OpenVPN - Windows 10 - keepalive Problem (2 min)?



  • Hallo,

    ich hab den ersten User mit einem Windows 10 und OpenVPN eingerichtet.

    Aus irgend einem Grund wird die Verbindung immer alle zwei Minuten getrennt:
    Jul 1 20:42:27 openvpn 75696 VPNUSER/XXX.XXX.XXX.XXX:61080 [VPNUSER] Inactivity timeout (--ping-restart), restarting
    Jul 1 20:40:26 openvpn user 'VPNUSER' authenticated

    Abgesehen davon das es mein erster Windows 10 User ist hat der Benutzer noch diese Einstellung gesetzt:
    "Prevent this client from receiving any server-defined client settings."

    Kann es sein das damit die keepalive Funktion nicht mehr gesetzt wird?
    Dürfte eigentlich nicht sein, das ist ja eine Server Option und keine Client Option.

    Oder liegt es an der Windows Firewall das der Server den Client nicht pingen kann (keepalive)?
    Hat jemand eine Idee?


  • LAYER 8 Moderator

    @slu Moin!

    "Prevent this client from receiving any server-defined client settings."

    Warum?

    Dürfte eigentlich nicht sein, das ist ja eine Server Option und keine Client Option.

    Der Server pusht aber auch diverse Settings (wie Routen etc.) an den Client. Wenn der Client aber per se nichts vom Server annimmt, kann er das kaum. Wenn in der Client Konfiguration dann kein keepalive definiert ist, gilt der Standard Wert (oder keiner).

    Oder liegt es an der Windows Firewall das der Server den Client nicht pingen kann (keepalive)?

    Das hat damit eigentlich weniger zu tun. OVPN Installation sollte ja eh eine Ausnahme in der Firewall erzeugen und einen wirklichen "Ping" sendet der Server an Clients nicht, eher umgekehrt (Clients prüfen ob der Server noch da ist).

    Alle 2min hört sich aber danach an, als würde der Client hinter einer Kiste sitzen, die seine Session terminiert (wegen Timeout?) und er muss sie dann neu aubauen. Ich würde da den Client und dessen Internet mal inspizieren. Ggf. macht da auch jemand DeepInspection und schwurbelt da rum.

    Auf dem Server könnte man auch mal schauen, was da nach den 2min passiert. Beide auf

    verb 3
    

    setzen damit man auch ordentlich Logs sieht. Ggf. hast du bspw. eingestellt, dass sich Clients nicht via dynamischer IP oder mehrfach einloggen können und gleichzeitig ist aber noch jemand anderes verbunden. Hatten wir auch - 2 Geräte gleicher Account - haben sich ständig gegenseitig rausgekegelt.

    Gibts also viele Möglichkeiten.



  • @JeGr said in OpenVPN - Windows 10 - keepalive Problem (2 min)?:

    Warum?

    Weil dieser User keine DNS und Domain Einstellungen übernehmen soll, der Rest schon.

    Der Server pusht aber auch diverse Settings (wie Routen etc.) an den Client. Wenn der Client aber per se nichts vom Server annimmt, kann er das kaum. Wenn in der Client Konfiguration dann kein keepalive definiert ist, gilt der Standard Wert (oder keiner).

    Das ist die Frage, müsste aber dann keepalive 60 120 sein.

    Das hat damit eigentlich weniger zu tun. OVPN Installation sollte ja eh eine Ausnahme in der Firewall erzeugen und einen wirklichen "Ping" sendet der Server an Clients nicht, eher umgekehrt (Clients prüfen ob der Server noch da ist).

    Auf dem Client wird alles eingehende auf die OVPN IP geblockt, der Client selbst greift nur auf ein Nextcloud zu.

    Alle 2min hört sich aber danach an, als würde der Client hinter einer Kiste sitzen, die seine Session terminiert (wegen Timeout?) und er muss sie dann neu aubauen. Ich würde da den Client und dessen Internet mal inspizieren. Ggf. macht da auch jemand DeepInspection und schwurbelt da rum.

    In diese Richtung hatte ich auch schon überlegt, mit einem UDP Tunnel und dem Speedport hatte ich mir damals böse die Finger verbrannt.

    Auf dem Server könnte man auch mal schauen, was da nach den 2min passiert. Beide auf

    verb 3
    

    Das mache ich, alles nicht so einfach, der Client ist nicht in meinem Zuständigkeitsbereich, aber der Server.

    setzen damit man auch ordentlich Logs sieht. Ggf. hast du bspw. eingestellt, dass sich Clients nicht via dynamischer IP oder mehrfach einloggen können und gleichzeitig ist aber noch jemand anderes verbunden. Hatten wir auch - 2 Geräte gleicher Account - haben sich ständig gegenseitig rausgekegelt.

    Das kann ich ausschließen, es gibt nur eine Gerät mit dem Account.

    Gibts also viele Möglichkeiten.

    Mir ist inzwischen noch was anderes gekommen, da auf dem Tunnel quasi keine Daten fliessen könnte dieser wirklich zu gehen. Der Benutzer merkt auch nichts davon, aus seiner Sicht ist alles ok.

    Evtl. liegt es an der Option –inactive n [bytes]
    https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

    Das möchte ich mal testen.



  • So ich konnte das Problem "finden", es lag tatsächlich an der Option "Prevent this client from receiving any server-defined client settings." warum auch immer.

    Jetzt hab ich halt am VPN Server DNS und Domain Einstellungen entfernt und dafür bei allen VPN Benutzer bis auf dem einen gesetzt.
    Umständlich, aber jetzt ist die Sache durch.



  • Hallo,

    Sehe eventuell:

    --pull-filter accept|ignore|reject text
    

    im manual 2.4
    https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage


Log in to reply