Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN - Windows 10 - keepalive Problem (2 min)?

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 3 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      slu
      last edited by slu

      Hallo,

      ich hab den ersten User mit einem Windows 10 und OpenVPN eingerichtet.

      Aus irgend einem Grund wird die Verbindung immer alle zwei Minuten getrennt:
      Jul 1 20:42:27 openvpn 75696 VPNUSER/XXX.XXX.XXX.XXX:61080 [VPNUSER] Inactivity timeout (--ping-restart), restarting
      Jul 1 20:40:26 openvpn user 'VPNUSER' authenticated

      Abgesehen davon das es mein erster Windows 10 User ist hat der Benutzer noch diese Einstellung gesetzt:
      "Prevent this client from receiving any server-defined client settings."

      Kann es sein das damit die keepalive Funktion nicht mehr gesetzt wird?
      Dürfte eigentlich nicht sein, das ist ja eine Server Option und keine Client Option.

      Oder liegt es an der Windows Firewall das der Server den Client nicht pingen kann (keepalive)?
      Hat jemand eine Idee?

      pfSense Gold subscription

      JeGrJ 1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator @slu
        last edited by

        @slu Moin!

        "Prevent this client from receiving any server-defined client settings."

        Warum?

        Dürfte eigentlich nicht sein, das ist ja eine Server Option und keine Client Option.

        Der Server pusht aber auch diverse Settings (wie Routen etc.) an den Client. Wenn der Client aber per se nichts vom Server annimmt, kann er das kaum. Wenn in der Client Konfiguration dann kein keepalive definiert ist, gilt der Standard Wert (oder keiner).

        Oder liegt es an der Windows Firewall das der Server den Client nicht pingen kann (keepalive)?

        Das hat damit eigentlich weniger zu tun. OVPN Installation sollte ja eh eine Ausnahme in der Firewall erzeugen und einen wirklichen "Ping" sendet der Server an Clients nicht, eher umgekehrt (Clients prüfen ob der Server noch da ist).

        Alle 2min hört sich aber danach an, als würde der Client hinter einer Kiste sitzen, die seine Session terminiert (wegen Timeout?) und er muss sie dann neu aubauen. Ich würde da den Client und dessen Internet mal inspizieren. Ggf. macht da auch jemand DeepInspection und schwurbelt da rum.

        Auf dem Server könnte man auch mal schauen, was da nach den 2min passiert. Beide auf

        verb 3
        

        setzen damit man auch ordentlich Logs sieht. Ggf. hast du bspw. eingestellt, dass sich Clients nicht via dynamischer IP oder mehrfach einloggen können und gleichzeitig ist aber noch jemand anderes verbunden. Hatten wir auch - 2 Geräte gleicher Account - haben sich ständig gegenseitig rausgekegelt.

        Gibts also viele Möglichkeiten.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        S 1 Reply Last reply Reply Quote 0
        • S
          slu @JeGr
          last edited by

          @JeGr said in OpenVPN - Windows 10 - keepalive Problem (2 min)?:

          Warum?

          Weil dieser User keine DNS und Domain Einstellungen übernehmen soll, der Rest schon.

          Der Server pusht aber auch diverse Settings (wie Routen etc.) an den Client. Wenn der Client aber per se nichts vom Server annimmt, kann er das kaum. Wenn in der Client Konfiguration dann kein keepalive definiert ist, gilt der Standard Wert (oder keiner).

          Das ist die Frage, müsste aber dann keepalive 60 120 sein.

          Das hat damit eigentlich weniger zu tun. OVPN Installation sollte ja eh eine Ausnahme in der Firewall erzeugen und einen wirklichen "Ping" sendet der Server an Clients nicht, eher umgekehrt (Clients prüfen ob der Server noch da ist).

          Auf dem Client wird alles eingehende auf die OVPN IP geblockt, der Client selbst greift nur auf ein Nextcloud zu.

          Alle 2min hört sich aber danach an, als würde der Client hinter einer Kiste sitzen, die seine Session terminiert (wegen Timeout?) und er muss sie dann neu aubauen. Ich würde da den Client und dessen Internet mal inspizieren. Ggf. macht da auch jemand DeepInspection und schwurbelt da rum.

          In diese Richtung hatte ich auch schon überlegt, mit einem UDP Tunnel und dem Speedport hatte ich mir damals böse die Finger verbrannt.

          Auf dem Server könnte man auch mal schauen, was da nach den 2min passiert. Beide auf

          verb 3
          

          Das mache ich, alles nicht so einfach, der Client ist nicht in meinem Zuständigkeitsbereich, aber der Server.

          setzen damit man auch ordentlich Logs sieht. Ggf. hast du bspw. eingestellt, dass sich Clients nicht via dynamischer IP oder mehrfach einloggen können und gleichzeitig ist aber noch jemand anderes verbunden. Hatten wir auch - 2 Geräte gleicher Account - haben sich ständig gegenseitig rausgekegelt.

          Das kann ich ausschließen, es gibt nur eine Gerät mit dem Account.

          Gibts also viele Möglichkeiten.

          Mir ist inzwischen noch was anderes gekommen, da auf dem Tunnel quasi keine Daten fliessen könnte dieser wirklich zu gehen. Der Benutzer merkt auch nichts davon, aus seiner Sicht ist alles ok.

          Evtl. liegt es an der Option –inactive n [bytes]
          https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

          Das möchte ich mal testen.

          pfSense Gold subscription

          S 1 Reply Last reply Reply Quote 0
          • S
            slu @slu
            last edited by

            So ich konnte das Problem "finden", es lag tatsächlich an der Option "Prevent this client from receiving any server-defined client settings." warum auch immer.

            Jetzt hab ich halt am VPN Server DNS und Domain Einstellungen entfernt und dafür bei allen VPN Benutzer bis auf dem einen gesetzt.
            Umständlich, aber jetzt ist die Sache durch.

            pfSense Gold subscription

            1 Reply Last reply Reply Quote 0
            • PippinP
              Pippin
              last edited by

              Hallo,

              Sehe eventuell:

              --pull-filter accept|ignore|reject text
              

              im manual 2.4
              https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage

              I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
              Halton Arp

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.