Openvpn auf Opnsense

ink0gnito

New Member
Hallo zusammen, hat in der letzten Zeit mal einer versucht unter opnsense eine openvpn perfect-privacy Verbindung herzustellen?
Ich hatte das sonst immer unter pfsense ohne Probleme laufen, aber jetzt habe ich mir neue Hardware geholt und wollte mir mal was genauer opnsense angucken. Die pfsense Anleitung habe ich befolgt, aber der openvpn client schreibt im log immer "BAD LZO decompression header", anschliessend kommt Inactivity timeout und der client startet neu.
Hat mit opnsense einer Erfahrung?
 

Gerd

Active Member
Hi.

Hier die Änderungen im Vergleich zu pfSense.

1607453343817.png

Code:
hand-window 120
mute-replay-warnings
persist-remote-ip
reneg-sec 3600
resolv-retry 60
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
tun-mtu  1500
fragment 1300
mssfix
ignore-unknown-option ncp-disable
ncp-disable
remote-cert-tls server
key-direction 1

Wichtig ist die obere Firewallregel im unteren Bild.
"Source: LAN net" to "Destination: LAN address"

1607453478945.png

Und die NAT Outbound Regeln, die man manuell anlegen muss.

1607453538201.png
 

ink0gnito

New Member
Aber in deinem Beispiel wird der gesamte Traffik von jedem LAN Client durchs VPN geschoben richtig?
Ich muss mal gucken wie ich das bei mir mache. Manche clients sollen nämlich nicht durchs VPN.
 

Gerd

Active Member
Aber in deinem Beispiel wird der gesamte Traffik von jedem LAN Client durchs VPN geschoben richtig?
Ich muss mal gucken wie ich das bei mir mache. Manche clients sollen nämlich nicht durchs VPN.


Ich bin nicht sicher, ob ich es genau verstanden habe.

LAN Clients/Interfaces haben ein eigenes Tab/Menü in Firewall Regeln.

Beispiel:

Wenn in Firewall/LAN1 Menü als Gateway Amsterdam1 angegeben wird, dann geht auch der gesamte Traffik von LAN1 über Amsterdam1.

Solange bei LAN2 kein Gatway von einem anderen VPN Client (Bsp. Russland) nicht angegeben wird, sollte der Traffik ganz normal über WAN Interface raus gehen. Also über dein ISP. Zur Sicherheit kann man auch WAN_DHCP als Gateway angeben.

Soabald du bei LAN2 als Gateway VPN_PP_Russland_VPNv4 angibst, würde der Traffic auch über Russland gehen und der Traffic von LAN1 über Amsterdam1.

Und nicht vergessen. DNS Resolver und NAT Outbound wie bei pfSense konfigurieren.

Edit: zumindest konnte ich die NAT Outbound Regeln bei OPNSense nur manuell anlegen.
 
Last edited:

ink0gnito

New Member
ich kann das leider nicht über die Lan Ports trennen, bei mir hängen alle clients an LAN1. Das läuft bis jetzt auch so über pfsense.
Ich habe bei pfsense dann extra aliase hinzugefügt, und später rules erstellt das Alias "no VPN" direkt über das normale Gateway raus geht. Alias "Rotterdam" geht dann über das VPN Gateway raus.
 

Gerd

Active Member
Das läuft bis jetzt auch so über pfsense.

Im Bereich Netzwerkkonfiguration kann ich dir nicht helfen. Wenn es bei dir über pfSense lief, dann muss es auch über OPNSense laufen.

Ansonsten falls Probleme auftreten sollten, kannst du das Problem im OPNsense Forum schildern.

Meiner Erfahrung nach bekommt man eine Antwort im OPNSense Forum noch schneller, als im pfSense Forum.
 

Mugga6315

Freshly Joined Member
Hallo,
ich habe vor einigen Tagen eine APU2 mit Opnsense in Betrieb genommen. Durch viel hin und her lesen konnte ich auch eine Verbindung zu PP über OpenVPN hinbekommen. Insbesondere die Advanced Settings vom Threadersteller (vielen Dank nochmal dafür), haben mir sehr geholfen.

Ich konnte auch erfolgreich das Routing für bestimmte Clients über VPN einstellen. Geholfen hat mir dieser Thread dabei:
https://forum.opnsense.org/index.php?topic=8998.0
Auch der Killswitch funktioniert bei mir ohne Probleme und alle anderen Clients welche nicht in der Aliase Liste eingetragen sind, gehen ganz normal ins Netz ohne VPN.

Leider hardere ich noch ziemlich mit der VPN Performance. Normalerweise schafft meine Leitung so um die 80-90mbit, auch direkt unter Windows mit PP-Client erreiche ich die Geschwindigkeit. Leider komme ich über Opnsense jedoch nicht über 50mbit hinaus. Komischerweise bringt auch ein umstellen von AES-256-GCM auf AES-128-GMC keine Veränderung. Außer das die CPU-Last etwas heruntergeht.

Hat jemand noch ne Idee was man dort machen kann? Eigentlich müsste die APU2 genügend Power haben um so in die 80-90mbit Region zu kommen über OpenVPN.
 

Gerd

Active Member
Hat jemand noch ne Idee was man dort machen kann?

Leider schafft APU2 um die ~50Mbit/s bei der Verschlüsselung von PP. Einige VPN Anbieter haben eine schwächere Verschlüsselung. Bei denen könnte man theoretisch 80-90 Mbit erreichen.

Du könntest noch folgendes versuchen.
Wechsele in OPNsense zu System->Settings->Miscellaneous-> "Use/dev/crypto" aktivieren.
Dann im OpenVPN Client-> Hardware Crypto-> "dev/crypto engine auswählen".
 

Mugga6315

Freshly Joined Member
Danke für den Tipp, hatte leider keine Verbesserung gebracht. Schade das die APU2 für die Verschlüsselung zu langsam ist, dachte ich hätte mich genügend vorher informiert. Aber kann ja keiner ahnen das PP mit der Verschlüsselung übertreibt :p;)

Schade um die neue Hardware, aber vielleicht bekomme ich sie ja verkauft oder nutze sie für irgendwas anderes.

Ich habe jetzt auf jeden Fall einmal meine OPNsense Config auf mein Proxmox Server übertragen wo nen i5-3470S werkelt. Musste da zwar auch noch 1-2 Einstellungen machen, aber jetzt kommt durchs VPN auch der volle Speed an. Auch mit AES-256.

Danke nochmal für den Hinweis das es wohl an der Hardware lag.
 
Top