Hallo zusammen,
ich schlage mich jetzt schon ein wenig mit einem lästigen Problem rum. Wenn ich eine SSH Verbindung länger als 1-2 Minuten nicht benutze, friert sie ein. Die Konsole kann ich weiter bedienen, neue Tabs etc aber keinerlei meiner eingaben werden mehr akzeptiert bei der SSH Session.
Mit der SSH Verbindung gehe ich über die OPNsense auf die VServer die dahinter liegen auf einem Proxmox.
Im Netz habe ich schon allerlei gefunden aber nichts hat bisher geholfen z.B. Fragment size & MSS fix. Sobald ich Fragment size anpasse, bekomme ich nur noch einen Timeout wenn ich versuche per SSH zu verbinden.
Falls ihr noch irgendwelche Infos braucht, liefere ich die gerne nach. Ich weiß aber gerade nicht mal mehr an welcher Stellschraube ich drehen sollte.
IPv4? IPv6? Geroutetes Netz oder VPN (falls ja, welches?)? Virtuelle IP oder RFC1918 mit Portfreigabe? Keep-Alive im SSH-Client aktiv?
Welcher Provider ist der Vserver?
Also der server steht bei Hetzner darauf läuft ein Proxmox, darauf eine VM für OPNsense die eine eigene IP hat und dahinter die VM's auf dem sich dann alles abspielt.
VPN und SSH läuft alles über IPv4 ab.
Die vServer haben alle eine RFC1918 Adresse 192.168.100.x die VPN Clients eine 192.168.101.x. Über den VPN habe ich gar keine Beschränkungen.
Ich habe kein Keep-Alive konfiguriert, aber das Phänomen habe ich auch nur über den VPN, alle anderen SSH Verbindungen kann ich stunden lang offen lassen.
Alle Server haben die gleiche ssh config, also die hinter dem VPN oder die öffentlichen.
Bei der Einrichtung eines VPN in der Cloud kann man sich leicht eine Fehlkonfiguration mit doppelten Gateways einfangen.
Dabei würde die eingehende SSH-Verbindung über die Tunnel-IP reinkommen und die ausgehenden Antwortpakete gehen dann teilweise über das Default-Gateway raus, den der Vserver ja hat, weil er mutmaßlich auch Web-Treffic zulässt. Das sind dann duplicate routes, die erst nach ein paar Sekunden zu Probleme führen.
In solchen Fällen müsste man die Tunnel-Route ggf. auch auf dem Vserver explizit setzen. So etwas passiert gern mal, wenn man den Standard-Setup mit weitergeleiteten Ports macht, bei dem die OpnSense als WAN-IP auch eine RFC1918 hat und nicht die eigentliche WAN-IP.
Ansonsten: Alle Tipps von hier (https://forum.opnsense.org/index.php?topic=44159.0) sind beachtet?
Den Beitrag hab ich noch nicht gefunden, schaue ich mir gleich mal an.
Auf der Wan seite ist jedenfalls kein RFC1918 hinterlegt. Und das Terminal funktioniert ja auch solange ich damit arbeite, auch schon 10-20 Minuten am stück. Nur wenn ich es mal 2 Minuten in ruhe lasse: freeze.