Dienste & SIM
Dienste & SIM FAQ Grundvoraussetzungen zum Aufbau einer OpenVPN Verbindung
Frage
Welche Grundvoraussetzungen müssen erfüllt sein, damit der OpenVPN Client eines Leitstellentunnels oder eines Routers eine Verbindung zu mdex herstellen kann?
Router (OpenVPN-Client)
Grundvoraussetzungen für Router mit OpenVPN Client
Sie haben einen OpenVPN fähigen Router (z.B. MX200, MRT150N, MX510), der via OpenVPN eine Verbindung über das Internet (z.B. DSL-Router oder LTE-Modem) zum mdex OpenVPN Server herstellt. Zum Aufbau des OpenVPN Tunnels sind folgende Grundvoraussetzungen erforderlich.- Der Router benötigt Internet-Zugriff
Der OpenVPN Client des Routers baut den OpenVPN Tunnel über das Internet auf und muss somit auf das Internet zugreifen können. Beachten Sie hierfür, dass als Standardgateway (Default Gateway) die IP-Adresse des verwendeten Internet-Routers (z.B. DSL-Router, LTE-Modem, usw.) im Router eingerichtet werden muss.
- Der Router muss DNS-Namen auflösen können
Zur Verbindungsherstellung des OpenVPN Clients muss der Router auf den mdex OpenVPN Server fixedip.mdex.de (für mdex Standard Zugänge), publicip.mdex.de (bei Verwendung des LTE-Pakets) oder businessip.mdex.de (bei mdex Professional Zugänge) zugreifen können. Beachten Sie dafür, dass dem Router zur Auflösung dieser DNS-Namen ein gültiger DNS Server zugewiesen wurde.
Alternativ können Sie die mdex DNS-Server (46.16.216.25 | 46.16.220.26) verwenden.
- Die Firewall darf den UPD-Verbindungsaufbau zum mdex OpenVPN-Server nicht blockieren
Der jeweilige UDP Port zum Aufbau der mdex OpenVPN-Verbindung muss für ausgehende UDP-Verbindungen offen sein und darf z.B. nicht von einer Firewall blockiert werden:mdex OpenVPN-Server Für mdex Produkt UDP Port Server 1 Server 2 Weitere Infos openvpn20.mdex.de: • mdex fixed.IP+
• mdex Leitstellentunnel
• mdex mobile.LAN Paket1194
(oder 9300)46.16.216.23 46.16.220.23 Aktueller OpenVPN-Server (Sicherheitslevel 20) publicip20.mdex.de: • mdex public.IP 1194
(oder 9300)46.16.216.27 46.16.220.27 Aktueller OpenVPN-Server (Sicherheitslevel 20)
(Der Server 2 (46.16.220.27) wurde am 13.02.2024 zur Standort-Redunandanz ergänzt.).businessip.mdex.de: • mdex fixed.IP+ 1194 46.16.216.24 46.16.220.24 Alter Legacy OpenVPN-Server
Der OpenVPN-Client baut die Verbindung zum mdex OpenVPN-Server über den jeweiligen UDP-Port auf. Sollte dieser UDP-Port von einer Firewall im Netzwerk blockiert werden, kann der Router keine Verbindung zum mdex OpenVPN-Server herstellen. In dem Fall erscheint dann in der Logdatei des OpenVPN Client die Fehlermeldung:TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) TLS Error: TLS handshake failed
- Der UDP-Session-Timeout in der Firewall darf nicht unter 30 Sek. liegen
Sollte in der Firewall der Internetverbindung die Überwachung der UDP-Session aktiviert sein, darf der UDP-Session Timout-Timer nicht unter 30 Sek. liegen. Ansonsten wird die OpenVPN-Verbindung bei Inaktivität ungewollt unterbrochen. In der Logdatei des OpenVPN Client erscheint dann die Fehlermeldung:[fixedip.mdex.de] Inactivity timeout (--ping-restart), restarting
Bei LANCOM-Routern wird diese UDP-Session Überwachung als 'UDP-Aging' bezeichnet und muss auf mindestens 30-Sekunden eingestellt werden! (LANCOM Voreinstellung ist 20 Sekunden)
- Das Datum im Router muss aktuell sein
Mit einem älteren Datum kann keine erfolgreiche Authentifizierung erfolgen. Idealerweise sollte der Router das Datum bzw. die Uhrzeit per NTP automatisch aktualisieren können.
- Der OpenVPN Client muss richtig konfiguriert sein
Der OpenVPN Client der mdex Router und von mdex vorkonfigurierte Teltonika Router sind für eine Verbindung zu mdex bereits mit den erforderlichen Parametern voreingestellt. Hier müssen Sie nur noch die OpenVPN Zugangsdaten (Username und Passwort) eintragen und den OpenVPN Client aktivieren.
Bei Einsatz von Routern anderer Hersteller muss der OpenVPN-Client laut mdex OpenVPN-Einstellungen konfiguriert werden.
Leitstellentunnel
Grundvoraussetzungen für den Leitstellentunnel
Der mdex Leitstellentunnel baut eine OpenVPN Verbindung zum mdex OpenVPN Server auf, über den der Zugriff auf alle Geräte innerhalb Ihres VPN´s erfolgt. Es wird für verschiedene Betriebssysteme eine OpenVPN-Client Software als Leitstellentunnel angeboten. Mehr Informationen dazu finden Sie in den Anleitungen zum mdex Leitstellentunnel.Damit der PC (Leitstelle) die OpenVPN-Verbindung aufbauen kann, sind folgende Voraussetzungen erforderlich:
- Aktuelle mdex OpenVPN-Einstellungen verwenden
Verwenden Sie unbedingt die aktuelle Windows OpenVPN GUI laut mdex Leitstellentunnel für Windows. Bei einem Upgrade von einer älteren OpenVPN GUI achten Sie darauf, dass die aktuelle mdex Konfigurationsdatei 'mdex fixedIP20.ovpn' verwendet wird.
Konfigurationen für andere Betriebssysteme finden Sie unter Einrichtung mdex Leitstellentunnel.
- Der PC benötigt Internet-Zugriff
Der OpenVPN Client des PCs baut den OpenVPN Tunnel über das Internet auf und muss somit auf das Internet zugreifen können. Beachten Sie hierfür, dass als Standardgateway (Default Gateway) die IP-Adresse des verwendeten Internet-Routers (z.B. DSL-Router, LTE-Modem, usw.) im PC eingerichtet werden muss. Sollte die Netzwerkkarte des PCs auf "IP-Adresse automatisch beziehen" eingestellt sein, werden alle erforderlichen Netzwerkeinstellungen vom lokalen DHCP-Server (z.B. DSL-Router, LTE-Modem) automatisch bezogen.
- Der PC muss DNS-Namen auflösen können
Beachten Sie dafür, dass dem PC ein gültiger DNS Server (z.B. DSL-Router, LTE-Modem) zugewiesen wurde. Sollte die Netzwerkkarte des PCs auf "IP-Adresse automatisch beziehen" eingestellt sein, werden alle erforderlichen Netzwerkeinstellungen vom lokalen DHCP-Server (z.B. DSL-Router, LTE-Modem) automatisch bezogen. Zur Überprüfung der DNS-Namensauflösung senden Sie von diesem PC ein PING auf openvpn20.mdex.de. Wenn Sie eine Antwort erhalten, kann der DNS-Name aufgelöst werden.
Alternativ können Sie die mdex DNS-Server (46.16.216.25 | 46.16.220.26) verwenden.
- Die Firewall darf den UPD-Verbindungsaufbau zum mdex OpenVPN-Server nicht blockieren
Der Leitstellentunnel mit aktueller mdex Konfiguration baut die Verbindung zum mdex OpenVPN Server über den UDP-Port 1194 (ehemals UDP Port 9300) auf. Sollte der UDP-Port 1194 von einer Firewall im Netzwerk blockiert werden, kann der 'mdex Leitstellentunnel' keine OpenVPN-Verbindung zu mdex aufbauen:
mdex OpenVPN-Server UDP Port Server 1 Server 2 Weitere Infos openvpn20.mdex.de: 1194
(oder 9300)46.16.216.23 46.16.220.23 
OpenVPN-Server (Sicherheitslevel 20)
Die Firewall verhindert einen Verbindungsaufbau des OpenVPN Client
Die Firewall verhindert einen Verbindungsaufbau des OpenVPN Client
Fehlerbild
- Die OpenVPN-Verbindung wurde erfolgreich hergestellt und in der OpenVPN Logdatei erscheint die Meldung:
Initialization Sequence Completed- In unregelmäßigen Abständen wird die OpenVPN-Verbindung aber nun unterbrochen, speziell wenn keine Datenübertragung erfolgt. In der OpenVPN Logdatei erscheint bei jeder Unterbrechung die Fehlermeldung:
[xxx.mdex.de] Inactivity timeout (--ping-restart), restarting- Bei Verwendung der OpenVPN GUI auf einem PC (z.B. als mdex Leitstellentunnel) wechselt die Statusanzeige von grün auf gelb oder rot.
Ursache:
- Die Firewall der Internetverbindung überwacht die UDP-Session der OpenVPN-Verbindung.
- Der "UDP-Session Timeout"-Timer dieser Firewall ist aber auf weniger als 27 Sekunden eingestellt.
- Die Firewall (UDP-Session-Überwachung) unterbricht die OpenVPN Verbindung, wenn im eingestellten Überwachunsgzeitraum keine Datenübertragung durch den OpenVPN-Tunnel Leitstellentunnel erkannt wurde.
- Erzeugen Sie einen dauerhaften Datenstrom durch den OpenVPN-Tunnel.
- Senden Sie z.B. abgehend ein Dauerping auf ping.mdex.de
- Bei einer public.IP via OpenVPN können Sie ein Dauerping von einem beliebigen PC aus dem Internet auf die public.IP ausführen.
- Wenn die OpenVPN-Verbindung nun stabil ist, ist die Fehlerursache vermutlich eine "UDP-Session Überwachung" in der Firewall, die die Verbindung bei Inaktivität unterbricht.
Lösung
- Deaktivieren Sie in der Firewall (Internet-Router) die "UDP-Session-Überwachung" oder erhöhen Sie den "UDP-Session Timeout"-Timer auf mehr als 30 Sekunden.
(Bei Lancom-Routern wird diese Überwachung 'UDP-Aging' bezeichnet und ist auf 20 Sek. voreingestellt. Dieser Wert sollte auf 30 Sek. geändert werden.)- Durch den OpenVPN-Tunnel wird spätestens alle 27 Sekunden ein Keep-Alive Datenpaket übertragen. Wenn die UDP-Session-Überwachung der Firewall einen längeren Zeitraum überwacht (z.B. 30 Sekunden), wird die OpenVPN-Verbindung nicht mehr aufgrund einer Inaktivität unterbrochen.
Beachten Sie auch die FAQ Grundvoraussetzungen zum Aufbau einer OpenVPN Verbindung
- Alternativ bauen Sie die OpenVPN-Verbindung per TCP-Protokoll auf, um mögliche UDP Firewalleinstellungen zu umgehen. Eine Anleitung dazu finden Sie in der FAQ Wie stellt der Leitstellentunnel (OpenVPN Client) eine Verbindung per TCP her?
- Der UDP-Session-Timeout darf nicht unter 30 Sek. liegen (z.B. Firewall, Router, usw.)
Sollte die Firewall (Internetverbindung) auch UDP-Sessions überwachen, darf der UDP-Session Timout-Timer nicht unter 30 Sek. liegen. Ansonsten wird die OpenVPN-Verbindung bei Inaktivität ungewollt unterbrochen. In der Logdatei der OpenVPN GUI erscheint dann die Fehlermeldung:[fixedip.mdex.de] Inactivity timeout (--ping-restart), restarting
- Das Datum im PC muss aktuell sein
Mit einem älteren Datum kann keine erfolgreiche Authentifizierung erfolgen. Idealerweise sollte der PC sein Datum bzw. die Uhrzeit per NTP automatisch aktualisieren können.
- Häufig gestellte Fragen
- mdexmobile.LAN Paket
- mdexRouter RUT104
- mdexRouter MX510
- mdexpublic.IP
- mdexfixed.IP+
- mdexLeitstellentunnel
- SIM-Karten
- Fragen zur Sicherheit
- mdex Kontakt
-
support@mdex.de
-
+49 4109 555 333