Openvpn keepalive pingt zu viel



  • Hallo Leute,

    Ich hab eine PFSense am laufen mit ein paar VPN Tunneln. 3 Laptops und 2 Site to Site Tunnel. Das funktioniert auch ganz gut. Jetzt ist zusätzlich ein IoT Gerät dazugekommen mit einer M2M Simkarte mit max. 100MB Traffic pro Monat die ebenfalls ins VPN muss. Nutzdaten werden ca. 10-30MB im Monat zustandekommen, aber der Ping von der PFSense für keepalive schein mir da etwas übertirieben zu sein:

    12:06:57.232283 IP 10.0.12.1 > 10.0.12.2: ICMP echo request, id 64231, seq 57222, length 8
    12:06:57.321973 IP 10.0.12.2 > 10.0.12.1: ICMP echo reply, id 64231, seq 57222, length 8
    12:06:57.736454 IP 10.0.12.1 > 10.0.12.2: ICMP echo request, id 64231, seq 57223, length 8
    12:06:57.811608 IP 10.0.12.2 > 10.0.12.1: ICMP echo reply, id 64231, seq 57223, length 8
    12:06:58.247054 IP 10.0.12.1 > 10.0.12.2: ICMP echo request, id 64231, seq 57224, length 8
    12:06:58.376975 IP 10.0.12.2 > 10.0.12.1: ICMP echo reply, id 64231, seq 57224, length 8
    12:06:58.767044 IP 10.0.12.1 > 10.0.12.2: ICMP echo request, id 64231, seq 57225, length 8
    12:06:58.881715 IP 10.0.12.2 > 10.0.12.1: ICMP echo reply, id 64231, seq 57225, length 8
    12:06:59.268801 IP 10.0.12.1 > 10.0.12.2: ICMP echo request, id 64231, seq 57226, length 8
    12:06:59.352156 IP 10.0.12.2 > 10.0.12.1: ICMP echo reply, id 64231, seq 57226, length 8
    12:06:59.770097 IP 10.0.12.1 > 10.0.12.2: ICMP echo request, id 64231, seq 57227, length 8
    12:06:59.841613 IP 10.0.12.2 > 10.0.12.1: ICMP echo reply, id 64231, seq 57227, length 8
    12:07:00.271338 IP 10.0.12.1 > 10.0.12.2: ICMP echo request, id 64231, seq 57228, length 8
    12:07:00.372418 IP 10.0.12.2 > 10.0.12.1: ICMP echo reply, id 64231, seq 57228, length 8
    12:07:00.772627 IP 10.0.12.1 > 10.0.12.2: ICMP echo request, id 64231, seq 57229, length 8
    12:07:00.852269 IP 10.0.12.2 > 10.0.12.1: ICMP echo reply, id 64231, seq 57229, length 8
    12:07:01.284221 IP 10.0.12.1 > 10.0.12.2: ICMP echo request, id 64231, seq 57230, length 8
    12:07:01.421927 IP 10.0.12.2 > 10.0.12.1: ICMP echo reply, id 64231, seq 57230, length 8
    12:07:01.815266 IP 10.0.12.1 > 10.0.12.2: ICMP echo request, id 64231, seq 57231, length 8
    12:07:01.891695 IP 10.0.12.2 > 10.0.12.1: ICMP echo reply, id 64231, seq 57231, length 8
    

    Also 3-4 Pings pro SEKUNDE ist da jetzt ein Problem, das allein verurascht 20MB pro Tag. Im Configfile ist "keepalive 10 120". Wie bringe ich PFSense dazu etwas sparsamer zu pingen und sich an 10 120 zu halten?

    Danke BG Mario


  • Moderator

    Das hat nichts mit dem Keepalive von OpenVPN zu tun, sondern mit dem GATEWAY. pfSense pingt per default seine Gateways immer ca. 2x/s an um bei einem GW Failure entsprechend das Gateway offline zu nehmen und entsprechende Aktionen durchzuführen. Das sind auch keine 3-4 Pings pro Sekunde sondern genau 2 wie beschrieben, also alle 500ms - natürlich gibts auf den Request einen Reply, als Antwort -> Richtung beachten wer mit wem redet.

    Wenn das so nicht sein soll, hast du aber eben potentiell das Problem, dass der Tunnel lange/träge brauchen wird bis er Probleme feststellt. Aber das liegt dann an dir. Ändern kannst du default das Verhalten nicht, aber wenn du das entsprechende OVPN Interface zuweist (Interface / Assignments) und dann einem OPTx zuweist, dort dann "aktiv" Haken rein und sonst nichts einstellst, werden die v4 und v6 GWs dieser Verbindung in der UI sicht- und nutzbar. Dann kannst du auch das Ping Verhalten des dpingers anpassen.



  • Hallo JeGr

    @JeGr:

    Das hat nichts mit dem Keepalive von OpenVPN zu tun, sondern mit dem GATEWAY. pfSense pingt per default seine Gateways immer ca. 2x/s an um bei einem GW Failure entsprechend das Gateway offline zu nehmen und entsprechende Aktionen durchzuführen. Das sind auch keine 3-4 Pings pro Sekunde sondern genau 2 wie beschrieben, also alle 500ms - natürlich gibts auf den Request einen Reply, als Antwort -> Richtung beachten wer mit wem redet.

    Ja das hatte ich der Zwischenzeit auch schon selbst erkannt. Ich habe jetzt folgendes Problem:

    Die folgenden Eingabefehler wurden erkannt:
    
    Der Name Gateway darf nicht länger als 32 Zeichen sein, darf nicht ausschließlich aus Ziffern bestehen oder aus Unterstrichen bestehen und darf nur folgende Zeichen enthalten: a-z, A-Z, 0-9, _
    

    Wenn ich die Bezeichung kürze kommt:

    Die folgenden Eingabefehler wurden erkannt:
    
    Ändern des Namens eines Gateways ist nicht erlaubt.
    

    Das ist jetzt etwas verzwickt…

    BG Mario