FIP VPN und pfSense

Mit unserem VPN Dienste machen wir Netzwerke erreichbar die keine öffentliche IP-Adresse besitzen oder keine Änderungen im Router möglich sind.
Antworten
hexenbier
Beiträge: 6
Registriert: Do 15. Jun 2017, 20:24

FIP VPN und pfSense

Beitrag von hexenbier » Do 15. Jun 2017, 20:35

Hallo,

ich habe seit mehreren Wochen eine pfSense (VM) und einen 100MBits Anschluss der DG.
Soweit läuft alles wunderbar, nur leider harpert es etwas an der Performance des Tunnels.
Mir ist bewusst, dass nur ein Kern der CPU für OpenVPN bzw für die Verschlüsselung genutzt wird. Dementsprechend wird AES-NI in der CPU genutzt. Das funktioniert.
Wenn ich ohne den Tunnel Geschwindigkeitstests mache, komme ich auf volle 100Mbit im Download sowie im Upload. Egal ob ipv4 oder ipv6.

Über den Tunnel habe ich im Download ca 75 Mbit (was mir vollkommen reicht) und im Upload ca 25 MBit. Das ist wir zu wenig, da ich gerade den Upload benötige. Hierbei ist es egal, ob ich den Tunnel über ipv4 oder ipv6 aufbaue. Die Werte sind bis auf die Pingzeiten ziemlich gleich.

Gibt es evtl die Möglichkeit den Tunnel über TCP aufzubauen?

Hat sonst noch jemand eine Idee? Ich dachte auch schon an die MTU, aber ich denke nicht, dass sich das so gravierend bemerkbar macht.

Gruß Oliver

MichaelWeigel
Beiträge: 383
Registriert: Di 24. Feb 2015, 11:13

Re: FIP VPN und pfSense

Beitrag von MichaelWeigel » Fr 16. Jun 2017, 14:49

Hallo,

Sie könnten mal versuchen tmp. das VPN zu TCPv6 Port 443 oder TCPv4 Port 8443 aufzubauen.
Sie können in der vpn Datei den Parameter prto auf TCP (TCP6)

LG Michael

hexenbier
Beiträge: 6
Registriert: Do 15. Jun 2017, 20:24

Re: FIP VPN und pfSense

Beitrag von hexenbier » Mi 21. Jun 2017, 16:23

Beides funktiniert leider nicht. Ich bekomme einen timeout...

Wie lautet denn die Domain des Vpn Servers?

MichaelWeigel
Beiträge: 383
Registriert: Di 24. Feb 2015, 11:13

Re: FIP VPN und pfSense

Beitrag von MichaelWeigel » Mo 26. Jun 2017, 13:22

Hallo,

Wie ich sehe, haben Sie ja einen VPN Tunnel :( dort ist die einstellung mit den Ports 443 und 8443 nicht vorhanden.

Ihr VPN Server ist : für udp, udp6, tcp, tcp6
tun-vpn1-dual.connect2any.net:1194

leider hatten wir bei tcp6 noch eine Firewall, die doch nicht alles durchlassen wollte. Jetzt sollte die Verbindung aber funktionieren.


LG Michael

hexenbier
Beiträge: 6
Registriert: Do 15. Jun 2017, 20:24

Re: FIP VPN und pfSense

Beitrag von hexenbier » Mi 28. Jun 2017, 09:37

Wenn ich den Tunnel auf TCP4 oder TCP6 laufen lasse, sieht das Ergebnis noch deutlich schlechter aus!

Auch schwanken die Werte deutlich! Ohne Tunnel habe ich immer 100 MBits up und down. Mit Tunnel zur Zeit leider nur 50down und 20up.

Das ist leider deutlich zu wenig, da ich eine Nextcloud betreibe und so der 100Mbit Upload leider gar nichts wert ist.

Die CPU Auslastung (ein Kern!) liegt übrigens bei 25% bei vollem Download über den Tunnel. (Intel Xeon CPU E5-2620 v3 @ 2.40GHz )

Ich habe jetzt sämtliche Parameter ausprobiert was MTU und Fragment Size angeht, das bringt alles nichts.

Die deutlichen Schwankungen lassen mich aber auf ein Bottleneck ihrerseits schließen. Vielleicht könnten Sie ja nochmal genauer schauen! Danke :)

Gruß Oliver

rema
Feste-IP.Net Support
Beiträge: 366
Registriert: Do 5. Feb 2015, 10:24

Re: FIP VPN und pfSense

Beitrag von rema » Mo 3. Jul 2017, 11:38

Hallo,

Normalerweise ist UDP auch die bessere Wahl für das VPN. Je nach Anwendung/Anbindung kann es aber machmal sein, das TCP stabiler läuft.

Für die extremen Schwankungen habe ich noch keine Erklärung. Aber, wenn es "nur" eine Https Verbindung ist, könnten Sie auch mal einen einfachen Portmapper probieren. Da wäre der VPN Overhed weg.

/LG rema

hexenbier
Beiträge: 6
Registriert: Do 15. Jun 2017, 20:24

Re: FIP VPN und pfSense

Beitrag von hexenbier » Mo 3. Jul 2017, 22:38

Hallo,

Portmapper eher nicht. In meiner DMZ ist erstens kein IPv6 und zweitens brauche ich UDP. :)

ich habe gerade rausgefunden, dass die Umstellung auf AES-128-CBC etwas bringen soll. Die AES-NI Unterstützung in der CPU greift nicht bei BF-CBC.

Könnten Sie das umstellen? ;)

Gruß Oliver

rema
Feste-IP.Net Support
Beiträge: 366
Registriert: Do 5. Feb 2015, 10:24

Re: FIP VPN und pfSense

Beitrag von rema » Fr 7. Jul 2017, 11:21

Hallo,

In einer der nächsten openvpn Releases kann man die Cipher wohl clientbasiert umstellen.
Momentan ist dies nicht möglich und eine komplette Umstellung des Systems würde momentan dazu führen dass alle anderen VPNs offline gehen.

Somit können wir das aktuell leider nicht ändern.

/VG Rene

hexenbier
Beiträge: 6
Registriert: Do 15. Jun 2017, 20:24

Re: FIP VPN und pfSense

Beitrag von hexenbier » Fr 7. Jul 2017, 13:03

Ok, danke.

Antworten