FIP VPN und pfSense

Mit unserem VPN Dienste machen wir Netzwerke erreichbar die keine öffentliche IP-Adresse besitzen oder keine Änderungen im Router möglich sind.
Post Reply
hexenbier
Posts: 6
Joined: Thu 15. Jun 2017, 20:24

FIP VPN und pfSense

Post by hexenbier »

Hallo,

ich habe seit mehreren Wochen eine pfSense (VM) und einen 100MBits Anschluss der DG.
Soweit läuft alles wunderbar, nur leider harpert es etwas an der Performance des Tunnels.
Mir ist bewusst, dass nur ein Kern der CPU für OpenVPN bzw für die Verschlüsselung genutzt wird. Dementsprechend wird AES-NI in der CPU genutzt. Das funktioniert.
Wenn ich ohne den Tunnel Geschwindigkeitstests mache, komme ich auf volle 100Mbit im Download sowie im Upload. Egal ob ipv4 oder ipv6.

Über den Tunnel habe ich im Download ca 75 Mbit (was mir vollkommen reicht) und im Upload ca 25 MBit. Das ist wir zu wenig, da ich gerade den Upload benötige. Hierbei ist es egal, ob ich den Tunnel über ipv4 oder ipv6 aufbaue. Die Werte sind bis auf die Pingzeiten ziemlich gleich.

Gibt es evtl die Möglichkeit den Tunnel über TCP aufzubauen?

Hat sonst noch jemand eine Idee? Ich dachte auch schon an die MTU, aber ich denke nicht, dass sich das so gravierend bemerkbar macht.

Gruß Oliver
MichaelWeigel
Posts: 771
Joined: Tue 24. Feb 2015, 11:13

Re: FIP VPN und pfSense

Post by MichaelWeigel »

Hallo,

Sie könnten mal versuchen tmp. das VPN zu TCPv6 Port 443 oder TCPv4 Port 8443 aufzubauen.
Sie können in der vpn Datei den Parameter prto auf TCP (TCP6)

LG Michael
LG Michael
hexenbier
Posts: 6
Joined: Thu 15. Jun 2017, 20:24

Re: FIP VPN und pfSense

Post by hexenbier »

Beides funktiniert leider nicht. Ich bekomme einen timeout...

Wie lautet denn die Domain des Vpn Servers?
MichaelWeigel
Posts: 771
Joined: Tue 24. Feb 2015, 11:13

Re: FIP VPN und pfSense

Post by MichaelWeigel »

Hallo,

Wie ich sehe, haben Sie ja einen VPN Tunnel :( dort ist die einstellung mit den Ports 443 und 8443 nicht vorhanden.

Ihr VPN Server ist : für udp, udp6, tcp, tcp6
tun-vpn1-dual.connect2any.net:1194

leider hatten wir bei tcp6 noch eine Firewall, die doch nicht alles durchlassen wollte. Jetzt sollte die Verbindung aber funktionieren.


LG Michael
LG Michael
hexenbier
Posts: 6
Joined: Thu 15. Jun 2017, 20:24

Re: FIP VPN und pfSense

Post by hexenbier »

Wenn ich den Tunnel auf TCP4 oder TCP6 laufen lasse, sieht das Ergebnis noch deutlich schlechter aus!

Auch schwanken die Werte deutlich! Ohne Tunnel habe ich immer 100 MBits up und down. Mit Tunnel zur Zeit leider nur 50down und 20up.

Das ist leider deutlich zu wenig, da ich eine Nextcloud betreibe und so der 100Mbit Upload leider gar nichts wert ist.

Die CPU Auslastung (ein Kern!) liegt übrigens bei 25% bei vollem Download über den Tunnel. (Intel Xeon CPU E5-2620 v3 @ 2.40GHz )

Ich habe jetzt sämtliche Parameter ausprobiert was MTU und Fragment Size angeht, das bringt alles nichts.

Die deutlichen Schwankungen lassen mich aber auf ein Bottleneck ihrerseits schließen. Vielleicht könnten Sie ja nochmal genauer schauen! Danke :)

Gruß Oliver
rema
Feste-IP.Net Support
Posts: 407
Joined: Thu 5. Feb 2015, 10:24

Re: FIP VPN und pfSense

Post by rema »

Hallo,

Normalerweise ist UDP auch die bessere Wahl für das VPN. Je nach Anwendung/Anbindung kann es aber machmal sein, das TCP stabiler läuft.

Für die extremen Schwankungen habe ich noch keine Erklärung. Aber, wenn es "nur" eine Https Verbindung ist, könnten Sie auch mal einen einfachen Portmapper probieren. Da wäre der VPN Overhed weg.

/LG rema
hexenbier
Posts: 6
Joined: Thu 15. Jun 2017, 20:24

Re: FIP VPN und pfSense

Post by hexenbier »

Hallo,

Portmapper eher nicht. In meiner DMZ ist erstens kein IPv6 und zweitens brauche ich UDP. :)

ich habe gerade rausgefunden, dass die Umstellung auf AES-128-CBC etwas bringen soll. Die AES-NI Unterstützung in der CPU greift nicht bei BF-CBC.

Könnten Sie das umstellen? ;)

Gruß Oliver
rema
Feste-IP.Net Support
Posts: 407
Joined: Thu 5. Feb 2015, 10:24

Re: FIP VPN und pfSense

Post by rema »

Hallo,

In einer der nächsten openvpn Releases kann man die Cipher wohl clientbasiert umstellen.
Momentan ist dies nicht möglich und eine komplette Umstellung des Systems würde momentan dazu führen dass alle anderen VPNs offline gehen.

Somit können wir das aktuell leider nicht ändern.

/VG Rene
hexenbier
Posts: 6
Joined: Thu 15. Jun 2017, 20:24

Re: FIP VPN und pfSense

Post by hexenbier »

Ok, danke.
Post Reply