Remote Desktop / OpenVPN über T-Online



  • Hallo,

    ich habe ein Problem mit dem Windows Remote Desktop.

    Bei einem Kollegen habe ich OpenVPN eingerichtet, damit er sich von zuhause ins Firmennetzwerk einwählen kann. Nach dem Aufbau des Tunnels hat er sich per Remote Desktop auf seinen Firmenrechner geschaltet. Nach einiger Zeit sagte er, ein Bekannter hätte ihm eine Playstation 3 in seinem Heimnetzwerk per WLAN eingerichtet. Kurz danach funktionierte die Einwahl über VPN noch, jedoch ging das Aufschalten mit RDP nicht mehr. Ich kann nicht sagen, ob da ein Zusammenhang besteht.

    Ich habe dann seinen Laptop und seinen Router bei mir zuhause angeschlossen und alles lief ohne Probleme. Dann alles wieder zu ihm: selbes Problem. Mit VNC ging es von ihm, mit Remote Desktop nicht. Mein Provider ist Versatel, seiner T-Online. Blocken die irgendwas? Gibt's das einen Timeout der abläuft? Kann mir das absolut nicht erklären.

    Vielleicht hat jemand eine Idee - wäre echt super.

    Nepumuk



  • Also an T-Online liegt es nicht - weder mit den Privatkundenanschlüssen noch mit den Business Anschlüssen.

    Subnetzüberschneidungen zwischen Firma und zu Hause ?
    Baut ihr das VPN zu Hause über einen Router auf oder mit Software nur über den PC ?
    RDP läuft allerdings über Leitungen mit (hohem) delay nicht so gut immer. Läuft das über WLAN - PS3 und PC/Laptop ? Evtl. gibts dort Probleme.



  • Danke für Deine Antwort.

    Was ich nicht verstehe: mit exakt der gleichen Hardware (Notebook und Router) funktioniert es problemlos über Versatel, über T-Online nicht. Einziger Hardware-Unterschied ist die PS3 im WLAN meines Kollegen.

    Kann es sein, dass die MTU verändert werden muss?

    Oder muss bei OpenVPN in die config etwas mit fragment 1300 und mssfix?

    Nepumuk



  • Wir haben an der Arbeit einmal DSL16.000 von T-Online Business und einmal von T-Online Privatkunden.

    Ich komme von zu Hause (T-Online Privatkunden) ohne Probleme und ohne Veränderungen auf meine beiden Firmen VPNs und das gleiche gilt auch, wenn ich zu Hause Alice habe und zum FirmenVPN verbinde.
    Ich habe aber niergendwo etwas an der MTu verändetr und RDP klappt.

    Deswegen würde ich einen "Fehler" in dieser Richtung ausschließen. Ich kann dir allerdings auch nicht sagen, warum der Spuk nun mit mit deiner PS3 beginnt.



  • Hm, vielleicht mal bei der Telekom anrufen. Eventuell haben die irgendwas umgestellt.

    Es ging ja monatelang ohne Probleme, nur auf einmal nicht mehr. Kann mir eigentlich nicht vorstellen, dass es was mit der PS3 zu tun hat. Ist meiner Meinung nach reiner Zufall, dass das zeitlich zusammenfiel.

    Ansonsten lass ich Wireshark mal mitschneiden. Mal sehen, ob was dabei rauskommt.

    Habe gerade noch das hier gefunden, ein ähnlich gelagertes Problem:
    http://www.administrator.de/index.php?content=114485


  • Moderator

    Bei der Diagnose von soetwas bitte keine esotherischen Probleme erfinden à la MTU verstellen oder solche Scherze. Die MTU bei DSL ist in den allermeisten Fällen bereits korrekt (und etwas kleiner als 1500 im LAN, meist um die 1480). Und wenn das Problem mit einer PS3 (angeblich) beginnt, warum dann nicht einfach besagtes Spielgerät mal nen Tag abhängen und nachsehen ob es damit zu tun hat? Es könnte ja durchaus eine IP Überschneidung wie der Kollege weiter oben bereits gesagt hat geben.

    Allerdings ein wenig ab vom Thema: ein komplettes Heimnetz per VPN Tunnel an die Firma zu binden ist hochgradig gefährlich, deshalb dies NUR tun, wenn es auch unbedingtes MUSS ist. In anderen Fällen kann das eher zu Problemen und/oder Ärger beim Arbeitgeber gehen, denn die restlichen "Heimspielzeuge" haben nichts im Firmennetzwerk verloren! Deshalb gibts für Road-Warrior auch meist nur einen VPN Client zur Einwahl genau dieses PCs und keine Tunnel Konfiguration.



  • Hallo …

    @Grey:

    Bei der Diagnose von soetwas bitte keine esotherischen Probleme erfinden à la MTU verstellen oder solche Scherze.

    Ich wollte keine Probleme erfinden, sorry. Es war lediglich ein Vorschlag, an der MTU zu schrauben.

    Die MTU bei DSL ist in den allermeisten Fällen bereits korrekt (und etwas kleiner als 1500 im LAN, meist um die 1480).

    Stimmt, die MTU bei DSL ist bei Versatel und bei T-Online 1492.

    Und wenn das Problem mit einer PS3 (angeblich) beginnt, warum dann nicht einfach besagtes Spielgerät mal nen Tag abhängen und nachsehen ob es damit zu tun hat? Es könnte ja durchaus eine IP Überschneidung wie der Kollege weiter oben bereits gesagt hat geben.

    Bei einer IP-Überschneidung wäre das Notebook nicht mehr ins Internet gekommen, was ja nicht der Fall war. Es ging ja lediglich RDP über OpenVPN nicht.

    Allerdings ein wenig ab vom Thema: ein komplettes Heimnetz per VPN Tunnel an die Firma zu binden ist hochgradig gefährlich, deshalb dies NUR tun, wenn es auch unbedingtes MUSS ist. In anderen Fällen kann das eher zu Problemen und/oder Ärger beim Arbeitgeber gehen, denn die restlichen "Heimspielzeuge" haben nichts im Firmennetzwerk verloren! Deshalb gibts für Road-Warrior auch meist nur einen VPN Client zur Einwahl genau dieses PCs und keine Tunnel Konfiguration.

    Nur das Notebook ist der Road Warrior, die anderen Geräte des Kollegen nicht.  Kommt der OpenVPN Client ohne Tunnel-Konfiguration aus?

    Zur Lösung des Problems:
    Nach einer Anpassung der tun-mtu auf 1200 (in Server- und Client config) funktionierte Remote Desktop wieder einwandfrei.

    Danke an alle Poster.


  • Moderator

    Hast du mit der tun-mtu mal rumgespielt und die ggf. höher gesetzt (schrittweise)?
    Das hört sich so an als wäre die Payload in den Paketen oder der Transporttunnel mit zu viel Overhead belastet was die Pakete fragmentiert und/oder zerstückelt. Seltsam, sollte nicht auftreten. Wird das VPN via TCP oder UDP aufgebaut?
    Ggf. kann man mit einem Parameter bei Ping das ganze testen (Ping mit größerer Payload senden) und schauen ob die Pakete zurückkommen oder lange Zeit brauchen (oder gar nicht mehr antworten). :)

    Grüße
    Grey



  • Ja, ich habe es zuerst mit tun-mtu 1300 probiert, doch dann ging die Einwahl ins VPN selbst gar nicht.
    OpenVPN läuft über TCP, auch mit UDP komme ich nicht ins Firmennetz.

    Scheinbar brauchen die Pakete (mit tun-mtu >= 1300) zu lange, so dass es für Remote Desktop zu einem Time-Out kommt und er abbricht.  ???


  • Moderator

    Hmm sehr seltsam. Ist TCP Pflicht? OVPN läuft meiner Erfahrung nach besser und schneller mit UDP, da das doppelte Verpacken TCP in TCP wegfällt. Aber dazu muss die Gegenstelle auch auf UDP eingestellt sein. Aber so eine geringe tun-mtu ist durchaus merkwürdig.



  • Ich versuche es heute Abend nochmal mit UDP. Mal sehen, ob das vielleicht doch geht.

    Ich melde mich nochmal …



  • Habe es gerade mit UDP versucht. Es kam diese Fehlermeldung.

    Wed May 18 20:01:12 2011 us=958000 UDPv4 link local (bound): [undef]:1194
    Wed May 18 20:01:12 2011 us=968000 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
    Wed May 18 20:02:12 2011 us=33000 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Wed May 18 20:02:12 2011 us=33000 TLS Error: TLS handshake failed
    Wed May 18 20:02:12 2011 us=33000 TCP/UDP: Closing socket
    Wed May 18 20:02:12 2011 us=63000 SIGUSR1[soft,tls-error] received, process restarting



  • wenn du das protokoll ändert, musst du bei der firewall (WAN) das entsprechende protokoll durchlassen, nämlich UDP.
    und du musst auch am client UDP einstellen.



  • Hallo,

    in den Firewall-Regeln habe ich das Protokoll für das WAN-Interface auf TCP/UDP gestellt, in der OpenVPN-Konfiguration habe ich für Server UDP gewählt
    und auf meinem Client proto udp.

    Folgende Nachricht war im OpenVPN-Log (nach Umstellung auf UDP):

    May 18 17:07:38 openvpn[28846]: SIGTERM[hard,] received, process exiting
    May 18 17:07:36 openvpn[9287]: Exiting
    May 18 17:07:36 openvpn[9287]: MANAGEMENT: Cannot bind TCP socket on 127.0.0.1:1194: Address already in use (errno=48)
    May 18 17:07:36 openvpn[9287]: OpenVPN 2.0.6 i386-portbld-freebsd7.2 [SSL] [LZO] built on Dec 4 2009
    May 18 17:07:34 openvpn[28846]: /etc/rc.filter_configure tun0 1200 1260 192.168.200.1 192.168.200.2 init

    Muss ich das management 127.0.0.1 1194 aus der Server config rausnehmen (geht das nur mit TCP?)?


  • Moderator

    Könnte sein, es kann aber auch sein, dass sich die Interfaces auch einfach durch die viele Umkonfiguration verhakt haben und die Sense das TUN Interface nicht sauber löschen konnte. Starte die Sense mal komplett neu durch und schau dann in die Fehlermeldungen rein und disable dann - soferns auftritt - das Management.



  • @Grey:

    Könnte sein, es kann aber auch sein, dass sich die Interfaces auch einfach durch die viele Umkonfiguration verhakt haben und die Sense das TUN Interface nicht sauber löschen konnte. Starte die Sense mal komplett neu durch und schau dann in die Fehlermeldungen rein und disable dann - soferns auftritt - das Management.

    Ok, pfSense wurde neu gestartet. Fehlermeldung bzgl. management ist weg. Nun sieht's so aus:

    May 19 10:48:08 openvpn[358]: Need IPv6 code in mroute_extract_addr_from_packet
    May 19 10:48:08 openvpn[358]: Need IPv6 code in mroute_extract_addr_from_packet
    May 19 10:48:08 openvpn[358]: Initialization Sequence Completed
    May 19 10:48:08 openvpn[358]: UDPv4 link remote: [undef]
    May 19 10:48:08 openvpn[358]: UDPv4 link local (bound): [undef]:1194
    May 19 10:48:06 openvpn[353]: Use –help for more information.
    May 19 10:48:06 openvpn[353]: Options error: Unrecognized option or missing parameter(s) in /var/etc/openvpn_client0.conf:14: remote (2.0.6)
    May 19 10:48:04 openvpn[345]: /etc/rc.filter_configure tun0 1200 1258 192.168.200.1 192.168.200.2 init
    May 19 10:48:04 openvpn[345]: /sbin/ifconfig tun0 192.168.200.1 192.168.200.2 mtu 1200 netmask 255.255.255.255 up
    May 19 10:48:04 openvpn[345]: TUN/TAP device /dev/tun0 opened
    May 19 10:48:04 openvpn[345]: gw 192.168.104.1
    May 19 10:48:04 openvpn[345]: WARNING: normally if you use –mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1200)
    May 19 10:48:04 openvpn[345]: WARNING: file '/var/etc/openvpn_server1.key' is group or others accessible
    May 19 10:48:04 openvpn[345]: OpenVPN 2.0.6 i386-portbld-freebsd7.2 [SSL] [LZO] built on Dec 4 2009
    May 19 10:48:02 openvpn[341]: Use –help for more information.
    May 19 10:48:02 openvpn[341]: Options error: Unrecognized option or missing parameter(s) in /var/etc/openvpn_server0.conf:14: lport (2.0.6)

    Ich probier's heute Abend nochmal aus - geht vorher leider nicht  ;)



  • Hallo,

    wir konnten es nun doch schon mit UDP ausprobieren. Es funktioniert!
    Aber wenn wir die tun-mtu auf 1500 setzen, geht RDP hiermit auch nicht.



  • hallo
    habe die gleichen probleme
    mit RDP und TCP geht UDP nicht
    telekom auf telekom busines verwende pfs 123

    und es wäre hilfreich wen ihr von einstellungen wie "Nach einer Anpassung der tun-mtu auf 1200 (in Server- und Client config) funktionierte Remote Desktop wieder einwandfrei."
    redet auch schreibt wo und wie der befehlt lautet



  • # Die ermittelte mtu für das tun Interface.
    # Wir fügen die Optionen fragment und
    # mssfix hinzu, um ein Aushandeln der
    # Paketgroessen zu ermoeglichen
    
    tun-mtu 1492
    fragment 1300
    mssfix
    

    was "fragment" und "mssfix" bedeutet, weiss ich nicht, aber diese zeilen findet man, wnen man in google nach "tun-mtu openvpn" sucht. Hoffe das hilft, ich selbst, muss diese Anpassungen trotz T-Online private and Business nicht anpassen.


Locked