UDP Aging

[eike]

Hallo,

ich betreibe einen Openvpn-Server hinter einem 821+, die Verbindungen laufen über 1194/udp.

Jetzt sollen Android-Clients dazukommen und bei denen muss der VPN-Tunnel möglichst akkusparend laufen. Bisher hatte ich Openvpn mit den Standard-Einstellungen "keepalive 10 120" betrieben. Ein Keepalive-Paket alle 10 Sekunden sorgt aber dafür, dass die entsprechenden Komponenten auf der Android-Hardware nie in den Energiesparmodus kommen. Das ist nicht gut für den Stromverbrauch.

Deshalb möchte ich die keepalive-Einstellungen des Openvpn-Servers erhöhen, ohne dass deswegen die Lancom Firewall (connection tracking) bzw. das NAT Probleme macht.

Die Standard Maskierungs-Optionen (IP-Router->Maskierung) stehen derzeit bei 20 Sekunden Aging für UDP. Wenn ich den Openvpn-Keepalive-Wert deutlich erhöhe (z.B. auf akkuschonende 200 Sekunden), erkennt die Lancom-Firewall den nächsten Keepalive-Ping natürlich nicht mehr als zur bestehenden Verbindung zugehörig - denn schon nach 20 Sekunden schlägt das UDP Aging zu.

Deshalb meine Fragen:

- Welche Probleme (z.B. mit anderen Protokollen) sind zu erwarten, wenn ich das UDP-Aging deutlich heraufsetze, z.B. 2000 Sekunden (wie IPSec)? Es gibt ja sicherlich gute Gründe, den Wert standardmäßig so klein zu setzen.

- Für welche Pakete wird denn eigentlich dieses IPSec-Aging benutzt? Sind das einfach alle UDP-Verbindungen auf die typischen IPSec-Ports, also 500 und 4500? Wenn ich meine Android-Clients z.B. über 4500/UDP verbinden lasse (und diese Pakete dann an 1194/udp meines Openvpn-Servers weiterleiten lasse, werden diese Verbindungen dann vom Lancom Aging als IPSec-Pakete behandelt? Das wäre sicherlich die einfachste Lösung. Kann man irgendwo einstellen, was der Router als IPSec-Paket behandelt?

- Gibt es hier noch andere, die Openvpn mit Android-Clients verwenden? Welche Einstellungen habt ihr für das Timeout gewählt?

Schon einmal vielen Dank für euere Antworten!

Grüße
Eike