Page 1 of 1

FIP VPN und pfSense

Posted: Thu 15. Jun 2017, 20:35
by hexenbier
Hallo,

ich habe seit mehreren Wochen eine pfSense (VM) und einen 100MBits Anschluss der DG.
Soweit läuft alles wunderbar, nur leider harpert es etwas an der Performance des Tunnels.
Mir ist bewusst, dass nur ein Kern der CPU für OpenVPN bzw für die Verschlüsselung genutzt wird. Dementsprechend wird AES-NI in der CPU genutzt. Das funktioniert.
Wenn ich ohne den Tunnel Geschwindigkeitstests mache, komme ich auf volle 100Mbit im Download sowie im Upload. Egal ob ipv4 oder ipv6.

Über den Tunnel habe ich im Download ca 75 Mbit (was mir vollkommen reicht) und im Upload ca 25 MBit. Das ist wir zu wenig, da ich gerade den Upload benötige. Hierbei ist es egal, ob ich den Tunnel über ipv4 oder ipv6 aufbaue. Die Werte sind bis auf die Pingzeiten ziemlich gleich.

Gibt es evtl die Möglichkeit den Tunnel über TCP aufzubauen?

Hat sonst noch jemand eine Idee? Ich dachte auch schon an die MTU, aber ich denke nicht, dass sich das so gravierend bemerkbar macht.

Gruß Oliver

Re: FIP VPN und pfSense

Posted: Fri 16. Jun 2017, 14:49
by MichaelWeigel
Hallo,

Sie könnten mal versuchen tmp. das VPN zu TCPv6 Port 443 oder TCPv4 Port 8443 aufzubauen.
Sie können in der vpn Datei den Parameter prto auf TCP (TCP6)

LG Michael

Re: FIP VPN und pfSense

Posted: Wed 21. Jun 2017, 16:23
by hexenbier
Beides funktiniert leider nicht. Ich bekomme einen timeout...

Wie lautet denn die Domain des Vpn Servers?

Re: FIP VPN und pfSense

Posted: Mon 26. Jun 2017, 13:22
by MichaelWeigel
Hallo,

Wie ich sehe, haben Sie ja einen VPN Tunnel :( dort ist die einstellung mit den Ports 443 und 8443 nicht vorhanden.

Ihr VPN Server ist : für udp, udp6, tcp, tcp6
tun-vpn1-dual.connect2any.net:1194

leider hatten wir bei tcp6 noch eine Firewall, die doch nicht alles durchlassen wollte. Jetzt sollte die Verbindung aber funktionieren.


LG Michael

Re: FIP VPN und pfSense

Posted: Wed 28. Jun 2017, 09:37
by hexenbier
Wenn ich den Tunnel auf TCP4 oder TCP6 laufen lasse, sieht das Ergebnis noch deutlich schlechter aus!

Auch schwanken die Werte deutlich! Ohne Tunnel habe ich immer 100 MBits up und down. Mit Tunnel zur Zeit leider nur 50down und 20up.

Das ist leider deutlich zu wenig, da ich eine Nextcloud betreibe und so der 100Mbit Upload leider gar nichts wert ist.

Die CPU Auslastung (ein Kern!) liegt übrigens bei 25% bei vollem Download über den Tunnel. (Intel Xeon CPU E5-2620 v3 @ 2.40GHz )

Ich habe jetzt sämtliche Parameter ausprobiert was MTU und Fragment Size angeht, das bringt alles nichts.

Die deutlichen Schwankungen lassen mich aber auf ein Bottleneck ihrerseits schließen. Vielleicht könnten Sie ja nochmal genauer schauen! Danke :)

Gruß Oliver

Re: FIP VPN und pfSense

Posted: Mon 3. Jul 2017, 11:38
by rema
Hallo,

Normalerweise ist UDP auch die bessere Wahl für das VPN. Je nach Anwendung/Anbindung kann es aber machmal sein, das TCP stabiler läuft.

Für die extremen Schwankungen habe ich noch keine Erklärung. Aber, wenn es "nur" eine Https Verbindung ist, könnten Sie auch mal einen einfachen Portmapper probieren. Da wäre der VPN Overhed weg.

/LG rema

Re: FIP VPN und pfSense

Posted: Mon 3. Jul 2017, 22:38
by hexenbier
Hallo,

Portmapper eher nicht. In meiner DMZ ist erstens kein IPv6 und zweitens brauche ich UDP. :)

ich habe gerade rausgefunden, dass die Umstellung auf AES-128-CBC etwas bringen soll. Die AES-NI Unterstützung in der CPU greift nicht bei BF-CBC.

Könnten Sie das umstellen? ;)

Gruß Oliver

Re: FIP VPN und pfSense

Posted: Fri 7. Jul 2017, 11:21
by rema
Hallo,

In einer der nächsten openvpn Releases kann man die Cipher wohl clientbasiert umstellen.
Momentan ist dies nicht möglich und eine komplette Umstellung des Systems würde momentan dazu führen dass alle anderen VPNs offline gehen.

Somit können wir das aktuell leider nicht ändern.

/VG Rene

Re: FIP VPN und pfSense

Posted: Fri 7. Jul 2017, 13:03
by hexenbier
Ok, danke.