VPN bricht durch Zwangstrennung des Internetanbieters ab

    Moin zusammen,


    ich habe zwei QNAPs an unterschiedlichen Standorten über OpenVPN miteinander verbunden. Wenn nachts der eine Internetanbieter (EWE hier in Niedersachsen) eine Zwangstrennung meines Internetanschluss durchführt, bekommt der VPN Client keinen Reconnect hin. Das Symbol (zwei Kettenelemente?) zeigt zwar, dass es verbunden ist, aber die Statusanzeige ist grau und es wird auch kein Durchsatz angezeigt. Somit brechen jede Nacht die SyncJobs ab.

    TS-228A OpenVPN Server — Fritzbox 5490 — EWE 150/50 — Telekom 100/50 — Fritzbox 7530AX — TS-230 OpenVPN Client


    Beide NASen haben QTS 5.0.0 und QVPN Service 2.4.


    Hat jemand eine Idee, wie ich entweder den Reconnect automatisch hinbekomme oder wie ich den VPN-Tunnel jeden Tag kurz vor den SyncJobs zeitgesteuert öffnen kann?


    Ach ja, ein LAN-LAN VPN über die Fritten bringt aufgrund der schwachen 5490 nicht den Durchsatz, den die Internetleitungen zur Verfügung stellen können. Daher die direkte Verbindung zwischen den beiden NASen.


    Viele Grüße

    Clemens

    Am besten 2 gute VPN Geräte kaufen (raspi oder bessere Router als die Fritten) und dann nen Autoconnect zur DDNS Adresse des Servers (der Disconnect kommt trotzdem aber sollte nach Update des DDNS schnell wiederhergestellt werden)

    VPN Server auf nem QNAP würde ich net machen .. die ham ihr Vertrauen verspielt, keine Ports zu QNAPs weiterleiten

    Der QVPN Client war auch schon Einfallstor für Schadsoftware, also überlegen dir das besser diesen hier weiterhin einzusetzen.


    Du kannst ja einfach mal versuchen die beiden FritzBoxen auf beiden Seiten über die integrierte VPN Site to Site Lösung zu kopplen. Das läuft dann sicherlich auch stabil und die Clients sind dann die beiden NAS Systeme und merken ggf. gar nix mehr von der Zwangstrennung, da der Tunnel in Sekunden wieder aufgebaut wird.

    Danke für die schnellen Antworten.

    Wie gesagt, über die VPN Site to Site Lösung bekomme ich keine Geschwindigkeit hin. Ca. 1/6 von dem was ginge. Das dauert mir zu lange. Mit zwei Raspis wäre es nochmal ein ordentlicher Bastelaufwand und an den einen Standort komme ich nicht so häufig.

    Einzige Alternative wäre die 5490 durch eine 5530 zu ersetzen für schalffe ca. 180,- oiro.


    Ich probiere es erstmal auth-nocache zu entfernen.

    Die Kosten für die Router sind aber überschaubar, wenn man bedenkt, das Deadbolt ein Lösegeld von ca. 1.000€ pro NAS verlangt.

    Und dann ist immer noch fraglich, ob alle Daten wieder hergestellt werden können.

    Ganz davon zu schweigen, das ein kompromittiertes System nicht mehr vertrauenswürdig ist.

    Insofern ist das schlicht am falschen Ende gespart!

    Aber was soll's, no risk - no fun... ;)


    Gruss

    Vielleicht hast Du Recht. In Relation sieht das wieder anders aus.

    Es ist allerdings nicht so, als wenn ich aus meinem NAS einen exposed host mache. Ich verfolge die Diskussionen über Sicherheit hier im Forum und habe auch die Sicherheitstipps beherzigt. Die eingesetzte VPN Technik in der Fritzbox wird an anderer Stelle auch als zu schwach kritisiert. Daher ist es nicht immer einfach sich für die sicherste Variante zu entscheiden.

    Ich habe für meine privaten Daten eine 3-2-1 BackUp Strategie. Insofern könnte ich im Verschlüsselungsfall beide NAS platt machen und dann neu aufsetzen.


    Aber mit einer neuen Fritte hätte ich auch gleichzeitig ein etwas besseres WLAN. Vielleicht überlege ich es mir nochmal…

    Hmmm, bei mir funzt das zwischen einer 7590AX und 7590 einwandfrei, trotz Zwangstrennung beider Seiten.

    OK, sind auch nur 2km Strecke zwischendrinn !?!? :S

    Screenshot 2022-03-04 080051.png


    Und läuft wider Erwarten einwandfrei und stabil, trotz zwei verschiedener Provider (1&1 und Vodafone)



    Zitat von dolbyman

    oder bessere Router als die Fritten

    Warum? Funktioniert doch! Auch auf ollen Fritten :cup:

    Zitat von CJS

    Warum? Funktioniert doch! Auch auf ollen Fritten

    dolbyman hat Angst vor Fritten, weil es die nicht gibt wo er herkommt ;)


    Ich denke auch dass sich Clemens! auf IPsec bezieht, welches auf den Fritten ja nun wirklich antiperformant ist.

    Zitat von tiermutter

    welches auf den Fritten ja nun wirklich antiperformant ist

    Ja, definitiv :(


    Aber: die Hoffnung stirbt zuletzt - es hapert halt an der Hardware ...


    Es wird Zeit, dass AVM mal Router mit Steckplätzen/ intern erweiterbar rausbringt.

    Na ja, das es bessere Router als die Fritten gibt ist allseits bekannt.

    Problem ist einfach das die Zielgruppe "unbedarfte" Heimanwender diese nicht konfigurieren können, weil das teils tiefgreifende Netzwerkkenntnisse erfordert.

    Zumal Viele schon mit einfachen Grundkenntnissen häufig überfordert sind. ?(


    Und um Himmelswillen: keine Fritte mit Steckplatz!

    Sonst nimmt der Support exponentiell zu mit "warum geht meine Grafikkarte(!) nicht in der Fritz...?" :P


    Gruss

    Zitat von CJS

    Es wird Zeit, dass AVM mal Router mit Steckplätzen/ intern erweiterbar rausbringt.

    Wird nie passieren, weil das der normale AVM Kunde nicht braucht und auch nix mit anfangen kann.


    Für den IT Freak gibt es dann andere Kisten die man dann als Router/Firewall einsetzt und dann geht es im VPN auch gleich ganz anderes zur Sache.

    Die neueren FritzKisten können auch AES in Hardware beschleunigen, nur ist hier das Problem die sehr alte IKEv1 Implementierung die noch mit Aggressiver Mode arbeitet und vor allem DH2.


    Ja das geht viel besser, aber die Fritz an sich ist gut gehärtet, ich kenne jedenfalls keinen Fall bei der die Dinger massenhaft unterwandert wurden, oder durch einen Angriff in eine Reboot Schleife wechselten wie bei den Speedport.

    Zurück zum Thema:


    Eine Alternative könnte sein, das Backup nicht über VPN sondern stattdessen mit rsync über einen ssh-Tunnel zu machen. Wenn der ssh-Zugang ausschließlich auf ssh-Schlüssel eingestellt ist (also kein Login über Passwort mehr), dann besteht eine zu VPN vergleichbare Sicherheit.


    Meiner Erfahrung nach läuft ssh gerade bei schlechten Verbindungen stabiler als VPN, und nach Abbrüchen wird die Verbindung auch leichter wieder neu aufgebaut. Ich kann aber nicht versprechen, dass das auch für den konkreten Fall hier gilt.

    Mich würde jetzt mal interessieren ob das Entfernen von der Option hier auch Abhilfe geschaffen hat. :)

    Ich habe noch am Donnerstag die ovpn-Datei angepasst und eingelesen. Am Freitag hatte ich keine Fehlermeldung. Heute dann aber wieder zwei TimeOuts bei einem SyncJob. Jetzt habe ich nachgeschaut und tada, es hat geklappt. VPN Status ist grün, Verbindung steht und die SyncJobs sind alle mit “success” abgeschlossen.

    Sehr cool! An dieser Stelle nochmals vielen Dank!


    Btw.: Gemäß Fritzbox Protokoll dauerte die Trennung 10 Sekunden. Warum das die EWE nicht einfach abschafft, wie es die Telekom schon lange gemacht hat.

    Egal, es funzt ja jetzt.

    Wenn ich jetzt noch die Zwangstrennung verschiebe, dann sollten auch die TimeOuts aufhören…

    Na wunderbar... Der Dank geht dann an Markus_AT , der hat es ja letztendlich herausgefunden :)


    EWE ist glaube ich ziemlich speziell, zumindest habe ich den Eindruck von dem was ich so mitbekomme...

    Hi Clemens!


    wie hast du es gelöst? Wir haben das gleich Problem. Nach Neustart vom neuen hero läuft es bis zum Reconnect.


    Danke.


    mfg