den mdex OpenVPN Server fixedip.mdex.de (für mdex Standard Zugänge), publicip.mdex.de (bei Verwendung des LTE-Pakets) oder businessip.mdex.de (bei mdex Professional Zugänge) zugreifen können. Beachten Sie dafür, dass dem Router zur Auflösung dieser DNS-Namen ein gültiger DNS Server zugewiesen wurde.
    Alternativ können Sie die mdex DNS-Server (Primär: 46.16.220.98 | Sekundär: 46.16.216.25) verwenden.

  • Die Firewall darf den UPD-Verbindungsaufbau zum mdex OpenVPN-Server nicht blockieren
    Der jeweilige UDP Port zum Aufbau der mdex OpenVPN-Verbindung muss für ausgehende UDP-Verbindungen offen sein und darf z.B. nicht von einer Firewall blockiert werden:
    mdex OpenVPN-Server Für mdex Produkt Verbindungsaufbau über
    fixedip.mdex.de: • mdex fixed.IP via OpenVPN (mdex Standard - Legacy) UDP Port 9300
    publicip.mdex.de: • mdex public.IP via OpenVPN
    • mdex LTE Paket (MRT150N / MX200)
    UDP Port 9300
    openvpn20.mdex.de: • mdex fixed.IP (Security Level 20) UDP Port 1194
    businessip.mdex.de: • mdex fixed.IP via OpenVPN (mdex Professional - Legacy) UDP Port 1194

    Der OpenVPN-Client baut die Verbindung zum mdex OpenVPN-Server über den jeweiligen UDP-Port auf. Sollte dieser UDP-Port von einer Firewall im Netzwerk blockiert werden, kann der Router keine Verbindung zum mdex OpenVPN-Server herstellen. In dem Fall erscheint dann in der Logdatei des OpenVPN Client die Fehlermeldung:
    TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    TLS Error: TLS handshake failed 

  • Der UDP-Session-Timeout in der Firewall darf nicht unter 30 Sek. liegen
    Sollte in der Firewall der Internetverbindung die Überwachung der UDP-Session aktiviert sein, darf der UDP-Session Timout-Timer nicht unter 30 Sek. liegen. Ansonsten wird die OpenVPN-Verbindung bei Inaktivität ungewollt unterbrochen. In der Logdatei des OpenVPN Client erscheint dann die Fehlermeldung:
    [fixedip.mdex.de] Inactivity timeout (--ping-restart), restarting
    TIP Bei LANCOM-Routern wird diese UDP-Session Überwachung als 'UDP-Aging' bezeichnet und muss auf mindestens 30-Sekunden eingestellt werden! (LANCOM Voreinstellung ist 20 Sekunden)


  • Der OpenVPN Client muss richtig konfiguriert sein
    Der OpenVPN Client des mdex Routers (z.B. MX200, MRT150N, MX510) ist für eine Verbindung zu mdex bereits mit den erforderlichen Parametern voreingestellt. Hier müssen Sie nur noch die OpenVPN Zugangsdaten (Username und Passwort) eintragen und den OpenVPN Client aktivieren.
Bei Einsatz von Routern anderer Hersteller muss der OpenVPN Client laut der nachfolgenden Beschreibung konfiguriert sein.

fixed.IP+ via OpenVPN

mdex OpenVPN (Sicherheitslevel 20) NEW

Seit Oktober 2017 steht der mdex OpenVPN-Server 'openvpn20.mdex.de' als mdex OpenVPN (Sicherheitslevel 20) mit noch mehr Sicherheit bei der Datenübertragung zur Verfügung.
Diese mdex OpenVPN (Sicherheitslevel 20)-Einstellungen sind für alle mdex OpenVPN-Zugänge kompatibel, denen laut mdex Management Portal (oder Auftragsbestätigung) einer der nachfolgenden OpenVPN-Server zugewiesen wurde:
Zugewiesene OpenVPN-Server: openvpn20.mdex.de DONE fixedip.mdex.de DONE businessip.mdex.de DONE

  • Voraussetzung ist OpenVPN-Version 2.3 (oder neuer) im eingesetzten Gerät/Client.
    • Prüfen Sie bitte, ob für Ihr Gerät/Router eine neue Firmware mit OpenVPN-Version 2.3 (oder neuer) zur Verfügung steht.
    • Sollte keine kompatible OpenVPN-Version verfügbar sein, kann die Verbindungsherstellung alternativ als mdex OpenVPN (altes Sicherheitslevel 10) erfolgen.

TIP Vorbereitete mdex OpenVPN-Konfigurationen:

UDP-Verbindung
(empfohlen)
TCP-Verbindung
(nur für Sonderfälle)
info Verschlüsselte UDP-Verbindung info Verschlüsselte TCP-Verbindung 1
Mode: tun client tun client
Protokoll: proto udp proto tcp-client
Server hostname: openvpn20.mdex.de openvpn20.mdex.de
Server port: 1194
(oder 9300)
1194
(oder 443, 5228)
LZO: DONE DONE
Authentication: ca + auth-user-pass ca + auth-user-pass
ca: mdexCA20.crt mdexCA20.crt
cipher: AES-256-GCM
(oder AES-256-CBC)
AES-256-GCM
(oder AES-256-CBC)
auth: SHA256 SHA256
tun-mtu: 1500 1500
fragment: 1300 -
mssfix: DONE -
float: DONE DONE
nobind: DONE DONE
reneg-sec: 86400 86400
explicit-exit-notify 2: empfohlen -
remote-cert-tls: server server
tls-version-min: 1.2 1.2
redirect-gateway def1: -
nur bei public.IP erforderlich! 2
-
nur bei public.IP erforderlich! 2

1 Verschlüsselte TCP-Verbindung für folgende Sonderfälle:
• Wenn der UDP Port von einer Firewall geblockt wird.
• Wenn die Datenmenge für die OpenVPN Verbindungsherstellung auf ca. 3-5 MB im Monat reduziert werden soll.
Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im Management Portal erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.
ALERT! Bei schlechtem Mobilfunkempfang können auch höhere Datenmengen als 5 MB im Monat für die OpenVPN Verbindungsherstellung anfallen und es kann zu Problemen bei der Datenübertragung kommen.

2 Bei Verwendung einer public.IP empfehlen wir die Einstellungen mdex public.IP (OpenVPN).

mdex OpenVPN (altes Sicherheitslevel 10)

ALERT! Bitte verwenden Sie für Ihre mdex fixed.IP Zugänge nur noch die Einstellungen mdex OpenVPN (Sicherheitslevel 20).

  • mdex OpenVPN (altes Sicherheitslevel 10) sollte nur noch für Geräte verwendet werden, für die OpenVPN-Version 2.3 (oder neuer) nicht verfügbar ist und somit die aktuellen mdex OpenVPN (Sicherheitslevel 20)-Einstellungen technisch noch nicht unterstützt werden.
  • Aus sicherheitstechnischen Gründen wird eine mittelfristige Umstellung der Geräte auf mdex OpenVPN (Sicherheitslevel 20) dringend empfohlen, da die mdex OpenVPN (altes Sicherheitslevel 10) nicht mehr dem aktuellen Stand der Technik entsprechen.
  • Prüfen Sie bitte regelmäßig, ob für Ihr Gerät eine neue Firmware mit OpenVPN-Version 2.3 (oder neuer) zur Verfügung steht, so dass die aktuellen mdex OpenVPN (Sicherheitslevel 20)-Einstellungen verwendet werden können.

Server: fixedip.mdex.de (altes Sicherheitslevel 10)

Diese mdex OpenVPN-Einstellungen sind nur für mdex OpenVPN-Zugänge mit Device-Username i...... (z.B. i0123456) oder r0...... (z.B. r0123456) kompatibel, denen laut mdex Management Portal einer der nachfolgenden OpenVPN-Server zugewiesen wurden:
Zugewiesene OpenVPN-Server: openvpn20.mdex.de DONE fixedip.mdex.de DONE businessip.mdex.de choice-no

ALERT! Mit OpenVPN-Version 2.3 (oder neuer) verwenden Sie bitte nur noch die Einstellungen mdex OpenVPN (Sicherheitslevel 20).

UDP-Verbindung TCP-Verbindung
(nur für Sonderfälle)
info Verschlüsselte UDP-Verbindung info Verschlüsselte TCP-Verbindung 1
Mode tun client tun client
Protocol udp tcp-client
Server hostname fixedip.mdex.de fixedip.mdex.de
Server port 9300 443
LZO DONE DONE
Authentication ca + auth-user-pass ca + auth-user-pass
ca ClientCAPack.crt ClientCAPack.crt
crl-verify (optional) 2 fixed.IP-crl.pem fixed.IP-crl.pem
cipher BF-CBC
(blowfish 128)
BF-CBC
(blowfish 128)
auth -
(SHA1 wird verwendet)
-
(SHA1 wird verwendet)
ns-cert-type "server" "server"
tun-mtu 1500 1500
fragment 1300 -
mssfix DONE -
float DONE DONE
nobind DONE DONE
fast-io optional optional
reneg-sec 86400 86400
explicit-exit-notify 2 empfohlen -
redirect-gateway def1 nur bei public.IP erforderlich 3 nur bei public.IP erforderlich 3

1 Verschlüsselte TCP-Verbindung für folgende Sonderfälle:
• Wenn der UDP Port von einer Firewall geblockt wird.
• Wenn die Datenmenge für die OpenVPN Verbindungsherstellung auf ca. 3-5 MB im Monat reduziert werden soll.
Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im Management Portal erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.
ALERT! Bei schlechtem Mobilfunkempfang können auch höhere Datenmengen als 5 MB im Monat für die OpenVPN Verbindungsherstellung anfallen und es kann zu Problemen bei der Datenübertragung kommen.

2 crl-verify: "Certificate Revocation List" (optional).
Aufgrund des Heartbleed Bug wurden die Zertifikate der herkömmlichen mdex OpenVPN Server vorsorglich ausgetauscht. Für mehr Sicherheit wird zusätzlich empfohlen, die mdex 'Certificate Revocation List' via crl-verifiy im OpenVPN Client zu implementieren. So ist sichergestellt, dass der OpenVPN Client keine Verbindung zu einem fremden OpenVPN Server (mit alten Zertifkat) herstellt.

3 Bei Verwendung einer public.IP empfehlen wir die Einstellungen mdex public.IP (OpenVPN).

Server: businessip.mdex.de (altes Sicherheitslevel 10)

Diese mdex OpenVPN-Einstellungen sind nur für mdex OpenVPN-Zugänge mit Device-Username v...... (z.B. v0123456) oder rb...... (z.B. rb0123456) kompatibel, denen laut mdex Management Portal einer der nachfolgenden OpenVPN-Server zugewiesen wurde:
Zugewiesene OpenVPN-Server: openvpn20.mdex.de DONE businessip.mdex.de DONE fixedip.mdex.de choice-no

ALERT! Mit OpenVPN-Version 2.3 (oder neuer) verwenden Sie bitte nur noch die Einstellungen mdex OpenVPN (Sicherheitslevel 20)!

UDP-Verbindung TCP-Verbindung
(nur für Sonderfälle)
UDP Long Timeout
(nur für Sonderfälle)
info Verschlüsselte UDP-Verbindung info Verschlüsselte TCP-Verbindung 1 info Verschlüsselte UDP-Verbindung 3
Mode tun client tun client tun client
Protocol udp tcp-client udp
Server hostname businessip.mdex.de businessip.mdex.de businessip.mdex.de
Server port 1194 443 9301
LZO DONE DONE DONE
Authentication ca + auth-user-pass ca + auth-user-pass ca + auth-user-pass
ca ClientCAPack.crt ClientCAPack.crt ClientCAPack.crt
crl-verify (optional) 2 business.IP-crl.pem business.IP-crl.pem business.IP-crl.pem
cipher BF-CBC
(blowfish 128)
BF-CBC
(blowfish 128)
BF-CBC
(blowfish 128)
auth - - -
ns-cert-type "server" "server" "server"
tun-mtu 1500 1500 1500
fragment 1300 - -
mssfix DONE - DONE
float DONE DONE DONE
nobind DONE DONE DONE
fast-io optional optional optional
reneg-sec 86400 86400 86400
explicit-exit-notify 2 empfohlen - empfohlen

1 Verschlüsselte TCP-Verbindung für folgende Sonderfälle:
• Wenn der UDP Port von einer Firewall geblockt wird.
• Wenn die Datenmenge für die OpenVPN Verbindungsherstellung auf ca. 3-5 MB im Monat reduziert werden soll.
Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Die Statusanzeige im Management Portal erfolgt dadurch bei einer Unterbrechung der TCP OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.
ALERT! Bei schlechtem Mobilfunkempfang können auch höhere Datenmengen als 5 MB im Monat für die OpenVPN Verbindungsherstellung anfallen und es kann zu Problemen bei der Datenübertragung kommen.

2 crl-verify: "Certificate Revocation List" (optional).
Aufgrund des Heartbleed Bug wurden die Zertifikate der herkömmlichen mdex OpenVPN Server vorsorglich ausgetauscht. Für mehr Sicherheit wird zusätzlich empfohlen, die mdex 'Certificate Revocation List' via crl-verifiy im OpenVPN Client zu implementieren. So ist sichergestellt, dass der OpenVPN Client keine Verbindung zu einem fremden OpenVPN Server (mit alten Zertifkat) herstellt.

3 UDP Long-Timeout: Langer Timeout Timer für geringeres Datenvolumen
Zur Einsparung von Datenvolumen der OpenVPN Verbindung werden die Anfragen zur Verbindungsüberprüfung seltener gesendet. Dadurch fallen im Normalfall nur ca. 1 MB/Monat für die OpenVPN Verbindung an (je nach Häufigkeit der Verbindungsherstellung auch mehr). Die Statusanzeige im Management Portal erfolgt bei einer Unterbrechung der OpenVPN Verbindung bis zu 60 Minuten zeitverzögert.

public.IP via OpenVPN

Diese OpenVPN-Einstellungen sind für alle public.IP via OpenVPN-Zugänge kompatibel, denen laut mdex Management Portal einer der nachfolgenden OpenVPN-Server zugewiesen wurde:
Zugewiesener OpenVPN-Server: openvpn20.mdex.de DONE fixedip.mdex.de DONE

Hinweise:
  • ALERT! Diese Einstellungen dürfen nur bei Einsatz einer public.IP via OpenVPN verwendet werden!
    • Hierbei handelt es sich um eine unverschlüsselte OpenVPN-Verbindung zur möglichen Verbesserung der Router-Performance. Je nach Routermodell ist ohne OpenVPN-Verschlüsselung ggf. ein höherer Datendurchsatz möglich.
    • Da eine public.IP grundsätzlich uneingeschränkt aus dem Internet erreichbar ist, ist auch keine OpenVPN-Verschlüsselung zwischen dem mdex OpenVPN-Server und dem OpenVPN-Client des Geräts/Routers erforderlich.
  • Bei Verwendung einer fixed.IP+ via OpenVPN muss unbedingt eine verschlüsselte Verbindung laut fixed.IP+ via OpenVPN verwendet werden!

TIP Vorbereitete mdex OpenVPN-Konfigurationen:

public.IP via OpenVPN
info Unverschlüsselte UDP-Verbindung
Mode: tun client
Protocol: udp
Server hostname: publicip.mdex.de
Server port: 9300
LZO: -
Authentication: ca + auth-user-pass
ca: ClientCAPack.crt
crl-verify (optional) 1 fixed.IP-crl.pem
cipher: "none"
auth: "none"
ns-cert-type: "server"
tun-mtu: 1500
fragment: 1452
mssfix: DONE
float: DONE
nobind: DONE
fast-io: DONE
(empfohlen)
reneg-sec: 86400
explicit-exit-notify 2: DONE
(empfohlen)
redirect-gateway def1: DONE

1 crl-verify: "Certificate Revocation List" (optional).
Aufgrund des Heartbleed Bug wurden die Zertifikate der herkömmlichen mdex OpenVPN Server vorsorglich ausgetauscht. Für mehr Sicherheit wird zusätzlich empfohlen, die mdex 'Certificate Revocation List' via crl-verifiy im OpenVPN Client zu implementieren. So ist sichergestellt, dass der OpenVPN Client keine Verbindung zu einem fremden OpenVPN Server (mit alten Zertifkat) herstellt.

Leitstellentunnel

Grundvoraussetzungen für den Leitstellentunnel

Der mdex Leitstellentunnel baut eine OpenVPN Verbindung zum mdex OpenVPN Server auf, über den der Zugriff auf alle Geräte innerhalb Ihres VPN´s erfolgt. Es wird für verschiedene Betriebssysteme eine OpenVPN-Client Software als Leitstellentunnel angeboten. Mehr Informationen dazu finden Sie in den Anleitungen zum mdex Leitstellentunnel.

Damit der PC (Leitstelle) die OpenVPN-Verbindung aufbauen kann, sind folgende Voraussetzungen erforderlich:

  • Aktuelle OpenVPN GUI verwenden
    Verwenden Sie unbedingt die aktuelle Windows OpenVPN GUI laut mdex Leitstellentunnel für Windows.
    (Bitte die in der aktuellen OpenVPN GUI implementierte mdex Konfigurationsdatei 'mdex fixedIP20.ovpn' zur Verbindungherstellung verwenden.)

  • Der PC benötigt Internet-Zugriff
    Der OpenVPN Client des PCs baut den OpenVPN Tunnel über das Internet auf und muss somit auf das Internet zugreifen können. Beachten Sie hierfür, dass als Standardgateway (Default Gateway) die IP-Adresse des verwendeten Internet-Routers (z.B. DSL-Router, LTE-Modem, usw.) im PC eingerichtet werden muss. Sollte die Netzwerkkarte des PCs auf "IP-Adresse automatisch beziehen" eingestellt sein, werden alle erforderlichen Netzwerkeinstellungen vom lokalen DHCP-Server (z.B. DSL-Router, LTE-Modem) automatisch bezogen.

  • Der PC muss DNS-Namen auflösen können
    Beachten Sie dafür, dass dem PC ein gültiger DNS Server (z.B. DSL-Router, LTE-Modem) zugewiesen wurde. Sollte die Netzwerkkarte des PCs auf "IP-Adresse automatisch beziehen" eingestellt sein, werden alle erforderlichen Netzwerkeinstellungen vom lokalen DHCP-Server (z.B. DSL-Router, LTE-Modem) automatisch bezogen. Zur Überprüfung der DNS-Namensauflösung senden Sie von diesem PC ein PING auf openvpn20.mdex.de. Wenn Sie eine Antwort erhalten, kann der DNS-Name aufgelöst werden.
    Alternativ können Sie die mdex DNS-Server (Primär: 46.16.220.98 | Sekundär: 46.16.216.25) verwenden.

  • Der UDP-Port 1194 (bei älteren mdex Konfigurationen UDP-Port 9300) muss für ausgehende UDP-Verbindungen offen sein (z.B. Firewall)
    Der Leitstellentunnel mit aktueller mex Konfiguration baut die Verbindung zum mdex OpenVPN Server über den UDP-Port 1194 (ehemals UDP Port 9300) auf. Sollte der UDP-Port 1194 von einer Firewall im Netzwerk blockiert werden, kann der 'mdex Leitstellentunnel' keine OpenVPN-Verbindung zu mdex aufbauen.

Fehlerbild
  • Die OpenVPN-Verbindung wurde erfolgreich hergestellt und in der OpenVPN Logdatei erscheint die Meldung:
    Initialization Sequence Completed
  • In unregelmäßigen Abständen wird die OpenVPN-Verbindung aber nun unterbrochen, speziell wenn keine Datenübertragung erfolgt. In der OpenVPN Logdatei erscheint bei jeder Unterbrechung die Fehlermeldung:
     [fixedip.mdex.de] Inactivity timeout (--ping-restart), restarting
  • Bei Verwendung der OpenVPN GUI auf einem PC (z.B. als mdex Leitstellentunnel) wechselt die Statusanzeige von grün auf gelb oder rot.

Ursache:
  • Die Firewall der Internetverbindung überwacht die UDP-Session der OpenVPN-Verbindung.
  • Der "UDP-Session Timeout"-Timer dieser Firewall ist aber auf weniger als 27 Sekunden eingestellt.
  • Die Firewall (UDP-Session-Überwachung) unterbricht die OpenVPN Verbindung, wenn im eingestellten Überwachunsgzeitraum keine Datenübertragung durch den OpenVPN-Tunnel Leitstellentunnel erkannt wurde.

TIP Tipp zur Fehlereingrenzung
  1. Erzeugen Sie einen dauerhaften Datenstrom durch den OpenVPN-Tunnel.
    • Senden Sie z.B. abgehend ein Dauerpring auf ping.mdex.de
    • Bei einer public.IP via OpenVPN können Sie ein Dauerping von einem beliebigen PC aus dem Internet auf die public.IP ausführen.
  2. Wenn die OpenVPN-Verbindung nun stabil ist, ist die Fehlerursache vermutlich eine "UDP-Session Überwachung" in der Firewall, die die Verbindung bei Inaktivität unterbricht.

Lösung
  • Deaktivieren Sie in der Firewall (Internet-Router) die "UDP-Session-Überwachung" oder erhöhen Sie den "UDP-Session Timeout"-Timer auf mehr als 30 Sekunden.
    (Bei Lancom-Routern wird diese Überwachung 'UDP-Aging' bezeichnet und ist auf 20 Sek. voreingestellt. Dieser Wert sollte auf 30 Sek. geändert werden.)
  • Durch den OpenVPN-Tunnel wird spätestens alle 27 Sekunden ein Keep-Alive Datenpaket übertragen. Wenn die UDP-Session-Überwachung der Firewall einen längeren Zeitraum überwacht (z.B. 30 Sekunden), wird die OpenVPN-Verbindung nicht mehr aufgrund einer Inaktivität unterbrochen.
  • ALERT! Beachten Sie auch die FAQ Grundvoraussetzungen zum Aufbau einer OpenVPN Verbindung
  • Alternativ bauen Sie die OpenVPN-Verbindung per TCP-Protokoll auf, um mögliche UDP Firewalleinstellungen zu umgehen. Eine Anleitung dazu finden Sie in der FAQ Wie stellt der Leitstellentunnel (OpenVPN Client) eine Verbindung per TCP her?


  • Der UDP-Session-Timeout darf nicht unter 30 Sek. liegen (z.B. Firewall, Router, usw.)
    Sollte die Firewall (Internetverbindung) auch UDP-Sessions überwachen, darf der UDP-Session Timout-Timer nicht unter 30 Sek. liegen. Ansonsten wird die OpenVPN-Verbindung bei Inaktivität ungewollt unterbrochen. In der Logdatei der OpenVPN GUI erscheint dann die Fehlermeldung:
    [fixedip.mdex.de] Inactivity timeout (--ping-restart), restarting