Wie Sie, wenn Sie den Blog hier h\u00e4ufiger lesen, wissen, betreuen wir umfangreiche VPNs, viele davon auf der Basis von OpenVPN. Zu unseren Kunden geh\u00f6ren auch Kunden, die mittels LTE ans Internet angebunden sind und bei einem dieser Kunden trat das Problem auf, dass das OpenVPN kurz auf- und direkt wieder abgebaut wurde.<\/p>\n
Vom Aufbau her ist der Kunde ans Internet mittels Vodafone-LTE angebunden. Er geh\u00f6rt zu den fr\u00fchen Kunden von Vodafone und hat eine „Vodafone-LTE-Box“ und dahinter eine Vodafone-Easy-Box, an die die Telefone und sein VPN-Router geschaltet sind. Der VPN-Router baut selbst\u00e4ndig das OpenVPN zum OpenVPN-Server auf.<\/p>\n
Zus\u00e4tzlich hat der Kunde auch ein Notebook, mit dem er auch die M\u00f6glichkeit hat, eine OpenVPN-Verbindung aufzubauen. Diese wird normalerweise auf Grund des VPN-Routers nicht ben\u00f6tigt.<\/p>\n
Das vom Kunden beschriebene Fehlerbild war nun, dass er die Rechner, die im VPN liegen, nicht mehr erreichen konnte. Auf dem VPN-Server konnten wir sehen, dass das VPN erfolgreich aufgebaut und danach direkt wieder getrennt wurde. Auch beim Aufschalten auf den Router sahen wir dieses Verhalten: Das VPN wurde aufgebaut, die Routen gesetzt – und das VPN wieder getrennt. Da das Problem pl\u00f6tzlich aufgetreten war, rieten wir dem Kunden, unseren VPN-Router und die Vodafone-Easy-Box neu zu starten. Diese Ger\u00e4te griffen ja in den Datenverkehr ein bzw. leiteten Pakete weiter, ein Problem bei den Ger\u00e4ten h\u00e4tte also ggf. Auswirkungen auf das VPN. Von der auch noch vorhandenen Vodafone-LTE-Box hatten wir keine Kenntnis und auch der Kunde hatte dieses „dritte Ger\u00e4t“ im Ged\u00e4chtnis verdr\u00e4ngt.<\/p>\n
Ein Neustart brachte jedoch keine Verbesserung. Testweise haben wir zum einen statt des VPN-Routers das VPN durch den Notebook direkt aufbauen lassen. Auch hier: Das VPN wurde erfolgreich auf- und direkt wieder abgebaut.<\/p>\n
OpenVPN l\u00e4uft normalerweise \u00fcber UDP und Port 1194. Wir \u00e4nderten testweise sowohl den Port als auch das Protokoll von UDP zu TCP. Beides brachte keine Verbesserung. Im Netzwerksniffer konnten wir immer den erfolgreichen Verbindungaufbau sehen, es flossen jedoch keinerlei Nutzdaten.<\/p>\n
Da ja Router- und Vodafone-Easy-Box neu gestartet worden waren, schieden diese Systeme als Fehlerursache erste einmal aus, sie befanden sich vermutlich in einem definierten Zustand. Es musste also noch eine weitere Middlebox im Datenstrom liegen, die die Pakete filterte. Nach einigem Suchen fand der Kunde dann auch das omin\u00f6se Ger\u00e4t, die Vodafone-LTE-Box. Nach einem Neustart dieses Systems arbeitete auch das OpenVPN wieder einwandfrei. Bei neueren Vodafone-LTE-Anschl\u00fcssen ist diese LTE-Box \u00fcbrigens nicht mehr vorhanden, sondern deren Funktionen sind in der Easy-Box integriert.<\/p>\n
Was war vermutlich technisch geschehen: W\u00e4hrend des Problems konnte unser Kunde normal „ins Internet“, unser Fernzugriff war m\u00f6glich und auch das OpenVPN wurde ja aufgebaut. Normale Datenpakete wurden also transportiert. VPN-Pakete k\u00f6nnen sich jedoch von den \u00fcblichen Datenpaketen unterscheiden: Da sie ja „normale Daten“ enthalten und diese verschl\u00fcsseln, sind die Pakete normalerweise gr\u00f6\u00dfer als die Ursprungspakete. Unsere Vermutung ist, dass die Middle-Box sich in einem Zustand befand, indem Sie mit gro\u00dfen IP-Paketen nicht klar kam und diese ohne R\u00fcckmeldung an den Absender nicht transportierte, sondern einfach verschluckte. Da das Verhalten nach dem Neustart nicht mehr bestand, konnten wir es leider nicht verifizieren. Zur Verifizierung h\u00e4tte man gezielt „normale“ Pakete an einen Server geschickt und die Gr\u00f6\u00dfe gesteigert und hierbei beobachtet, ab welcher Gr\u00f6\u00dfe die Pakete dann vernichtet werden oder ob, wie es sein sollte, die Pakete in kleinere Pakete aufgeteilt werden.<\/p>\n
Als Fazit muss man festhalten, dass jede Middlebox, auf Kundenseite, auf der Seite des Providers oder der weiteren im Datenfluss liegenden Provider, erhebliche Auswirkungen haben kann. So gesehen hatten wir Gl\u00fcck, weil der Kunde die Box selbst zur\u00fccksetzen konnte. Was w\u00e4re geschehen, wenn eine Box, beim Provider stehend, die Probleme verursacht h\u00e4tte? H\u00e4tte der Provider uns geglaubt, dass die Box die meisten Daten passieren lie\u00df und nur einige Datenpakete zerst\u00f6rte? H\u00e4tte er dann einen Reset durchgef\u00fchrt, wenn nur wir von dem Problem betroffen gewesen w\u00e4re, ein „Reset“ jedoch u. U. viele andere Kunden beeinflusst h\u00e4tte?
\n