Verbindungsabbrüche CyberghostVPN

[Binford06]

Hallo Zusammen,

ich nutze auf einer Windows 10 Maschine die aktuellste Cyberghost VPN Version mit dem OpenVPN Protokoll und TCP anstatt UPD aktiviert. Mit diesen Einstellungen habe ich das Problem, dass die VPN Verbindung sobald ich den Computer eine Zeit lang nicht nutze, bzw. keinen Internet-Traffic verursache, abbricht. Cyberghost verliert die Verbindung und versucht sich neu zu verbinden was meistens scheitert bis ich Manuel eine neue Verbindung auslöse. Hatte das selbe Phänomen auch schon auf einer W7 Maschine mit der Vorgängerversion von Cyberghost.

UDP funktioniert ohne Probleme allerdings habe ich damit teilweise massive Kompatibilitätsprobleme und diverse Websites sind nicht, bzw. nur sehr schlecht erreichbar. Insofern würde ich gerne weiter TCP nutzen falls möglich.

Hat hier jemand vielleicht Lösungsansätze?

Grüße
Michael

 

[Bob.Dig]

Kompatibilitätsprobleme mit Websites, wenn man für den Tunnel UDP benutzt, klingt auch merkwürdig. Scheint ja echt nicht rund zu laufen bei dir.

 

[Raijin]

UDP funktioniert ohne Probleme allerdings habe ich damit teilweise massive Kompatibilitätsprobleme und diverse Websites sind nicht, bzw. nur sehr schlecht erreichbar. Insofern würde ich gerne weiter TCP nutzen falls möglich

Das wiederum wird nicht an UDP im Tunnel liegen. Im Gegenteil" UDP ist das empfohlene Protokoll bei VPN-Verbindungen, weil bei TCP durch doppelte Handshakes ein massiver Overhead entsteht, insbesondere bei instabilen Verbindungen. Ich rate daher dringend dazu, UDP für OpenVPN zu nutzen und dann diese Probleme anzugehen.

 

[Nutzerkennwort]

Ich denke, dass du Möglicherweise eine nicht so stabile Internetverbindung hast. Das kann an deinen Treibern liegen, an eine "Sorglos-Total-Antivirenlösung", Hardware oder der Verbindung selbst.

Versuche doch einfach mal Cyberghost mit Wireguard zu verbinden, denn das ist das stabilste und schnellste Protokoll.

 

[nosti]

Hast du vielleicht ein Routing oder DNS Problem? Wenn du deine Website über UDP nicht erreichst finde ich das ziemlich komisch. Die meisten Webserver arbeiten mit TCP. UDP wird aber für den DNS vor Aufruf der Site genutzt.

Die Website wird funktionieren wenn du den Tunnel über TCP laufen lässt, da dann sämtlicher Verkehr in TCP gekapselt wird. Wie schon gesagt ist aber UDP das sinnvollere Protokoll für VPN.

Überschreibt deine VPN das Default Gateway? Mit wireshark könnte man Mal den Traffic mitschneiden um heraus zu bekommen ob Pakete korrekt empfangen werden.

Das die Verbindung zusammen bricht wenn kein Traffic aktiv darüber gesendet wird, könnte auch so konfiguriert sein. OpenVPN nutz für sowas eigentlich einen Keep Alive Ping, wenn der nicht korrekt konfiguriert ist kann das Probleme verursachen.

Grüße

 

[Raijin]

Die meisten Webserver arbeiten mit TCP. UDP wird aber für den DNS vor Aufruf der Site genutzt.

Die Website wird funktionieren wenn du den Tunnel über TCP laufen lässt, da dann sämtlicher Verkehr in TCP gekapselt wird.

Da hast du leider etwas falsch verstanden. Wie du zwar richtig sagst kapselt ein VPN die Pakete, aber das passiert ausschließlich zwischen VPN-Client und -Server. Der Server entkapselt das Paket wieder und schickt es 1:1 so weiter wie es beim Client von der eigentlichen Anwendung losgeschickt wurde - mit dem jeweiligen Protokoll der Anwendung.

Das Ziel, der Webserver, merkt überhaupt nichts vom VPN, außer dass der vermeintliche Absender die öffentliche IP des VPN-Servers ist. Wenn der Browser vorne TCP reinsteckt, kommt hinten am Ziel auch TCP raus, egal ob es mit oder ohne VPN geschickt wurde.

Man kann sich das so vorstellen, dass du deiner Oma einen Wasserkocher im Paket schicken willst, dies aber nicht direkt tust. Stattdessen verpackst du das Paket mit dem Wasserkocher in einem Paket (VPN) und schickst es mir, mit der Bitte, den Inhalt weiterzuschicken und die Antwort ebenfalls weiterzuleiten. Ich bekomme dein Paket (VPN) öffne es, nehme das Paket im Paket raus, ändere den Absender auf meine Adresse und gehe damit zur Post und schicke das Paket mit dem Wasserkocher an das eigentliche Ziel, deine Oma.
Deine Oma bekommt am Ende den Wasserkocher, den du losgeschickt hast. Der Dankesbrief deiner Oma kommt dann bei mir an, ich verpacke ihn in ein Paket (VPN) und schicke es dir.

Bei TCP-VPNs kämen würden alle Pakete zwischen dir und mir via Einschreiben mit Rückschein versendet. Ich würde dir also jedes Paket bestätigen (TCP), auch wenn du gar nicht daran interessiert bist (verschicktes UDP). Andersherum bestägigst du mir jeweils den Empfang der Antwort ebenfalls. Dieser Overhead macht TCP-VPNs langsamer.

 

[nosti]

Nabend,
das ist schon richtig so Wie du es erklärst, für gewöhnlich gibt man dem OpenVPN Server jedoch auch Push Befehle für das Gateway und DNS Server mit.
Ich versuche meine Überlegung mal etwas anders und ausführlicher zu formulieren.

Angenommen wir überschreiben das Gateway und den DNS Server mit dem Verbindungsaufbau.
Die Auflösung für DNS wäre dann über TCP gekapselte, wird zum VPN-Server geschickt und dort die Auflösung vorgenommen. Im Bedarfsfall werden die Anfragen durch den konfigurierten Namenserver verarbeitet. Natürlich arbeitet DNS weiterhin UDP basierend und die Auflösung nach dem VPN-Endpunkt erfolgt ungekapselt.
Damit kannst du jedoch lokale Konfigurationsfehler die u.U. Die UDP Verbindungen des TE beeinflussen umgehen, da es ja einen TCP-Tunnel zum VPN-Endpunkt (und damit auch eine Bestätigung jedes Pakets) gibt und die Auflösung erst danach vom VPN-Server durchgeführt werden kann. (Entweder direkt durch den Endpunkt oder eben einen Nameserver)
Vereinfacht gesprochen machen wir das unzuverlässige Protokoll UDP für den Übertragungsweg zwischen Client und Server mittels der TCP-Kapselung zu einer „zuverlässigen“ Datenübertragung.
Das Ganze funktioniert jedoch nur, wenn der gesamte Traffic durch den Tunnel geroutet wird, wobei etwas anderes für den konkreten Anwendungsfall keinen Sinn ergeben würde.
Kannst du meiner Überlegung folgen?

BTT: ohne weiteren Input vom TE, ist das alles stochern im Nebel. Eine Übersicht der gültigen Routen, vor und nach TunnelAufbau und ggf. die VPN-Konfiguration (ohne Zertifikate) wären hilfreich.

Grüße

 

[Raijin]

Vereinfacht gesprochen machen wir das unzuverlässige Protokoll UDP für den Übertragungsweg zwischen Client und Server mittels der TCP-Kapselung zu einer „zuverlässigen“ Datenübertragung.

Nein, weder vereinfacht noch kompliziert ausgedrückt. Lediglich der Weg des VPNs wird bestätigt und das bringt der darunterliegenden Verbindung wenig. Eine gekapselte TCP-Verbindung ist bereits selbst abgesichert und UDP-Verbindungen sind aus gutem Grund UDP, weil eine Absicherung wie bei TCP nicht gewünscht ist. DNS ist dabei vollkommen unerheblich, weil ein DNS-Request aus einem einzelnen Paket besteht und das in der Masse der zig Tausenden von Datenpaketen untergeht.

Eine Anwendung bekommt überhaupt nicht mit ob ein VPN im Spiel ist und profitiert auch in keinster Weise davon, egal wie man es dreht und wendet. Ein UDP-VPN verhält sich gewissermaßen neutral zur eigentlichen Anwendungsverbindung, getunnelte TCP-Verbindungen sind durch ihr eigenes TCP gesichert und getunneltes UDP bleibt ungesichert. EIn TCP-VPN macht im worst case doppelte Arbeit, weil TCP-Verbindungen wie auch deren Bestätigungspakete abermals bestätigt werden.

Das einzig sinnvolle Szenario für ein TCP-VPN ist ein VPN-Client hinter einer restriktiven Firewall, die nur bestimmte Ports zulässt oder gar UDP komplett blockt.

ohne weiteren Input vom TE, ist das alles stochern im Nebel.

In der Tat.

 

[nosti]

Lediglich der Weg des VPNs wird bestätigt und das bringt der darunterliegenden Verbindung wenig

Mit Client und Server meine ich hier VPN-Client und VPN-Server...ist beim tippen wohl untergegangen. Wenn der VPN-Server gleichzeitig z.B. DNS oder NTP-Server ist, bringt das dann schon etwas. Beides sind gängige Szenarien bei OpenVPN.

Das TCP mehr Overhead generiert als UDP stelle ich ja gar nicht in Frage. Beides hat Vor- und Nachteile Und die jeweiligen Anwendungsszenarien. Trotzdem kannst du dir bei der Übertragung eines UDP Pakets, welches keine verlässliche Übertragung bietet, über einen TCP-basierten Tunnel sicher sein, dass dein Paket beim Tunnel-Endpunkt ankommt. Rein UDP basierend, ohne Tunnel, wäre das nicht garantiert gewesen. Soweit mir bekannt nutzt OpenVPN hier für Sequenznummern für jedes verschickte und empfange Paket.

Die DNS Thematik war ebenso nur eine Idee Da der TE von Verbindungsproblemem gesprochen hat, allerdings wissen wir nicht in welchem Kontext (Zugriff über den Tunnel oder nicht).

Grüße