Duncan Andison - stock.adobe.com

Was tun bei VPN-Timeout-Problemen?

Ihre VPN-Verbindung bricht ständig ab? Erfahren Sie, was die häufigsten Ursachen für VPN-Timeouts sind und wie Sie diese Störungen systematisch schrittweise beheben können.

Timeout-Fehler bei VPN-Verbindungen können viel verschiedene Ursachen haben – von Störungen der Internetverbindung über blockierte Zugänge bis hin zu veralteter Software. Eine systematische Fehleranalyse hilft, das Problem gezielt zu beheben.

Zu den möglichen Gründen für VPN-Timeouts (Zeitüberschreitungen) gehören die folgenden Punkte:

  • Die Internetverbindung neigt zu Störungen.
  • Die Internetverbindung blockiert an einer bestimmten Stelle den Zugriff auf das VPN.
  • Der VPN-Server antwortet nicht mehr.
  • Der DNS-Server des VPN-Anbieters antwortet nicht mehr.
  • Die Firewall des Nutzers oder sein Router blockieren den Zugriff auf das VPN.
  • Die VPN-Software des Nutzers benötigt ein Update.
  • Das Zuweisen eines neuen Schlüssels durch das VPN ist fehlerhaft.

Wichtige Schritte beim Troubleshooting von VPN-Timeouts

Wenn Sie sich auf die Suche nach der Ursache für Timeouts bei Ihren VPN-Sitzungen machen, gehen Sie am besten schrittweise vor. So identifizieren Sie das eigentliche Problem leichter und beschleunigen die Fehlersuche und Behebung.

Schritt 1: Ursachen beim Nutzer prüfen

Finden Sie zuerst heraus, wo sich der Nutzer befindet. Wenn er auf das VPN etwa von überall aus zugreifen kann, aber nur von einer bestimmten Stelle wie einem örtlichen Café aus nicht, liegt es vermutlich an der dort angebotenen Internetverbindung. Es kann durchaus sein, dass der Betreiber absichtlich oder unabsichtlich einen Zugang zu Ihrem VPN blockiert.

Eine weitere Möglichkeit zur Eingrenzung des Fehlers ist die Bitte an den Nutzer, sich über eine verkabelte Verbindung mit dem VPN zu verbinden und nicht weiter über WLAN. Die Mehrheit der Anwender nutzt mittlerweile drahtlose Netzwerke, um sich mit dem Internet und einem VPN zu verbinden.

Es tritt zwar kaum noch auf, dass eine moderne VPN-Software wegen einem schlechten WLAN-Signal die Verbindung verliert, aber unmöglich ist es nicht. Wenn der Nutzer sich problemlos per Ethernet-Kabel mit dem VPN verbinden kann, aber nicht über WLAN, dann sollten Sie die Log-Dateien des Clients und seine Login-Versuche überprüfen. Möglicherweise stimmt aber auch mit dem lokalen WLAN des Nutzers etwas nicht. Prüfen Sie in diesem Fall den Router und die Konfiguration des Clients.

Ein oft übersehener Aspekt ist die MTU-Einstellung. Die Maximum Transmission Unit (MTU) bestimmt die maximale Paketgröße für die Datenübertragung. Bei VPN-Verbindungen muss diese oft angepasst werden, da durch die Verschlüsselung zusätzlicher Overhead entsteht. Eine zu große MTU kann zur Fragmentierung und damit zu Timeouts führen. Eine typische Lösung besteht darin, die MTU auf 1400 Bytes oder weniger zu reduzieren, um Fragmentierung und damit verbundene Probleme zu vermeiden.

Schritt 2: Den Anbieter überprüfen

Wenn die Internetverbindung des Nutzers nicht für das Problem verantwortlich ist, nehmen Sie den VPN-Anbieter unter die Lupe. Das bedeutet, dass Sie überprüfen sollten, ob der verwendete VPN-Server korrekt reagiert und ob der DNS-Server des VPN-Providers ordnungsgemäß funktioniert. Wenn der Grund für die Probleme beim Anbieter liegt, sollten Sie ihn kontaktieren oder über einen Wechsel des VPN- oder DNS-Servers nachdenken.

In modernen Netzwerken ist auch die Unterstützung von IPv6 ein wichtiger Faktor. Viele Netzwerke verwenden heute IPv6, während einige VPN-Lösungen nur IPv4 unterstützen. Dies kann zu Routing-Konflikten und Timeouts führen. Mögliche Lösungen sind:

  • Deaktivieren von IPv6 am Client-System
  • Verwenden eines VPN-Clients mit Dual-Stack-Unterstützung
  • Konfigurieren des VPN-Servers für IPv6-Routing
Die Ursachen für Zeitüberschreitungen bei VPN Verbindungen können an unterschiedlichen Punkten der gesamten Kette zu finden sein.
Abbildung 1: Die Ursachen für Zeitüberschreitungen bei VPN Verbindungen können an unterschiedlichen Punkten der gesamten Kette zu finden sein.

Schritt 3: Beurteilen Sie das verwendete Gerät

Nachdem Sie mögliche externe Ursachen ausgeräumt haben, ist es an der Zeit, die VPN-Software und die Einstellungen zu prüfen, die der entfernte Nutzer verwendet. Eine der ersten Konfigurationen, die Sie dabei einem Check unterziehen sollten, ist die Timeout-Einstellung in der VPN-Software selbst. So kann es sein, dass sie standardmäßig eine Verbindung beendet, die mehr als zum Beispiel zehn Minuten nicht mehr genutzt wurde. Für viele Anwender und ihre Tätigkeiten ist dies möglicherweise aber zu kurz. Der Wert sollte so eingestellt sein, dass die Bedürfnisse des Unternehmens und der Nutzer bestmöglich erfüllt werden. Dies trifft insbesondere bei einem Einsatz von SSL-VPNs zu.

Zusätzliche Timeout-Probleme können auftreten, wenn eine Multi-Faktor-Authentifizierung (MFA) aktiviert ist. MFA-Sitzungen haben oft eigene Timeout-Einstellungen, die mit den VPN-Timeout-Einstellungen koordiniert werden müssen. Empfehlungen hierzu sind:

  • Abstimmen der MFA-Sitzungsdauer mit der VPN-Sitzungsdauer
  • Implementieren von Mechanismen zur Session-Verlängerung
  • Automatische Benachrichtigung der Benutzer vor dem Ablauf der Session

Eine weitere wichtige Konfiguration, die zu Timeouts führen kann, ist das Split-Tunneling. Diese Funktion ermöglicht es, nur bestimmten Verkehr über das VPN zu leiten, während anderer Verkehr direkt ins Internet geht. Probleme können entstehen durch:

  • Falsche Routing-Tabellen
  • Konflikte zwischen Split-Tunneling-Regeln
  • Inkonsistente Netzwerkkonfigurationen

VPN-Timeouts können aber auch wegen einer veralteten Softwareversion auftreten. Aus diesem Grund sollte die Versionsnummer der verwendeten VPN-Anwendung auf dem Endgerät des Nutzers mit den aktuellen Updates des Herstellers abgeglichen und gegebenenfalls eine Aktualisierung durchgeführt werden.

Des Weiteren sollten auch die Firewall auf dem Computer des Anwenders und in dem von ihm verwendeten Router und ihre jeweiligen Einstellungen geprüft werden. Was wie ein VPN-Problem wirkt, beruht möglicherweise aber auch auf einer anderen genutzten Sicherheitssoftware, die die Verbindung ungefragt beendet.

Beim Einsatz eines IPSec-VPNs sollten zudem die Einstellungen für Phase 1 und Phase 2 beim Rekey-Prozess geprüft werden. Es kann sein, dass Phase 1 ohne Probleme abläuft und mit einer Neuzuteilung des Schlüssels endet. Wenn aber die für Phase 1 und Phase 2 verwendeten Timer gleichzeitig enden, kann es zu einem Timeout oder zumindest einem verzögerten Verbindungsaufbau kommen.

Hinweis: Dieser Artikel wurde von der ComputerWeekly-Redaktion aktualisiert, um Branchenveränderungen widerzuspiegeln und das Leseerlebnis zu verbessern.

Erfahren Sie mehr über Netzwerksicherheit