VPN Reconnect after WAN Disconnect/Reconnect

[Schubbie]

Moin,
nein, ich kann nicht erkennen, dass benötigter Verkehr rein oder raus geht. Im Livelog sieht es so aus, als wenn die Geräte nichts machen. Egal ob intern oder extern (extern eine Synology, die zu meiner internen Synology einen VPN aufbauen soll).
Bei den letzten Malen war es anscheinend egal, ob ich das interne Gerät oder die OPNsense neu starte. Es sah so aus, als wenn nur Verbindungen betroffen sind, die zuvor eine ständige Verbindung per Portweiterleitung zu einem Dienst (VPN oder VoIP) hatten. Portweiterleitungen, welche nur auf Anfrage manuell genutztt werden, funktionierten. Nur die Dienste meiner Telefonanlage neu zu starten reicht nicht. Also entweder jeden Client neu starten oder die OPNsense neu starten. Zweites ist einfacher.
Bei mir liegt alles auf einem Synology-NAS, auch die Telefonanlage in einer VM über ein VLAN. WireGuard läuft ebenfalls auf der Synology in einer VM. Es lief aber auch schon mal gar keine Weiterleitung. Es ist immer etwas anders.
Die Telefonanlage habe ich mal mehrere Stunden in diesem Zustand gelassen, um zu gucken, ob einfach irgendetwas Zeit benötigt, um die neue externe IP zu registrieren, aber es war ein Neustart nötig. Die Telefonanlage zeigte beim registrieren der Leitungen ständig einen Timeout, speich der Server wird nicht erreicht oder die Antwort kommt nicht zurück. Ich vermute zweiteres, da sonst ein "Server unreachable" kommen müsste. Daher war auch schon die Vermutung, ob es an den static portforwarding liegt, aber das kann eigentlich nicht sein, da sich intern nichts ändert. Oder werden dann bei einer anderen externen IP nichts weitergeleitet, da die Anfragen über eine andere externe IP reinkommen und es dann nicht mehr "Static" wäre?

Mit freundlichem Gruß
Andreas

[Schubbie]

Was passiert bei dir, wenn du im Fehlerfall folgenden Cronjob ausführst?
System -> Einstellungen -> Cron
Neuen Job anlegen. Uhrzeit 1 Minute nach jetzt stellen, damit der kurzfristig ausgeführt wird.
* Heißt jede/r, speich jede Stunde / jeder Tag etc.
Befehl: Update and reload firewall aliases
Parameter: wan (kleingeschrieben)

[Schubbie]

Ich habe die OPNsense heute Nacht nicht neu starten lassen. Der VPN wurde ca. 32 Minuten nach Erhalt der neuen externen IP neu aufgebaut. 1 Minute nach Neustart sollen sich die Aliase aktualisieren. Ich entdecke keinen konkreten Verlauf, wann eine Neuverbindung wieder klappt und wann nicht, außer nach Neustart.

[Schubbie]

Moin Jürgen,

ich habe die Einstellungen der Firewall nochmals durchfortstet.
Hast Du bereits folgendes Probiert? Mein Test steht noch aus...

Firewall -> Einstellungen -> Erweitert
1. Filterung statischer Routen
2. Dynamic state reset

Zweiteres hört sich vielversprechend an.

[Schubbie]

Ich habe nur Punkt 2 probiert. Nach Trennung und Erhalt einer neuen IP hat die Neuverbindung ca. 1/2 Minute gedauert. Erstmal musste die Synology den Verlust des VPN registrieren und hat dann innerhalb ein paar Sekunden neu verbunden. Ich hoffe, dass es so bleibt.

[micneu]

mal eine ganz doofe frage, du machst du vpn über die sysnology, warum das, warum nicht über die sense?

[stumpjumper]

Ich habe nur Punkt 2 probiert. Nach Trennung und Erhalt einer neuen IP hat die Neuverbindung ca. 1/2 Minute gedauert. Erstmal musste die Synology den Verlust des VPN registrieren und hat dann innerhalb ein paar Sekunden neu verbunden. Ich hoffe, dass es so bleibt.

Hallo Andreas,
nein den hatte ich bisher nicht probiert weil ich ja im Prinzip statische IP-Adressen habe.
Bei einem "normalen" DSL Anschluß, damit meine ich ohne SIP-Trunk, macht die Telekom weiterhin eine Zwangstrennung man kann aber im Router einen haken setzen dass man eine feste IP möchte, damit bekommt man wieder die selbe IP. Aber Du hast recht, es ist ja eine Trennung der Leitung, ich werde das mal testen, tut ja nicht weh.
Danke für den Hinweis.
Gruß Jürgen

[Schubbie]

Moin micneu,

auf der anderen Seite befindet sich nur eine FritzBox und eine Synology. Da ist es einfacher 2 VPN-Tunnel mit unterschiedlichen Protokollen zwischen den Synology aufzubauen, da es nur um die Datensynchronisation zwischen den beiden Synology-NAS geht.

Leider wird der VPN direkt wieder als verbunden angezeigt, jedoch erreicht meine Synology nicht die Apps auf der entfernten Synology. Auch hier steht die Verbindung anscheinend erst wieder nach 1/2 Stunde korrekt. Ich verstehe nur nicht, wie der Tunnel als aufgebaut angezeigt werden kann, aber die Verbindung nicht korrekt zu stehen scheint.

Mit freundlichem Gruß
Andreas

[micneu]

ich habe zu 3 Fritzboxen VPN´s über die Sense am laufen, und das stabil seit die eingerichtet sind.
keine probleme nach trennung der dsl leitung.
meine gegenstellen sind:
- Fritzbox 7490
- Fritzbox 7590
- Fritzbox 6591

ich nutze auf den fritzboxen den dyndns von AVM, leider ist der sehr kryptisch, aber ich muss ihn ja nicht tippen.
melde dich wenn du willst richten wir das zusammen ein.

[Schubbie]

Auf der Gegenseite befindet sich eine 7490 (60km entfernt). Werden die Einstellungen in der FritzBox bei einem Backup gesichert und bei einem Firmware-Update erhalten? Die Oberfläche der FritzBox erreiche ich momentan nur über ein Portfreigabe, reicht das oder muss ich per SSH drauf?
DynDNS habe ich mit entsprechenden Subdomains bei Strato.

[micneu]

Am besten die fritzbox über die gui so konfigurieren das du per https drauf kommst (kann ich gerade nicht aus dem kopf sagen wie) wenn du den Dyndns von AVM nutzt. Ist das gut.

ich nutze für die fritzboxen auch myfritz. So hast du immer Übersicht über die fritzboxen.

Mit Startort als dyndns habe ich keine Erfahrung, ich hoffe das läuft gut damit.

Gesendet von iPad mit Tapatalk Pro

[JeGr]

> ich nutze auf den fritzboxen den dyndns von AVM, leider ist der sehr kryptisch, aber ich muss ihn ja nicht tippen.
melde dich wenn du willst richten wir das zusammen ein.

Wir haben da erst kürzlich wegen einer pfSense Cluster-Installation nochmal heftig rumgetestet was geht und was nicht, evtl. kann ich da auch mehr beisteuern, da die AVM Crapkisten tatsächlich "mehr" können als AVM zur Konfiguration zulässt, man muss das nur über die cfg-files importieren statt in der UI. Hatte uns ziemliche Kopfzerbrechen bereitet.

> Die Oberfläche der FritzBox erreiche ich momentan nur über ein Portfreigabe, reicht das oder muss ich per SSH drauf?

Portfreigabe? Du meinst eher über die FB-eigene Verbindungsfreigabe "aus dem Internet", oder? Da muss normalerweise nix mit Port Freigabe gemacht werden, die FB ist dann einfach unter der WAN-IP:xyz Port erreichbar (und xyz ist konfigurierbar) :)
Und Per SSH auf eine FB? Ich glaube du sprichst da gerade von der Syno oder? ;)

Ansonsten wenn DynDns durch die Syno dahinter schon gemacht wird (oder custom auf der FB direkt eingetragen das Strato Dingens?) geht das auch beides :)

[Schubbie]

Anscheinend scheint mein Punkt 2 in den Einstellungen doch der Punkt gewesen zu sein, den ich ändern musste und der auch dem TE helfon könnte.

Die "halbe Stunde" scheint ein Problem bei Synology zu sein. Der VPN wird zwar neu aufgebaut, jedoch erreicht Hyper Backup die andere Syniology nicht. Erst wenn ich den VPN manuell trenne und wieder aufbaue, steht die Verbindung in Hyper Backup auch sofort. Es gab gerade ein Update für den Synology NAS, in dessen Changelog folgendes zu finden ist:
Fixed the issue where domain-related services might not resume working because the update of domain data could not be complete.
Leider hat das Update (auf beiden Synologies ausgeführt) mein Problem nicht behoben. Aber ich vermute, dass die Einstellung, die ich in der OPNsense vorgenommen habe, nötig war.

> Die Oberfläche der FritzBox erreiche ich momentan nur über ein Portfreigabe, reicht das oder muss ich per SSH drauf?

Portfreigabe? Du meinst eher über die FB-eigene Verbindungsfreigabe "aus dem Internet", oder? Da muss normalerweise nix mit Port Freigabe gemacht werden, die FB ist dann einfach unter der WAN-IP:xyz Port erreichbar (und xyz ist konfigurierbar) :)
Und Per SSH auf eine FB? Ich glaube du sprichst da gerade von der Syno oder? ;)

Ansonsten wenn DynDns durch die Syno dahinter schon gemacht wird (oder custom auf der FB direkt eingetragen das Strato Dingens?) geht das auch beides :)

Den Port gibt die FritzBox halt für sich frei, wie auch den Port 5060 für die Telefonie. AVM blendet diese Freigaben nur aus, damit die User diese Ports nicht "versehentlich" deaktivieren und sich beschweren, dass etwas nicht läuft. Wenn ich per Browser auf die FB zugreifen will, muss ich auch zwingend IP:Port in die Adresszeile eintippen.

DynDNS ist kein Thema, da bin ich mit meinem Stratoaccount für 17,-€ im Jahr gut bedient ;-)


Ich werde wohl mal die Möglichkeit ausprobieren, dass ich einen VPN direkt zwischen OPNsense und der FritzBox aufspanne. Allerdings muss ich die Zeit finden. Schlecht ist allerdings, dass der VPN der FritzBox recht langsam ist, jedoch haben beide Standorte eh kaum Bandbreite...
Alternativ würde ich auf der entfernten Synology eine WireGuard-VM auf der Synology installieren, wobei mir der VPN auf dem Router lieber ist, daher habe ich mir auch die OPNsense installiert, damit ich mein Netzwerk auch erreichen kann, wenn die Synology Probleme macht.

Mit freudlichem Gruß
Andreas

[micneu]

AVM hat gerade die Firmware für die 7590 aktualisiert (7.20) da soll das VPN 3x so schnell sein. (Ich kann bei mir keinen unterschied feststellen da meine Teilnehmer nur eine 50/10 Leitung haben)


Gesendet von iPad mit Tapatalk Pro

[JeGr]

> da soll das VPN 3x so schnell sein

Mit was? (3)DES und MD5? :D Dass sie das 2020 immer noch überhaupt ausliefern bzw. bei ner IPsec Verbindung als Proposal schicken ist eine Beleidigung für das "P" in VPN. Das P bei AVMs VPN steht eher für Panne ;)