VPN-Probleme bleiben oft unbemerkt, bis die Produktivität leidet – Dead Peer Detection (DPD) kann das verhindern
Eines der häufigsten VPN-Probleme tritt auf, wenn eine Seite der Verbindung stillschweigend offline geht. Der Tunnel wirkt weiterhin aktiv, aber es fließen keine Daten mehr. Das führt zu Problemen wie getrennten Netzlaufwerken, gestoppten Cloud-Syncs, abgestürzten Anwendungen oder unterbrochenen Videoanrufen. Ohne eine zuverlässige Erkennung solcher Fehler sinkt die Produktivität.
Genau hier kommt DPD (Dead Peer Detection) ins Spiel. Es handelt sich um einen leichtgewichtigen Mechanismus, den VPN-Clients und Gateways nutzen, um zu prüfen, ob die Gegenstelle noch reagiert. Bleibt eine Antwort innerhalb eines festgelegten Intervalls aus, wird die VPN-Verbindung sicher geschlossen und neu gestartet. So lassen sich stille Ausfälle und lange Wartezeiten vermeiden.
VPN Tracker unterstützt DPD standardmäßig und erweitert es mit intelligentem Verhalten für unterschiedliche Tunneltypen. Egal ob bei instabilem WLAN oder beim Netzwerkwechsel – VPN Tracker sorgt dafür, dass Ihre Verbindung zuverlässig und reaktionsschnell bleibt.
Ohne DPD erscheinen VPN-Tunnel aktiv, auch wenn eine Seite nicht mehr erreichbar ist.
Was ist Dead Peer Detection (DPD)?
Dead Peer Detection, kurz DPD, ist ein VPN-Mechanismus, der erkennt, wenn die Gegenstelle eines VPN-Tunnels nicht mehr antwortet. Es schützt vor stillen Tunnelabbrüchen – Situationen, in denen eine VPN-Verbindung zwar aktiv wirkt, die zugrunde liegende Verbindung jedoch bereits verloren gegangen ist.
Dabei werden in regelmäßigen Abständen kleine „Bist-du-da?“-Nachrichten (Keep-Alive- oder DPD-Requests) gesendet. Reagiert die Gegenstelle nach mehreren Versuchen nicht, wird der Tunnel als inaktiv markiert. Die Verbindung kann dann sauber geschlossen und neu aufgebaut werden, anstatt in einem defekten Zustand zu verharren.
Für IKEv1 ist das Verfahren in RFC 3706, für IKEv2 in RFC 5996 definiert und wird von den meisten modernen VPN-Geräten und Clients unterstützt. Es wurde ursprünglich eingeführt, um typische Probleme in IPsec-Tunneln zu lösen – besonders in mobilen Szenarien, bei schlechtem WLAN oder in Netzwerken mit NAT oder Firewalls.
Ein einfaches Beispiel: Ihr Laptop ist im Café mit dem Firmen-VPN verbunden. Das WLAN bricht kurz ab, aber Ihr VPN-Client zeigt weiterhin „verbunden“ an. In Wirklichkeit stoppen jedoch Ihre Dateisynchronisierungen und Ihr Videoanruf friert ein. Mit DPD erkennt der Client schnell, dass die Gegenstelle nicht antwortet, schließt den defekten Tunnel sauber und stellt automatisch wieder eine Verbindung her – ganz ohne Ihr Zutun.
Warum DPD für die VPN-Stabilität wichtig ist
Ohne Peer-Erkennung können VPN-Tunnel stillschweigend fehlschlagen – oft durch instabiles Internet, Netzwerkwechsel oder NAT-Timeouts. Der Client zeigt dann zwar „verbunden“ an, doch Daten fließen nicht mehr.
Für Anwender führt das zu frustrierenden Problemen: getrennte Netzlaufwerke, hängende Cloud-Syncs, App-Timeouts oder eingefrorene Videokonferenzen. Da der Tunnel scheinbar aktiv ist, wird auch keine automatische Neuverbindung angestoßen.
Genau diese Probleme löst DPD: Wenn die Gegenstelle nicht reagiert, wird die Verbindung als inaktiv markiert und sicher neu gestartet. So bleibt die VPN-Verbindung stabil und Nutzer können schneller weiterarbeiten – besonders im Homeoffice oder unterwegs, wo sich die Netzqualität oft ändert.
Wie Dead Peer Detection funktioniert
Dead Peer Detection (DPD) prüft, ob die andere Seite eines VPN-Tunnels erreichbar ist. Der VPN-Client oder das Gateway sendet eine kleine Nachricht – einen sogenannten DPD-Request oder Keep-Alive-Ping. Antwortet die Gegenstelle, gilt die Verbindung als stabil.
Bleibt die Antwort aus, wartet das System ein bestimmtes Intervall und versucht es erneut – mehrfach, je nach Einstellung. Beispiel: Bei einer Prüfung alle 10 Sekunden mit 5 Versuchen hat die Gegenstelle rund 50 Sekunden Zeit, zu reagieren. Schlägt dies fehl, wird der Tunnel als unerreichbar markiert und geschlossen oder neu aufgebaut.
VPN Tracker geht noch weiter: Zusätzlich wird der normale Netzwerkverkehr überwacht. Geht also ein einzelnes DPD-Paket verloren, aber Datenverkehr läuft weiterhin, bleibt die Verbindung bestehen. So werden unnötige Abbrüche vermieden und Sitzungen stabiler.
Besonders nützlich ist DPD, wenn gerade kein Datenverkehr fließt. Ohne diesen Mechanismus würde VPN-Software einen Verbindungsabbruch erst bemerken, wenn der Nutzer Daten sendet – zu spät für Echtzeitanwendungen oder kritische Übertragungen. Mit DPD erkennt VPN Tracker Probleme frühzeitig, reagiert intelligent und stellt die Verbindung schnell wieder her.
DPD vs. IKE Keep-Alive: Die wichtigsten Unterschiede
Dead Peer Detection und IKE Keep-Alive werden oft verwechselt, erfüllen aber unterschiedliche Aufgaben und sollten nicht gleichzeitig aktiviert werden.
DPD ist ein Industriestandard und in RFC 3706 (IKEv1) und RFC 5996 (IKEv2) definiert. Es prüft aktiv, ob die Gegenstelle noch reagiert. Bleiben Antworten nach mehreren Versuchen aus, wird die Verbindung als tot markiert und beendet.
IKE Keep-Alive hingegen ist meist herstellerspezifisch. Es sendet leere Pakete, um Leerlauf-Timeouts bei NAT-Routern oder Firewalls zu verhindern. Es erkennt jedoch nicht unbedingt, ob die Gegenstelle wirklich verfügbar ist, und ist nicht immer kompatibel mit allen Geräten.
Werden beide Mechanismen gleichzeitig genutzt, können sie sich gegenseitig stören – etwa durch ständige Neuverhandlungen. Best Practice: Entweder DPD oder IKE Keep-Alive nutzen, nicht beides. In modernen Setups ist DPD die zuverlässigere Lösung.
VPN Tracker 365 in Aktion: Tunnelzustand überwachen und mit InfiniConnect verbunden bleiben.
Wie VPN Tracker DPD implementiert
VPN Tracker unterstützt DPD standardmäßig und bietet zwei Optionen zur Feinabstimmung. DPD wird vor allem mit IPsec-basierten Protokollen wie IKEv1 und IKEv2 verwendet, funktioniert in VPN Tracker aber auch mit anderen Protokollen – außer WireGuard, das DPD generell nicht unterstützt. Keep Alive ist für IKEv1, IKEv2, WireGuard und OpenVPN verfügbar.
Bei IPsec-Profilen wird DPD empfohlen und kann in den Einstellungen aktiviert werden.
- Als DPD-fähig melden
Wenn aktiviert, teilt VPN Tracker dem Gateway mit, dass es DPD unterstützt. Das ist mit den meisten modernen Gateways kompatibel und sollte standardmäßig aktiv bleiben. - Aktives Dead Peer Detection durchführen
Manche Gateways senden selbst keine DPD-Anfragen. Mit dieser Option übernimmt VPN Tracker den aktiven Versand. Bleibt die Antwort aus, wird die Verbindung getrennt oder neu aufgebaut. - Um Fehlabbrüche zu vermeiden, aktiviert VPN Tracker DPD erst, nachdem mindestens ein Ping vom Gateway empfangen wurde. So wird ein Tunnel nicht direkt nach dem Aufbau fälschlich beendet.
Best Practices und Gerätekompatibilität
Empfohlene Einstellungen
Tunnel-Flapping vermeiden
Kombinieren Sie DPD außerdem nicht mit herstellerspezifischen Mechanismen wie IKE Keep-Alive, außer die Dokumentation erlaubt es explizit.
Gerätekompatibilität
VPN Tracker unterstützt DPD mit allen gängigen IPsec-Geräten, darunter:
- Cisco ASA und Cisco Router
- Fortinet FortiGate
- SonicWall Firewalls
- WatchGuard Firebox
- Ubiquiti und UniFi Router
- Lancom VPN Gateways
- Palo Alto Firewalls
Fazit: Smarte VPNs beginnen mit DPD
Ob im Homeoffice, unterwegs oder im IT-Support – VPN Tracker bietet mit integrierter DPD-Unterstützung die clevere Lösung für stabile VPN-Verbindungen.
Testen Sie VPN Tracker jetzt und erleben Sie zuverlässige VPNs mit weniger Ausfällen.
Dead Peer Detection und Always-On VPN: Die perfekte Kombination
- Defekte Tunnel werden sauber beendet und neu aufgebaut
- InfiniConnect verbindet Ihr VPN automatisch wieder beim Netzwerkwechsel
- Unterstützt IPsec-Tunnel auf allen gängigen Gateways
- Voll integriert in VPN Tracker Executive, Pro, VIP und Consultant
