OpenVPN instabil

Hallo Liste,

folgendes Problem. Der OpenVPN-Zugriff hat über die Jahre eigentlich sehr zuverlässig funktioniert. Allerdings haben den auch nur ich (für Fernwartung) und vielleicht noch ein, zwei andere Kollegen genutzt.
Seit diesem Schuljahr benutzen deutlich mehr (>10) Kollegen regelmäßig den OpenVPN-Zugriff, was aus meiner Sicht eigentlich auch kein Problem sein dürfte, und seitdem läuft OpenVPN sehr instabil.
Die Client-Zugänge sind eingerichtet und funktionieren auch, aber immer wieder ist kein Zugriff von den Clients aus über OpenVPN auf das Schulnetz möglich. Offensichtliche Fehler oder Fehlermeldungen tauchen nicht auf. IPFire läuft, auch VPn ist online und trotzdem kommt keine Verbindung zustande. Erst ein Neustart des IPFire behebt das Problem wieder…bis zum nächsten Ausfall.
Eine Überlastung kann das doch eigentlich sein? Oder liegt das Problem an der vorgeschalteten FritzBox?

Liebe Grüße

Thomas

Was ich noch vergessen habe. Der Server lässt sich von außen über seine dynamische IP bei dd-dns.de anpingen, während man versucht sich über OpenVPN zu verbinden, also steht die Internetverbindung eigentlich.

Thomas

Hallo Thomas,

besteht das Problem bei allen OpenVPN-Nutzern, oder nur bei Dir. Die Frage soll ausschließen dass das Problem bei Deinem Provider liegt.

Wer ist Euer Provider auf der Schulseite?

Ich hatte kürzlich das Problem dass ich ständig Verbindungsabbrüche hatte. Auch die Geschwindigkeit der Verbindung schwankte sehr deutlich. Eine Mitteilung an den Provider sorgte dafür, dass die Abbrüche gegen Null gingen und die Geschwindigkeit wieder normal wurde. Was der Provider gemacht hat weiss ich nicht.

Vielleicht ist das bei Euch auch das gleiche Problem.

Gruß Alois

Hallo Thomas,

Was ich noch vergessen habe. Der Server lässt sich von außen über seine
dynamische IP bei dd-dns.de http://dd-dns.de anpingen, während man
versucht sich über OpenVPN zu verbinden, also steht die
Internetverbindung eigentlich.

das stehen der Verbindung ist ein wichtiger Hinweis: allerdings ist
deine Begründung unzureichent: nur weil da was zurück pingt, heißt das
nicht, dass das dein Server ist.
Du solltes die Erreichbarkeit also mit ssh prüfen: nicht mit ping.

Nehmen wir an, dein Server hatte den Tag über die
111.222.333.444
und am Abend pingst du auf
meine.schule.de
Wenn die Aktualisierung des dd-dns nicht richtig läuft, pingst du auf
die IP oben: dein Server hat aber inzwischen eine andere.
Und die IP oben hat inzwischen jemand anders, dessen Rechner aber auch
auf pings antwortet.

Zum eigentlichen Problem:
gab es da nicht was mit unterschiedlichen MTU Einstellungen in der Fritzbox?

LG

Holger

Hallo Thomas!
Hallo Kolger!

Das wäre auch mein erster Verdacht.

MTU → https://www.elektronik-kompendium.de/sites/net/0812211.htm

Beste Grüße

Thorsten

Hallo an alle!

Danke schon mal für Eure Hilfe!

Fassen wir mal zusammen:

An meinem Provider zuhause kann es nicht liegen, weil ich am Montag auf Fortbildung war und dort ging es auch nicht.
In der Fritz!Box finde ich keine entsprechenden MTU-Einstellungen. Nur zum Verständnis: Ich habe auf der Fritz!Box keinen VPN-Zugang eingerichtet, sondern nur eine Portweiterleitung auf Port 1194 auf den IPFire!?
Zur MTU-Größe: Wegen dem im Thread OpenVPN-Probleme Windows 10-Clients beschriebenen Problem hab ich schon die MTU-Größe von 1400 auf 1500 erhöht und auch die Option “Path MTU Discovery” auf “forciert” gesetzt, was das Problem OpenVPN-Probleme Windows 10-Clients nicht gelöst hat, aber scheinbar auch keine neuen Probleme verursacht hat.
Wie gesagt, erst seitdem mehrere Personen OpenVPN nutzen, bestehen diese Probleme.

Viele Grüße

Thomas

Hallo Liste,

vielleicht ist das das Problem. Ich betreue zwei Schulen, bei beiden wird die dynamische IP bei Two-DNS verwaltet. Und beide haben die gleiche IP bei Two-DNS:


Dann weiß openVPN wahrscheinlich nicht, auf welche Schule es gerade zugreift.

Viele Grüße

Thomas

Hallo Thomas,

vielleicht ist das das Problem. Ich betreue zwei Schulen, bei beiden
wird die dynamische IP bei Two-DNS verwaltet. Und beide haben die
gleiche IP bei Two-DNS:

Dann weiß openVPN wahrscheinlich nicht, auf welche Schule es gerade
zugreift.

natürlich nicht.
Das darf nicht sein, dass die beide die selbe IP haben, oder liegen die
hinter dem selben Router?

Habt ihr feste IPs, oder wechseln die?

LG

Holger

Hallo Holger,

danke für Deine Hilfe. Die Schulen und damit die Server befinden sich in unterschiedlichen Orten. Wir haben keine festen IPs.

Einen Erklärungsansatz habe ich noch: Der eine Server ist ein Klon des anderen, d.h. ich habe die virtuellen Maschinen meiner Erstinstallation (Fassoldshof) einfach auf meine Zweitinstallation (Werner-Grampp-Schule Kulmbach) kopiert. Und dann nur noch individuelle Anpassungen vorgenommen, u.a. auch Two-DNS. Vielleicht habe ich da irgendwas übersehen? Aber eigentlich lief es über ein halbes Jahr problemlos. Erst seit Schuljahresbeginn mit deutlich gestiegenen Nutzerzahlen habe ich das Problem.

Viele Grüße

Thomas

Hallo Thomas,

Einen Erklärungsansatz habe ich noch: Der eine Server ist ein Klon des
anderen, d.h. ich habe die virtuellen Maschinen meiner Erstinstallation
(Fassoldshof) einfach auf meine Zweitinstallation (Werner-Grampp-Schule
Kulmbach) kopiert. Und dann nur noch individuelle Anpassungen
vorgenommen, u.a. auch Two-DNS. Vielleicht habe ich da irgendwas
übersehen? Aber eigentlich lief es über ein halbes Jahr problemlos. Erst
seit Schuljahresbeginn mit deutlich gestiegenen Nutzerzahlen habe ich
das Problem.
ich nehem an, dass im IPFire die selbe Domain zum Updaten der externen
Adresse drin ist: schau mal nach.

Vielleicht war das anders, aber dann hast du in der „neuen“ Schule mal
ein IPFire Backup zurückgespielt … Der Teufel ist ein Eichhörnchen …

LG

Holger

Ich bin gerade zu goip.de gewechselt. Kann ich empfehlen, da man mit einem Login gleich mehrere „Router“ verwalten kann. Das Update der IP kann man mit einem Einzeiler (curl-Befehl) erledigen lassen (Script oder FritzBox)