Lancom1781VAW & Advanced VPN Client - Timeouts in Verbindung

[SHildebrandt]

Hi,

ich habe ein sehr seltsames Problem, bei dem ich einfach keine Lösung finde...
Kurz zur Schilderung der Gegebenheiten (bzw. Verbindungen aus dem Büro zum Server):

Benutzer (mit Programm das auf SQL-Datenbank zugreift, Windows XP)
-> Router Lancom1781VAW
-> extern gehosteter Server auf dem der Lancom Advanced VPN Client läuft und eine SQL-Datenbank sitzt. (Server Windows 2008 R2)

Die Verbindung an sich läuft seit Tagen/Wochen stabil. Keinerlei Verbindungsabbrüche in den Logfiles zu sehen.
Problem: Wenn der Benutzer in seinem Programm arbeitet das auf die SQL-Datenbank auf dem gehosteten Server zugreift, bricht die Verbindung zum SQL immer mal wieder ab, was zum Absturz des Programms führt (und Verlust von nicht gespeicherten Daten).

Die Verbindung an sich bleibt aber weiterhin bestehen! Kein Abbruch der reinen (Internet)Verbindung dort hin.

Lasse ich einen ping-t auf den Server laufen habe ich immer mal wieder mittendrin Timeouts (Zeitüberschreitung der Anfrage) und denke das dass dann auch der Moment ist in dem die SQL-Verbindung dann zusammenbricht. (Fehler Microsoft OLE DB Provider for SQL Server: Fehler beim Verbinden (08S01) = 0

Alles was ich bisher finden konnte hat leider nichts gebracht, vielleicht hat hier ja schon mal jemand dieses oder ein ähnliches Problem mit Timeouts gehabt?

Der Benutzer kann verständlicherweise so nicht arbeiten und ich finde einfach keine Lösung...

[Bernie137]

Hi,

ihr solltet Eure Bastellösung noch einmal anhand von EDV-Grundsätzen überdenken - Dienste trennen.

Der SQL Server soll bitteschön auch nur SQL Server sein und sich nicht selbst noch darum kümmern müssen, wie er mit seinem Heimatnetzwerk kommuniziert. Wenn man einen Server extern hostet, dann gehört zu den Leistungen des Providers auch eine professionelle IP (VPN) Anbindung an sein Heimatnetzwerk dazu. Diese IP Infrastruktur stellen andere Komponeten her, in der Regel Hardware VPN Router. Warum macht man das So? Um solchen Problemen aus dem Weg zu gehen...

Problem: Wenn der Benutzer in seinem Programm arbeitet das auf die SQL-Datenbank auf dem gehosteten Server zugreift, bricht die Verbindung zum SQL immer mal wieder ab, was zum Absturz des Programms führt (und Verlust von nicht gespeicherten Daten).

Im Datenblatt des Lancom Advanced VPN Client steht auch nicht, dass es für Server 2008R2 gedacht ist. Egal welcher Hersteller - ein Software VPN Client gehört nun mal nicht auf ein Windows Server Betriebssystem, da hier tiefe Eingriffe im Betriebssystem vorgenommen werden. Des weiteren stellen solche VPN Client Programme in der Regel erst einen VPN Tunnel her, wenn ein User am Server angemeldet ist und dann den VPN Client startet. Spätestens bei einem Server Neustart sägt man den Ast ab, auf dem man sitzt.

vg Heiko

[MariusP]

Hi,
Ich muss Bernie recht geben, aber viel mehr interessiert mich welches SQL-Client-Programm bei einem Verbindungsverlust abstürzt?
Natürlich sollte ein Verbindungsabbruch nicht passieren, aber noch viel weniger sollte deswegen ein Programm abstürzen.

Könntet Ihr den Spieß nicht umdrehen, Benutzer verwendet den VPN-Client und der Server nutzz den VPN-Router?
Gruß

[SHildebrandt]

Auf dem gehosteten Server läuft sonst gar nichts außer der SQL-Datenbank.

Es musste damals sehr schnell gehen und dabei war der Advanced VPN Client einfach die schnellste Lösung!

"Intern" in der Firma gibts einfach nur den Lancom1781 mit einem Switch und 5 Usern dahinter.

Eigentlich wollte ich auch zuerst eine Standard VPN-Verbindung aus Windows heraus auf den Router machen (bzw. zwischen beiden), nur konnte ich dazu leider nirgends eine brauchbare Anleitung finden!

Der VPN-Client läuft übrigens dauerhaft, nicht erst bei Anmeldung. D.h. auch nach Neustart sofort wieder da. Das verursacht nicht wirklich ein Problem (vom Grundsatz her).

[Bernie137]

Moin,

Der VPN-Client läuft übrigens dauerhaft, nicht erst bei Anmeldung. D.h. auch nach Neustart sofort wieder da.

Schön und gut.

Das verursacht nicht wirklich ein Problem (vom Grundsatz her).

Bzgl. des Neustarts nicht, aber vom Grundsatz her schon.

Das Serverbetriebssystem hat in dieser Konstellation 2 Netzwerk Schnittstellen - man nennt dies auch mehrfach vernetzt - die reale Netzwerkkarte eth0 und eine zusätzliche Netzwerkkarte tun0 (für den VPN Tunnel). Die Netzwerkkarte tun0 erhält nun bei der Einwahl zum Heimatnetzwerk eine IP Adresse vom Heimatnetzwerk. Die IP Adresse der lokalen Netzwerkkarte eth0 sollte sich unbedingt vom Adressbereich im Heimatnetzwerk unterscheiden. Das Folgende soll eine grober Ablauf und eine Versinnbildlichung darstellen, es ist nicht perfekt oder gar vollständig: Nun startet man auf diesem Server nun eine Anwendung, um auf das Heimatnetzwerk zuzugreifen:

Code: Alles auswählen

unverschlüsseltes Paket an tun0 -> IPSec-Verschlüsselung -> Paketfragmentierung -> eth0 ---> Internet/Heimatnetzwerk
Rückweg
Verschlüsseltes Datenpaket kommt an über eth0 -> Pakete defragmentieren -> IPSec-Entschlüsselung -> tun0

Nun ist SQL keine Anwendung sondern ein Server Dienst, der zuerst vom Netzwerk angesprochen wird. Dazu stellt man die Verbindung zum SQL Server über seine lokale IP Adresse von eth0 her. Wie ist jetzt der Weg?

Code: Alles auswählen

Verschlüsseltes Datenpaket kommt an über eth0 -> Pakete defragmentieren -> IPSec-Entschlüsselung -> tun0 -> Software Routing/NAT auf eth0

Nun soll der Server ein Antwortpaket schicken. Dazu hat er 2 Möglichkeiten:

Code: Alles auswählen

unverschlüsseltes Paket an eth0 -> Software Routing/NAT -> tun0 -> IPSec-Verschlüsselung -> Paketfragmentierung -> eth0 ---> Internet/Heimatnetzwerk
unverschlüsseltes Paket an tun0 -> IPSec-Verschlüsselung -> Paketfragmentierung -> eth0 ---> Internet/Heimatnetzwerk

Wie macht das der Server - mal so, mal so? Spricht der SQL Dienst tun0 auch direkt an, sollte er das überhaupt, oder ist das gar nicht gut?

Eigentlich wollte ich auch zuerst eine Standard VPN-Verbindung aus Windows heraus auf den Router machen (bzw. zwischen beiden), nur konnte ich dazu leider nirgends eine brauchbare Anleitung finden!

Das ist noch schlimmer, weil dann ist es nicht mal mehr eine IPSec Verschlüsselung.

vg Heiko

[SHildebrandt]

Vielen Dank für die ausführliche Erläuterung Heiko.

Klingt sehr einleuchtend... hatte ich so nicht ganz bedacht... Aber mal anders gefragt..

Welche Lösung als Verbindung würdest du denn dann in dieser Konstellation vorschlagen???

[Bernie137]

Welche Lösung als Verbindung würdest du denn dann in dieser Konstellation vorschlagen???

Ich hatte es ja schon angedeutet mit Dienste Trennung. Das soll heißen, entweder einen eigenen Lancom Router vor dem Server platzieren und einen Site2Site VPN Tunnel zwischen den Hardware Routern herstellen, oder der Provider (der den Server hostet) bietet so eine VPN Site2Site Verbindung an. Dann kann an dem gehosteten Server in der Netzwerkkarte eth0 einfach das Standard Gateway angegeben werden und gut ist. Was man nicht vorhersagen kann, welche Änderungen im Betriebssystem durch den Software VPN Client gemacht wurden, die auch nach der Deinstallation nicht verschwinden. Im Zweifelsfall mache ich da lieber eine Neuinstallation des Betriebssystems.

Freilich kann man dadurch auch nichts zu 100% garantieren, aber so eine Lösung ist transparenter.

vg Heiko